Coercion-resistant design, ik vertaal het maar als antiwettelijke systemen maar het is het niet helemaal. De Engelse term kwam ik vorige week tegen bij BoingBoing, hij blijkt uit 2016 te dateren en refereert naar technische tegenmaatregelen die onwelgevallige juridische eisen omzeilen of zinloos maken. Het bekendste voorbeeld is de warrant canary, een tekstje in je jaarverslag dat je géén geheim bevel hebt gehad dit jaar. Als je die volgend jaar niet opneemt, overtreed je geen geheimhoudingsbevel want je zegt niets, maar de goede verstaander weet hoe het zit. Hoe sterk is dat nou?
De continue interactie tussen recht en techniek is een van de meest fascinerende aspecten van het internetrecht. Natuurlijk heb je in elk rechtsgebied dat mensen iets doen om de wet te omzeilen (pardon, te “ontwijken”) maar in de ict gebeurt dit zo veel, zo grootschalig en zo expliciet dat ik het echt wat anders vind. Zo ook de omgang met coercie of dwang vanuit de overheid. De neiging om daar dan iets tegen in te bouwen is volgens mij specifiek voor dit rechtsgebied/vakgebied.
Kan het? Ja, er zijn zeker ’trucs’ mogelijk om wettig gegeven bevelen onmogelijk te maken of hun werking te neutraliseren. Ik zeg truc tussen aanhalingsteken omdat het vaak neerkomt op het vermijden van de jurisdictie. (Stel je krijgt een bevel in Seattle, Washington dat je data moet afgeven. Dat je dan zegt, het datacenter staat in Duitsland dus ik kan er niet bij, vind ik niet echt een truc.)
Je kunt dat in software bouwen of het organisatorisch inrichten. Een voorbeeld van BoingBoing is dat je voor bepaalde aanpassingen aan je software twee digitale handtekeningen eist van mensen in twee jurisdicties, zodat er niet één overheid is die kan verplichten tot een zekere aanpassing (zoals een achterdeur). De persoon in de andere jurisdictie zal daar niet aan meewerken en kan niet worden gedwongen.
De onderliggende aanname is vaak wel dat overheden bepaalde dingen niet kunnen of mogen. Bij die warrant canary bijvoorbeeld is de aanname dat je niet gedwongen kunt worden een leugenachtige uitspraak te doen (“Wij hebben dit jaar wederom geen geheime bevelen gehad”, terwijl je die wél hebt gehad). Als die aanname niet klopt – en ik blijf erbij dat je bij canaries gedwongen kunt worden te liegen gezien de bedoeling van de geheimhouding – dan gaat zo’n juridische hack onderuit.
De voornaamste toegevoegde waarde van dit soort ontwerpen is denk ik vooral dat je expliciet nadenkt over eventueel misbruik van je dienst. Als alle communicatie via jouw servers gaat, is het goed te beseffen dat je gedwongen zou kunnen worden bepaalde berichtuitwisseling op te nemen, af te geven of te manipuleren. Daar op voorhand in je design rekening mee houden wanneer je dat niet wilt laten gebeuren is dan alleen maar goed. En ook dat is uniek aan internetrecht: het in programmeren van ethiek, van moreel besef.
Arnoud