Misbruik door buitenlandse overheden

Niet alleen (cyber)criminelen hebben vrij spel om gebruik te maken van de door de overheid gecreëerde backdoor, maar ook buitenlandse overheden kunnen de mogelijkheden exploiteren. Door het plaatsen van backdoors maakt de overheid de IT-infrastructuur bewust kwetsbaarder en creëert zij mogelijkheden voor rivaliserende staten om hen te bespioneren. De inlichtingendiensten van deze rivaliserende staten zullen de kwetsbaarheden in het beveiligingssysteem proberen te ontdekken teneinde toegang te krijgen tot allerlei gevoelige – economische – informatie.167 Indien landen middels het plaatsen van backdoors hun eigen IT- infrastructuur bewust kwetsbaarder maken, zetten zij als ware de poorten wagenwijd open en lopen deze landen aanzienlijk meer risico om bespioneerd te worden. Dergelijke spionagepraktijken kunnen grote economische en politieke gevolgen met zich meebrengen en het vertrouwen in de IT-infrastructuur doen afnemen. Daarnaast worden inlichtingendiensten van buitenlandse overheden middels de gecreëerde backdoor in staat gesteld om op eenvoudige wijze toegang te krijgen tot de communicatie- en gegevensstromen van de burgers van het betreffende land. Zodra Europese overheden een backdoorverplichting aan internet- en telecombedrijven opleggen, bestaat de kans dat inlichtingendiensten van andere landen tevens trachten de backdoor te ontdekken teneinde de burgers van het betreffende land te onderwerpen aan (vergaande) surveillancepraktijken. Naast het feit dat voornoemde inlichtingendiensten onrechtmatig gebruik kunnen maken van de gecreëerde backdoor, lijkt een backdoorverplichting ook zeer lastig te verenigen met de positieve verplichting die staten kunnen hebben om hun burgers tegen vergaande surveillancepraktijken door andere staten te beschermen (zie 3.1.1.).

167

40 Voorts zijn er tal van overheden die niet onder de definitie van ‘the good guys’ geschaard kunnen worden en die tevens misbruik willen maken van de gecreëerde backdoor.168 Ten eerste bestaat de kans dat dergelijke overheden door middel van de achterdeur in staat worden gesteld om cyberaanvallen uit te voeren. Cyberaanvallen worden thans gezien als een grote bedreiging van de nationale veiligheid waar hard tegen opgetreden moet worden. Hoe meer kwetsbaarheden er echter in het beveiligingssysteem worden gecreëerd, hoe meer mogelijkheden er ontstaan om aanvallen uit te voeren die de nationale veiligheid ondermijnen.169 Daarnaast wordt het voor landen met een autoritair regime eenvoudiger om hun inwoners te monitoren en te onderdrukken waar mogelijk. Landen met een autoritair regime zullen er veelal alles aan doen om te voorkomen dat hun inwoners gebruik kunnen maken van beveiligde apparaten die over sterke end-to-end encryptie beschikken, zodat zij te allen tijde de communicatiestromen van hun inwoners kunnen monitoren. Gelet op het feit dat het merendeel van deze producten geproduceerd worden voor de Westerse markt, is het voor dergelijke landen zeer lastig om te voorkomen dat deze sterk beveiligde technologieën worden ontwikkeld en hun weg zullen vinden naar hun consumentenmarkt. Hierdoor is het voor autoritaire regimes een stuk moeilijker hun inwoners te monitoren; immers een iPhone die niet ontsleuteld kan worden door Apple als Westerse overheden daarom verzoeken, kan ook niet ontsleuteld worden zodra bijvoorbeeld de Chinese overheid bij Apple aanklopt. Landen met een autoritair regime, als Saoedi-Arabië en de Verenigde Arabische Emiraten, hebben bedrijven als Skype en Whatsapp al meermalen gedreigd een verbod op te leggen wanneer zij geen mogelijkheden in hun software inbouwen om de gebruikers te allen tijde te kunnen monitoren. In 2010 heeft Saoedi-Arabië zelfs korte tijd een verbod tegen Blackberry uitgevaardigd, omdat het niet mogelijk was voor de overheid om de verstuurde berichten via Blackberry te kunnen ontsleutelen.170 Indien de standaardinstellingen van de gebruikersapparaten zo worden ingesteld dat de mogelijkheid bestaat om middels een achterdeur toegang te krijgen tot communicatie- en informatiestromen, wordt het voor de autoritaire regimes veelal makkelijker om hun burgers te monitoren. Dit kan worden bewerkstelligd door

168

Sanchez, Old Technopanic in New iBottles, 23-09-2014, CATO Institute, http://www.cato.org/blog/old-technopanic- new-ibottles

169

Nakashima, Gellman, As encryption spreads, U.S. grapples with with clash between privacy, security, 10-4-2015,

http://www.washingtonpost.com/world/national-security/as-encryption-spreads-us-worries-about-access-to-data- for-investigations/2015/04/10/7c1c7518-d401-11e4-a62f-ee745911a4ff_story.html; NOS, VS ziet cyberaanvallen als

grootste bedreiging, 27-02-2015, http://nos.nl/artikel/2021658-vs-ziet-cyberaanvallen-als-grootste-bedreiging.html 170

Schievink, Saoedi-Arabië dreigt met verbod Skype en Whatsapp, 01-04-2013,

41 enerzijds de achterdeur in het systeem te ontdekken en zichzelf middels de backdoor toegang te verschaffen, anderzijds door bijvoorbeeld Apple te verplichten tevens een achterdeur voor de overheid met het autoritaire regime op te nemen.171

171

Sanchez, Old Technopanic in New iBottles, 23-09-2014, CATO Institute, http://www.cato.org/blog/old-technopanic- new-ibottles

42

Hoofdstuk 5 - Conclusie

De onthullingen van Snowden hebben veel stof doen opwaaien en het privacy debat in de samenleving aanzienlijk aangewakkerd. Nadat duidelijk is geworden dat voornamelijk de NSA op grote schaal gebruik heeft gemaakt van vergaande surveillancepraktijken zijn vele internet- en telecombedrijven, zoals Apple en Whatsapp, sterke end-to-end encryptie gaan gebruiken om het vertrouwen van de consumenten terug te winnen en de online privacy te verbeteren.

Sterke end-to-end encryptie kan, in de huidige gedigitaliseerde samenleving, een geraffineerd hulpmiddel zijn om de online privacy en de alsmaar toenemende gegevensstroom te beschermen. Nadat er in de jaren 70 een langdurige strijd is gevoerd over het publieke gebruik van sterke encryptie, onderstrepen overheden in de huidige informatiemaatschappij steeds meer het belang van het gebruik van sterke encryptie en kunnen overheden zelfs de verplichting hebben om technische - en organisatorische maatregelen te nemen om gegevensstromen van hun burgers te beschermen. Ondanks dat overheden steeds meer het belang zien van sterke encryptie, wensen zij tegelijkertijd te allen tijde toegang te hebben tot de communicatiestromen, alsmede de bijbehorende verkeersgegevens, van hun burgers om strafbare feiten op te sporen en de strijd tegen het terrorisme aan te gaan.

Naar aanleiding van de acties van onder andere Apple en Whatsapp en de toenemende terreurdreigingen is men op EU-niveau druk bezig om wetgeving te creëren die het mogelijk maakt om internet- en telecombedrijven te verplichten toegang te verschaffen tot de communicatiestromen van hun gebruikers. Het onderhavige onderzoek richt zich op de mogelijkheid om wetgeving te creëren die het internet – en telecombedrijven verplicht om backdoors op te nemen in encryptie protocollen. Uit de voorgaande hoofdstukken volgt echter dat een dergelijke wetgevingsmaatregel zeer moeilijk te verenigen valt met het in art. 8 EVRM en art. 7 en 8 Handvest gewaarborgde recht op privacy en gegevensbescherming.

De voorgestelde wetgevingsmaatregel maakt het voor overheden technisch mogelijk om heimelijk inzicht te verkrijgen in een groot deel van het persoonlijk leven van zijn burgers. Door een backdoorverplichting wordt een aanzienlijk deel van het dagelijks leven van burgers aftapbaar en derhalve controleerbaar, zonder dat de burger op de hoogte is van het feit dat zijn communicatiestromen, alsmede de bijbehorende verkeersgegevens, kunnen worden gemonitord. Uit de communicatie en gegevens, waarvan het mogelijk wordt die te monitoren, kunnen precieze conclusies worden getrokken over het privéleven van personen. Door voornoemde

43 wetgevingsmaatregel kunnen burgers het gevoel krijgen dat hun privéleven constant in de gaten wordt gehouden. De dreiging die hiervan uitgaat kan het vertrouwelijk karakter van de communicatiestromen en de daarmee verband houdende verkeersgegevens ernstig aantasten en vormt derhalve een inmenging op het recht op privacy en gegevensbescherming.

Slechts in het kader van een aantal genoemde doelen mogen overheden beperkende maatregelen opleggen die een dergelijke inmenging met zich meebrengen. Zoals blijkt uit 3.5 wordt de voorgestelde wetgevingsmaatregel gecreëerd om de nationale – en openbare veiligheid te beschermen en dient de maatregel derhalve een legitiem doel. Om voorts te bepalen of er sprake is van een gerechtvaardigde inmenging, dient beoordeeld te worden of de wetgevingsmaatregel voorzien is bij wet en de noodzakelijkheidstoets kan doorstaan. Gelet op het feit dat er in casu sprake is van hypothetische wetgeving en het derhalve zeer lastig is om te toetsen of de hypothetische wetgeving voldoet aan de eis voorzien bij wet, is er voornamelijk gekeken naar de noodzakelijkheidstoets.

De wetgevingsmaatregel moet voldoen aan een ‘pressing social need’ en dient proportioneel te zijn ten aanzien van het legitieme doel. Op grond van de voorgestelde wet is het echter mogelijk om allerlei vormen van communicatiemiddelen te monitoren die gebruikt worden door burgers, ongeacht of zij verdacht worden van een strafbaar feit of zich in een situatie bevinden die aanleiding kan geven tot strafrechtelijke vervolging. Er wordt geen enkel verband vereist tussen de communicatie, alsmede de gegevens, waarvan het mogelijk wordt om die te monitoren en de bedreiging van de openbare veiligheid. De maatregel maakt geen differentiatie naar een kring van bepaalde personen die op één of andere wijze betrokken kunnen zijn bij zware criminaliteit of op personen voor wie de monitoring van hun communicatie onder andere zou kunnen helpen bij de opsporing. Daarnaast is het van belang dat er voldoende waarborgen worden geboden die de communicatie-inhoud, alsmede de gegevens, waarvan het mogelijk wordt die te monitoren, doeltreffend te beschermen tegen het risico van misbruik. De volle integriteit en vertrouwelijkheid moet kunnen worden gewaarborgd. De wetgevingsmaatregel dient daarom duidelijke en precieze regels te bevatten waardoor de communicatiestromen en de gegevens adequaat beschermd kunnen worden tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik daarvan.

Uit hoofdstuk 4 volgt echter dat het technisch onmogelijk is om een backdoor in het beveiligingssysteem te creëren die alleen kan worden gebruikt door de ‘good guys’. Zodra er bewust een kwetsbaarheid in het beveiligingssysteem is gebouwd, heeft de overheid zelden

44 controle over het feit wie er gebruik maakt van deze achterdeur. Zoals blijkt uit de Griekse Vodafone affaire worden cybercriminelen middels een backdoor in staat gesteld om op eenvoudige wijze aanvallen uit te voeren met alle gevolgen voor burgers en overheden van dien. Daarnaast bestaat de mogelijkheid dat buitenlandse overheden tevens misbruik trachten te maken van de backdoor. Inlichtingendiensten van buitenlandse overheden worden middels een backdoor in staat gesteld om op eenvoudige wijze toegang te krijgen tot de communicatiestromen van de burgers van het betreffende land en kunnen deze burgers vervolgens onderwerpen aan vergaande surveillancepraktijken. Dit lijkt overigens ook zeer lastig te verenigen met de positieve verplichting die staten kunnen hebben om hun burgers te beschermen tegen vergaande surveillancepraktijken door andere staten. Voorts zal hetrisico op – economische – spionage door rivaliserende buitenlandse staten aanzienlijk toenemen en bestaat de kans dat buitenlandse overheden middels de backdoor trachten cyberaanvallen uit te voeren die grote politieke - en economische gevolgen met zich mee kunnen brengen. Het creëren van een backdoor zal het systeem dus bewust kwetsbaarder maken, cybercriminelen en buitenlandse overheden meer mogelijkheden geven om aanvallen uit te voeren en ervoor zorgen dat de digitale omgeving minder veilig is.

Gelet op het feit dat de voorgestelde wetgeving van toepassing is op allerlei vormen van communicatie zonder dat zij enig onderscheid, uitzondering of beperking maakt naar het doel zware criminaliteit te bestrijden en het onmogelijk is om middels beveiligingsmaatregelen de volle integriteit en vertrouwelijkheid van de communicatie-inhoud en gegevensstromen, waarvan het mogelijk wordt die te monitoren, te waarborgen, kan geconcludeerd worden dat de onderhavige wet de noodzakelijkheidstoets niet kan doorstaan. Gelet op het recht op privacy en gegevensbescherming, mogen Europese overheden geen backdoorverplichting aan internet- en telecombedrijven opleggen.

Met het oog op de strijd tegen het terrorisme en de bescherming van de openbare veiligheid is het van belang dat overheden kunnen beschikken over surveillancetechnieken die hen in staat stellen om strafbare feiten in een vroeg stadium op te sporen, maar een maatregel als de onderhavige zal het vertrouwen in de IT-infrastructuur doen afnemen en ondermijnt de persoonlijke levenssfeer van de burger. Juist in een samenleving waarin alle activiteiten online plaatsvinden en de gegevensstroom exponentieel zal blijven toenemen, is het van groot belang dat er sterke end-to-end encryptie bestaat om de online privacy te beschermen.

45

Literatuurlijst

Literatuur:

K. Ahmad, P. Swire, Encryption and Globalization, Columbia Science and Technology Law Review, 2012: vol. 23

L.F. Asscher, Communicatiegrondrechten: een onderzoek naar de constitutionele bescherming van

het recht op de vrijheid van meningsuiting en het communicatiegeheim in de informatiesamenleving, Amsterdam: Otto Cramwinckel Uitgever 2002

D. Banisar, Stopping Science: the Case of Cryptography, Health Matrix: 1999, vol. 9:253 R. Bekkers, F. Bongers, M. Fijnvandraat, B-J Koops, Aftapbaarheid van telecommunicatie: een

evaluatie van hoofdstuk 13 Telecommunicatiewet, Tilburg: TILT & Dialogic 2005

S.M. Bellovin, M. Blaze, S. Clark, S. Landau, Going bright: wiretapping without weakening

Communications infrastructure, IEEE Security & Privacy 2013: 11-1

J.J.F.M. Borking, Privacyrecht is code; over het gebruik van Privacy Enhancing Technologies, Deventer: Kluwer 2010

O.L. van Daalen, Burgers tegen Plasterk: het Nederlandse staartje van de Snowden-saga, AA 2015/04

R. Deibert, Shutting the backdoor: the perils of national security and digital surveillance programs, CDFAI and CIC, SSWG: oktober 2013

W. Diffie, S. Landau, Privacy on the line: the politics of wiretapping and encryption, Cambridge (MA): The MIT Press 1998

E.J. Dommering, Het internet: een wereldwijde vrije ruimte met begrensde staatsmacht, Den Haag: Adviesraad Internationale Vraagstukken 2014

J.F. Dooley, A brief history of cryptology and cryptographic algorithms, Springer International Publishing 2013

D.P. Fidler, The Snowden Reader, Bloomington: Indiana University Press 2015

S. Ghernaouti, Cyber Power: Crime, Conflict and Security in Cyberspace, EFPL Press 2013 R. Gellert, S. Gutwirth, The legal construction of privacy and data protection, CLSR: 2013-29 A. Greenberg, This machine kills secrets; Julian Assange, the Cypherphunks and Their Fight, USA: Penguin Group 2012

46 G. Greenwald, De afluisterstaat, Edward Snowden, de NSA en de Amerikaanse Spionage- en

afluisterdiensten, Amsterdam: Lebowski Publishers 2014

S. Gutwirth, P. de Hert, Data protection in the case law of Strasbourg and Luxemburg:

constitutionalisation in action, Dordrecht: Springer Science 2009

Y. Haeck, J. Vande Lanotte, Handboek EVRM: Deel 2. Artikelsgewijze commentaar, Antwerpen – Oxford: Intersentia 2004, Volume I

S. Landau, Surveillance or Security? The risks posed by a new wiretapping technology, Cambridge: MIT press 2010

M. Lee, Encryption works: How to protect your privacy in the age of NSA surveillance, Freedom of the Press Foundation, juli 2013

S. Levy, Crypto; How the Code Rebels beat the Government – Saving Privacy in the Digital Age, USA: Penguin Group 2001

A.J. Nieuwenhuis, Tussen privacy en persoonlijkheidsrecht, Nijmegen: Ars Aequi Libri 2001

A.J. Nieuwenhuis, M. den Heijer, A.W. Hins, Hoofdstukken Grondrechten, Nijmegen: Ars Aequi Libri 2014

B. van der Sloot, De NSA-affaire en de grenzen van de macht: naar een wederkerig begrip van

privacy, Filosofie & Praktijk, 35-2

W.A.M. Steenbruggen, Publieke dimensies van privé-communicatie: een onderzoek naar de

verantwoordelijkheid van de overheid bij de bescherming van vertrouwelijke communicatie in het digitale tijdperk, Amsterdam: Otto Cramwinckel 2009

Regelgeving en documenten:

Article 29 Working Party, Opinion 04/2014 on surveillance of electronic communications for

intelligence and national security purposes, 10-04-2014, 819/14/EN WP 215

Commissiedocument 11 van 2012, Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25-01-2012, final

Council of Europe: Committee on Legal Affairs and Human Rights, Report on Mass Surveillance, 26- 01-2015, AS/Jur (2015) 01

Council of the European Union, EU CTC input for the preparation of the informal meeting of Justice

and Home Affairs Ministers in Riga on 29 January 2015, 17-01-2015, D 1035/15

47 Ministerie van Veiligheid en Justitie, Cybercrime, NCSC: januari 2012

Resolutie van het Europees Parlement van 12 maart 2014 betreffende het surveillanceprogramma van de NSA in de VS, toezichthoudende instanties in verschillende lidstaten en gevolgen voor de grondrechten van EU-burgers en voor de trans-Atlantische samenwerking op het gebied van justitie en binnenlandse zaken, (2013/2188(INI))

Resolutie van de Raad van 17 januari 1995 inzake de legale interceptie van de telecommunicatieverkeer, (PbEG 96/C 329/01)

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, (PbEG 2002, L 201)

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, (PbEG 1995, L 281/31)

United Nations: General Assembly, Report of the Special Rapporteur on the promotion and

protection of the right of freedom of opinion and expression, 17-04-2013, A/HRC/23/40

Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, Boedapest: 20-11-2001, Trb. 2002, 18

Wet bescherming persoonsgegevens, 01-09-2001 (Stb. 2000, 203) Elektronisch:

A. Arnbak, Crypto Wars 2.0: de unieke sleutel tot onze digitale informatie, Het Financiële Dagblad, 25-11-2014, https://www.axelarnbak.nl/2014/11/26/4e-column-financieele-dagblad-crypto-wars- 2-0-de-unieke-sleutel-tot-onze-informatie-2/

Article 19, Response to UN Special Rapporteur’s Call for Comments on Encryption and Anonymity Online, Februari 2015, http://www.article19.org/data/files/medialibrary/37862/A19-Response-to- UN-Special-Rapporteur-Anonymity-and-Encryption--Final.pdf

Chaos Computer Club, Chaos Computer Club analyzes government malware, 08-10-2011,

http://ccc.de/en/updates/2011/staatstrojaner

FIPR, The Crypto Wars Are Over! The”´Crytpo Wars” are finally over – and we’ve won, 25-05-2005,

http://www.fipr.org/press/050525crypto.html

S. Landau, Finally some clear talk on the encryption issue, 16-02-2015,

48 G. Miller, C. Timberg, FBI blasts Apple, Google for locking police out of phones, 25-09-2014,

http://www.washingtonpost.com/business/technology/2014/09/25/68c4e08e-4344-11e4-9a15- 137aa0153527_story.html

Ministerie van Buitenlandse zaken, Handvest van de Grondrechten, EER,

http://www.minbuza.nl/ecer/eu-essentieel/handvest-grondrechten

E. Nakashima, B. Gellman, As encryption spreads, U.S. grapples with clash between prvacy,

security, 10-04-2015, http://www.washingtonpost.com/world/national-security/as-encryption- spreads-us-worries-about-access-to-data-for-investigations/2015/04/10/7c1c7518-d401-11e4- a62f-ee745911a4ff_story.html

NOS, VS ziet cyberaanvallen als grootste bedreiging, 27-02-2015, http://nos.nl/artikel/2021658-vs- ziet-cyberaanvallen-als-grootste-bedreiging.html

OECD, Recommendation concerning guidelines for Cryptography Policy, 27-03-1997,

http://www.oecd.org/sti/ieconomy/guidelinesforcryptographypolicy.htm

M. Remie, P. Zantingh, Dit is wat we nu weten over de NSA. De onthullingen op een rijtje, 31-10-

2013,http://www.nrc.nl/nieuws/2013/10/31/dit-is-wat-we-nu-weten-over-de-nsa-de- onthullingen-op-een-rijtje/

J. Sanchez, Old Technopanic in New iBottles, 23-09-2014, CATO Institute,

http://www.cato.org/blog/old-technopanic-new-ibottles

B. Schievink, Saoedi-Arabië dreigt met verbod Skype en Whatsapp, 01-04-2013,

http://tweakers.net/nieuws/88200/saoedi-arabie-dreigt-met-verbod-skype-en-whatsapp.html

P.R. Zimmermann, Crypthography for the internet, Scientific American, October 1998,

49 Jurisprudentie:

EHRM, Case of Klass and Others v. Germany, 06-09-1978, 5029/71

EHRM, Case of Sunday Times v. The United Kingdom, 26-04-1979, 6538/74 EHRM, Case of Silver and Others v. The United Kingdom, 25-03-1983, 7136/75 EHRM, Case of Malone v. The United Kingdom, 02-08-1984, 8691/79

EHRM, Case of Rees v. The United Kingdom, 17-10-1986, 9532/81 EHRM, Case of Leander v. Sweden, 26-03-1987, 9248/81

EHRM, Case of Soering v. The United Kingdom, 07-07-1989, 14038/88 EHRM, Case of Rotaru v. Romania, 04-05-2000, no. 28341/95

EHRM, Case of Weber and Saravia v. Germany, 29-06-2006, 54934/00 EHRM, Case of Copland v. The United Kingdom, 03-04-2007, 62617/00 EHRM, Case of Pfeifer v. Austria, 15-11-2007, 12556/03

EHRM, Case of I. v. Finland, 17-07-2008, 20511/03

EHRM, Case of Liberty and Others, v. The United Kingdom, 01-10-2008, 58243/00

EHRM, Case of S. and Marper v. The United Kingdom, 04-12-2008, 30562/04 | 30566/04 EHRM, Case of K.U. v. Finland, 02-03-2009, 2872/02

EHRM, Case of Gillan and Quinton v. The United Kingdom, 12-01-2010, 4158/05 EHRM, Case of Kennedy v. The United Kingdom, 18-05-2010, 26839/05

HvJ, Volker und Markus Schecke und Eifert, C-92/09 | C-93/09, ECLI:EU:C:2010:662

In document Surveilleren middels backdoors in encryptie protocollen : (pagina 42-52)