Surveilleren middels backdoors in encryptie protocollen :

Surveilleren middels backdoors in encryptie protocollen

Tessa Schop 5870569 31 juli 2015

Begeleider: mr. O.L. van Daalen Tweede lezer: mr. A.M. Arnbak Master: Informatierecht

Voorwoord

Met het inleveren van deze afstudeerscriptie komt er, na een heleboel jaren, een einde aan mijn studententijd. Na eerder een master strafrecht te hebben afgerond en enige tijd werkzaam te zijn geweest binnen dit rechtsgebied, heb ik heel bewust gekozen om nog een jaar te gaan studeren en de master informatierecht te volgen. Tijdens het schrijven van mijn eerste scriptie, waarin onder meer het recht op privacy uiteen is gezet, is mijn interesse ontstaan voor de grote rol die het recht op privacy zou moeten spelen in onze huidige gedigitaliseerde samenleving. Deze interesse heeft zich tijdens het volgen van deze master steeds verder ontwikkeld en heeft uiteindelijk – na de nodige brainstormsessies - geresulteerd in de onderhavige scriptie.

Door middel van dit voorwoord wil ik ten eerste mijn scriptiebegeleider mr. O.L. van Daalen bedanken voor zijn enthousiaste begeleiding, zijn aanwijzingen en het feit dat hij mij altijd attendeerde op actuele ontwikkelingen. Daarnaast wil ik ook mr. A.M. Arnbak bedanken voor de tijd die hij heeft willen vrij maken om mijn tweede lezer te zijn en zijn begeleiding en aanwijzingen tijdens de mondelinge verdediging.

Tot slot een dankwoord aan mijn ouders, broer, schoonzus en vrienden voor alle hulp tijdens het schrijfproces, het doorlezen van mijn scriptie, de onvoorwaardelijke steun tijdens het afgelopen jaar en het vertrouwen wat zij altijd in mij hebben gehad.

Voor Sascha, die op 17 juli 2014 naar de zon is gevlogen.

Jij, de veelbelovende journalist, die de verhalen achter de waan van de dag wilde vertellen. Ik, de jurist, die nu jouw journalistieke rechten en vrijheden uitstekend had kunnen beschermen.

Inhoudsopgave

Hoofdstuk 1 – Inleiding p. 1

1.1 Opzet p. 3

1.2 Methodologie p. 4

Hoofdstuk 2 - Encryptie in de gedigitaliseerde maatschappij p. 5

2.1 De Crypto Wars 1.0 in vogelvlucht p. 5

2.2 Het fenomeen encryptie p. 6

2.3 De opkomst van de informatiemaatschappij p. 8

2.4 Onthullingen Edward Snowden p. 11

Hoofdstuk 3 - Het grondrechtelijk kader p. 14

3.1 Het recht op privacy conform art. 8 EVRM p. 14 3.1.1 Positieve verplichting van de staat p. 16

3.2 Het EVRM en het Gemeenschapsrecht p. 19

3.2.1 Artikel 7 en 8 Handvest p. 20

3.3 Het recht op gegevensbescherming p. 22

3.3.1 Overlap tussen gegevensbescherming en privacy p. 24 3.4 Inmenging op artt. 8 EVRM, 7 en 8 Handvest p. 25

3.5 Rechtvaardiging van de inmenging p. 27

3.5.1 Ongerichte interceptie p. 32

3.5.2 Onrechtmatige toegang p. 33

Hoofdstuk 4 - De implicaties van backdoors p. 35

4.1 Het plaatsen van backdoors p. 35

4.1.1 Vrij spel voor cybercriminelen p. 36 4.1.2 Misbruik door buitenlandse overheden p. 39

Hoofdstuk 5 - Conclusie p. 42

Literatuurlijst p. 45

1

Hoofdstuk 1 – Inleiding

Begin jaren ’70 werd er een langdurige strijd gevoerd tussen de Amerikaanse overheid en (hobby) cryptografen, academici en bedrijven. In deze strijd meenden de autoriteiten enerzijds dat zij het monopolie op sterke encryptie moesten behouden om de nationale veiligheid te beschermen en werd anderzijds gepleit voor het gebruik van sterke encryptie zonder backdoors teneinde de online privacy te beschermen. Midden jaren ’90 werd de eerste grote slag in de zogeheten crypto

wars gewonnen door de voorvechters van het recht op privacy en mocht een ieder zijn

communicatie middels sterke encryptie gaan beveiligen.1 Sindsdien is de samenleving steeds verder gedigitaliseerd en hebben we onze communicatie en een groot deel van onze kritieke infrastructuur naar het internet verplaatst. Deze toenemende digitalisering heeft ertoe geleid dat we thans leven in een zogeheten informatiemaatschappij en er een enorm communicatienetwerk is ontstaan dat miljarden privacygevoelige gegevens over burgers bevat.

Door de onthullingen van de Amerikaanse klokkenluider Edward Snowden (verder: Snowden) is duidelijk geworden dat de strijd om online privacy nog lang niet is gestreden. Door zijn onthullingen weten we nu dat burgers op grote schaal worden afgeluisterd en de National Security Agency (verder: NSA) door middel van programma’s als PRISM, XKeyscore, Bullrun en MUSCULAR alle communicatiestromen, alsmede de bijbehorende verkeersgegevens, doorzoekt en analyseert.2 De NSA besteedt jaarlijks 250 miljoen dollar om kwetsbaarheden in beveiligingssystemen te implementeren en beveiligingstechnologieën te omzeilen.3 In navolging van de onthullingen van Snowden werd de roep om privacy sterker en zijn internet- en telecommunicatiebedrijven gebruik gaan maken van sterke end-to-end encryptie om de privacy van hun klanten te waarborgen en het vertrouwen van de consumenten terug te winnen.4 Met end-to-end encryptie wordt gedoeld op de vorm van encryptie waarbij het zelfs voor voornoemde bedrijven onmogelijk is om de communicatiestromen in te zien.5 Voorts hebben bedrijven als Google en Yahoo aangekondigd alle gebruikersgegevens te gaan versleutelen, dan wel een

1 _{Greenberg, This machine kills secrets, USA: Penguin Group 2012} 2

Remie, Zantingh, Dit is wat we nu weten over de NSA. De onthullingen op een rijtje, 31-10-2013,

http://www.nrc.nl/nieuws/2013/10/31/dit-is-wat-we-nu-weten-over-de-nsa-de-onthullingen-op-een-rijtje/

3

Van Daalen, Burgers tegen Plasterk, AA 2015/04, p. 287

4 _{Arnbak, Crypto Wars 2.0, Het Financiële Dagblad, 25-11-2014,}

https://www.axelarnbak.nl/2014/11/26/4e-column-financieele-dagblad-crypto-wars-2-0-de-unieke-sleutel-tot-onze-informatie-2/

5

2 encryptielaag toe te voegen in de gesloten glasvezelverbindingen die hun verschillende datacentra wereldwijd met elkaar verbinden.6

Deze ontwikkelingen hebben tot grote onvrede geleid onder hoogwaardigheidsbekleders en nationale opsporingsautoriteiten. Indien internet – en telecombedrijven technisch niet langer in staat zijn om de opsporingsautoriteiten toegang tot de gegevens te verschaffen, heeft dit volgens hen desastreuze gevolgen voor de nationale veiligheid en hebben criminelen en terroristen vrij spel.7 De in januari 2015 gepleegde terreuraanslag op de redactie van ‘Charlie Hebdo’ in Parijs heeft het veiligheidsdebat binnen de Europese Unie (verder: EU) aanzienlijk aangewakkerd. De Raad van de EU heeft naar aanleiding van voornoemde terreuraanslag voorgesteld om zinvolle maatregelen te nemen om de strijd tegen terrorisme aan te gaan. Om de samenleving veerkrachtiger te maken tegen terrorisme en radicalisering moet de EU een duurzaam beleid ontwikkelen.8 Als onderdeel van één van die maatregelen is men op Europees niveau thans druk bezig de mogelijkheden te onderzoeken om internet- en telecommunicatiebedrijven te verplichten om overheden – middels het delen van encryptiesleutels of het plaatsen van een backdoor in encryptie protocollen - toegang te geven tot communicatiestromen van gebruikers.9 Door het plaatsen van een backdoor wordt er bewust een kwetsbaarheid in het encryptie protocol gecreëerd om toegang tot de communicatiestromen te verkrijgen.10 Ook in het Amerikaanse Parlement wordt er veel gediscussieerd over de mogelijkheden om wetgeving te ontwikkelen die de overheid in staat moet stellen toegang te krijgen tot de communicatie van hun burgers. Door de voorgestelde maatregelen lijkt het er echter op dat de mensenrechten, het recht op privacy en gegevensbescherming, onder druk komen te staan. Voornoemde rechten dienen de burger in staat te stellen zoveel mogelijk gevrijwaard te blijven van ongewenste inmenging, met name, van de kant van de overheid. Daarnaast moet de burger kunnen beschikken over de informatie die over hem in omloop is. Het

6

Fidler, The Snowden Reader, Bloomington: Indiana University Press 2015, p. 146

7

Timberg, Miller, FBI blasts Apple, Google for locking police out of phones, 25-09-2014,

http://www.washingtonpost.com/business/technology/2014/09/25/68c4e08e-4344-11e4-9a15-137aa0153527_story.html

8

Council of the European Union, EU CTC input for the preparation of the informal meeting of Justice and

Home Affairs Ministers in Riga on 29 January 2015, 17-01-2015, DS 1035/15, p. 1-2 9

Idem, p. 10

10 _{Article 19, Response to UN Special Rapporteur’s Call for Comments on Encryption and Anonymity Online, Februari}

2015, http://www.article19.org/data/files/medialibrary/37862/A19-Response-to-UN-Special-Rapporteur-Anonymity-and-Encryption--Final.pdf, p. 14

3 geeft de burger het recht zijn leven naar eigen inzicht en vrijheid in te richten.11 Door het treffen van voornoemde maatregelen ziet het er naar uit dat de online privacy steeds verder wordt uitgehold.

Gezien het voorgaande zal in deze scriptie de volgende onderzoeksvraag centraal staan.

Mogen Europese overheden met het oog op het recht op privacy en gegevensbescherming, zoals neergelegd in art. 8 EVRM, art. 7 en art. 8 Handvest EU, internet- en telecommunicatiebedrijven die in hun technologie gebruik maken van encryptie protocollen verplichten om deze protocollen van zogeheten backdoors te voorzien?

1.1 Opzet

Ter introductie zullen in hoofdstuk 2 allereerst de ontwikkelingen vanaf de Crypto Wars tot aan het heden worden uiteengezet, waarbij de focus voornamelijk ligt op de ontwikkelingen in de samenleving als gevolg van de toegenomen toepassingsmogelijkheden in de ICT en de onthullingen van de Amerikaanse klokkenluider Snowden. Voorts zal in dit hoofdstuk het fenomeen encryptie besproken worden. In hoofdstuk 3 zal vervolgens het juridisch kader uiteen worden gezet. Hierbij wordt gekeken naar het recht op privacy en gegevensbescherming zoals gewaarborgd in het Europees Verdrag van de Rechten van de Mens (verder: EVRM) en het Handvest van de Grondrechten van de EU (verder: Handvest). Voor de uiteenzetting van de rechtvaardiging van de inmenging is gekozen voor een analyse op grond van het EVRM. Ter onderbouwing zal ook het Handvest en de jurisprudentie van het Hof van Justitie (verder: HvJ) besproken worden. In hoofdstuk 4 wordt het feitelijk kader uiteen gezet, waarbij de implicaties van backdoors besproken worden. In het laatste hoofdstuk worden de bevindingen van het onderzoek geanalyseerd en zal er ten slotte aan de hand van deze bevindingen een conclusie op de onderzoeksvraag worden geformuleerd.

11

4 1.2 Methodologie

Dit onderzoek is verricht op basis van literatuur- en jurisprudentieonderzoek. Op basis van de bestaande literatuur en jurisprudentie met betrekking tot het recht op privacy, gegevensbescherming en surveillance(wetgeving) wordt er een descriptieve analyse gegeven van het huidige bestaande (rechts)kader. Vervolgens zijn, om tot beantwoording van de probleemstelling te komen, de bevindingen van het huidige bestaande (rechts)kader naar analogie toegepast op de rechtsvraag in casu. Op basis van de beschrijvende analyse is er uiteindelijk een normatieve conclusie getrokken.

Voorts dient te worden opgemerkt dat het recht op correspondentie en communicatie conform art. 8 EVRM en art. 7 Handvest het recht omvat om ongehinderd te corresponderen. Dit ziet niet alleen toe op de vertrouwelijkheid van communicatie, maar ook op een zekere vrijheid om te corresponderen.12 Hier kan een zekere overlap met art. 10 EVRM het recht op de vrijheid van meningsuiting worden gezien. Een verbod vertrouwelijk te communiceren zal enerzijds kunnen worden opgevat als het hinderen van een communicatiestroom en anderzijds als het verhinderen van de vertrouwelijkheid.13 Gelet op de omvang van het onderzoek en het feit dat het onderzoek zich beperkt tot het vertrouwelijk karakter van communicatiestromen, zal in deze scriptie geen uitgebreide analyse op grond van art. 10 EVRM plaatsvinden.

12

Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 143

13

5

Hoofdstuk 2 - Encryptie in de gedigitaliseerde maatschappij

2.1 De Crypto Wars 1.0 in vogelvlucht

Zoals reeds in hoofdstuk 1 is vermeld woedde er vanaf de jaren ‘70 een langdurige strijd die later bekend kwam te staan als de ‘Crypto Wars’. De belangrijkste vraag waarover de Crypto Wars werd uitgevochten, was of de gewone burger zijn communicatie en persoonlijke bestanden mocht beschermen middels sterke en veilige encryptie, zonder dat deze encryptie van backdoors was voorzien.14 De ‘Crypto Wars’ hadden hun aanvang toen de Amerikaanse overheid cryptografische algoritmes en – software als munitie ging bestempelen en intervenieerde in universitair onderzoek naar cryptografie.15 De Amerikaanse overheid zag het als haar taak om encryptie te ontwikkelen en de codes geheim te houden teneinde communicatie overal ter wereld te monitoren en de nationale veiligheid te beschermen. De overheid heeft zich decennia lang ingespannen om de beschikbaarheid van sterke encryptie voor het publiek zo veel mogelijk te beperken. Deze inspanningen werden geleid door de NSA en in de laatste periode werd zij daarin ondersteund door de Federal Bureau of Investigation (verder: FBI).16

Om publieke encryptie te limiteren hebben zowel de NSA als de FBI gelobbyd voor nieuwe wetten, werden academici en “hobby” cryptografen - met strafrechtelijke vervolging - bedreigd, zijn er exportcontroles opgelegd en werd er invloed uitgeoefend op buitenlandse regeringen en internationale organisaties om beperkingen met betrekking tot het gebruik van encryptie te creëren.17 Lange tijd is de Amerikaanse overheid in staat geweest om het publieke gebruik van sterke encryptie te vertragen. Veel van de genomen maatregelen door de Amerikaanse overheid zijn echter ook op publieke tegenstand gestuit. Het verbod op het gebruik van sterke encryptie heeft er mede voor gezorgd dat er meer belangstelling kwam voor de ontwikkeling van sterke encryptie.18 Steeds meer “hobby” cryptografen, academici en (buitenlandse) bedrijven gingen zich toeleggen op de ontwikkeling van software voor het gebruik van sterke encryptie. De opkomst van het internet maakte het mogelijk om deze software op zeer eenvoudige wijze onder het publiek te verspreidden. De ontwikkeling van het internet heeft er tevens voor gezorgd dat encryptie steeds

14 _{Sanchez, Old Technopanic in New iBottles, 23-09-2014, CATO Institute,}

http://www.cato.org/blog/old-technopanic-new-ibottles

15

FIPR, The Crypto Wars Are Over! The “Crypto Wars” are finally over – and we’ve won, 25-05-2005,

http://www.fipr.org/press/050525crypto.html

16 _{Banisar, Stopping Science: the Case of Cryptography, Health Matrix: 1999, vol. 9:253, p. 1} 17

Idem, p. 1

18

6 meer als een krachtig middel wordt gezien om de privacy te beschermen en de veiligheid op het internet te waarborgen. Daarnaast gingen buitenlandse regeringen zich tegen het strenge beleid van de Amerikaanse overheid keren en hanteerden zij zelf een lichter regime met betrekking tot het gebruik van encryptie.19 Met name de EU heeft een belangrijke rol gespeeld bij de afwijzing van de voorgestelde restricties op encryptie. Middels verordeningen en richtlijnen namen exportcontroles binnen de EU af en werd getracht de regelgeving met betrekking tot informatiebeveiliging te harmoniseren.20

Bovengenoemde ontwikkelingen hebben er mede toe geleid dat de eerste grote slag in de jaren ’90 in het voordeel van de academici, “hobby” cryptografen en (buitenlandse) bedrijven is uitgevallen. De Amerikaanse overheid ging de export van sterke encryptie toestaan en een ieder mocht zijn communicatie middels sterke encryptie gaan beveiligen zonder dat de overheid van een reservesleutel hoefde te worden voorzien.21

2.2 Het fenomeen encryptie

Cryptografie wordt gezien als een essentieel hulpmiddel om informatie te beveiligen en kan bijdragen aan het oplossen van problemen met betrekking tot de veiligheid van het internet.22 Cryptografie houdt zich bezig met technieken waarbij berichten versleuteld worden zodat zij alleen door geautoriseerde gebruikers gelezen kunnen worden. Encryptie is een toepassing van cryptografie en betreft het proces waarbij vertrouwelijke informatie wordt versleuteld. De geëncrypteerde tekst kan middels de juiste sleutel ontcijferd worden, wat ook wel decryptie wordt genoemd.23 De sleutel is in de meeste gevallen een reeks cijfers; hoe langer de reeks, hoe sterker de encryptie.24 Cryptografie bestaat al zo lang de schriftelijke communicatie bestaat. In dit onderzoek zal ik me beperken tot de opkomst en de toepassing van ‘public-key cryptography’.

19 _{Banisar, Stopping Science: the Case of Cryptography, Health Matrix: 1999, vol. 9:253, p. 1-2} 20

Article 19, Response to UN Special Rapporteur’s Call for Comments on Encryption and Anonymity Online, Februari 2015, http://www.article19.org/data/files/medialibrary/37862/A19-Response-to-UN-Special-Rapporteur-Anonymity-and-Encryption--Final.pdf, p. 17

21 _{Sanchez, Old Technopanic in New iBottles, 23-09-2014, CATO Institute,}

http://www.cato.org/blog/old-technopanic-new-ibottles

22

Landau, Surveillance or Security?, Cambridge: MIT press 2010, p. 42 - 43

23 _{Lee, Encryption works, Freedom of the press foundation juli 2013, p. 5}

24

Article 19, Response to UN Special Rapporteur’s Call for Comments on Encryption and Anonymity Online, Februari 2015, http://www.article19.org/data/files/medialibrary/37862/A19-Response-to-UN-Special-Rapporteur-Anonymity-and-Encryption--Final.pdf, p. 12

7 Lange tijd werd er gebruik gemaakt van ‘private’ of ‘symmetrische’ cryptosystemen, waarbij één sleutel, de zogeheten ‘private-key’ werd gebruikt voor zowel encryptie als decryptie. Dergelijke systemen vereisten dat de sleutel via een beveiligd kanaal aan de ontvanger moest worden verzonden. Een proces dat vaak veel moeilijkheden met zich meebracht; indien er een beveiligd kanaal had bestaan was er immers geen encryptie nodig geweest.25 Het veilig overdragen van de sleutel is derhalve een probleem wat vele ontwerpers van cryptosystemen langdurig heeft bezig gehouden.26 In 1976 veranderde het landschap toen academici Whitfield Diffie en Martin Hellman, die elkaar hadden gevonden in hun afzonderlijke zoektocht naar een oplossing voor de ‘key exchange’ problematiek, het artikel ‘New Directions in Cryptography’ publiceerden waarin het systeem van openbare versleuteling werd beschreven.27

Het systeem van openbare versleuteling, een asymmetrisch cryptosysteem, is gebaseerd op het bestaan van twee sleutels - de zogeheten ‘public key’ en ´private key’- die verschillend, maar complementair zijn. De publieke sleutel is voor een ieder beschikbaar, terwijl de privésleutel geheim moet worden gehouden. De ‘private key’ ontgrendelt de boodschap die de ‘public key’ heeft geëncrypteerd. Het proces is echter niet omkeerbaar: de sleutel die gebruikt wordt om de vertrouwelijke informatie te versleutelen kan niet worden gebruikt om voornoemde informatie te ontcijferen.28 Openbare versleuteling is gebaseerd op wiskundige problemen die gemakkelijk in één richting te berekenen zijn, maar zeer moeilijk op te lossen zijn in tegengestelde richting.29 Wanneer de software op juiste wijze is geïmplementeerd, de wiskundige berekeningen betrouwbaar zijn en de sleutels veilig zijn, is het bijna onmogelijk om de code te kraken.30

Openbare versleuteling wordt thans voornamelijk gebruikt voor de beveiliging van websessies (https) en om gegevens, als e-mails, bestanden en schijven, in doorvoer of opslag te beschermen. 31 Een andere belangrijke uitwerking van het door Diffie en Hellman ontwikkelde

‘public-key cryptography’ is het ontstaan van de digitale handtekening om de authenticiteit en

integriteit van communicatie te controleren. De digitale handtekening is een op cryptografie

25

Zimmermann, Crypthography for the internet, Scientific American, October 1998,

https://www.philzimmermann.com/docs/SciAmPRZ.pdf, p. 2

26

Dooley, A brief history of cryptology and cryptographic algorithms, Springer International Publishing 2013, p. 88

27

Levy, Crypto, USA: Penguin Group 2001, p. 318

28 _{Zimmermann, Crypthography for the internet, Scientific American, October 1998,}

https://www.philzimmermann.com/docs/SciAmPRZ.pdf, p. 2

29

Landau, Surveillance or Security? Cambridge: MIT press 2010, p. 45

30

Lee, Encryption works, Freedom of the press foundation juli 2013, p. 5

31 _{Article 19, Response to UN Special Rapporteur’s Call for Comments on Encryption and Anonymity Online, Februari}

2015, http://www.article19.org/data/files/medialibrary/37862/A19-Response-to-UN-Special-Rapporteur-Anonymity-and-Encryption--Final.pdf, p. 12

8 gebaseerde zekerheid dat een bepaald document afkomstig is van een bepaalde afzender.32 Na de publicatie van Diffie en Hellman groeide de cryptografische gemeenschap exponentieel en werd er hard gewerkt aan de ontwikkeling van software om ‘public-key crytography’ te implementeren.33 In 1987 vonden de drie onderzoekers Rivest, Shamir en Adleman een oplossing voor het door Diffie en Hellman ontwikkelde crypstosysteem. Het eerste geïmplementeerde systeem kreeg, naar de initialen van de onderzoekers, de naam RSA.34

Volgens de cryptogemeenschap diende het ontwerp van cryptosystemen en codes volledig openbaar te zijn. De enige manier om ervoor te zorgen dat codes niet met ernstige tekortkomingen kampen, is door de software te publiceren. Sinds het ontstaan van de cryptobeweging zijn er vele programma’s en software ontwikkeld die de samenleving in staat hebben gesteld om hun online communicatie te beschermen.35 Één van de meest bekende programma’s binnen de computer cryptografie is het in 1991 door Phil Zimmermann ontwikkelde ‘Pretty Good Privacy’ (verder: PGP). Het stelt gebruikers in staat om e-mails en andere communicatie te versleutelen en te beschermen tegen hackers en andere meekijkers. PGP voorziet elke e-mail van bescherming door middel van een code die bestaat uit honderden dan wel duizenden willekeurig gekozen cijfers of letters. De codes van PGP encryptie zijn zo lang en onvoorspelbaar dat ze zelfs voor inlichtingendiensten, die veelal over krachtige software beschikken, zeer moeilijk zijn om te kraken.36

2.3 De opkomst van de informatiemaatschappij

Vele innovaties en ontwikkelingen in de technologie hebben ertoe geleid dat de huidige samenleving kan worden gekenmerkt als een zogeheten informatiemaatschappij. De middelen waarmee en de frequentie waarop de samenleving tegenwoordig communiceert, zijn aanzienlijk toegenomen. Technologische ontwikkelingen als de overstap van vaste naar mobiele telefonie en de opkomst van het internet hebben de samenleving de mogelijkheid gegeven om op eenvoudige

32

Diffie, Landau, Privacy on the line, Cambridge (MA): The MIT Press 1998, p. 60

33

Dooley, A brief history of cryptology and cryptographic algorithms, Springer International Publishing 2013, p. 92

34

Diffie, Landau, Privacy on the line, Cambridge (MA): The MIT Press 1998, p. 61

35 _{Lee, Encryption works, Freedom of the press foundation juli 2013, p. 5} 36

Greenwald, De afluisterstaat, Edward Snowden, de NSA en de Amerikaanse Spionage- en afluisterdiensten, Amsterdam: Lebowski Publishers 2014, p. 24-25

9 wijze met elkaar te communiceren.37 Door het ontstaan van het internet zijn veel van onze activiteiten online gaan plaatsvinden. We zijn gaan e-mailen, voeren onze gesprekken online en hebben de controle over een groot deel van onze kritieke infrastructuur naar het internet verplaatst.38 Daarnaast werd er door technologische ontwikkelingen convergentie veroorzaakt waardoor de samenleving niet meer voor het gebruik van een bepaalde dienst afhankelijk was van een bepaald netwerk.39 Hierdoor zijn bestaande diensten op nieuwe wijze uitgevoerd en vloeien sectoren samen waardoor er vrijwel onbeperkt toegang is tot informatie- , educatie- , en entertainmentmiddelen.40

We leven in een mobiele samenleving waarin de meeste mensen de beschikking hebben over meerdere communicatie-apparaten. Waar vroeger werd gecommuniceerd vanuit huis of op kantoor, reizen onze communicatie-apparaten nu met ons mee en zijn we altijd verbonden met het internet. Het internet verandert steeds meer van een netwerk dat miljoenen gebruikers ondersteunt naar een netwerk waarop miljarden randapparaten zijn aangesloten.41 Door de digitalisering van de samenleving is er sprake van meer connectiviteit, is de samenleving in staat om informatie en ideeën op een eenvoudige manier met elkaar te delen en zijn de kansen voor economische groei en maatschappelijke veranderingen verhoogd. Door de digitale revolutie is er een enorm communicatienetwerk ontstaan dat miljarden (persoons)gegevens over zowel het bedrijfsleven als over persoonlijke levens van burgers bevat. Steeds meer burgers en bedrijven slaan legio privacygevoelige gegevens op in de zogeheten ‘cloud’. Doordat we steeds afhankelijker worden van het internet en de technologische ontwikkelingen blijven toenemen zal de gegevensstroom op het internet alsmaar groter worden.42

Met de toename van deze gegevensstroom zijn er vele nieuwe uitdagingen op het gebied van veiligheid en privacy ontstaan. Door de snelle veranderingen en de opkomst van nieuwe technologieën is regulering een stuk complexer geworden en is het voor overheden moeilijker in te spelen op de dynamisch voortbewegende informatiemaatschappij. Dit zorgt er mede voor dat bestaande wetgeving met betrekking tot het recht op privacy niet altijd even goed aansluit bij de

37

United Nations: General Assembly, Report of the Special Rapporteur on the promotion and protection of the right of

freedom of opinion and expression, 17-04-2013, A/HRC/23/40, p. 5 38

Landau, Surveillance or Security?, Cambridge: MIT press 2010, p. 6

39

Asscher, Communicatiegrondrechten, Amsterdam: Otto Cramwinckel Uitgever 2002, p.28-29

40

OECD, Recommendation concerning guidelines for Cryptography Policy, 27-03-1997, I. General Background,

http://www.oecd.org/sti/ieconomy/guidelinesforcryptographypolicy.htm

41

Landau, Surveillance or security?, Cambridge: MIT-press 2010, p. 6-7

42

10 werkelijkheid en adequate bescherming in sommige gevallen lijkt te ontbreken.43 Daarnaast zijn er door de explosieve toename van communicatiemiddelen nieuwe mogelijkheden voor overheden ontstaan om te interveniëren in communicatie van individuen. Al vanaf de eerste technologische ontwikkelingen hebben overheden getracht om privé-communicatie van individuen te monitoren teneinde nationale belangen te dienen en de openbare veiligheid te beschermen.44 Waar telecomdiensten in beginsel veelal door één aanbieder werden aangeboden en het vrij eenvoudig was voor inlichtingendiensten om een telefoontap te plaatsen, ontstonden er met de opkomst van het internet en de digitale technologie voor overheden meer uitdagingen op het gebied van surveillance.45 Om toegang te krijgen tot de communicatiestromen van hun burgers gingen overheden ‘samenwerken’ met bedrijven die de telecominfrastructuur beheerden en gingen zij op zoek naar mogelijkheden om beveiligingssystemen moedwillig te verzwakken.46 Door met dergelijke bedrijven ‘samen te werken’ ontstonden er voor overheden meer mogelijkheden om een groot deel van het privéleven van hun burgers te surveilleren. Met de toenemende technologische ontwikkelingen veranderde niet alleen de mogelijkheden waarop overheden toezicht konden houden, maar kregen zij door de exponentieel toenemende gegevensstroom ook meer inzicht in gegevens over het privéleven van individuen. Dergelijke gegevens bevatten veel persoonlijke informatie over individuen, hun locatie, online activiteiten en e-mails en berichten die zij verzenden en ontvangen. Op basis van een analyse van voornoemde gegevens kunnen overheden hele profielen van individuen opbouwen en veel inzicht krijgen in hun privéleven. In het kader van de nationale - en openbare veiligheid was het voor overheden derhalve van groot belang inzicht te hebben in deze gegevensstromen.47 Door de aanslagen op het World Trade Center in 2001 en de daaropvolgende alles ontziende strijd tegen het terrorisme, namen de surveillancebevoegdheden aanzienlijk toe. Om dergelijke aanslagen te voorkomen gingen inlichtingendiensten nog meer informatie verzamelen en analyseren.48

De recente onthullingen van de Amerikaanse klokkenluider Snowden hebben de samenleving duidelijk gemaakt dat er op grote schaal gebruik wordt gemaakt van

43

United Nations: General Assembly, Report of the Special Rapporteur on the promotion and protection of the right of

freedom of opinion and expression, 17-04-2013, A/HRC/23/40, p. 5-6 44 _{Idem, p. 4}

45

Ahmad, Swire, Encryption and Globalization, Columbia Science and Technology Law Review, vol. 23, 2012, p. 420 - 421

46

Deibert, Shutting the Backdoor, CDFAI and CIC, SSWG: oktober 2013, p. 5

47 _{United Nations: General Assembly, Report of the Special Rapporteur on the promotion and protection of the right of} freedom of opinion and expression, 17-04-2013, A/HRC/23/40, p. 5

48

11 massasurveillance, die veelal gericht is op alle digitale communicatie. Door encryptie te omzeilen of bedrijven ertoe aan te zetten hun software van backdoors te voorzien, maken overheden op grote schaal gebruik van surveillancetechnieken die zeer moeilijk te verenigen zijn met het recht op privacy.

2.4 Onthullingen Edward Snowden

Vanuit een hotelkamer in Hong Kong bracht Snowden in juni 2013, samen met journalisten Laura Poitras en Glenn Greenwald, de bevolking op de hoogte van grootschalige afluisterpraktijken door voornamelijk de NSA.49 Uit de gelekte documenten volgt dat de NSA programma’s als PRISM, Bullrun en XKeyscore, heeft gebruikt om internetverkeer te doorzoeken, te analyseren en versleutelde internetcommunicatie te ontcijferen.50 Het programma PRISM bood de NSA toegang tot de servers van Facebook, Google, Apple, YouTube en Skype. Daarnaast werkte de NSA met grote technologiebedrijven “samen” om middels backdoors in encryptieprogramma’s toegang tot gegevens van burgers te krijgen.51 Zelfs de RSA, het bedrijf wat het door Diffe en Hellman ontwikkelde ‘public key cryptography’ implementeerde, werd door de NSA omgekocht. Voorts werden, met behulp van de Britse inlichtingendienst GCHQ, vele burgers afgeluisterd en meerdere hoogwaardigheidsbekleders binnen de EU afgetapt.52 In oktober 2013 is daarnaast duidelijk geworden dat de NSA, in samenwerking met de GCHQ, onder de codenaam MUSCULAR heimelijk de communicatieverbindingen heeft afgetapt die de datacentra van Google wereldwijd met elkaar verbinden. Voornoemde werkwijze is teven op de server van Yahoo toegepast. Door middel van voornoemde tap had de NSA toegang tot de ‘private cloud’ van Google en Yahoo en derhalve toegang tot vele gegevens van gebruikers.53

De praktijken van de NSA beperkten zich niet tot verdachte personen binnen Amerika, maar strekten zich uit tot vele andere landen en waren van toepassing op een ieder. Van diplomaten tot politici, bedrijven tot gewone burgers, iedereen was slachtoffer van de

49 _{Greenwald, De afluisterstaat, Edward Snowden, de NSA en de Amerikaanse Spionage- en afluisterdiensten,}

Amsterdam: Lebowski Publishers 2014, p. 94

50

Remie, Zantingh, Dit is wat we nu weten over de NSA. De onthullingen op een rijtje, 31-10-2013,

http://www.nrc.nl/nieuws/2013/10/31/dit-is-wat-we-nu-weten-over-de-nsa-de-onthullingen-op-een-rijtje/

51 _{Greenwald, De afluisterstaat, Edward Snowden, de NSA en de Amerikaanse Spionage- en afluisterdiensten,}

Amsterdam: Lebowski Publishers 2014, p. 97-98

52

Council of Europe: Committee on Legal Affairs and Human Rights, Report on Mass Surveillance, 26-01-2015, AS/Jur (2015) 01, p. 6

53

12 afluisterpraktijken van de NSA en enkele andere westerse inlichtingendiensten.54 Snowden is uit de anonimiteit getreden en heeft duizenden geheime documenten wereldkundig gemaakt omdat hij zich besefte dat niemand meer langs elektronische weg kon communiceren zonder dat de gegevens konden worden onderschept, opgeslagen en geanalyseerd. Hij wilde de bevolking informeren over wat er met hun privacy werd gedaan en hen in staat stellen om op te komen voor het behoud van de waarde van hun privacy.55 De onthullingen van Snowden hebben tot vele schokkende reacties geleid en het privacy-debat een nieuw leven ingeblazen.

Binnen Europa heeft de officiële privacy adviesgroep de Europese Commissie opgeroepen om daadkrachtig op te treden tegen de praktijken van de NSA.56 De manier waarop de inlichtingendienst op grote schaal gebruik maakt van gegevens met betrekking tot onze communicatie, alsmede de inhoud van de communicatie, onderstrepen het belang om grenzen te stellen aan het toezicht. Blijkens de opinie van de artikel 29 Working Party heeft Europa de privacyrechten hoog in het vaandel staan en dient dit recht de hoogst mogelijke bescherming te worden geboden. Surveillanceprogramma’s, die burgers op grote schaal willekeurig monitoren, zijn niet verenigbaar met de grondrechten en kunnen niet enkel worden gerechtvaardigd door de strijd tegen het terrorisme of andere belangrijke bedreigingen van de nationale veiligheid. Dergelijke inbreuken kunnen alleen worden gerechtvaardigd indien de maatregel strikt noodzakelijk is in een democratische samenleving.57 Binnen Europa wordt er thans druk gewerkt aan een nieuw regelgevingskader om persoonsgegevens beter te beschermen. Voornoemd regelgevingskader ziet niet op de surveillancepraktijken van inlichtingendiensten, maar tracht wel een daadkrachtiger en coherenter kader te ontwikkelen om persoonsgegevens beter te beschermen en burgers in staat te stellen meer controle over hun eigen persoonsgegevens uit te oefenen. Door middel van het nieuwe regelgevingskader beoogt Europa de privacy van hun burgers beter te beschermen.58 Hier dient echter ook te worden opgemerkt dat uit de onthullingen van Snowden is gebleken dat Europese overheden en bedrijven destijds dankbaar

54 _{Van der Sloot, De NSA-affaire en de grenzen van de macht, Filosofie & Praktijk 35-2, p. 49} 55

Greenwald, De afluisterstaat, Edward Snowden, de NSA en de Amerikaanse Spionage- en afluisterdiensten, Amsterdam: Lebowski Publishers 2014, p. 66-68

56

Van der Sloot, De NSA-affaire en de grenzen van de macht, Filosofie & Praktijk 35-2, p. 50

57 _{Art. 29 Working Party, Opinion 04/2014 on surveillance of electronic communications for intelligence and national} security purposes, 10-04-2014, 819/14/EN WP215, p. 2

58

13 gebruik hebben gemaakt van de verzamelde persoonsgegevens door de NSA en tevens veelvuldig gegevens met de NSA hebben gedeeld.59

59

Council of Europe: Committee on Legal Affairs and Human Rights, Report on Mass Surveillance, 26-01-2015, AS/Jur (2015) 01, p. 9-10

14

Hoofdstuk 3 - Het grondrechtelijk kader

3.1 Het recht op privacy conform art. 8 EVRM

Het recht op privacy is een veelomvattend begrip dat een aantal rechten bevat die de burger in staat moet stellen om zijn persoonlijkheid te ontplooien en zijn welzijn te garanderen.60

Privacy is een steeds evoluerend concept dat derhalve niet vatbaar is voor een uitputtende definitie. In het arrest Gillan and Quinton heeft het Europese Hof van de Rechten van de Mens (verder: EHRM) een poging gedaan meer duidelijkheid te verschaffen omtrent de reikwijdte van het privacybegrip.

‘It covers the physical and psychological integrity of a person. The notion of personal autonomy is

an important principle underlying the interpretation of its guarantees. The Article also protects a right to identity and personal development, and the right to establish relationships with other human beings and the outside world. It may include activities of a professional or business nature. There is, therefore, a zone of interaction of a person with others, even in a public context, which may fall within the scope of “private life”. There are a number of elements relevant to a consideration of whether a person's private life is concerned in measures effected outside a person's home or private premises. In this connection, a person's reasonable expectations as to privacy may be a significant, though not necessarily conclusive factor’.61

Uit het voorgaande volgt dat het recht op privacy enerzijds gekwalificeerd kan worden als een afweerrecht, the right to be let alone, dat burgers in staat moet stellen om medeburgers en overheid op afstand te houden en intimiteit te bewerkstelligen. Anderzijds behelst het recht een soort handelingsvrijheid voor burgers om hun leven naar eigen inzicht en in vrijheid in te richten.62 Naast het feit dat de staat zich dient te onthouden van inbreuken op de persoonlijke levenssfeer van zijn burgers, kan er uit art. 8 EVRM ook een positieve verplichting voor staten worden afgeleid (zie 3.1.1).

In de literatuur wordt het recht op privacy veelal opgedeeld in de ruimtelijke, relationele en informationele privacy. Waarbij de ruimtelijke privacy ziet op de bescherming van de intimiteit en vrijheid van de eigen levenssfeer, de relationele privacy de burger in staat stelt om relaties met anderen aan te gaan en zijn leven naar eigen vrijheid in te richten en de informationele privacy alle informatie met betrekking tot de persoon beschermt.63

60

Haeck, Vande Lanotte, Handboek EVRM: Deel 2, Antwerpen – Oxford: Intersentia 2004, Volume I, p. 711

61 _{EHRM, Case of Gillan and Quinton v. the United Kingdom, 12-01-2010, § 61} 62

Nieuwenhuis, Tussen privacy en persoonlijkheidsrecht, Nijmegen: Ars Aequi Libri 2001, p. 40

63

15 In het EVRM wordt het recht op privacy beschermd in art. 8:

1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van dit land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

In bovengenoemd artikel wordt er gesproken van een viertal rechten die samen de persoonlijke levenssfeer van de burger beschermen. Het begrip ‘private-life’ dient als het overkoepelend beschermingsobject te worden gezien, dat meestal de andere in art. 8 EVRM genoemde elementen omvat.64 Het is echter niet uit te sluiten dat de andere drie genoemde rechten van toepassing zijn in situaties die niet rechtstreeks verband houden met het privéleven.65

De reikwijdte van het begrip correspondentie is de afgelopen jaren uitgebreid. ‘The

convention is a living instrument which must be interpreted in the light of present-day conditions’.66 Het recht op respect voor correspondentie dient ruim te worden opgevat en ziet op

de onbevangenheid van de communicatie.67 In het arrest Klass and others v. Germany heeft het Europese Hof voor het eerst telefoonverkeer onder de werking van art. 8 EVRM gebracht. In voornoemd arrest kiest het Hof niet voor een extensieve interpretatie van het begrip correspondentie, maar wordt het telefoonverkeer beschermd door een combinatie van de begrippen correspondentie en privacy.68 Niet veel later bepaalt het EHRM in Malone dat verkeersgegevens tevens onder de werking van art. 8 EVRM vallen. Deze overwegingen heeft het EHRM in 2007 in de zaak Copland nogmaals bevestigd. In voornoemd arrest heeft het EHRM voorts geoordeeld dat e-mail en internetgebruik ook onder de reikwijdte van art. 8 EVRM kunnen worden geschaard. ‘According to the Court’s case-law, telephone calls from business premises are

prima facie covered by the notions of “private life” and “correspondence” for the purposes of Article 8 § 1. It follows logically that e-mails sent from work should be similarly protected under Article 8, as should information derived from the monitoring of personal Internet usage.’69 Hieruit

64

Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 80

65

Nieuwenhuis, Tussen privacy en persoonlijkheidsrecht, Nijmegen: Ars Aequi Libri 2001, p. 118

66

EHRM, Case of Soering v. The United Kingdom, 07-07-1989, § 102

67 _{Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 81} 68

EHRM, Case of Klass and Others v. Germany, 06-09-1978, § 41

69

16 blijkt dat de bescherming van art. 8 EVRM niet alleen ziet op privé-correspondentie, maar dat zakelijke correspondentie tevens onder het begrip wordt geschaard.70

Zoals blijkt uit het voorgaande is het recht op privacy een fundamenteel recht dat ruim geïnterpreteerd dient te worden. Het recht op privacy is echter geen absoluut recht en kan, indien aan alle voorwaarden conform art. 8 lid 2 EVRM is voldaan, worden beperkt. Om te bepalen of er sprake is van een gerechtvaardigde inbreuk op het recht op privacy zal er altijd een belangenafweging gemaakt moeten worden. Deze belangenafweging wordt uitvoerig besproken in 3.5.

3.1.1 Positieve verplichting van de staat

Staten kunnen op grond van art. 8 EVRM ook de verplichting hebben prestaties ten behoeve van de grondrechthebbende te leveren, zodat laatstgenoemde in staat wordt gesteld van zijn vrijheid te genieten. Op grond van het EVRM dient een burger in staat te worden gesteld op effectieve wijze gebruik te kunnen maken van zijn rechten. De positieve verplichtingen worden vaak als middel gezien om lacunes in de rechtsbescherming op te vullen. Staten hebben veelal de plicht om wet- en regelgeving op te stellen die burgers in staat stelt op reële wijze gebruik te maken van hun rechten op basis van het EVRM.71 Zoals blijkt uit 3.1 heeft het EHRM In het arrest Copland geoordeeld dat e-mail en internetgebruik tevens onder de reikwijdte van art. 8 EVRM worden geschaard.72 Hieruit kan worden afgeleid dat staten sindsdien de verplichting hebben het vertrouwelijk karakter van de communicatie die via deze media lopen te waarborgen en daartoe wet- en regelgeving aan te nemen.73

Reeds geruime tijd is de telecommunicatiesector geprivatiseerd; communicatienetwerken en –diensten worden thans niet langer door de staat aangeboden en geëxploiteerd, maar door private partijen. Uit de arresten K.U. v. Finland en I. v. Finland volgt dat de staat de verplichting heeft om anderen in te schakelen bij de verwezenlijking van zijn positieve verplichtingen.74 Het is voor de staat onmogelijk om het recht op correspondentie te waarborgen zonder dat zij de aanbieders van openbare communicatienetwerken en –diensten verplicht maatregelen te nemen.

70

Haeck, Vande Lanotte, Handboek EVRM: Deel 2, Antwerpen – Oxford: Intersentia 2004, Volume I, p. 711

71

EHRM, Case of Pfeifer v. Austria, 15-11-2007, § 37

72 _{EHRM, Case of Copland v. The United Kingdom, 03-04-2007, § 41} 73

Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 137

74

17 Om het communicatiegeheim op effectieve wijze te waarborgen kan aan aanbieders de verplichting worden opgelegd om technische - en organisatorische maatregelen te nemen teneinde de communicatiestromen te beveiligen. Voorts kan worden gedacht aan maatregelen die de aanbieders verplicht om informatie en voorlichting aan de gebruikers te verschaffen. Tot slot zouden aanbieders gedragsnormen kunnen opstellen die het communicatiegeheim beschermen. Daarbij kan worden gedacht aan contractuele maatregelen die het personeel verplichten tot geheimhouding of waarborgen in overeenkomsten met derde partijen. Ondanks het feit dat een groot deel van de telecommunicatiesector thans geprivatiseerd is, zal de staat er alsnog voor dienen te zorgen dat de aanbieder voldoende maatregelen neemt teneinde het recht op privacy te waarborgen.75 In het huidige Europese regelgevingskader zijn meerdere van voornoemde verplichtingen voor aanbieders opgenomen. In art. 5 van de richtlijn 2002/58/EG is het communicatiegeheim neergelegd dat aan lidstaten de verplichting oplegt om middels nationale wetgeving het vertrouwelijk karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en – diensten te garanderen. Uitzonderingen hierop zijn alleen toegestaan op grond van artikel 15 indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen van strafbare feiten of van onbevoegd gebruik van het elektronische communicatiesysteem.76 Richtlijn 2002/58/EG is in Nederland geïmplementeerd in de Telecommunicatiewet.

Naast het feit dat staten de verplichting hebben om het vertrouwelijk karakter van de communicatiestromen te waarborgen, kunnen staten tevens de positieve verplichting hebben om burgers te beschermen tegen vergaande surveillancepraktijken door andere staten of private entiteiten.77 De onthullingen van Snowden hebben duidelijk gemaakt dat er door middel van programma’s als PRISM, MUSCULAR en Bullrun op grote schaal gegevens van burgers worden gemonitord, waaronder ook van EU-onderdanen, zonder dat bij de toepassing van deze surveillancepraktijken een zorgvuldige belangenafweging is gemaakt tussen enerzijds het recht op privacy en anderzijds de bescherming van de nationale veiligheid. In navolging van de onthullingen van Snowden heeft het Europees Parlement een resolutie aangenomen waarin staten worden

75 _{Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 136} 76

Richtlijn 2002/58/EG, (PbEG 2002, L 201)

77

18 aanbevolen hun positieve verplichting na te komen om hun onderdanen te beschermen tegen dergelijke surveillancepraktijken. Indien ongebreideld gebruik kan worden gemaakt van vergaande surveillancepraktijken, bestaat de kans dat het recht op privacy wordt uitgehold.78 Uit het voorgaande kan worden afgeleid dat overheden niet alleen de positieve verplichting kunnen hebben om de communicatiestromen van hun burgers te beschermen, maar tevens de verplichting kunnen hebben om burgers te beschermen tegen surveillancepraktijken waarbij hun gegevens, die zijn opgeslagen op de servers van internet- en telecombedrijven, rechtstreeks afgetapt worden.

Indien een burger beperkt wordt in zijn vrijheid, kan hij de staat in kwestie aanspreken op zijn positieve verplichting.79 Een individu kan echter geen bescherming afdwingen indien de verplichting een onmogelijke of disproportionele last op de staat in kwestie zou leggen.80 Het is niet geheel duidelijk onder welke omstandigheden een positieve verplichting ontstaat. Per geval dient dus bepaald te worden of de staat zijn positieve verplichting heeft geschonden.81

Om te bepalen of een staat in een concreet geval zijn positieve verplichting heeft geschonden wordt er door het EHRM een zogeheten ‘fair balance’ toets uitgevoerd. Daarbij wordt gekeken of er een redelijk evenwicht is gevonden tussen enerzijds het algemeen belang en anderzijds het belang van het individu.82 Staten hebben over het algemeen een ruime beoordelingsvrijheid bij het uitvoeren van deze belangenafweging (zie verder 3.5).83 Gezien het feit dat het onderhavige onderzoek zich richt op de negatieve verplichting van de staat om zich te onthouden van inbreuken op de persoonlijke levenssfeer van de burger, zal er geen ‘fair balance’ toets worden uitgevoerd. Wel van belang in het kader van dit onderzoek is dat staten de verplichting kunnen hebben om praktische en effectieve waarborgen te bieden aan de burger om het communicatiegeheim te beschermen en hun burgers te beschermen tegen vergaande surveillancepraktijken door andere staten of private entiteiten.

78

Resolutie van het Europees Parlement van 12 maart 2014, over het surveillanceprogramma van de NSA in de VS,

toezichthoudende instanties in verschillende lidstaten en gevolgen voor de grondrechten van EU-burgers en voor de trans-Atlantische samenwerking op het gebied van justitie en binnenlandse zaken, (2013/2188(INI)), p. 72-73 79

Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 135

80

EHRM, Case of K.U. v. Finland, 02-12-2008, § 48

81 _{Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 135} 82

EHRM, Case of Rees v. The United Kingdom, 17-10-1986, § 37

83

19 3.2 Het EVRM en het Gemeenschapsrecht

In het onderhavige onderzoek wordt er gekeken naar de toelaatbaarheid van het ontwikkelen van wetgeving, door Europese overheden, die het internet- en telecombedrijven verplicht om hun encryptie protocollen van backdoors te voorzien. Zoals reeds blijkt uit hoofdstuk 1 wordt er op EU-niveau gediscussieerd over de mogelijkheden om dergelijke wetgeving te creëren.84

Indien er op Europees niveau wetgeving tot stand komt, is conform art. 51 lid1 Handvest het Gemeenschapsrecht in ieder geval van toepassing. Zoals blijkt uit art. 51 lid 1 is het Handvest tevens van toepassing op de lidstaten wanneer zij het recht van de Unie ten uitvoer brengen. Het begrip ‘uitvoering van het Unierecht’ dient zo uitgelegd te worden dat het gaat om optreden van de lidstaten binnen het toepassingsgebied van de Unie.85 Mocht er geen Europese wetgeving worden ontwikkeld, dan mag worden aangenomen dat lidstaten autonome wetgeving creëren op basis van de uitzonderingsgrond conform art. 15 lid 1 richtlijn 2002/52/EG. Aangezien wordt aangenomen dat de wetgeving een invulling vormt van voornoemde richtlijn en de wetgeving tevens een belemmering van het vrij verkeer van diensten met zich meebrengt, valt de wet onder de werkingssfeer van het Handvest.86 Nu uit het voorgaande volgt dat ‘nieuwe wetgeving’ hoogstwaarschijnlijk onder het gemeenschapsrecht zal vallen, is het van belang dat er tevens wordt gekeken naar het grondrechtelijk kader conform het Handvest.

Lange tijd heeft er geen expliciete regelgeving op EU-niveau bestaan met betrekking tot de fundamentele rechten. In het licht van de ontwikkelingen in de maatschappij, de sociale vooruitgang en de wetenschappelijke - en technologische ontwikkelingen achtte de EU het noodzakelijk om de grondrechten te versterken en deze op te nemen in een Handvest.87

Een zelfstandige codificatie van de grondrechten kwam pas tot stand in 2000 toen tijdens de Europese Raad in Nice het Handvest als politieke verklaring plechtig werd afgekondigd. Op 1 december 2009 heeft het Verdrag van Lissabon meer duidelijkheid verschaft omtrent de juridische status van het Handvest en is het bindend verklaard voor de instellingen van de EU en voor de lidstaten van de EU wanneer zij het gemeenschapsrecht ten uitvoer leggen.88

84

Council of the European Union, EU CTC input for the preparation of the informal meeting of Justice and

Home Affairs Ministers in Riga on 29 January 2015, 17-01-2015, DS 1035/15 85

Rechtbank ‘s-Gravenhage, 11-03-2015, ECLI:NL:RBDHA:2015:498, r.o. 3.4

86 _{Idem, r.o. 3.4}

87

Handvest van de grondrechten van de Europese Unie, 14-12-2007, (PbEU 2007/C, 303/01), preambule

88

Ministerie van Buitenlandse Zaken, Handvest van de Grondrechten, http://www.minbuza.nl/ecer/eu-essentieel/handvest-grondrechten

20 Uit art. 6 lid 3 EU werkingsverdrag volgt dat de grondrechten, zoals gewaarborgd door het EVRM, als algemene beginselen deel uitmaken van het recht van de Unie. In de preambule is voorts opgenomen dat de rechterlijke instanties van de Unie en de lidstaten bij de uitlegging van het Handvest naar behoren rekening houden met de rechten die in het bijzonder voortvloeien uit het EVRM, alsook uit de jurisprudentie.89 Het HvJ past, bij de uitlegging van de bepalingen van het Handvest, veelal de jurisprudentie van het EHRM toe. Dit betekent echter niet dat er voor het HvJ geen ruimte bestaat om zijn eigen interpretatie aan de in het Handvest geformuleerde grondrechten te geven. Een voordeel daarvan is dat het op die manier rekening kan houden met de eigenschappen van de communautaire rechtsorde, anderzijds kan een eigen interpretatie leiden tot de onwenselijke situatie dat twee hoven autonoom interpretaties ontwikkelen met betrekking tot dezelfde grondrechten.90

Reeds lange tijd woedt de discussie of de EU tot het EVRM dient toe te treden, zodat het EHRM bevoegd zal worden om klachten tegen de Gemeenschap in behandeling te nemen en het geloof in het EU-mensenrechtensysteem zal toenemen. In het EU werkingsverdrag is zelfs een bepaling opgenomen die de EU verplicht om toe te treden tot het EVRM. Thans wordt er nog druk onderhandeld over toetreding en is de EU nog geen partij bij het verdrag.91

3.2.1 Artikel 7 en artikel 8 Handvest

Voor zover het Handvest rechten bevat die overeenkomen met rechten uit het EVRM zijn de inhoud en reikwijdte ervan hetzelfde als die door het EVRM daaraan worden toegekend. Daarbij dient te worden opgemerkt dat conform art. 52 lid 3 het Unierecht een ruimere bescherming biedt dan het EVRM.

Blijkens het Handvest correspondeert het in artikel 7 gewaarborgde recht op privacy met de rechten zoals deze in artikel 8 EVRM zijn neergelegd. Het enige verschil is dat in artikel 7 het woord correspondentie is vervangen door communicatie, dit in verband met voortschrijdende technologische ontwikkelingen.92 Het recht op privacy conform art. 7 Handvest dient in beginsel

89

Handvest van de grondrechten van de Europese Unie, 14-12-2007, (PbEU 2007/C, 303/01), preambule

90

Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 155

91 _{Ministerie van Buitenlandse zaken, Handvest van de Grondrechten, ECER,}

http://www.minbuza.nl/ecer/eu-essentieel/handvest-grondrechten

92

21 dan ook overeenkomstig art. 8 EVRM te worden uitgelegd, met inbegrip van de uitwerking van art. 8 EVRM in de jurisprudentie en de regeling met betrekking tot inmengingen en beperkingen.

Voorts is in artikel 8 Handvest een zelfstandig grondrecht opgenomen dat ziet op de bescherming van persoonsgegevens.

1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.

2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan.

3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.

Art. 8 Handvest is gebaseerd op art. 8 EVRM en het reeds bestaande wetgevingskader binnen de EU met betrekking tot persoonsgegevens. Bij de uitlegging van art. 8 Handvest dient het HvJ dan ook rekening te houden met het reeds bestaande wetgevingskader, alsmede de bestaande jurisprudentie. Er is echter geen sprake van een overeenkomstig recht. Dat betekent dat het HvJ in zijn jurisprudentie een eigen benadering met betrekking tot gegevensbescherming kan ontwikkelen. Het ligt echter niet voor de hand dat het HvJ minder bescherming aan artikel 8 zal toekennen dan reeds op basis van het bestaande beschermingskader wordt geboden.

Art. 7 en 8 Handvest zijn, net als art. 8 EVRM, geen absolute rechten en kunnen op grond van de algemene clausule in art. 52 lid 1 Handvest beperkt worden. Inmengingen op rechten in het Handvest kunnen gerechtvaardigd zijn indien de beperkingen bij wet zijn gesteld, zij de wezenlijke inhoud van die rechten en vrijheden eerbiedigen, het evenredigheidsbeginsel in acht nemen, noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen beantwoorden.93 Ondanks het feit dat de beperkingsmogelijkheden die voortvloeien uit het Handvest op het eerste gezicht ruimer lijken dan die op grond van het EVRM, mogen beperkingen op rechten in het Handvest niet verder gaan dan deze die in het EVRM zijn toegelaten. Bij inmengingen op de rechten in het Handvest wordt, net als bij inmengingen op het EVRM, veelal op grond van het noodzakelijkheids- en proportionaliteitsbeginsel een belangenafweging gemaakt.

93

22 3.3 Het recht op gegevensbescherming

Het begrip informationele privacy heeft een belangrijke rol gespeeld bij de ontwikkeling van het dataprotectierecht. De informationele privacy ziet voornamelijk op een zogeheten zelfbeschikkingsrecht van individuen, die hen in staat stelt te beschikken over de informatie die over hen in omloop is. Persoonlijke gegevens dienen niet automatisch beschikbaar te zijn voor andere individuen en organisaties. Een individu moet bij machte zijn om zelf enige controle uit te kunnen oefenen over de onthulling en verspreiding van gegevens die op hem betrekking hebben. Om deze controle te kunnen effectueren is er in de loop der jaren steeds meer regelgeving ontwikkeld die ziet op de verzameling, verwerking en verspreiding van persoonsgegevens.94 Het gegevensbeschermingsrecht beschermt individuen niet tegen het verzamelen en verwerken van gegevens, maar ziet op het onwettelijk en disproportioneel verwerken van gegevens.95

Onder omstandigheden kan een individu op grond van art. 8 EVRM bescherming van zijn gegevens afdwingen.96 Met name de technologische ontwikkelingen en de onduidelijkheid omtrent de omvang van het begrip privéleven hebben ertoe geleid dat er in 1981 een apart verdrag is geratificeerd wat ziet op dataprotectie. In de Convention 108 werd voor het eerst een aantal basisprincipes voor gegevensbescherming vastgelegd, waarbij voornamelijk werd gefocust op de verwerking van persoonsgegevens in relatie tot het recht op privacy.97 In navolging hiervan volgden er meerdere regulerende initiatieven op Europees niveau. Deze initiatieven hebben ertoe geleid dat er thans een breed scala aan instrumenten bestaat met betrekking tot gegevensbescherming.

Het gegevensbeschermingsrecht ziet op ‘iedere informatie betreffende een

geïdentificeerde of identificeerbare natuurlijke persoon’. Waarbij een individu als identificeerbaar

wordt beschouwd indien hij of zij direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.98 Gegevensverwerking dient op een eerlijke en rechtmatige wijze te geschieden. Persoonsgegevens

94 _{Borking, Privacyrecht is code, Deventer: Kluwer 2010, p. 21-23} 95

Gutwirth, de Hert, Data protection in the Case Law of Strasbourg and Luxemburg, Dordrecht: Springer Science 2009,p. 1

96

Gellert, Gutwirth, The legal construction of privacy and data protection. CLSR 2013-29, p. 2-4

97 _{Gutwirth, de Hert, Data protection in the Case Law of Strasbourg and Luxemburg, Dordrecht: Springer Science 2009,}

p. 2-4

98

23 mogen alleen worden verwerkt wanneer deze verzameld zijn voor specifieke, expliciete en legitieme doeleinden en mogen vervolgens niet verder worden verwerkt op een wijze die verder gaat dan onverenigbaar is met die doeleinden. De verwerking mag enkel worden uitgevoerd op basis van toestemming van de betrokkene of op één van de andere in de wet genoemde grondslagen. Het gegevensbeschermingsrecht kent een strenger regime voor de verwerking van gevoelige gegevens. Voorts heeft een betrokkene op grond van het dataprotectierecht een aantal rechten die hem in staat stelt na te gaan welke hem betreffende gegevens er worden verwerkt en deze zo nodig te laten corrigeren of verwijderen.99 Andere belangrijke beginselen van het gegevensbeschermingsrecht zijn daarnaast dat de gegevensverzameling niet bovenmatig mag zijn, dat gegevens transparant en op een zorgvuldige wijze verwerkt moeten worden en dat er passende beveiligingsmaatregelen moeten worden genomen om de gegevens te beschermen.100 Binnen de EU is de belangrijkste regelgeving vastgelegd in richtlijn 95/46/EG, in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens, en richtlijn 2002/58/EG, laatstelijk gewijzigd in 2009. Richtlijn 95/46/EG bevat meerdere bepalingen die bovengenoemde kernbeginselen van het gegevensbeschermingsrecht trachten te waarborgen. Richtlijn 2002/58/EG is een aanvulling op richtlijn 95/46/EG en ziet met name op de verwerking van persoonsgegevens in de elektronische communicatiesector. Beide richtlijnen, alsmede de Wet bescherming persoonsgegevens, bevatten een zogeheten beveiligingsplicht die bedrijven de verplichting oplegt om persoonsgegevens middels technische en organisatorische maatregelen te beveiligen.101 Het beveiligen van persoonsgegevens dient als één van de hoekstenen te worden gezien van het gegevensbeschermingsrecht.102 Er dienen voldoende technische beveiligingsmaatregelen te worden genomen.103 De volle integriteit en vertrouwelijkheid van de gegevens moet door middel van maatregelen kunnen worden gewaarborgd.104 Indien er niet aan de beveiligingsverplichting wordt voldaan zal het recht op gegevensbescherming al snel in het gedrang komen. De beveiligingsverplichting, als onderdeel van het gegevensbeschermingsrecht, speelt een belangrijke rol in de jurisprudentie met betrekking tot surveillancewetgeving en is derhalve van belang in het kader van het onderhavige onderzoek.

99

Gellert, Gutwirth, The legal construction of privacy and data protection. CLSR 2013-29, p. 5-6

100 _{Gutwirth, de Hert, Data protection in the Case Law of Strasbourg and Luxemburg, Dordrecht: Springer Science}

2009, p. 2

101

Richtlijn 95/46/EG, (PbEG 1995, L 281/31), art. 17; Richtlijn 2002/58/EG, (PbEG 2002, L 201), art. 4, Wet bescherming persoonsgegevens, 06-07-2000 (Stb. 2000,203), artikel 13, 14

102 _{Borking, Privacyrecht is code, Deventer: Kluwer 2010, p. 53} 103

HvJ, Google Spain, 13-05-2014, ECLI:EU:C:2014:317, r.o. 67

104

24 3.3.1 Overlap tussen gegevensbescherming en privacy

De alsmaar toenemende gegevensstroom heeft ertoe geleid dat gegevensbescherming een steeds belangrijkere positie heeft verworven. Het EVRM kent geen apart grondrecht voor bescherming van de persoonsgegevens, maar de bescherming van persoonsgegevens wordt veelal onder de reikwijdte van art. 8 EVRM gebracht. Het vergaren, vastleggen, doorgeven en het weigeren van een verzoek tot inzage in de persoonsgegevens kan onder omstandigheden een inbreuk op art. 8 EVRM opleveren. In beginsel wordt het gegevensbeschermingsrecht dan ook gezien als een uitvloeisel van het recht op privacy, maar beide begrippen zijn niet inwisselbaar.105 Waar individuen veelal alleen bescherming op basis van art. 8 EVRM kunnen afdwingen als de gegevens een privaat karakter hebben, ziet het gegevensbeschermingsrecht op alle verwerkingen van persoonsgegevens. Het gegevensbeschermingsrecht is ontstaan vanuit het idee dat alle persoonsgegevens kunnen worden misbruikt. Op basis daarvan wordt er bescherming geboden aan alle persoonsgegevens ongeacht of deze gegevens een intrinsiek privaat karakter hebben en derhalve binnen de persoonlijke levenssfeer vallen.106 Het gegevensbeschermingsrecht heeft een ruimere basis dan enkel het recht op privacy en geeft ook uitvoering aan andere belangrijke waarden, zoals het recht op de vrijheid van meningsuiting en het non-discriminatie verbod.107

Uit 3.1 volgt dat het EHRM, door de begrippen correspondentie en privacy te combineren, onder andere het telefoon-, e-mailverkeer en internetgebruik onder de werkingssfeer van art. 8 EVRM heeft weten te scharen. Op die manier heeft het EHRM meer zaken die verband houden met gegevensbescherming binnen het recht op privacy gebracht. Art. 8 EVRM en art. 7 Handvest trachten het vertrouwelijk karakter van de communicatie te beschermen; het ziet op de onbevangenheid te communiceren. Voornoemd recht beschermt veelal de communicatie die zich in transport bevindt. Dit betekent overigens niet dat de bescherming enkel beperkt is tot de transportfase. In gevallen waarin de communicatie zich niet meer in de transportfase bevindt kan het recht op privacy aanvullende rechtsbescherming bieden. Er kan echter niet met zekerheid gezegd worden dat het recht op privacy te allen tijde bescherming biedt buiten de transportfase.108 Het recht op gegevensbescherming ziet daarentegen op alle verwerkingen van

105

Gutwirth, de Hert, Data protection in the Case Law of Strasbourg and Luxemburg, Dordrecht: Springer Science 2009, p. 5

106 _{Idem, p. 16} 107

Steenbruggen, Publieke dimensies van privé-communicatie, Amsterdam: Otto Cramwinckel 2009, p. 165

108

25 persoonsgegevens. Het is derhalve niet alleen van toepassing op gegevens die zich in transit bevinden, maar biedt ook bescherming aan gegevens die zich in opslag op een randapparaat bevinden.

3.4 Inmenging op artt. 8 EVRM, 7 en 8 Handvest

Het recht op privacy en het recht op gegevensbescherming zijn, zoals eerder vermeld, geen absolute rechten en kunnen in het belang van de genoemde doelen in art. 8 lid 2 EVRM of in het kader van één van de door de Unie erkende doelstellingen van algemeen belang beperkt worden. Alvorens er naar de beperkingsgronden kan worden gekeken, dient de vraag beantwoord te worden of er sprake is van een inmenging op voornoemde rechten. Op basis van de hypothetische wetgevingsmaatregel dienen internet- en telecombedrijven hun encryptie protocollen van een zogeheten backdoor te voorzien. Het bestaan van een backdoor stelt overheden in staat om toegang te krijgen tot (versleutelde) gegevens op smartphones en andere digitale apparaten van hun burgers. Voornoemde backdoor kan toegang geven tot de communicatiestromen van een ieder, ongeacht of er tegen hen een verdenking bestaat en zonder dat het individu op de hoogte is van het bestaan van een backdoor in het encryptie protocol.

In casu gaat het om hypothetische wetgeving; het is nog niet duidelijk onder welke voorwaarden overheden toegang hebben tot de backdoor en onder welke voorwaarden vervolgens gebruik gemaakt mag worden van de afgetapte communicatie. In het onderhavige geval dient derhalve beoordeeld te worden of het opleggen van een backdoorverplichting, waardoor encryptie protocollen technisch zo worden ingericht dat overheden de mogelijkheid hebben toegang te krijgen tot de inhoud, alsmede de verkeersgegevens van communicatiestromen, een inmenging met zich meebrengt.

Zoals reeds uit 2.3 blijkt werd er in het verleden veel gebruik gemaakt van spraaktelefonie en werd deze dienst aangeboden door één partij. Het was voor overheden vrij eenvoudig om telefoongesprekken af te tappen. Met de privatisering, de toenemende technologische ontwikkelingen en de opkomst van het internet, ontstonden er meer knelpunten met betrekking tot de mogelijke aftapbaarheid van netwerken.109 Om wettelijke toegestane interceptie te realiseren moesten overheden gebruik gaan maken van telecombedrijven. Dergelijke bedrijven

109