Juridische vraag: wanneer mag je een encryptiesleutel vernietigen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Als keymanager bij een grote financiële instelling ben ik verantwoordelijk voor de lifecycle van vele toplevel cryptografische sleutels. Onder lifecycle versta ik het genereren, opslag, distributie, installatie, activeren, integriteitbewaking, vervanging, deactivering en uiteindelijk het vernietigen van de sleutel. Het is over deze laatste fase dat ik een vraag heb: hoe lang bewaar je een sleutel nadat deze is gedeactiveerd en tot vernietiging kan worden overgegaan.
Antwoord: Ik krijg regelmatig vragen als deze. Niet alleen over sleutels, maar ook over beveiligingsprotocollen voor bv. klanten- of patiëntendossiers en camerabeelden, regels voor toezicht op werknemers en ga zo maar door.
Het lastige is alleen: zulke specifieke regels zijn er niet. De wet houdt het vaak bij korte zinnen als "veilig", "te verwachten zorgvuldigheid" (due diligence) of "passende technische en organisatorische maatregelen", en de implementeerder moet dan zelf uitzoeken wat een passende maatregel kan zijn. We hebben daar ooit discussie over gevoerd. Uit die discussie kwamen wel enkele pointers naar richtsnoeren en modeluitwerkingen, maar het blijft afhangen van de precieze situatie hoe je het moet aanpakken.
Specifiek voor sleutelmateriaal ken ik geen wettelijke regels, ook niet als we het beperken tot financiële instellingen. Ja, voor uitgeven en certificeren van elektronische handtekeningen zijn er enkele documenten van het College van Belanghebbenden. Maar dat gaat over het aanbieden van certificaten aan het publiek, en niet over interne sleutels voor bv. het tekenen van mails of interne akkoorden of autorisaties.
Er zijn natuurlijk allerlei normen en best practices, maar die zijn juridisch niet bindend: je bent niet verplicht op grond van de wet je hieraan te houden. Wel kan het zo zijn dat het binnen je beroepsgroep afgesproken wordt dat je zo gaat werken, en dan zul je dat moeten doen. Ook loop je het risico dat als je niet die normen volgt, je eerder onderuit gaat bij een klacht over onzorgvuldig werken.
Alles bij elkaar niet echt een antwoord op de vraag van de OP, maar ja een juridisch antwoord is er ook niet. Ik vraag me af of dat er zou moeten zijn: willen we wel dat de overheid dwingend voorschrijft dat sleutels volgens NEN norm 1234 gehanteerd worden, of moet je als bedrijf de vrijheid hebben om zelf wat te figuurzagen voor je sleutelbeheer?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Mag het van het bedrijf? Dan is het interessant te weten op welke media de sleutels zijn toegepast, en bijvoorbeeld of je op hele ouwe lang vergeten maar toch teruggevonden usb-sticks data recovery wilt kunnen toepassen op versleutelde data.
Dus, nogmaal in mijn optiek, gooi je geen sleutels weg waar data nog mee versleuteld kan zijn waar je iets nuttigs mee wilt kunnen doen. Het maakt natuurlijk wel uit hoe veilig de plek is waar je de sleutels bewaard hebt (wel/geen HSM, standalone database, etc).
Natuurlijk zijn er ook indirect wettelijke bepalingen van toepassing. Als je bijvoorbeeld de laatste encryptie-sleutel van een document vernietigt, dan vernietig je praktisch ook het document. Als dat document vanwege wetten niet vernietigd mag worden (of als je niet zeker bent dat zo'n situatie niet voorkomt) dan kun je hem beter niet vernietigen.
Om dit soort redenen hebben complexe systemen vaak een supergeheime en goedbewaakte master-key, waarmee in geval van nood alles alsnog ontcijferd kan worden.
Maar anyway... ik denk dat wat al eerder gezegd is, je niet moet kijken naar de masterkeys, maar naar de data die je met de masterkeys beveiligd. Aan die data zitten wettelijke bewaartermijnen gebonden en die staan wel redelijk goed vastgelegd. Ik denk dat je je als keymanager daarop moet focussen.
De keys zelf zijn slechts een ( erg belangrijke) schakel in het beschikbaar krijgen van de data.
Het hangt met name van de branche af hoelang deze dingen geldig blijven
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.