Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De politieke druk om chatdiensten te verplichten client-side scanning in te voeren wordt steeds sterker. Je eigen telefoon gaat dan jouw berichten beoordelen of deze vermeend strafbare content bevatten en informeert in dat geval handhavingsdiensten. Hoezo is dit geen overtreding van het nemo tenetur-beginsel dat je niet mag worden verplicht om mee te werken aan je eigen veroordeling?
Antwoord: De discussie over client-side scanning wordt steeds heviger. Recent liet onze minister van Justitie en Veiligheid bijvoorbeeld weten dat zij een motie hiertegen niet zal uitvoeren. De politieke interesse in dit alternatief voor serverside achterdeurtjes is er dus zeker.
Deze vraag raakt aan een fundamenteel, punt: waarom zou je zulke software moeten installeren of tolereren? Je bent immers niet verplicht mee te werken aan je eigen veroordeling, aldus dat "nemo tenetur" beginsel. Gedwongen oom agent bellen als jij strafbare zaken op je telefoon hebt, dat lijkt daar wel mee in strijd.
Zoals ieder rechtsbeginsel is ook deze aan de nodige nuances onderhevig. De Europese mensenrechtenjurisprudentie is zodanig dat je alleen van een overtreding mag spreken als het gaat om dingen die afhankelijk van jouw wil zijn. Een vingerafdruk bij iemand nemen is dus geen overtreding van dat verbod, want die vinger die is er los van de wil van de verdachte. Een wachtwoord moeten vertellen is iets dat je weet, dus dat valt dan wel onder die wil van de verdachte. Daarom mag de politie je wel onder dwang je vingerafdruk afnemen, maar kun je niet worden verplicht je wachtwoord te onthullen.
De vraag komt dus neer op of zo'n CSS tool te zien is als iets dat los van jouw wil opereert. Bij een achterdeur in een e2e encryptie oplossing is iedereen het daar wel over eens volgens mij: als de politie bij de dienstverlener mee kan lezen, dan word ik niet gedwongen mee te werken aan mijn veroordeling - ze verzamelen gewoon bewijs waar ze bij kunnen. Je zou bij zo'n CSS tool hetzelfde betoog kunnen houden: de client rapporteert wat 'ie ziet en de politie acteert daarop.
Dit sluit aan bij een recente trend over hoe decryptiebevelen te construeren. De Franse rechter heeft daar een brede interpretatie op: dat nemo tenetur gaat alleen over dingen die echt uit jouw hoofd komen en verder niet bestaan, dus zeg maar een bekentenis. De content op je telefoon ook. Dat is een feitelijk gegeven. Daarom kun je dus (in die visie) wél gedwongen worden de code te geven zodat men bij die content kan en daarmee het bewijs tegen jou kan bekijken.
Vanuit die redenering is een CSS tool dus ook géén overtreding van nemo tenetur: die content bestaat wederom los van jou op je telefoon, dus dat we mee mogen kijken is geen dwang naar jou dat jij iets moet vertellen dat alleen jij weet. Misschien is dit te vergelijken met een operatie waarbij de politie een camera boven je pc ophangt en zo het wachtwoord afkijkt plus wat er zoal op je scherm gebeurt. Dat mag (met machtiging r-c bij ernstige misdrijven) en levert dan geen schending van nemo tenetur op.
Waarmee ik niet wil zeggen dat het dus allemaal in orde is en dat CSS tools legaal zijn. Ik denk alleen niet dat je er komt met "het is verboden bewijs tegen jezelf te moeten geven".
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.