image

Juridische vraag: Bestaat er in Nederland wetgeving die het gebruik van encryptie verbiedt?

woensdag 15 maart 2017, 11:48 door Arnoud Engelfriet, 7 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo'n conflict?

Antwoord: Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
15-03-2017, 14:30 door Anoniem
Er zijn ook in Nederland genoeg tegenstrijdige wetten en regels die je, als je even pech hebt, wellicht zelfs je het leven effectief onmogelijk maken. De vraag is dus niet raar, en dat er toevallig geen rare tegenstrijdigheden in de wet zitten op dit vlak zou het moeten zijn maar is geen gegeven.

De beschreven situatie van "als jij kan decrypten dan moet je het ook doen als de belastingdienst of justitie met hun datasleepnet komen aanzetten" klinkt heel redelijk tot je even verder nadenkt.

En wat te denken van de kosten? Stel je hebt een "deep archive" waarvoor je eerst de sleutel uit een blok beton moet losbikken, zo van dan hebben we de data als het echt moet maar voor die tijd willen we het risico van lekken zo veel mogelijk beperken, wie draait op voor de kosten als er een neuzige ambtenaar eens lekker komt grasduiden? Want we weten dat de overheid daar nogal gemakkelijk over doet. Dat hebben we verschillende keren in het nieuws gezien. "Oh ja hoest maar even op, burger, dat vinden we wel makkelijk."
15-03-2017, 18:49 door Anoniem
Door Anoniem:
De beschreven situatie van "als jij kan decrypten dan moet je het ook doen als de belastingdienst of justitie met hun datasleepnet komen aanzetten" klinkt heel redelijk tot je even verder nadenkt.

En wat te denken van de kosten? Stel je hebt een "deep archive" waarvoor je eerst de sleutel uit een blok beton moet losbikken, zo van dan hebben we de data als het echt moet maar voor die tijd willen we het risico van lekken zo veel mogelijk beperken, wie draait op voor de kosten als er een neuzige ambtenaar eens lekker komt grasduiden? Want we weten dat de overheid daar nogal gemakkelijk over doet. Dat hebben we verschillende keren in het nieuws gezien. "Oh ja hoest maar even op, burger, dat vinden we wel makkelijk."

Zo ligt het niet. Je bent voor de belastingdienst verplicht een administratie te voeren en de belastingdienst daar op
aanvraag inzage in te geven, met een bepaalde bewaartermijn. Hoe je dat technisch regelt en hoe je dat encrypt
en waar je de sleutel opslaat daar bemoeit de belastingdienst zich niet mee, maar als je niet op aanvraag in staat
bent je administratie te overleggen dan kan dat consequenties hebben.
(afhankelijk van de reden waarom men die inzage vraagt)

Ik weet wel dat je je hier heel populair maakt door te lullen over sleepnet en neuzige ambtenaren, maar dat is niet
hoe de praktijk is in Nederland.
15-03-2017, 21:49 door Anoniem
Door Anoniem:
Door Anoniem:
De beschreven situatie van "als jij kan decrypten dan moet je het ook doen als de belastingdienst of justitie met hun datasleepnet komen aanzetten" klinkt heel redelijk tot je even verder nadenkt.

En wat te denken van de kosten? Stel je hebt een "deep archive" waarvoor je eerst de sleutel uit een blok beton moet losbikken, zo van dan hebben we de data als het echt moet maar voor die tijd willen we het risico van lekken zo veel mogelijk beperken, wie draait op voor de kosten als er een neuzige ambtenaar eens lekker komt grasduiden? Want we weten dat de overheid daar nogal gemakkelijk over doet. Dat hebben we verschillende keren in het nieuws gezien. "Oh ja hoest maar even op, burger, dat vinden we wel makkelijk."
Zo ligt het niet.
Zo ligt het wel.

Je bent voor de belastingdienst verplicht een administratie te voeren en de belastingdienst daar op
aanvraag inzage in te geven, met een bepaalde bewaartermijn.
Dat is een kant van de zaak. Wat mij betreft stellen we de belastingdienst zo bij dat ze met zo min mogelijk bewaartermijn uitkomen, want ieder jaar is weer zoveel extra kosten voor heel het land. En als daar wetten voor moeten worden aangepast, bijvoorbeeld een drastische versimpeling van het hele belastingstelsel, prima, dan doen we dat.

Maar dat is niet het hele verhaal. Er wordt wel degelijk met datasleepnetten data geslurpt. We hebben inderdaad gezien dat de belastingdienst "even" langskomt om bijvoorbeeld alle kentekens van qpark kwam opvragen. Omdat qpark het onzalige plan had opgevat kentekens als betalingsbewijs te misbruiken en daarmee ze tot financieel gegeven te verheffen. De belastingdienst wilde ermee koffiedikkijken of de kentekenparkeerders niet teveel privekilometers reden, wat dus weer helemaal niets met qpark hun financien te maken had. Maar financieel gegeven, dus ophoesten. Letter van de wet. Dat is hier uitgebreid besproken.

De belastingdienst kwam recent weer zelf glunderend naar buiten met het verhaal dat ze zo vreselijk geweldig bezig waren met mogelijk eventuele fraudeurs uit hele grote datasets te filteren. Ze gaan dus doorrrr met het gesleepnet.

Justitie doet vergelijkbare dingen, zoals "even" alle gegevens van alle ov-faalkaarthouders opvragen die tussen-dan-en-dan in dit lijstje tram- en buslijnen gezeten hadden, want er was iets in de buurt gebeurd en ze hebben voor het gemak maar even de hele reut opgevraagd om later te merken dat ze het toch niet nodig hadden. Zit ondertussen wel in het dossier, en dat soort gein blijkt inderdaad ook weer gevolgen te kunnen hebben. Dat weten we, want daar is ook het een en ander behoorlijk misgegaan. Zoals "anonieme" meldingen die uiteindelijk helemaal niet anoniem bleken te zijn. "Foutje, bedankt."

Ik weet wel dat je je hier heel populair maakt door te lullen over sleepnet en neuzige ambtenaren, maar dat is niet
hoe de praktijk is in Nederland.
Ik snap best dat je als ambtenaar graag aan je illusies vasthoudt, zo van "wij zijn betrouwbaar want we zijn ambtenaar" maar de praktijk is een stuk weerbarstiger. Alle voorbeelden hierboven komen gewoon uit het nieuws.
16-03-2017, 20:25 door Anoniem
Deze vraag ging over de administratie en de belastingdienst. De belastingdienst vraagt inzage in je administratie
als er twijfel is over aangegeven bedragen of als er fraude bij anderen wordt vermoed die men wil cross-checken,
bijvoorbeeld iemand voert een factuur op die jij gestuurd zou hebben en dan willen ze checken of jij die factuur
inderdaad verstuurd hebt.

Ook het verzamelen van andere bewijs informatie voor het opsporen van fraude valt daar onder. Ik ben er 100%
voor dat men actief achter fraudeurs aangaat want fraudeurs kosten de samenleving geld. Als je zelf fraudeur bent
ben je natuurlijk niet blij maar dat is niet mijn probleem.

Gisteren konden we stemmen. De mensen die denken zoals jij hebben niet eens 1/150 van de stemmen weten
te verzamelen. Dus ik denk dat je je moet afvragen of jouw mening wel zo algemeen gedeeld wordt.
17-03-2017, 14:13 door Anoniem
Door Anoniem: Deze vraag ging over de administratie en de belastingdienst.
Er staat nergens in deze vraag "ten behoeve van het controleren van jouw aangifte." Wel worden zowel de belastingdienst als justitie genoemd. De vraag is dan ook breed op te vatten.

Ik ben er 100% voor dat men actief achter fraudeurs aangaat want fraudeurs kosten de samenleving geld. Als je zelf fraudeur bent ben je natuurlijk niet blij maar dat is niet mijn probleem.
Laten we die houding even stevig doortrekken met jouzelf als lijdend voorwerp. Je wil toch stevige actie? Je hebt toch niets te verbergen? Nou, waarom schrijf je hier anoniem en niet onder je eigen naam met een linkje naar je website erbij? En als je toch bezig bent, zet er ook even je hele administratie van de laatste zeven jaar bij. Wellicht dat er wel een opsporingsambtenaar meeleest en jouw doopzeel even wil lichten, en waarom zou je hem het nou onnodig moeilijk maken?

De vlieger van jouw redenering gaat dus niet op. Je blokkeert hiermee moedwillig het proportionaliteitsbeginsel. Laat dat nou net een nogal belangrijk onderdeel van ongeveer alle opsporingswetten zijn. Waar zoiets ontbreekt krijg je snel rare situaties. Zoals bij de belastingdienst.

Daarnaast, opsporing is altijd een verliezende keuze omdat het zelf ook niet gratis is; je kan dus hooguit het verlies beperken, maar je kan er ook achterkomen dat de opsporing duurder is dan de fraude en daarmee dus netto nadelig voor de brave burger. Niet alleen in monetaire kosten, maar ook in verlies van privacy, handelingsvrijheid, en zo verder. Dit is ook wel in de praktijk geconstateerd, ja. Dus die impliciete aanname dat opsporing altijd per definitie een goed idee is, is botweg niet waar. Wat niet wil zeggen dat fraude dan maar moet kunnen. Zoals ik al eerder zei, simplificatie is de betere keuze. Hoe simpeler de wet, hoe minder mazen in de wet, dus hoe minder fraude mogelijk is, en dus hoe minder opsporing er nodig is. Maarja, die aanpak druist natuurlijk regelrecht tegen de innate regeltjesphilie van den ambtenaar.

Gisteren konden we stemmen. De mensen die denken zoals jij hebben niet eens 1/150 van de stemmen weten
te verzamelen. Dus ik denk dat je je moet afvragen of jouw mening wel zo algemeen gedeeld wordt.
Ik denk dat je hier toch iets te makkelijk de meerderheid achter je eigen onnadenkendheid fantaseert. Maar hee, je moet wat om de ambtelijke werkdag door te komen.
17-03-2017, 20:30 door Anoniem
Door Anoniem:De belastingdienst vraagt inzage in je administratie als er twijfel is over aangegeven bedragen of als er fraude bij anderen wordt vermoed die men wil cross-checken, bijvoorbeeld iemand voert een factuur op die jij gestuurd zou hebben en dan willen ze checken of jij die factuur inderdaad verstuurd hebt.

Voor de goede orde, toen bekend werd dat de belastingdienst alle kentekengegevens opvraagt wegens bijtellingskwesties met lease autos van de zaak, is precies dit voorgesteld, namelijk dat ze alleen die gegevens zouden opvragen waar twijfel was, of voor mijn part alleen daar met autos van de zaak (eigen autos of privelease komen namelijk a priori niet in aanmerking voor de hele belastingregeling). Dit is toen bij monde van de perswoordvoerders van de belastingdienst zelf geweigerd. Het is dus feitelijk en aantoonbaar onjuist dat er sprake is van de doelbinding dat inzage alleen wordt geeist in die situaties waar twijfel is.

Gisteren konden we stemmen. De mensen die denken zoals jij hebben niet eens 1/150 van de stemmen weten
te verzamelen. Dus ik denk dat je je moet afvragen of jouw mening wel zo algemeen gedeeld wordt.

Met verkiezingsuitslagen moeten we voorzichtig zijn omdat het huidige stelsel in een complexe wereld bepaalde onvolkomenheden heeft. De wereld is te complex dan dat je met eens in de vier jaar een partij stemmen uiting kan geven aan meer dan een zeer klein percentage van de wens waar een land heen gaat. Wat dat aangaat zijn enquetes geschikter en die laten zien dat het aantal mensen dat zich zorgen maakt over hun privacy jaar over jaar toeneemt.

Maar nu we het toch over de verkiezingen hebben, is het misschien goed om in de gaten te houden dat de drie meest privacyvriendelijke partijen 12 zetels winst hebben gehaald en de drie meest privacyvijandige partijen 31 zetels verlies...
17-03-2017, 20:33 door Anoniem
Door Anoniem:Als je zelf fraudeur bent ben je natuurlijk niet blij maar dat is niet mijn probleem.

Heel voorzichtig met deze drogreden. Het argument dat iemand die kritiek heeft op de opsporing zelf wel schuldig zou zijn komt uit hoofdstuk 1 van de Heksenhamer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.