In de huidige discussies over nieuwe wetgeving voor de politie en inlichtingendiensten worden de twee begrippen “Privacy” en “Veiligheid” nog al eens tegenover elkaar gezet. De politie heeft steeds meer moeite om bij informatie te komen die bijvoorbeeld via WhatsApp chats tussen verdachten wordt uitgewisseld. Om dan toch enigszins succesvol bij die berichten te komen, vragen ze nu om wetgeving die het mogelijk maakt om bijvoorbeeld telefoons te hacken. Immers, eenmaal in een toestel ingebroken, heb je niets meer te maken met de online versleuteling, en kan je de berichten onversleuteld meelezen.

Tast meer veiligheid de privacy aan?

Tegenstanders hiervan vinden dat de politie hiermee te ver gaat en zijn bang dat hun privacy wordt aangetast onder het voorwendsel van meer veiligheid.

Vanuit de andere kant benaderd zou je ook kunnen zeggen dat onze privacy online al continu geschonden wordt. Volgens schattingen van de TU Delft is 1 op de 10 computers in Nederland besmet met een virus dat je computer onderdeel maakt van een botnet. Vaak worden hierbij privacy gevoelige gegevens gestolen. Door de politie toe te staan te hacken, wordt de kans dat ze daders kunnen achterhalen groter en kunnen ze daarmee mogelijk deze vorm van criminaliteit een halt toe roepen. Dus meer veiligheid leidt dan juist tot meer privacy

Cryptografische beveiliging en achterdeurtjes

Het is best een complex probleem en het kan nog complexer: de crypto is te goed geworden voor de opsporing. Waar vroeger een door de politie ingezette tap een waardevol middel was, levert een tap nu steeds minder op. Spraak is naar datacommunicatie gegaan en deze communicatie wordt nu nog eens op een zeer goede manier versleuteld. Zo goed, dat de rechercheurs en experts die worden ingehuurd niet in staat zijn de berichten te decoderen. De problematiek is zo groot dat een aantal Europese landen nu aan het uitwerken is hoe ze technologie partijen, zoals Google, Apple en Facebook, kunnen dwingen hun cryptografische beveiliging te voorzien van achterdeurtjes.

Oppervlakkig gezien nog niet zo’n gek middel. Iedereen kan gewoon van goede cryptografie gebruik maken, maar als de politie toestemming heeft van een rechter krijgen ze toestemming om de achterdeur te gebruiken en de afgeluisterde communicatie te ontsleutelen. Toch is dit probleem niet zo triviaal op te lossen. Met behulp van goede cryptografie is dit prima te ontwikkelen. Echter, het probleem zit in de key management. Is de politie in staat op een goede manier met zo’n achterdeur om te gaan? Het WannaCry incident heeft laten zien dat de NSA niet in staat was om een zero day goed voor zichzelf te houden. Waarom zou de politie dat dan wel kunnen?

En welke politiediensten krijgen precies toegang tot zo’n achterdeur? Vinden we dat Apple ook de sleutel moet afgeven aan Erdogan die een iets andere definitie heeft van terroristen? Zoals je ziet, zijn er veel lastige vragen te stellen rondom dit thema.

Is niets doen een optie?

Maar de hoofdvraag voor mij is: Is niets doen een optie? De wereld is aan het digitaliseren, wat het werk voor de opsporing echt bemoeilijkt. In mijn dagelijkse praktijk zien we hoe criminelen en zelfs statelijke actoren hier op inspelen en met veel plezier het zwakke internet afstruinen om continu onze privacy te schenden. Natuurlijk moeten we proberen computers veiliger te maken en de gebruikers er van op te voeden. Toch ben ik bang dat dat nooit genoeg zal zijn. Ook aan de zijde van de opsporing zullen er innovaties nodig zijn die de politie de mogelijkheden biedt om hun taak daadwerkelijk uit te voeren, terwijl aan de andere kant er goede waarborgen omheen worden ingericht, om te voorkomen dat de criminelen daar juist weer profijt van gaan maken.

In dit soort discussies wordt vaak verwezen naar het Europees Verdrag van de Rechten van de Mens en wel artikel 8. Daarin staat: 1) dat iedereen het recht heeft op privacy, maar ook 2) dat een overheid met wetgeving opening kan bieden voor situaties waarin we in het algemeen vinden dat de politie het recht heeft de privacy van burgers te schenden. Denk bijvoorbeeld aan huiszoekingen en het plaatsen van telefoontaps. Het recht op privacy is dus niet absoluut. Kunnen we nu echt niets uitvinden wat recht doet aan beide belangen?

Dit artikel is verschenen op de website van SIDNfonds.nl van juli 2017.

Auteur:

Ronald Prins heeft in 1999 Fox-IT opgericht samen met zijn compagnon Menno van der Marel. Fox-IT vervult met zijn 300 medewerkers een cruciale rol voor de Cybersecurity van Nederland. Ze ontwikkelen de apparatuur voor de bescherming van de Nederlandse Staatsgeheimen, onderzoeken via digitale weg integriteits- en fraudedelicten en ondersteunen overheid en bedrijfsleven bij het veilig houden van hun digitale omgeving. Fox-IT is regelmatig prominent in het nieuws om uitleg en verdieping te geven bij digitale veiligheidsvraagstukken. Ook heeft Fox-IT heeft een belangrijke een rol gespeeld in diverse onderzoeken naar datalekken.

Voor de oprichting van Fox-IT werkte Ronald als wetenschappelijk onderzoeker bij het Nederlands Forensisch Instituut. Hij was een van de eerste medewerkers van de afdeling digitale technologie en had als rol het doorbreken van cryptografische beveiligingen waar de politie in hun onderzoeken tegenaan liep.

In 1995 is Ronald afgestudeerd als wiskundige aan de Technische Universiteit van Delft.

E:  prins@fox-it.com

W: www.fox-it.com