Is encryptie een mensenrecht? #vrijmorefi

| AE 8902 | Informatiemaatschappij | 36 reacties

sleutel-key-encryptie-decryptieBegin september hadden we een discussie over crypto-achterdeuren, waarbij de vraag langskwam of encryptie eigenlijk niet gewoon een mensenrecht is. Je hebt toch het grondrecht privacy, en hoe kun je dat nu effectief uitoefenen anders dan door versleutelde communicatie? Een goed punt, en ik werd er door aan het denken gezet want dit is een van die issues waardoor internetrecht/ICT-recht voor mij toch écht meer is dan een hippe naam voor nieuwigheden in het recht.

Encryptie of versleuteling is als technologie al ongeveer zo oud als het recht. Wie iets belangrijks over te brengen heeft, wil graag voorkomen dat ongewenste derden dat ook lezen. Van boodschappen tatoeëren op het hoofd van je slaaf tot de boodschap uitschrijven op een lange rol die alleen te lezen is door ‘m om één specifieke houten stok te wikkelen, de creativiteit is eindeloos.

Maar eigenlijk was encryptie wel altijd iets van de elite: regeringen, militairen en hele grote industrie. De belangen bij het geheim houden van berichten waren daar het grootste, en de kosten om encryptie te realiseren waren daar te dragen. Voor ‘gewone’ mensen (al dan niet als ondernemer) was encryptie nauwelijks te realiseren, in ieder geval niet op een praktische manier. Na de bredere opkomst van chips en daarna software kon je wel iets met encryptie doen, maar onder strenge regels waaronder het makkelijk kraakbaar maken van je encryptie.

In 1991 kwam daar verandering in. Philip Zimmerman bracht toen het softwarepakket Pretty Good Privacy oftewel PGP uit. Dit programma implementeerde hele krachtige cryptografische technieken middels een (naar de normen van die tijd) eenvoudig te gebruiken interface. De belangrijkste innovatie die PGP op de markt bracht, was die van publiekesleutelcryptografie. Wilde je met een willekeurige persoon veilig communiceren, dan kon je diens sleutel opvragen via een onbeveiligde verbinding. Een meeluisterende aanvaller had daar niets aan, want die sleutel was alleen te gebruiken om berichten te versleutelen en niet om ze te ontsleutelen. Voor dat laatste had iedereen nog een eigen private sleutel.

PGP was een schok in overheidskringen. Zimmerman werd vervolgd voor het exporteren van wapens en munitie, want cryptografie viel in de VS onder de wapenwet (ITAR). Hij werd vrijgesproken, terwijl ondertussen een stel slimmeriken de broncode van PGP uitprintten in een boek dat vervolgens geheel legaal naar Europa gestuurd werd – boeken zijn vrijheid van meningsuiting immers, haha dank u First Amendment – alwaar ze keurig ingescand en ge-OCR’d werden. Daarmee was de geest uit de fles. PGP werd opgevolgd door het vrijesoftwareproject Gnu Privacy Guard (GPG) en vele anderen implementeerden ook sterke, onkraakbare cryptografie.

Deze periode wordt wel de Crypto Wars genoemd: pogingen van overheden om de opkomst en vrije beschikbaarheid van encryptie in te dammen, onder meer door bepaalde cryptografie te verplichten (de Clipper Chip, met achterdeur), sterke encryptie te verbieden en stiekeme pogingen vanuit met name de NSA om encryptie te verzwakken (zoals naar verluidt in DES zou zijn gebeurd, en volgens Snowden-documenten ook de random number generator DualECDRBG). Dat leverde uiteindelijk weinig op: sterke encryptie is goeddeels de norm vandaag de dag.

Volgens sommigen zitten we nu in Crypto Wars 2.0. Die Snowden-onthullingen lieten namelijk ook zien hoe diep geheime diensten in de grote tech-bedrijven zaten mee te luisteren. De reactie daarop was om dan ook alles gelijk cryptografisch dicht te timmeren, niet alleen de interne netwerken maar ook de communicatiekanalen van klanten. (Er waren natuurlijk meer redenen, zoals compliance met persoonsgegevenswetgeving, bescherming van klantcommunicatie tegen meelezende dictators en enigszins cynisch het voorkomen dat je je netwerk hoeft af te laten tappen door Justitie.)

Overheden pushen nu met enige regelmaat het inbouwen van achterdeuren, variërend van lopers (master keys) voor encryptie tot het hebben van een extra sleutel die door Justitie kan worden gevorderd. Techbedrijven en cryptografen zijn daar fel op tegen: dit verzwakt per definitie de beveiliging, en misbruik is niet te detecteren. Daar is niet tegenop te programmeren.

Valt hier juridisch wat van te maken? Als je zegt, het communicatiegeheim is een essentieel deel van de privacy, dan is encryptie een afgeleid grondrecht: een geheim dat triviaal kan worden gebroken, is geen geheim. Encryptie moet dus alomtegenwoordig en sterk zijn om dat grondrecht privacy in de informatiesamenleving te kunnen borgen.

Tegelijk: grondrechten zijn (zelden tot) nooit absoluut. Als er een voldoende diepgaande noodzaak is, dan mag een grondrecht worden ingeperkt of tijdelijk op het tweede plan gezet. Ben je verdachte in een ernstig misdrijf, dan mag je huis worden doorzocht zonder jouw toestemming bijvoorbeeld. Een inbreuk op je privacy (je huis valt daar ook onder) maar legaal want de opsporing van ernstige strafbare feiten vinden we in principe een diepgaande noodzaak.

Vanuit dat perspectief is ook het ontsleutelen van je berichten ‘gewoon’ een maatregel die genomen kan worden bij strafbare feiten. Bepaal bij welke feiten, weeg de voors en tegens af en leg dat vast in een wet en je bent er (de meelezende grondrechtjuristen eisen dat ik nu “noodzakelijkheid, proportionaliteit en subsidiariteit” zeg, dat is formeel de norm).

Heb je nog de praktische implementatie over. Want waar een huis altijd wel te openen is door een goede slotenmaker of desnoods een dikke stormram, en een dikke map met administratie met voldoende mankracht echt wel door te ploegen is, is een versleuteld bestand in principe met mathematische zekerheid niet te openen zonder de sleutel. Heb je mazzel dan is er een foutje gemaakt in de cryptografische software, of staat de sleutel op een geel briefje naast de monitor, maar daar kun je niet op rekenen.

We hebben nu in de wet staan dat wie kennis heeft van de versleuteling van berichten, deze moet ontsleutelen als daar aanleiding toe is (zo’n ernstig misdrijf dus). Dat werkt bij bijvoorbeeld zakelijke e-mail, die vaak versleuteld wordt maar vrijwel altijd met een achterdeur voor de bedrijfscontinuïteit – als Piet ontslag neemt of onder lijn 5 komt, dan moet zijn collega bij zijn mail kunnen. Maar steeds meer software is écht onkraakbaar. Neem WhatsApp, dat end to end encryptie toepast. Alleen afzender en ontvanger kunnen het bericht lezen, WhatsApp zelf kan er gewoon niet bij en die collega ook niet (tenzij hij bij de telefoon kan).

Daarmee heeft de wet een probleem. Want dan kun je wel zeggen “wie kennis heeft”, maar die hééft niemand dan meer (behalve de verdachte, en die kun je niet zomaar verplichten mee te werken – los van dat ‘ie wel gek zou zijn om dat te doen). En dan ontstaat er dus een fundamenteel heel lastige situatie: dat grondrecht privacy is nu wel prachtig gewaarborgd, maar de ruimte die er is om dat grondrecht te beperken voor de opsporing van strafbare feiten, die is nu verdwenen. Weggeprogrammeerd. Code as Constitution: het communicatiegeheim is onschendbaar, punt.

Wat hiermee te doen, weet ik nog niet. Het voelt juridisch een beetje raar dat je een absoluut recht hebt, waar geen inbreuk op gemaakt kán worden. Maar het kan dus kennelijk wel. Fascinerend.

Arnoud

Mag de politie zeggen “U twittert wel heel veel”?

| AE 8376 | Regulering, Uitingsvrijheid | 60 reacties

twitter-agent-politieTwitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet, dus dat roept dan de vraag op, waar bemoeit die agent zich mee? En hoezo gaan ze dan langs je huis om wat te zeggen van je tweet?

In principe heeft een agent het recht zich te bemoeien met wat je in de openbaarheid doet, als dat de openbare orde raakt. Dat staat zo in artikel 3 Politiewet:

De politie heeft tot taak in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

Als een agent je ziet terwijl je hard fietsend op een rood stoplicht afkomt, dan mag hij je manen af te remmen, ook al ben je nog niet door rood gefietst. Dit artikel geldt dus niet alleen bij daadwerkelijk gepleegde strafbare feiten. Ik zie het principiële verschil niet tussen mensen op straat waarschuwen niet door rood te rijden en mensen op straat waarschuwen geen strafbare dingen te gaan roepen.

Artikel 3 is overigens niet bedoeld voor activiteiten waarbij de politie inbreuk maakt (“een meer dan geringe”, althans) op grondrechten van burgers. Een huis doorzoeken of iemands mailbox lezen kan dus niet op grond van dit artikel, daar is een specifiek bevel voor nodig onder het Wetboek van Strafvordering.

Maar, zo weten we ondertussen, de politie mag kijken wat er in het openbare internet allemaal gebeurt. In de jihadzaak van december werd over rechercheren op internet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig’. Daarbij wordt door de Minister opgemerkt dat deze bevoegdheid om rond te kijken op een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan.

Op internet rondkijken is dus hetzelfde als op straat surveilleren. En als je op straat iemand hoort schreeuwen “Laat ze oprotten die teringleiers, we gaan met z’n allen naar het gemeentehuis”, dan mag je als agent even een praatje aanknopen. Ook als men slechts volstrekt legale bedoelingen heeft en niet meer wil dan oproepen tot een legale betoging bij het gemeentehuis om onvrede te brengen. (“Teringleiers” roepen in een politieke discussie lijkt me niet direct strafbare groepsbelediging.) Je zit in een grijs gebied met zo’n oproep, en deel van de taak van de politie is die grijze gebieden netjes houden.

Hetzelfde argument werd aangehaald bij het raadplegen van Google Earth in een belastingfraudezaak. Men citeert de minister:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 [nu artikel 3, AE] Politiewet 1993).

Een keertje kijken op Google Earth viel hieronder, omdat het incidenteel was en een openbare bron. Twitter en Facebook zou ik in principe hier ook onder rekenen, in ieder geval zolang het openbaar is en je geen kunstgrepen met nepaccounts en bevrienden uit hoeft te halen. Immers, zelfs je volgen op Twitter is nog niet automatisch een “meer dan geringe” inbreuk.

Tegelijk lijkt het me zeker nogal heftig om een agent aan je deur te krijgen, heftiger dan op straat te horen “kan het even wat minder meneer”. Op straat is het direct gerelateerd aan je actie, en als men een week later thuis langskomt dan mis je die link. Maar ik zie dat als inherent aan het medium Twitter: men kan moeilijk direct er wat van zeggen, dus logisch dat het even duurt. Ik denk niet dat mensen onder de indruk zijn als de politie terug gaat twitteren “@jijdaarmetdiehashtag even dimmen meneertje”.

Arnoud

Liken valt onder de vrijheid van meningsuiting (duh?)

| AE 5956 | Ondernemingsvrijheid, Uitingsvrijheid | 23 reacties

facebook-dislike-like.pngOp dat Like-knopje klikken is hetzelfde als op straat een slogan gaan scanderen, juridisch gezien dan. Dat vonniste een Amerikaanse rechter bij een ontslagzaak in Virginia. Een sheriff aldaar (een gekozen beroep in de VS) ontdekte dat zes medewerkers zijn concurrent hadden geliked, waarop hij deze ontsloeg. Zij vochten dit aan met een beroep op de vrijheid van meningsuiting, en wonnen in hoger beroep.

Iemand ontslaan om een meningsuiting ligt erg moeilijk in het arbeidsrecht. Zeker in de VS waar free speech heilig is. De rechtbank in eerste aanleg moest dan ook een trucje toepassen om het beroep op de uitingsvrijheid te mogen negeren: nee, die uitlating is te triviaal om als ‘speech’ te kwalificeren, dus is er geen sprake van een inbreuk op free speech. Je schouders ophalen of een boer laten is ook niet echt een meningsuiting.

Het beroepshof maakt daar terecht gehakt van, om de eenvoudige reden dat klikken op ‘like’ hetzelfde is als typen “Ik vind het leuk dat concurrent X sheriff wil worden.” En dat laatste is zonder enige twijfel een meningsuiting.

“On the most basic level, clicking on the ‘like’ button literally causes to be published the statement that the User ‘likes’ something, which is itself a substantive statement.”

Bij ons zou een rechter op dezelfde manier oordelen. De discussie zou dan ook gaan of je van een “goed werknemer” (wat iedere werknemer moet zijn) kunt verlangen dat hij zich van dergelijke uitingen onthoudt. We hebben een paar socialemediazaken in het arbeidsrecht gehad waarbij het ging om gescheld en getier richting collega’s. Dat is nog wel verdedigbaar, maar iemand ontslaan bij de BCC omdat hij Bol.com liket? Een BMW-verkoper op nonactief stellen tot hij Ferrari ontleukt?

Bij ambtenaren ligt dit iets gevoeliger. Artikel 125a Ambtenarenwet bepaalt dat een ambtenaar “dient zich te onthouden van het openbaren van gedachten of gevoelens” wanneer daardoor “een goede vervulling van zijn functie of de goede functionering van de openbare dienst” in gevaar zou komen. Mijn collega Mathieu Paapst schreef eerder over de situatie van een ambassadeur die een anti-regeringspagina likete, waarvoor hij op de vingers werd getikt door de minister.

Wat zou volgens jullie een werknemer echt niet zomaar kunnen liken?

Arnoud

Politie mag geen camerabeelden wissen

| AE 2436 | Privacy, Regulering | 18 reacties

De politie had een filmpje van een politie-optreden op de mobiele telefoon van een verdachte niet mogen wissen, las ik bij Mediareport. De rechter oordeelt dat daarmee “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” gewist is, zodat daarmee zijn grondrecht op een eerlijk proces (en vrije informatiegaring)… Lees verder

Real human rights in virtual worlds (bij NJblog)

| AE 1194 | Uitingsvrijheid | Er zijn nog geen reacties

Alweer even geleden, maar ik was er helemaal over vergeten te bloggen. Dit voorjaar volgde ik het interessante mastervak Electronic Commerce: international legal aspects bij de Universiteit van Tilburg. Samen met twee medestudenten schreef ik als onderdeel van dat vak de column “Real human rights in virtual words”, die werd gepubliceerd bij NJblog: Virtual worlds… Lees verder

Meningsuiting op internet ook grondwettelijk beschermd

| AE 1078 | Ondernemingsvrijheid, Uitingsvrijheid | 18 reacties

Grondrechten gelden ook gewoon op internet. Dat lijkt logisch, maar het is toch goed om te zien dat dat principe ook in de rechtspraak gevolgd wordt. In een recent vonnis van de Europese strafkamer van de rechtbank Amsterdam wordt een uitlating op internet als “minder openbaar” aangemerkt dan bijvoorbeeld radio of televisie. Daarom zal er… Lees verder

Internetfilters versus grondrechten, volgens Raad van Europa

| AE 962 | Ondernemingsvrijheid, Uitingsvrijheid | 6 reacties

Het gebruik van internetfilters kan een schending van de mensenrechten zijn. Dat blijkt uit een rapport van de Raad van Europa dat eind maart uitkwam. De Raad van Europa is onder andere verantwoordelijk voor het Europees Verdrag voor de Rechten van de Mens, dat de belangrijkste grondrechten binnen Europa vastlegt. De Europese Unie heeft zich… Lees verder