up to
index



ELECTRONISCHE SNELWEG,
ENCRYPTIE EN DE BURGER

mr. P.J. Westerhof



Inhoudsopgave

  1. Inleiding
  2. Bedreigingen
  3. Encryptie
  4. 'Beleid tegen het licht gehouden'
  5. Conclusie
  6. Voetnoten


INLEIDING

Met de komst van de Electronische Snelweg wordt de fysieke wijze van berichtenverkeer in toenemende mate vervangen door een electronische. Met deze zachte revolutie wordt de vraag actueel welke consequenties dit heeft voor het aloude - met de fysieke wijze van berichtenverkeer verbonden - briefgeheim. Het betreft hier met name het punt van de integriteit van electronische berichtenuitwisseling, de mogelijkheid van burger en bedrijfsleven hun datacommunicatieverkeer te beveiligen tegen ongewenst kennisnemen door onbevoegde derden. Dit aspect is in het recente verleden in het nieuws gekomen naar aanleiding van plannen van de Nederlandse overheid om - in het kader van de rechtshandhaving - de encryptie door de burger van diens electronisch berichtenverkeer aan zekere voorwaarden vooraf te gaan verbinden. Deze plannen, welke de overheid in staat zullen stellen electronisch toezicht te houden op de burger en welke tegelijkertijd dezelfde burger beperken in zijn mogelijkheden om zijn persoonlijke levenssfeer te beschermen tegen onbevoegde inbreuken, vormen een politieke mijlpaal in het huidige informatietijdperk. De voorgestelde encryptieverboden zouden een aantasting van burger- en handelsbelangen betekenen, de veiligheid van computernetwerken ondermijnen en ernstige zorgen oproepen met betrekking tot de vrijheid van meningsuiting.

In het hiernavolgende komen een aantal 'bedreigingen' aan de orde, welke de Electronische Snelweg voor burger en bedrijfsleven meebrengt bij het gebruik van dit medium voor hun electronische gegevensverkeer. Het onderscheid tussen deze 'bedreigingen' is soms subtiel, doch daarom niet minder relevant aangezien hierin vaak een ander beleidsniveau tot uitdrukking komt. Afgesloten wordt met een beschouwing waarin een aantal beleidsontwikkelingen rond de beveiliging van electronische gegevensverkeer nader tegen het licht worden gehouden.


BEDREIGINGEN

Systeemgerichte optiek: geen beveiliging van gegevens

In een aantal nationale en internationale regelingen komt direct of indirect een beveiligingsplicht aan de orde. Een dergelijke verplichting kan internationaal bijvoorbeeld worden gevonden in Richtlijnen van de Europese Commissie, art. 22 van het Internationale verdrag betreffende telecommunicatie (Trb. 1992, ?) en daarnaast de Europese Richtlijn Bescherming Persoonsgegevens (1), en nationaal in de Wet op de Persoonsregistraties, de Wet op de Politieregisters, de Wet GBA en de Wet op de Telecommunicatievoorzieningen.(2) Voorts zijn bij de wet van 7 april 1971 (Stb. 180) in het Wetboek van Strafrecht en in het wetboek van Strafvordering bepalingen opgenomen die enerzijds de vertrouwelijkheid van telefoongesprekken beschermen, doch anderzijds mogelijkheden scheppen om onder bepaalde waarborgen dergelijke gesprekken ook te kunnen afluisteren. Bij de wet computercriminaliteit (Stb. 1993,33) zijn deze bepalingen uitgebreid.(3)
Geen beveiligingsplicht maar meer een 'vrije keus' kan worden gevonden in artikel 138a eerste lid WvSr.(4)
Dit uit de wet Computercriminaliteit afkomstige artikel beoogt het inbreken in computersystemen - het zgn. 'hacken' - strafbaar te stellen; strafbaar is hierbij elke vorm van 'wederrechtelijk binnendringen'. De 'vrije keus' bestaat daarin dat men niet verplicht is zijn systeem te beveiligen, doch dat men als gelaedeerde moet kunnen aantonen dat sprake was van 'enige beveiliging' teneinde aanspraak te kunnen maken op bescherming door de strafwet.(5)
Problematisch is dat voornoemde wettelijke regelingen - alsook de op basis daarvan geïmplementeerde beveiligingsmaatregelen - weliswaar mede betrekking hebben op persoonsgegevens doch in eerste instantie gericht zijn op (de beheerders/houders van) informatiesystemen en daarin aanwezige persoonsregistraties. Op het niveau van gegevens - d.w.z. als betekenisonafhankelijk kleinste informatiedragende element - is weinig tot niets geregeld.(6)

Kans

De enige wijze - en volgens communis opinio ook de meest effectieve en meest efficiënte - om op gegevensniveau beveiligingsmaatregelen te treffen is encryptie; de versleuteling van gegevens. Dit kan gebeuren hetzij door de verzender, hetzij door de transporteur van de gegevens. Encryptie door de verzender is zowel de meest effectieve als meest efficiënte methode, met name doordat dit de verzender zèlf de afweging laat te bepalen of, en in hoeverre, de wenselijkheid c.q. noodzakelijkheid van versleuteling bestaat. Dit laatste zou overigens passen binnen het door de Nederlandse overheid in het Nederlands Aktieprogramma beoogde nieuwe kader voor (zelf)regulering.(7)
Encryptie van electronisch berichtenverkeer binnen de overheid is overigens ook in het kader van het GBA-berichtenverkeer aan de orde gekomen.

Perceptie-verschil burger/overheid

Dit aspect ligt zeer dicht aan tegen het aspect 'Systeemgerichte optiek'; i.c. is echter niet het onderwerp van beleid aan de orde, doch het met dit beleid beoogde doel.
Doordat de overheid bij de diverse regelgeving een mediumgerichte optiek hanteert - door te differentiëren naar infrastructuren en media als radio en televisie, telefoon, telegraaf, kabel, computer-systemen en -netwerken, etc. - stelt deze voor elke medium derhalve een afzonderlijk regelgevend kader. De burger beziet e.e.a. echter vanuit een doelgerichte optiek - i.e. het met een medium beoogde doel, nl. de overdracht van gegevens - en bekommert zich weinig of niet om de wijze waarop dit doel bereikt wordt, zij het telefoon of kabel.
Er lijkt aldus sprake te zijn van een verschil in perceptie: de overheid regelt de beveiliging van datacommunicatieverkeer vanuit de optiek van de postbesteller c.q. opsporingsambtenaar, niet vanuit de optiek van de belanghebbende bij het gegevensverkeer, terwijl de burger e.e.a. beziet in het kader van zijn informatie-'consumptie' en zijn in beginsel vertrouwelijk bedoelde informatieuitwisseling met anderen. I.t.t. de overheid heeft de burger alléén maar 'boodschap aan de boodschap'.

Hier wordt met zoveel woorden geraakt aan de door de Grondwet gegarandeerde bescherming van het recht op vrije informatiegaring en van de bescherming van de persoonlijke levenssfeer en het daaraan gerelateerde brief-, telefoon- en telegraafgeheim. Vraag is dan in hoeverre de burger wordt beschermd ingeval sprake is van electronisch berichtenverkeer.

Het recht op eerbiediging van de persoonlijke levenssfeer wordt in het internationale recht gewaarborgd in de artt. 8 en 12 van de Universele verklaring van de Rechten van de Mens en art. 17 IVBP. In het kader van de Raad van Europa zijn voor diverse maatschappelijke sectoren aanbevelingen tot stand gebracht, terwijl voorts gewezen kan worden op de richtlijnen van de OESO.(8)
In het nationale recht wordt het recht op bescherming van de persoonlijke levenssfeer in algemene zin gewaarborgd in art. 10 lid 1 Gw. Dit grondwetsartikel vormt een uitwerking van het algemene beginsel van bescherming van de persoonlijke levenssfeer zoals dat verdragsrechtelijk bescherming vindt in bovengenoemde artikelen in EVRM en IVBP. Relevant in dit artikel zijn met name de aspecten dat men in de eigen woning geen inmenging van anderen behoeft te dulden, en dat men vrijelijk met anderen - schriftelijk, telefonisch of anderszins - kan communiceren zonder dat derden daarvan ongewenst kennis kunnen nemen.(9) Op dit art. 10 zijn beperkingen mogelijk 'bij of krachtens de wet'. Is deze door de onbepaalbaarheid van de praktijk ingegeven delegatiebepaling tamelijk ruim te noemen, zij biedt echter minder beperkingsvrijheid dan art. 8 EVRM. Art. 8 EVRM onderwerpt de beperkingsvrijheid aan een aantal limitatieve doelcriteria, alsmede aan de eis dat een beperking nodig moet zijn in een 'democratische samenleving'; voorwaarden welke art. 10 Gw. niet kent.

Het in art. 12 Gw. geregelde huisrecht en het in art. 13 Gw. geregelde brief-, telefoon- en telegraaf- geheim moeten worden beschouwd als een verbijzondering van het algemene recht op eerbiediging van de persoonlijke levenssfeer van art. 10 lid 1 Gw. dat op de artikelen 12 en 13 van aanvullende toepassing is. Van deze aanvullende toepassing kan met name dán sprake zijn indien niet duidelijk is of alle moderne communicatiemiddelen wel bestreken worden door art. 13 Gw. (10) Het briefgeheim van art. 12 GW. heeft in eerste instantie betrekking op fysieke informatiedragers. (11) Volgens een voor de hand liggende functionele interpretatie van het artikel zouden hieronder echter ook de huidige electronische informatiedragers dienen te worden begrepen. Akkermans en Koekoek memoreerden reeds dat de door regering ten tijde van de grondwetsherziening gehanteerde restrictieve opvatting van de bescherming van het telefoon- en telegraafgeheim door de opkomst van nieuwe technieken onvermijdelijk tot een verruiming van de bescherming zou dienen te leiden. (12) Het in art. 13 Gw. gegarandeerde telefoon- en telegraafgeheim wordt in zoverre minder dan het briefgeheim beschermd tegen inbreuken door overheidsfunctionarissen, dat voor een inbreuk op het telefoon- c.q. telegraafgeheim slechts een wettelijke grondslag noodzakelijk is, terwijl voor inbreuken op het briefgeheim daarnaast tevens een rechterlijke last vereist is. Overigens beschermt art. 17 IVBP - een direct werkende bepaling in de zin van art. 94 GW. - elke vorm van (tele)communicatie tegen 'willekeurige of onwettige inmenging' van overheidswege. Afgevraagd moet echter worden of in de huidige nationale praktijk deze bescherming gerealiseerd wordt.

Kans: electronisch briefgeheim

Door middel van encryptie van zijn electronische gegevensverkeer kan de burger blijk geven van zijn onmiskenbare wil dit gegevensverkeer vertrouwelijk te doen zijn. Een dergelijke vertrouwelijke gegevensuitwisseling dient kan dan ook niet anders worden geïnterpreteerd dan als een duidelijke wil van betrokkene deze gegevensuitwisseling binnen zijn privésfeer te initiëren èn te voltooien. De middels de encryptie tot uitdrukking komende bescherming van deze privïsfeer valt daarmee direct en onverkort onder de bescherming van de persoonlijke levenssfeer zoals deze wordt gewaarborgd in het internationale recht en de grondwet, alsmede onder de indirecte bescherming van de strafrechtelijke en strafvorderlijke bepalingen.
Het voorgaande houdt tevens in dat - naarmate de burger zijn bestaan in toenemende mate op electronische wijze vorm geeft - de fysieke interpretatie van het privacy-begrip(13) steeds verder dient te worden aangevuld of zelfs te worden vervangen door een virtuele interpretatie. In plaats van 'Waar de burger is, heeft hij privacy' zou moeten gelden 'Tot waar des burgers (electronische) aanwezigheid reikt, reikt diens privacy, en tot daar wordt hij beschermd'. Het verdient dan ook dringend aanbeveling het huidige brief-, telefoon- en telegraafgeheim te vervangen door één electronische pendant.(14)

Berichtengegevens: 'Brief of briefkaart?'

De huidige computerbeveiliging met betrekking tot datacommunicatieverkeer is hoofdzakelijk gericht op de beveiliging van computersystemen, minder op de deze systemen verbindende infrastructuren en niet of nauwelijks op de gegevens zoals deze tussen de computersystemen middels de infrastructuren hun weg vinden. Dit lijkt tot gevolg te hebben dat de suggestie wordt gewekt dat deze gegevens vogelvrij zijn zodra zij 'in transit' zijn. Deze suggestie wordt wellicht nog versterkt doordat bij een aantal e-mail gebruikers ten onrechte de gedachte leeft dat electronisch berichtenverkeer veilig is.
Een typisch voorbeeld van dit laatste is het Internet. Met de beveiliging van dit wereldomspannende computernetwerken verbindende netwerk is niemand belast, beveiliging van gegevens vindt in beginsel slechts plaats ingeval van de opslag van deze gegevens op de diverse in het netwerk opgenomen computersystemen. Tússen deze systemen - tijdens het transport - is het bericht in beginsel niet beschermd. Ook binnen de diverse computersystemen welke het bericht passeert is het kwetsbaar voor onbevoegd kennisnemen, door systeempersoneel en door derden die kans hebben gezien in het systeem binnen te dringen.
In beginsel is er niets veranderd vergeleken met het huidige (fysieke) postverkeer. Er wordt slechts een ander medium gebruikt voor het versturen van gelijksoortige (persoonlijke) gegevens, waarbij een electronisch bericht wordt verpakt in een electronische envelop met electronische adresgegevens. Met dat verschil dat een eenmaal onderschept bericht eenvoudig te lezen is en in dat opzicht dan ook beter vergeleken kan worden met een briefkaart. De gebruiker moet dan ook maar afwachten hoe het door hem verstuurde bericht onderweg door de diverse netwerken wordt bejegend, het is immers afhankelijk van de vraag òf en zo ja in welke mate de betrokken netwerkbeheerder een computerbeleid geïmplementeerd heeft. Daarbij zou in feite het briefgeheim worden gefrustreerd indien het de burger onmogelijk zou worden gemaakt ook zijn brievenbus te beveiligen tegen nieuwsgierige meelezers.

Kans

Dit houdt derhalve in dat de beveiliging tegen het kennisnemen door derden van electronisch gegevensverkeer dat over netwerken plaatsvindt niet anders kan plaatsvinden dan middels maatregelen met betrekking tot de gegevens zèlf.
Ook hier is het voor de hand liggend een electronische pendant te hanteren van het reeds bekende briefgeheim, bijv. door versleuteling. Encryptie door de verzender is ook hier zowel de meest effectieve als meest efficiënte methode, hier met name doordat dit het 'meelezen' door al dan niet bevoegde derden voorkomt, waarbij het ook hier de verzender de afweging laat te bepalen of, en in hoeverre, de wenselijkheid c.q. noodzakelijkheid van versleuteling bestaat.

Wel verantwoordelijkheden, geen bevoegdheden?

Ondanks dat de verantwoordelijkheid voor de beveiliging van gegevens en systemen in alle discussies en regelgeving steeds bij de burger is gelegd, wordt het de burger in feite niet toegestaan een eigen beveiligingsinspanning op zich te nemen juíst op een punt waar een witte vlek bestaat op het terrein van de beveiliging van zijn gegevensverkeer. Bij de bescherming van de privacy van de burger lijkt het zodoende steeds over de burger te gaan, niet door de burger, terwijl dit toch de aangewezen plaats zou zijn dat de burger zijn privacy in eigen hand kan nemen en houden. Dat terwijl met name van de kant van de overheid steeds is benadrukt dat de verantwoordelijkheid voor gegevensbeveiliging in de eerste plaats bij de gebruiker ligt.

Kans

De verzender dient het principiële recht te hebben zèlf de afweging te maken of, en in hoeverre, de wenselijkheid c.q. noodzakelijkheid van versleuteling bestaat. Dit valt geheel binnen de beginselen van de privacy-regelgeving(15), alsook binnen het door de Nederlandse overheid in het Nederlands Aktieprogramma beoogde nieuwe kader voor (zelf)regulering.(16) In de Code voor Informatiebeveiliging(17) is op dit punt door een groep vooraanstaande Nederlandse bedrijven en organisaties in samenwerking met het Ministerie van Economische Zaken reeds een aanvang gemaakt met een integrale aanpak van informatiebeveiliging in het (inter)nationale gegevensverkeer.


ENCRYPTIE

Verbodswetgeving encryptie?

Internationaal is een politieke actie op gang gekomen welke het gebruik van encryptie door de burger aan voorwaarden vooraf wil verbinden, c.q. geheel wil verbieden, zulks met het oog op de belangen van opsporingsinstanties. Bij deze pogingen van overheden om technologische ontwikkelingen bij te houden en hier met regels op te reageren, kunnen burgerrechten onder druk komen te staan. Zowel in de VS, in Australië als in de Europese gemeenschap zijn er stappen ondernomen teneinde tot een encryptieverbod te komen.
Op 27 juni 1995 werd in de VS door senator Grassley de 'Anti-Electronic Racketeering Act of 1995' ingediend, welke onder meer het beschikbaar stellen strafbaar stelde van encryptie-software via computernetwerken welke toegankelijk zijn voor niet-ingezetenen van de V.S.
Recentelijk viel uit openbaar gemaakte overheidsdocumenten op te maken dat een aantal federale overheidsdiensten (FBI, NSA en het Amerikaanse Ministerie van Justitie) enkele jaren geleden reeds tot de conclusie waren gekomen dat de invoering van de zgn. 'Clipperchip' - de encryptiechip met de geheime achterdeur voor de overheid - alleen dan succes zou hebben indien wetgeving zou worden geïmplementeerd waarin alternatieve beveiligingstechnieken verboden zouden worden. Dit bericht staat haaks op eerdere overheidsverklaringen dat gebruik van de Clipper-technologie op vrijwillige basis zou dienen plaats te vinden, en dat de overheid niet voornemens was het gebruik van encryptie aan voorwaarden te verbinden. Reeds eerder was door critici van het Clipper-initiatief op dit noodzakelijke verband gewezen, hetgeen nu dan door overheidsdocumenten wordt bevestigd. Hierop ontstond in de VS enige commotie onder juristen en belangengroepen welke zich bezighouden met informaticarecht en met burgerrechten en vrijheden. Hun kritiek richtte zich op het punt dat dit voorstel de vrijheid van meningsuiting en de privacy van de burger bedreigde; de ontwikkeling van een veilige informatie-infrastructuur frustreerde en niet paste binnen de belangen van rechtshandhaving en de nationale veiligheidsdiensten.

In de zomer van 1995 stelde de Amerikaanse federale regering een nieuw programma voor genaamd Commercial Key Escrow (of 'Clipper II'). Onder dit programmavoorstel zou het de burger zijn toegestaan zijn gegevens te versleutelen. De gebruikte crypto-sleutels zouden echter in bewaring dienen te worden gegeven bij een derde partij welke een commercial escrow agent werd genoemd. Opsporingsinstanties zouden deze encryptie-sleutels bij dit 'escrow-orgaan' kunnen opeisen ingeval zij onderschept geëncrypt gegevensverkeer zou willen decrypten. Dit Clipper-II voorstel werd in de VS door zowel belangengroepen als industrie als volkomen onacceptabel van de hand gewezen.

In Australië werd door Assistant Director Orlowski van het Australian Attorney General's Department, een informeel voorstel gedaan nadere regels te stellen met betrekking tot encryptie, waarbij het gebruik van sterke encryptie-algoritmen aan beperkingen zou worden onderworpen. De behandeling van deze problematiek zou samenvallen met de deregulering van Australië's telecommunicatie in 1997. Het Australische voorstel heeft internationaal de aandacht getrokken en voedsel gegeven aan de geruchten dat de regering van de VS op andere landen druk uitoefent om ook daar encryptie-maatregelen ingevoerd te krijgen.(18)

Binnen het kader van de Europese Gemeenschap lijkt men de zaak vanuit meerdere invalshoeken te bezien. In de OECD Guidelines for the Security of Information Systems (1992) wordt het 'Democracy Principle' genoemd dat stelt; "The security of information systems should be compatible with the legitimate use and flow of data ad information in a democratic society."
In de aanbeveling van het Comité van Europese Ministers van 11 september 1995(19) wordt gesteld dat met het oog op de convergentie van informatietechnologie en telecommunicatie, de regelgeving met betrekking tot de technische surveillance strekkende tot strafrechtelijk onderzoek ('criminal investigations'), zoals het onderscheppen ('interception') van telecommunicatie, waar nodig, dient te worden herzien en aangepast teneinde hun toepasbaarheid te verzekeren. Voorts dient volgens deze aanbeveling de strafvorderlijke regelgeving herzien te worden teneinde mogelijk te maken dat het onderscheppen van telecommunicatie en het verzamelen van verkeersgegevens durende het onderzoek naar ernstige inbreuken op de vertrouwelijkheid, integriteit en beschikbaarheid van telecommunicatie of computersystemen. Het Bangemann-rapport benadrukt het belang van encryptie voor het internationale handelsverkeer, doch signaleert tegelijkertijd het belang van een internationale aanpak van de cryptografieproblematiek: 'An answer given at a national level to this and to the hacking issue will inevitably prove to be insufficient because communications reach beyond national frontiers and because the principles of the internal market prohibit measures such as import bans on decoding equipment.'

Het Nederlandse Aktieprogramma signaleert het dilemma tussen het belang van encryptie voor publiek, overheid en bedrijfsleven enerzijds en anderzijds het belang dat de rechtshandhavende rol van de overheid niet illusoir wordt door misbruik van encryptie.(20) Bescherming van electronisch berichtenverkeer naar analogie van het briefgeheim wordt geacht in de rede te liggen; waar cryptografie de opsporing en rechtshandhaving in gevaar brengt, dienen passende voorzieningen te worden getroffen.(21)

In Frankrijk is middels een in december 1990 aangenomen wet (90-1170), welke 28 december 1992 van kracht werd - het zonder vergunning installeren, gebruiken of exporteren van crypto (i.e. zowel hardware als software) verboden gesteld. Een Franse overheidsinstelling genaamd SCSSI (Service Central pour la Securite des Systemes d'Information) is belast met het toezicht op het priv‚gebruik van cryptografie, w.o. de verlening van vergunningen ('autorisations prealables'). Tot op heden zijn vergunningen steeds geweigerd indien de betrokken crypto-objecten te moeilijk te 'breken' waren.
Via deze weg roept de Franse overheid, om redenen van rechtshandhaving, een halt toe aan systemen waarvan zij niet de sleutel kan hebben. De SCSSI heeft tot op heden steeds negatief gereageerd op vergunningaanvragen voor PGP-gebruik, zelfs indien deze afkomstig waren van nationale industriëen als Groupe Bull.(22)

In Nederland lekte maart 1995 het concept uit van een voorontwerp van een wet op de cryptografie. Het voorontwerp van de wet - dat sterke overeenkomsten vertoonde met de in de VS en in Australië voorgestelde aanpak van het 'encryptie-probleem - zou deel moeten gaan uitmaken van de Wet op de Telecommunicatievoorzieningen (WTV). Het concept stelde een verbod/vergunningensysteem voor voor cryptografie, waarmee het versleuteld versturen van elektronische berichten over het netwerk en het bezitten of verhandelen van encryptiesoftware aan een vergunningen-systeem zou worden verbonden. Een particulier die een vergunning wil hebben, zou aannemelijk dienen te maken dat hij deze nodig heeft met het oog op een gerechtvaardigd belang. Alleen diegene die toestemming van Justitie heeft om versleutelde berichten te versturen en die de sleutel heeft gedeponeerd bij een (nog op te richten) speciaal orgaan zou encryptie mogen gebruiken. Op deze wijze zou encryptie alleen zijn toegestaan als Justitie het versleutelde zou kunnen kraken. De sleutel zou dienen te worden gedeponeerd bij een speciaal beheerorgaan. De bevoegdheid van de overheid telecommunicatie af te tappen en op te nemen vormt een inbreuk op de persoonlijke levenssfeer. De bescherming van de vertrouwelijkheid van het telecommunicatieverkeer vindt haar grondslag in artt. 10 en 13 tweede lid van de Grondwet. (zie boven)

Als bezwaren tegen dit 'verbod op digitale enveloppen' kunnen worden aangevoerd:(23) Het ministerie van Justitie zélf erkende ook dat de handhaafbaarheid van de voorgestelde verbod dun is. Het verbod, mits goed geformuleerd, zou meer een stok achter de deur zijn voor het geval misbruik wordt gemaakt van encryptie. De motivatie van het voorstel ligt dan ook met name in overwegingen van criminaliteitsbestrijding en van de internationale positie van Nederland. Daarbij moet overigens gezegd worden dat andere landen een stuk terughoudender zijn dan Nederland. Onder druk van onder andere het bedrijfsleven is het voorontwerp vooralsnog ingetrokken en lijkt nu te worden herschreven. In de toelichting op zijn begroting 1995-1996 werd door de minister van Binnenlandse Zaken ten aanzien daarvan opgemerkt dat de BVD met betrekking tot het onderscheppen door de BVD van diverse vormen van datacommunicatie ter verkrijging van 'operationele informatie' een adequaat niveau zal moeten handhaven. Ondanks de waarborgfunctie van cryptografie in de telecommunicatie, vergt het toenemend gebruik van cryptografie van de BVD bijzondere inspanningen. Afstemming van nationale en internationale regelgeving wordt door de minister op dit punt dan ook dringend noodzakelijk geacht.(31)

Inmiddels zijn op Europees niveau stappen ondernomen in de richting van een vergunningensysteem met betrekking tot sterke encryptie-vormen. Door de Raad van Europa zou op 8 september 1995 in die zin reeds een besluit zijn genomen, nadat handelsbelangen en privacy- en opsporingsbelangen tegen elkaar waren afgewogen. De OED zou voornemens zijn in december 1995 een conferentie te beleggen teneinde te komen tot een gemeenschappelijke strategie met betrekking tot encryptie.(32) Daarnaast bereidt de Europese Commissie - in nauwe samenwerking met de Senior Officers Group for Information Security Systems (SOGIS) - voorstellen voor waarbij vermoedelijk zal worden uitgegaan van een vorm van 'key escrow.' (33)

Kans

Met de huidige cryptografische technieken kunnen burger en bedrijfsleven op uiterst effectieve en efficiënte wijze invulling geven aan hun eigen belang en verantwoordelijkheid met betrekking tot hun privésfeer. Men hoeft voor een acceptabele bescherming van zijn privacy niet langer te vertrouwen op inspanningen van derden.(34) Hier is het de techniek die elke gewenste gradatie van bescherming biedt. Men kan ook zeggen dat de informatietechniek de opsporingsinstanties zóveel extra mogelijkheden hebben gegeven dat de burger op deze wijze in staat wordt gesteld een stukje privacy terug te veroveren. Daarbij zal de combinatie van datacommunicatie en encryptie weliswaar sommige middelen van rechtshandhaving kunnen bemoeilijken, anderzijds zal encryptie (computer)criminaliteit kunnen verminderen.


'BELEID TEGEN HET LICHT GEHOUDEN'

De beveiliging en de bescherming van de privacy en vrijheid van meningsuiting op de nationale en internationale datacommunicatienetwerken is essentieel voor de functie van deze netwerken. 'Free flow of information' en informatiebeveiliging dienen gegarandeerd te zijn teneinde de Electronische Snelweg zijn volle potentieel te kunnen laten ontwikkelen.(35) De 'free flow of information' impliceert echter niet alleen het recht op kennisnemen maaar ook het recht op beschermen tegen kennisnemen, al is het alleen maar om te voorkomen dat anders álles free flow zou worden. (36) Voor een goed en veilig electronisch gegevensverkeer zijn beveiligingstechnieken dan ook van het grootste belang, zo niet essentieel indien gehanteerd bij electronische handtekeningen en bij electronisch betalingsverkeer (o.a. wachtwoorden en nummers van creditcards). Het briefgeheim verzekerde van oudsher privacy, beveiliging alsook handelsbelangen.
Een verwant probleem is de mediumgerichte optiek welke het overheidsbeleid kenmerkt: d.w.z. dat voor elke vorm van telecommunicatie - en daarmee ook voor het daarop betrekking hebbende beveiligingskader - een afzonderlijk wettelijk kader wordt gecreëerd. Een toekomstvaste aanpak van computerbeveiliging maakt een medium-onafhankelijke benadering onvermijdelijk, wil men niet door elke nieuwe technische ontwikkeling worden opgeschrikt.(37)
Het beste middel om bovengenoemde waarden in onze huidige informatiesamenleving te kunnen handhaven is encryptie, zijnde de electronische pendant van het briefgeheim. Daarbij is encryptie de enige medium-onafhankelijke benadering van gegevensbeveiliging, waardoor niet voor elke wijziging in telecommunicatietechnologie een individuele aanpassing c.q. aanvulling van het regelgevend kader noodzakelijk is.


Overigens wordt onvoldoende geappelleerd aan het zelfregulerend vermogen van samenleving en bedrijfsleven. De 'telecommunicatieverkeersdeelnemer' dient het principiële recht te hebben zèlf de afweging te maken of, en in hoeverre, de wenselijkheid c.q. noodzakelijkheid van versleuteling bestaat. Met de huidige cryptografische technieken kunnen burger en bedrijfsleven op uiterst effectieve en efficiënte wijze invulling geven aan hun eigen belang en verantwoordelijkheid met betrekking tot hun privésfeer. Dit valt geheel binnen de beginselen van de privacy-regelgeving(38), alsook binnen het door de Nederlandse overheid in het Nederlands Aktieprogramma beoogde nieuwe kader voor (zelf)regulering.(39) In de Code voor Informatiebeveiliging(40) is op dit punt door een groep vooraanstaande Nederlandse bedrijven en organisaties in samenwerking met het Ministerie van Economische Zaken reeds een aanvang gemaakt met een integrale aanpak van informatiebeveiliging in het (inter)nationale gegevensverkeer.


CONCLUSIE

Het controle- en beheersingspotentieel van de overheid ten aanzien van haar burgers is door de nieuwe mogelijkheden van de informatisering sterk toegenomen. Nationaal en internationaal wordt de kritiek geuit dat de problematiek rond encryptie teveel wordt benaderd vanuit de optiek van rechtshandhaving en nationale veiligheidsbelangen. Voorstellen tot beperking van het gebruik van encryptie houden doorgaans in dat men het gebruik van encryptie door criminelen beoogt te voorkomen, zèlfs als dit impliceert dat inbreuk wordt gemaakt op de privacy van alle burgers. Criminaliteitsbestrijding kan een inbreuk door de overheid op het privacyrecht wellicht rechtvaardigen, doch bij de afweging van overheidsbelangen tegenover belangen van de burger lijkt de uitslag in toenemende mate ten nadele van de burger uit te vallen. In de discussie over welke grenzen onze rechtsstaat op dit punt stelt en dient te stellen is niet duidelijk op basis van welke criteria de afweging wordt gemaakt tussen de privacybelangen van de burger en het belang van de overheid om daar inbreuk op te maken in het kader van een goede taakuitoefening door de overheid. De privacyregelgeving biedt op dit punt geen uitkomst.

Er dient echter een punt te zijn waarop de verwezenlijking van overheidsbelangen middels informatisering zijn begrenzing vindt in de fundamentele burgerrechten waarvan de geest is neergelegd in de Grondwet. Dit vergt echter, zowel binnen de overheid als daarbuiten, een constante kritische houding ten aanzien van het bestaande overheidsbeleid en ten aanzien van de vraag in hoeverre het binnen de beginselen van de democratische rechtsstaat nog mogelijk is om voorgenomen beleid te baseren op reeds geïmplementeerd beleid. Dit zou kunnen inhouden dat bij voornoemde afweging tussen de privacybelangen van de burger en het overheidsbelang van een goede taakuitoefening de nadruk ook niet zozeer dient te liggen op een al dan niet legistische interpretatie van wetteksten als wel op een grondbeginselen-discussie.
Ook burger en bedrijfsleven dienen zich terdege bewust te zijn van de invloed van de informatisering op het democratisch krachtenveld waarin de - tot dusver betrekkelijk heldere - grondwettelijke rechten zich bevinden, en van de daarbinnen door de overheid gehanteerde optiek. Men zal dienen te beseffen dat de invloed van de informatisering op de democratische verworvenheden continue aandacht en waakzaamheid verdient en men zal bereid moeten zijn daarvoor op te komen.

Naast de waarheidsvinding heeft het strafprocesrecht de bescherming van de burger als hoofdfunctie. Zoals onze Minister van Justitie (in een vorig beroepsleven) stelde(41) gaat het in het strafprocesrecht mede om 'een evenwicht tussen de bescherming van de verdachte en de kwaliteit van de waarheidsvinding'. Nú lijkt hierbij de meetschaal echter zóver verbreed te zijn dat de grondrechten - van zowel de individuele burger als de samenleving als geheel - in zicht zijn gekomen, en nu méde in de afweging worden betrokken. De stelling van de minister dat een efficiënt straf(proces)recht 'de burger een gevoel van veiligheid [geeft] en een gevoel dat recht is gedaan'(42) lijkt daarmee een andere, fundamenteler inhoud te hebben gekregen.
De fundamentele vraag gaat dan ook minder over opsporingsbelangen, hoe legitiem ook, gaat ook minder om economische belangen, hoe belangrijk ook, gaat ook niet om bescherming van persoonlijke vrijheden op de Digitale Snelweg, hoe essentieel ook. De fundamentele vraag betreft een grondhouding, namelijk of een overheid welke door de burger op basis van democratische beginselen boven zich is gesteld teneinde de belangen van deze burgers te behartigen, het recht heeft zijn burgers op een manier te bejegenen welke op gespannen voet staat met deze zelfde democratische beginselen.

Tot op heden is een grondbeginselendiscussie als voornoemd té weinig aan de orde gekomen. Nadat geconstateerd werd dat het huidige wetgevingskader niet meer voldoende aansloot op de huidige dagelijkse praktijk, is gekozen voor een 'vlucht vooruit' in de vorm van méér controle door méér regelgeving. Te dicht op de details, verloor men het overzicht. Indachtig de Aanwijzingen voor de regelgeving (o.m. terughoudendheid m.b.t. regelgeving; aansluiten bij zelfregulerend vermogen; effectiviteit en handhaafbaarheid)(43) verdient het dringend aanbeveling te kiezen voor een stap terug en aan de hand van de grondbeginselen het regelgevend kader rond de Electronische Snelweg ter discussie te stellen. Vertrekpunt bij deze discussie zou het 'Beginsel van informationele zelfbeschikking' dienen te zijn zoals dit door Koers c.s. recentelijk werd geformuleerd:(44)

Elk individu heeft het recht van informationele zelfbeschikking. Op grond van dit recht bepaalt elk individu in vrijheid de informationele relaties die hij of zij wil aangaan met anderen en heeft elk individu zeggenschap over zijn of haar persoonlijke informatie en over doel en aard van zijn of haar informationele relaties met anderen.'


VOETNOTEN
  1. O.E.C.D. Document C(80)58(Final), October 1, 1980
  2. resp. art. 7 van de Richtlijn van de Europese Commissie m.b.t. de bescherming van persoonsgegevens en privacy m.b.t. openbare digitale netwerken (COM(90)314 final-SYN 288), art. 8 en in art. 49 eerste lid Wet persoonsregistraties (Stb. 1988,665); in art. 4 Wet Gemeentelijke Basisadministratie persoonsgegevens; in art 7 tweede lid Wet politieregisters (Stb. 1990,414); in art. 17 vierde lid Besluit Politieregisters (Stb. 1991,56) welke de beheerder van een politieregister een beveiligingsplicht opleggen en in art. 8 van de Wet op de Telecommunicatievoorzieningen
    • artikel 125g WvSv. m.b.t. de bevoegdheid van de rechter-commissaris opdrachten te geven telecommunicatie af te tappen of op te nemen ter opsporing van strafbare feiten waar voorlopige hechtenis op staat, indien het onderzoek dit dringend vordert.
    • artikel 139c, tweede lid, onder 30 WvSr. m.b.t. het aftappen en opnemen van telecommunicatie door het Hoofd van de BVD in de gevallen waarin dit nodig is in het belang van de veiligheid van de staat.
  3. het artikel luidt: 'Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt gestraft hij die wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
    a. daarbij enige beveiliging doorbreekt of
    b. de toegang verwerft door middel van listige kunstgrepen, een valse sleutel of door het aannemen van een valse hoedanigheid.'
  4. dit i.t.t. art. 8 Wet persoonsregistraties en art. 7, tweede lid Wet politieregisters, waar 'adequate' beveiligingsmaatregelen worden geëist, het begrip 'nodige' duidt daar op een plicht een 'adequate' beveiliging aan te brengen.
  5. lopen hier privacy-relevante gegevens en beveiligings-relevante data wellicht door elkaar?
  6. Nederlands Aktieprogramma 'Electronische Snelwegen - Van metafoor naar aktie' 21-12-1994 p.4
  7. o.a. d.d. 23 september 1980
  8. het ruimtelijk aspect speelt bij de interpretatie dit artikel een belangrijke rol, zonder limitatief ten aanzien van de werking te mogen worden aangemerkt. Privé-sfeer kan worden uitgelegd als 'de omgeving waarbinnen het individu zich wil terugtrekken zonder daarbinnen invloeden van derden te willen dulden'; valt hierbinnen in eerste instantie een fysieke omgeving, daarnaast moeten ook met deze omgeving verband houdende communicatiemiddelen daaronder gerekend worden, temeer daar via deze middelen in de 'omgevingen' kan worden binnengetreden en invloeden kunnen worden uitgeoefend zonder overigens fysiek aanwezig te zijn.
  9. De Grondwet; een artikelsgewijs commentaar - Akkermans/Koekoek (red.) 1992 p.225
  10. vgl. ook C. Stuurman in 'Electronische post in juridisch perspectief' - Informatie jaargang 37 nr.3, p.180
  11. De Grondwet; een artikelsgewijs commentaar - Akkermans/Koekoek (red.) 1992 p.292
  12. zie ook hiervoor; van oorsprong was voor een inbreuk - bijv. bij huiszoeking - op de persoonlijke levenssfeer een fysieke aanwezigheid van de betrokkene noodzakelijk
  13. vgl. ook J.A. Hofman in zijn dissertatie Vertrouwelijke Communicatie, VU Amsterdam 1995, p.477
  14. zie onder meer de Memorie van Toelichting op de Wet Persoonsregistraties par. 5; TK 1984-1985, nrs. 1-3
  15. Nederlands Aktieprogramma 'Electronische Snelwegen - Van metafoor naar aktie' 21-12-1994 p.4
  16. Code voor Informatiebeveiliging. Een leidraad voor Beleid en Implementatie - Nederlands Normalisatie Instituut - november 1994
  17. o.a. Electronic Frontiers Australia Newsletter, Vol 1 No 4, 4 Sep 1995
  18. COE Recommendation No. R (95) 13 Recommendation No. R (95) 13 of the Committee of Ministers to Member States Concerning Problems of Criminal Procedure Law Connected with Information Technology 11- 9-1995
  19. Aktieplan p.10
  20. Aktieplan p.16
  21. bron: journalist/publicist Jerome Thorel, Frankrijk; zie ook zijn artikel in Frogmag 1995 no. 7
  22. voor een zeer diepgaande behandeling zie het Dossier Cryptografie in Computerrecht 1994/4 zie ook het stuk van Schuringa en Kuus in Computerrecht 1994/2 m.b.t. sleuteldeponering
  23. 'when privacy is outlawed, only outlaws will have privacy' (Zimmermann)
  24. één der algemene beginselen van behoorlijke wetgeving; vgl. ook aanwijzing nr. 6.1 van de Aanwijzingen voor de Regelgeving 1992
  25. Aktieprogramma p.10
  26. COE Recommendation No. R (95) 13 Recommendation No. R (95) 13 of the Committee of Ministers to Member States Concerning Problems of Criminal Procedure Law Connected with Information Technology Appendix to Recommendation No R. (95) 13 - 11 september 1995
    onder I, m.b.t. 'Search and seizure':
    1. The legal distinction between searching computers systems and siezing data stored therein and intercepting data in the course of transmission should be clearly delineated and applied.
    2. Criminal procedure laws should permit investigating authorities to search computer systems and seize data under similar conditions as under traditional powers of search and seizure. The person in charge of the system should be informed that the system has been searched and of the kind of data that has been siezed. The legal remedies that are provided for in general against search and seizure should be equally applicable in case of search in computer systems and in case of seizure of data therein.
    3. During execution of a search, investigating authorities should have the power, subject to appropriate safeguards, to extend the search of other computer systems within their jurisdiction which are connected by menas of a network and seize the data therein, provided immediate action is required.
    4. Where automatically processed data is functionally equivalent to a traditional document, provisions in the criminal procedure law relating to search and seizure of documents should apply equally to it
    5. .

    en onder VII m.b.t. International Cooperation:
    17. The power to extend a search to other computer systems should also be applicable when the system is located in a foreign jurisdiction, provided that immediate action is required. In order to avoid possible violations of state sovereignity or international law, an unambigious legal basis for such extended search and seizure should be established. Therefore, there is an urgent need for negotiating international agreements as to how, when and to what extent such search and seizure should be permitted.

    op Internet te vinden op http://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html
  27. Crypto: een zege of een bedreiging? Computerrecht 1994/4, p.144
  28. de MvT verwijst hiernaar ook, zij het op en wat cryptische wijze - onderdeel A
  29. zie onder meer de jurisprudentie van het Europese Hof voor de Rechten van de Mens, met betrekking tot het criterium dat een beperking in een democratische samenleving noodzakelijk moet zijn ten behoeve van een of meer in het verdragsartikel genoemde doelen. Zie ook Hofman p.463
  30. Begroting 1996 , TK 1995-1996, 24400 hoofdstuk VII, nr.2 p. 13/14
  31. Communications Week International, issue 151, 18 september 1995
  32. NATURE, vol 377 no 6547 (28 September 1995) p 275
  33. gelet op onderzoeksrapporten uit de afgelopen jaren van ondermeer Rekenkamer en Registratiekamer zou de overheid met betrekking tot gegevens- en systeembeveiliging de hand eerst in eigen boezem moeten steken
  34. Volgens de Amerikaanse Electronic Frontier Foundation dient een nationaal beveiligingsbeleid de volgende principes te hanteren:
    1. onbelemmerd priv‚-gebruik van cryptografie;
    2. cryptografiebeleid en technische standaards moeten worden vastgesteld in open, publieke fora;
    3. encryptie dient een onderdeel te worden van de informatie-infrastructuur teneinde beveiliging te verschaffen, privacy te beschermen, en een ieder controle te verschaffen over zijn eigen privésfeer;
    4. nieuwe technologieën mogen geen aantasting inhouden van grondwettelijk beschermde belangen.
  35. ook W.F. Korthals Altes in Vrij verkeer van informatie in Europa; 1991; p. 66
  36. bijv. communicatie via low-orbit satellieten of via meteorieten; hierdoor krijgt tevens het lucht- en ruimterecht een nieuwe dimensie
  37. zie onder meer de Memorie van Toelichting op de Wet Persoonsregistraties par. 5; TK 1984-1985, nrs. 1-3
  38. Nederlands Aktieprogramma 'Electronische Snelwegen - Van metafoor naar aktie' 21-12-1994 p.4
  39. Code voor Informatiebeveiliging. Een leidraad voor Beleid en Implementatie - Nederlands Normalisatie Instituut - november 1994
  40. pre-advies ten behoeve van de Nederlandse Juristen Vereniging; 1994/I p. 214
  41. pre-advies ten behoeve van de Nederlandse Juristen Vereniging; 1994/I p. 220
  42. Aanwijzingen voor de regelgeving. Vastgesteld bij besluit van de Minister-President, Minister van Algemene Zaken van 18 november 1992 (Stcrt. 1992;230) - resp. nr. 6, nr. 7c jo. nr. 8, nr. 9a, nr. 11
  43. Rechten en plichten van het individu op de electronische snelweg. Aanzet tot een handvest. - A.W. Koers - Centrum voor Beleid en Management, Utrecht - Rathenau Instituut - september 1995


© 1995/1997 - mr. P.J. Westerhof (1*at*compulegal.eu)
Een bewerking van dit artikel is verschenen als 'Informationele privacy en encryptie' in 'Recht op de elektronische snelweg?! Drie thema's inzake overheidsbeleid en nieuwe mogelijkheden voor informatievoorziening'
Samsom 1995



*

Counter