Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Beveiliging | 17 reacties

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Deel dit artikel

    • Goed punt, helemaal vergeten te benoemen. Een verdachte kan niet worden bevolen om tot decryptie over te gaan. Dat geldt zowel voor particulieren als bedrijven (denk aan bv. belastingfraude) maar bij een bedrijf kan volgens mij wel een werknemer worden verplicht de data van de werkgever te decrypten, als die werknemer niet zelf ook verdacht wordt.

      De grenzen van dit verbod worden opgezocht in dit verband. Het argument is dan dat er situaties zijn waarin het niet zo erg is, bijvoorbeeld omdat we 99% zeker al weten dat er bewijs zit in die data. Deze man zit al 16 maanden vast met dat argument; bewezen is dat er kinderporno gedownload was naar zijn computer, maar de computer is versleuteld en ze eisen nu ontsleuteling om de zaak helemáál rond te krijgen (enkel downloaden is niet hetzelfde als downloaden en behouden). Een ander argument is wel dat een veroordeelde gedwongen zou moeten kunnen worden om data te decrypten ten behoeve van het slachtoffer of nabestaanden. Denk aan een veroordeelde moordenaar die de locatie van het lijk versleuteld heeft opgeslagen.

      • Dat geldt zowel voor particulieren als bedrijven (denk aan bv. belastingfraude) maar bij een bedrijf kan volgens mij wel een werknemer worden verplicht de data van de werkgever te decrypten, als die werknemer niet zelf ook verdacht wordt.

        Die volg ik niet. Een werknemer handelt toch altijd namens het bedrijf en kan je dus zien als onlosmakelijk onderdeel van het bedrijf zelf? Dus vragen aan de werknemer om data te decrypten is dan toch hetzelfde als datzelfde vragen aan het bedrijf, maar die mag volgens jou weigeren. Dus de werknemer zou dan ook namens zijn bedrijf kunnen weigeren….

        Als jouw uitspraak waar zou zijn, dan is de regel dat bedrijven zouden kunnen weigeren een wassen neus.

      • Dat geldt zowel voor particulieren als bedrijven (denk aan bv. belastingfraude) maar bij een bedrijf kan volgens mij wel een werknemer worden verplicht de data van de werkgever te decrypten, als die werknemer niet zelf ook verdacht wordt.

        Dat klinkt wel als een heel vreemde manier om dit te regelen. Uberhaupt dat de overheid bij alle bedrijfsdata mag lijkt me een heel onwenselijke situatie.

        Logischer zou zijn als de overheid bepaalde informatie, bijvoorbeeld boekhouding, mag inspecteren. De overheid mag dan de boekhouding vorderen, en het bedrijf heeft maar een boekhouding op te hoesten, ongeacht of ze daar iets voor moeten decrypten. Daarentegen mag de overheid niet een decryptiesleutel vorderen en zelf maar op zoek gaan naar de boekhouding.

  1. Hi. Een andere vraag over encryptie. Volgens art. 13.1 TW mogen aanbieders alleen aanbieden als ze diensten beschikbaar stellen als ze aftapbaar zijn. Daarnaast zijn aanbieders verplicht om mee te werken. Hoe zit dit met OTT diensten als whatsapp? Ze gebruiken encryptie, maar zijn dus niet verplicht om mee te werken? Er zijn hier ook nog geen Europese regels voor (op komst)?

    • WhatsApp, Skype en dergelijke zijn geen aanbieders van telecomdiensten zoals in de TW gedefinieerd. Zij leveren diensten van de informatiemaatschappij. Grofweg ligt de grens bij of je in het ISO/OSI model boven of onder level 4 (netwerk) zit. Wie zelf IP pakketjes routeert, is telecom-aanbieder. Wie diensten levert bovenop IP (vanaf UDP/TCP dus), is dat niet en hoeft niet aftapbaar te zijn.

      • Iedereen die computernetwerken ontwerpt weet dat je altijd meer lagen op elkaar kan stapelen. Voor een veilig, niet-aftapbaar internet hoeven we in Nederland dus alleen maar een encrypted laag bovenop level 4 te leggen, en dan alles daarbovenop doen? Hoezo, “you can’t hack the law”?

        Natuurlijk zou het beter zijn als de wet helemaal niet gehackt hoeft te worden. Als men in Den Haag voor de afwisseling een keer onze privacy zou respecteren.

        • Iedereen die computernetwerken ontwerpt weet dat je altijd meer lagen op elkaar kan stapelen. Voor een veilig, niet-aftapbaar internet hoeven we in Nederland dus alleen maar een encrypted laag bovenop level 4 te leggen, en dan alles daarbovenop doen? Hoezo, “you can’t hack the law”?

          Dat gebeurt al vaak genoeg en dat heet gewoon een VPN provider. Die bieden een versleutelde IP tunnel aan over een UDP of TCP verbinding. En die zijn volgens de wet ook niet verplicht om ‘aftapbaarheid’ te waarborgen. Zou ook niet goed zijn, want dan kunnen ze als VPN provider direct inpakken omdat het de hele VPN waardeloos maakt.

            • Juridisch indekken. Als iemand een VPN gebruikt dan kun je aannemelijk maken dat die persoon bewust probeert om een aftapplicht te omzeilen. En dat is volledig aan de gebruiker die de VPN-verbinding opbouwt, niet aan de ISP die de connectiviteit aanbiedt om die VPN-verbinding over te leggen.

              Analoog aan het briefgeheim: Als er een ‘aftapplicht’ voor post is dan kan de post er niet verantwoordelijk voor worden gehouden als iemand brieven in geheimtaal stuurt. Die verantwoordelijkheid komt dan bij de verzender van de brief te liggen.

      • Het probleem voor de politie is dat zelfs als je WhatsApp of zelfs iedereen verbiedt onbreekbare encryptie te hebben, iedereen een encrypted app kan krijgen van organisaties die geen vertegenwoordiging hebben in de EU en niet aan te pakken zijn.

        Zelfs deep packet inspection gaat je niet helpen, het is kinderlijk eenvoudig om al je internetverkeeer via vpn buiten de EU te laten lopen.

        En als ze dat laatste verbieden is het gedaan met de Nederlandse economie.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS