Er is weer discussie over toegang voor politie, OM en de Inlichtingendiensten tot informatie die burgers uitwisselen. Aanleiding is dit keer de versleuteling die wordt toegepast door aanbieders van communicatiediensten, zoals WhatsApp. WhatsApp maakt gebruik van end-to-end encryptie, waardoor alleen de verzender en ontvanger kunnen lezen wat er in een bericht staat. De data die verstuurd worden tussen die twee is versleuteld en kan dus niet zomaar gelezen worden. Dit soort maatregelen wordt steeds meer toegepast door bedrijven, met als belangrijkste trigger de bescherming van de privacy van gebruikers. Bedrijven erkennen de noodzaak van het beschermen van privacy, omdat dat cruciaal is voor het vertrouwen dat gebruikers hebben in de aanbieders van communicatiediensten. Bovendien is het verplicht om passende technische en organisatorische maatregelen te treffen om gegevens te beschermen tegen diefstal of verlies, of tegen onrechtmatige toegang van derden. In de Europese Algemene Verordening Gegevensbescherming (AVG, mei 2018 van kracht) is dit expliciet opgenomen onder de noemer Data protection by design.
Wat is het probleem?
Vanwege het gebruik van versleuteling, kunnen opsporingsinstanties de informatie die wordt uitgewisseld niet meer lezen. Er is dus voldoende mogelijkheid tot het aftappen van berichten en de bevoegdheden hiertoe worden mogelijk met de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) nog verder uitgebreid. De berichten kunnen dus wel worden binnengehaald, maar het betreft alleen informatieloze inhoud. Opsporingsinstanties geven aan dat daardoor bijvoorbeeld problemen ontstaan bij het oprollen van criminele organisaties (politie), bij het bestrijden van terrorisme (AIVD), of bij het rondkrijgen van het bewijs voor een veroordeling van een verdachte (OM). Er wordt nu op twee mogelijkheden gedoeld om het probleem op te lossen: achterdeurtjes inbouwen of terughacken. Bij het eerste worden bedrijven verplicht om een mogelijkheid in te bouwen om opsporingsinstanties toegang te verschaffen tot de onversleutelde inhoud van het berichtenverkeer. Bij de tweede mogelijkheid krijgen instanties de bevoegdheid om technische middelen in te zetten om de versleuteling te doorbreken. Daartoe ligt op dit moment een wetsvoorstel klaar.
Een lastig dilemma
Er treedt een bijzonder dilemma op. Dat er een spanning bestaat tussen privacy en veiligheid is al lang bekend. In welke mate het één ten koste gaat van het ander is vaak onderwerp van discussie. En dat beiden kunnen bijdragen aan elkaar is ook onderkend. Het gaat dan ook om afwegingen en zoeken naar een gezonde balans. De genoemde AVG geeft echter veel richting: het is voor bedrijven verplicht om diensten en systemen zoveel mogelijk in te richten op een wijze die gegevens en privacy van gebruikers beschermt. Er is dus een wettelijke plicht. Bedrijven voelen zich hierdoor ook gesterkt in het beiden van privacybescherming. Er was immers al sprake van een toenemende mate van het toepassen van versleuteling, als reactie op de afluisterpraktijken van inlichtingendiensten die met name in de nasleep van Snowden aan het licht zijn gekomen. Ook in individuele gevallen was er verzet tegen het kraken van versleuteling, zoals door Apple in de zaak rondom de Boston bomber.
In de AVG komen door de verplichting van data protection by design dus privacy, gegevensbescherming en informatiebeveiliging expliciet samen. Encryptie is een vorm van informatiebeveiliging die bijdraagt aan gegevensbescherming. Standaard encryptie is dus een vorm van by design bescherming. Met achterdeurtjes wordt deze bescherming echter weer afgezwakt. En vanzelfsprekend is de wens om encryptie zo goed mogelijk te maken, waardoor hacken onmogelijk is. Immers, als opsporingsdiensten kunnen hacken, kunnen anderen dat ook. En zo wordt de wapenwedloop voortgezet, maar nu met privacy als drijvende kracht. Daarmee lijkt het erop dat de achterdeurtjes de enige reële optie zijn. Maar dat levert ook weer grote risico’s op en zou betekenen dat de gehele bescherming van gegevens van alle gebruikers primair afhankelijk wordt van de afspraken omtrent het gebruik van zo’n achterdeurtje en natuurlijk de naleving ervan. En dat is altijd zwakker dan technisch afdwingen. Bovendien wordt daarmee vooral de invulling van proportionaliteit en noodzakelijkheid van de toegang tot de gegevens een essentieel punt.
De afwegingen daarvoor dienen van geval tot geval gemaakt te worden, waarmee het geheel weer een hoofdzakelijk juridische insteek krijgt. Ik weet niet wat de beste aanpak is. Wel is duidelijk dat de strengere eisen voor gegevensbescherming die de AVG stelt al direct op de proef worden gesteld. Er is sprake van een wapenwedloop in het belang van burgers en consumenten, waarbij bedrijven en opsporingsinstanties tegenover elkaar komen te staan. Want wat is de waarde straks van privacyregelgeving als essentiële elementen worden afgezwakt, al dan niet via andere regelgeving?