In Groot-Brittannië is het sinds kort verplicht om gegevens onversleuteld te overhandigen aan de autoriteiten. Indien nodig moeten medewerking worden verleend aan het ontsleutelen van de gegevens, zo melden onder andere Security.nl en Tweakers.
Bedrijven en individuen die een ‘Section 49’-dwangbevel krijgen, zijn verplicht de decryptiesleutels te overhandigen of de voor onderzoek gewenste gegevens in plaintext te overhandigen. De Britse rechtshandhaving ziet zich naar eigen zeggen steeds vaker geconfronteerd met versleutelde data, wat de voortgang van onderzoeken belemmert. … Weigering om aan ‘Section 49’ te voldoen kan een gevangenisstraf van twee jaar opleveren of, als het onderzoek de staatsveiligheid betreft, zelfs vijf jaar.
Zo heel nieuw is dit niet, al is de Engelse wet wel relatief streng. Bij ons geldt al jaren een dergelijke verplichting om wachtwoorden aan de politie te geven. Artikel 125k Wetboek van Strafvordering bepaalt:
1. Voor zover het belang van het onderzoek dit bepaaldelijk vordert, kan indien toepassing is gegeven aan artikel 125i of artikel 125j tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Degeen tot wie het bevel is gericht, dient desgevraagd hieraan gevolg te geven door de kennis omtrent de beveiliging ter beschikking te stellen.
2. Het eerste lid is van overeenkomstige toepassing indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.
Een uitzondering is wel lid 3: een bevel tot afgifte van sleutels of andere informatie over de beveiliging mag niet worden gegeven aan de verdachte.
Hoe waardevol zo’n beval in de praktijk zal zijn, moet nog blijken. Ten eerste, waarom zou iemand zijn wachtwoord afgeven als hij daardoor bewijs onthult van een misdrijf dat hij gepleegd heeft? Dan liever de cel in voor het niet afgeven van het wachtwoord.
Ten tweede zijn er genoeg technische oplossingen om het afgeven van zo’n wachtwoord zinloos te maken. Het bekendste voorbeeld is de plausible deniability van harddisk-encryptiesoftware Truecrypt. Met deze software kun je een hele partitie op de harde schijf versleutelen. Het bijzondere is dat je in zo’n versleutelde partitie een tweede partitie kunt opnemen die met een aparte sleutel versleuteld is. Alleen: zonder die aparte tweede sleutel is die tweede partitie niet terug te vinden. Hiermee kan de eigenaar van de harde schijf dus desgevraagd de eerste sleutel afgeven, waarna relatief onschuldige gegevens ontsleuteld worden, zonder dat de “echte” gegevens zichtbaar worden.
Arnoud
Ik ben bezig met een onderzoek naar de bevoegdheden van justitie een decryptiebevel te vervaardigen. In dat kader vraag ik mij af of de titel van dit bericht correct is. Een section 49 dwangbevel (vgl 125k Sv in NL) mag zich, net als in Nederland (125k lid 3), toch juist niét richten tegen een verdachte?