image

Juridische vraag: zou een verbod op encryptie niet strijdig zijn met de meldplicht datalekken?

woensdag 24 augustus 2016, 11:47 door Arnoud Engelfriet, 12 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen?

Antwoord: Van tijd tot tijd krijgen overheden het inderdaad in hun hoofd dat het een goed idee zou zijn om sterke en dus niet-aftapbare encryptie te verbieden of aan banden te leggen. Het niet kunnen meelezen met digitale communicatie is voor inlichtingen- en opsporingsdiensten nogal vervelend.

Dat zo'n wet een sterke negatieve invloed heeft op de beveiliging, staat buiten kijf. De technische feature van een achterdeur is neutraal: iedereen met de juiste toegang kan deze gebruiken, of hij daar nu toe gerechtigd is of niet.

Tegen ongeautoriseerde toegang hebben we sinds 1 januari een Wet meldplicht datalekken. Deze is breder dan enkel melden: ook op het niet goed op orde hebben van je beveiliging staan nu boetes. Moedwillig een achterdeur inbouwen kan daarmee in strijd zijn. Je verzwakt dan de beveiliging en maakt misbruik mogelijk.

Echter, hier zou het dan gaan om een wettelijk voorgeschreven achterdeur. Enkel het hebben van die achterdeur zal dan geen strijd met deze beveiligingseis opleveren. Wetten kunnen niet met elkaar in strijd zijn, is de gedachte daarachter: als er toch strijd lijkt te zijn, moet je gaan puzzelen hoe je de wetten met elkaar in overeenstemming kunt lezen.

Ik zie daar wel ruimte voor: die achterdeur moet er dan komen en dat is dan niet strijdig met je beveiligingsplicht of datalekmeldplicht. Gebruik daarvan door bevoegde opsporingsambtenaren is dan geen datalek, dat is dan immers wettelijk toegestaan en dus geen misbruik of ongeautoriseerd gebruik.

Natuurlijk moet je dan ook die achterdeur goed beveiligen (organisatorisch en technisch) tegen wél ongeautoriseerd gebruik. Dat is lastig en duur, maar dat is dan een onvermijdelijk uitvloeisel van een wettelijke plicht.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
24-08-2016, 12:10 door Erik van Straten
Wellicht moeten alle bedrijven met zo'n achterdeur, alle partijen met toegang via die achterdeur een Bewerkersverklaring laten ondertekenen?
24-08-2016, 12:20 door Anoniem
Natuurlijk moet je dan ook die achterdeur goed beveiligen (organisatorisch en technisch) tegen wél ongeautoriseerd gebruik. Dat is lastig en duur, maar dat is dan een onvermijdelijk uitvloeisel van een wettelijke plicht.

En wie mag dat gaan betalen? Juist: de burger. (Direct via belastingen of indirect via hogere prijzen).

Zouden de betreffende politici die deze briljante ideeen hebben, zo vriendelijk willen zijn om een kosten-baten analyse uit te laten voeren, en de resultaten hiervan dan willen voorleggen aan de bevolking. Ze zijn namelijk ons geld aan het uitgeven, en onze data op straat aan het gooien.
Op zijn minst is een referendum (met brede publieke discussie over de voors en tegens) op zijn plaats.

En geef dan ook meteen de aftap-getallen vrij. Dan kunnen we daar ook meteen over dicussieren.
24-08-2016, 12:54 door Anoniem
Even pietlutten: er is geen "Wet meldplicht datalekken". De Wet bescherming persoonsgegevens (Wbp) bestaat al geruime tijd; het gaat hier om art. 34a van de Wbp dat sinds 1 jan. jl. van kracht is. Dit artikel beschrijft de meldplicht datalekken en daarmee is er een stok achter de deur gezet voor het handhaven van regels waar iedereen allang aan had moeten voldoen.
Inhoudelijk: een achterdeur in de zin van "back door", een bewuste toegang creëren in software, is nooit een goed idee. Als je deze toch gaat beveiligen, waarom regel je dan e.e.a. niet via de reguliere toegang?
24-08-2016, 16:34 door Anoniem
Natuurlijk moet ik dan om die achterdeur goed te kunnen monitoren wel weten waar ie zit, dus als de fabrikant dat er dan ook meteen bijzet, kan ik weer aan m'n beveiligingsplicht voldoen :)
24-08-2016, 18:01 door karma4 - Bijgewerkt: 24-08-2016, 18:04
Wat hebben ze er aan als alles in clear tekst staat maar de taal de slang of trigger niet begrijpen... Niets.
Je zou een achterdeur kunnen verzinnen die alleen met fysieke toegang tot de apparatuur open te zetten is. Dat geeft voldoende controle. Zoiets zal wel weer te omslachtig zijn net zoals wat ze wel weten goed gebruiken.
24-08-2016, 20:00 door Edwin Cools - Bijgewerkt: 24-08-2016, 20:16
Door Anoniem: Even pietlutten: er is geen "Wet meldplicht datalekken". De Wet bescherming persoonsgegevens (Wbp) bestaat al geruime tijd; het gaat hier om art. 34a van de Wbp dat sinds 1 jan. jl. van kracht is. Dit artikel beschrijft de meldplicht datalekken en daarmee is er een stok achter de deur gezet voor het handhaven van regels waar iedereen allang aan had moeten voldoen.
Inhoudelijk: een achterdeur in de zin van "back door", een bewuste toegang creëren in software, is nooit een goed idee. Als je deze toch gaat beveiligen, waarom regel je dan e.e.a. niet via de reguliere toegang?

Je hebt gelijk dat je specifiek bent (Hier de vraagsteller, @arnoud dank en leuk dat je hem hebt beantwoord en zo snel al)

Ik had hem meer in "Jip en Janneke" taal gesteld om een bewustwording te creëren. Wat ze willen heeft namelijk geen enkel effect op terroristen pakken. McAfee en meerdere die mogelijk veel beter zijn dan deze Ethical Hacker en Techneut, zeiden het al.

Je communicatie versleutelen als terrorist is namelijk niet zo moeilijk, Sleutelwoorden om teksten die onschuldig lijken heel veel informatie te laten bevatten is niet erg moeilijk en zo zijn er veel meer voorbeelden.

je pakt dus geen terrorist meer, maar met mensen bang maken en dit soort wetten als onderscheppen van data verkeer maak je het ze alleen maar makkelijker om ook een mogelijkheid te benutten dat te doen. M.A.W. je helpt criminelen.

Ze bedoelen voornamelijk communicatie applicaties, maar de gevolgen van een dergelijke wet gaan heel veel verder, en maakt het hele land kwetsbaarder.

Een datalek kan al zo simpel zijn als je hele klantenbestand in de cc in een mailing i.p.v. de bcc, dus dit voor een bedrijf beveiligen geeft al wat uitdagingen en 1 stap is een versleutelde communicatie (in een vluchtige opslag) op de mobile apparaten zodat de data in elk geval niet op meerdere plekken is, maar wel inzichtelijk zodat het werk kan worden gedaan. End-to-End Encryptie.

Een pand beveiligen tegen een inbreker is al veel moeilijker dan inbreken zelf. Omdat je als beveiliger met alle mogelijkheden rekening moet houden en de inbreker heeft er maar eentje nodig.

Als je dan ook nog is gaat verbieden sloten te plaatsen, wordt het wel erg moeilijk.

Ik bedoelde dus ook meer de tegenstrijdigheid, aan de ene kant moet ik beveiligen van de staat. Aan de andere kant moet ik zorgen dat het inzichtelijk is en dus niet te goed beveiligd.

Dat is een gebed zonder einde.
24-08-2016, 20:16 door Anoniem
Sterker nog, zoals je in http://certauth.epfl.ch/rsa/ kunt lezen, een nog niet afgestudeerde student kan de principes achter een van de belangrijkste sterke encrypties nog begrijpen en dus namaken. End of story.

Dit is een ideaal voorbeeld van het principe van de vlooienoorlog (http://www.nrc.nl/nieuws/2016/08/22/het-leger-op-straat-is-dat-het-waard-3863916-a1517280). "De hond bijt zichzelf om van bijtende vlooien af te komen, maar vangt er geen een en verwondt vooral zichzelf."

Een interessante vervolgvraag is overigens de volgende. Stel, dit leidt tot misstanden (wat wij verwachten) en stel, die misstanden zijn groot genoeg dat een meerderheid vergeet dat ze hier zelf om gevraagd hebben en een reactie eist. Is het dan mogelijk dat de misstanden en het scheppen van de infrastructuur waarin de misstanden onvermijdelijk waren internationaal rechtsgeldig vervolgd zou kunnen worden als mensenrechtenschending (dus waarvoor het principe nullum crimen, nulla poena, sine praevia lege poenali niet op gaat)? Vergelijk de processen tegen de STASI in 1990. Het lijkt mij spelen met vuur.
24-08-2016, 23:30 door Anoniem
Waren er geen betere vragen dan deze puur op basis van zogenaamde voorstellen? Weer een plek waar we een nutteloze discussie kunnen starten. Nee bedankt.
25-08-2016, 01:15 door Anoniem
... hier zou het dan gaan om een wettelijk voorgeschreven achterdeur

De vraag ging over een verbod op encryptie, wat iets geheel anders is dan een achterdeur ?
25-08-2016, 10:55 door Anoniem
Door Anoniem:
... hier zou het dan gaan om een wettelijk voorgeschreven achterdeur

De vraag ging over een verbod op encryptie, wat iets geheel anders is dan een achterdeur ?

Dit is wederom een gevolg van versimpeld woordgebruik. In plaats van "een verbod op encryptie" gaat het in de
politiek meestal meer over "regulatie van encryptie" waarbij het doel is om wel encryptie te handhaven als bescherming
tegen meekijken door onbevoegden, maar deze encryptie de voorzien van een achterdeur waardoor de overheid wel
de berichten kan bekijken bij opsporing en vervolging van criminaliteit en terreur.
(of dit al of niet mogelijk is dat is niet het onderwerp hier)
25-08-2016, 11:12 door Anoniem
Het hebben van een achterdeur valt wel mee als je maar weet wat je doet. Ik versleutel standaard alles in de databases van mijn applicaties en kan er makkelijk een achterdeur in bouwen als de wet dat vereist. Hier hebben we het dan wel over gegevens op een server, End-2-End is weer anders, hier komt geen server bij kijken en dus geen loper sleutel voor een achterdeur omdat deze alleen bij de verbonden apparaten bekend is (en vaak bij elk nieuw gesprek gewijzigd wordt), het zwakker maken van deze methode is erg gevaarlijk omdat je dan ook een lek maakt welke criminele kunnen misbruiken.
25-08-2016, 12:16 door Anoniem
Ik ken alleen het klassieke voorbeeld uit de supermarkt, waarbij de ene overheidskeuringinstantie eist dat de vloeren glad zijn omdat ze anders niet goed schoon gemaakt kunnen worden, en de andere eist dat de vloeren ruw zijn, omdat er anders eerder mensen op kunnen uitglijden.

Het valt soms niet mee om aan alle regelgeving te voldoen. En misschien is wetgeving niet tegenstrijdig (zou dat niet moeten zijn in ieder geval, al durf ik mijn hand niet in het vuur te steken met zoveel wetten als wij hebben) maar de uitwerking van de wetgeving in richtlijnen en toetsingskaders kan mensen soms voor heel wat hoofdbrekens stellen.

Nou heb je met beveiliging ook altijd die afweging, want als ik al mijn deuren en ramen goed sluit en de sleutels veilig opberg, dan verlaag ik de kans op inbraak maar ook de kans op overleven bij brand.

Zoals de BIV een driehoekje vormt waarbij trekken aan èèn punt het geheel vervormt, zo is dat ook bij privacy met de ACT (afscherming, corrigeerbaarheid, transparantie) driehoek.

En dan moet je keuzes gaan maken. En de overheid is gelukkig heel goed in keuzes maken. Zo goed, dat ze steeds andere keuzes maakt. Want elke keuze heeft consequenties en als je die niet wil accepteren, dan moet je andere keuzes maken, die echter ook weer... enfin. Zo houden we werk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.