Het gebruik van cryptografie vormt een basisconflict in onze informatiemaatschappij: de afweging tussen privacy, beveiliging en opsporing. Op dit moment is het een onoplosbaar probleem. De Nederlandse regering doet er goed aan hiervoor geen speciale wet- of regelgeving in te voeren, zo luidt de hoofdconclusie van Bert-Jaap Koops bij zijn promotie aan de Katholieke Universiteit Brabant. Een interview.
Bert-Jaap Koops heeft in januari een vierjarig promotie-onderzoek bij het samenwerkingsverband van Brabantse universiteiten naar cryptografie afgesloten. Koops vertelt over de achtergrond van zijn keuze: "Ik ben breed geïnteresseerd en dit is een interessant onderwerp. Er zijn veel techneuten die zich vrijwel uitsluitend met technische problemen bezighouden. Er zijn ook veel juristen die zich vooral op juridische problemen richten. Cryptografie heeft echter nogal wat raakvlakken met beide gebieden. Wil je daarover iets zinnigs zeggen, dan moet je behoorlijk thuis zijn op beide gebieden; en dat zijn maar heel weinig mensen op dit braakliggende én belangrijke terrein. Vandaar mijn keuze voor dit onderwerp."
Koops studeerde wiskunde en literatuurwetenschap in Groningen, en bekwaamde zich in Tilburg in het strafrecht. Hij bleek rechten ook leuk te vinden, en dat verklaart het juridische karakter van zijn proefschrift waarvoor hij drie hoogleraren als promotor wist te vinden. Het proefschrift is ook als boek uitgegeven [1].
Twee kampen
Wat is de grote tegenstelling in belangen? Wie zijn de partijen daarin en wat hebben ze te winnen of verliezen?
Koops: "Er zijn twee belangrijke kampen. Aan de ene kant Justitie, die meent dat ze versleutelde berichten moet kunnen decoderen om haar taak – de bestrijding van criminaliteit en terrorisme en de bescherming van de staatsveiligheid – goed te kunnen uitvoeren. Aan de andere kant de individuele cryptogebruikers die versleuteling wensen om hun privacy te kunnen handhaven. Daarnaast zijn er uiteraard nog veel andere groepen, bijvoorbeeld commerciële bedrijven zoals banken en leveranciers die hun communicatie wensen te beveiligen. Maar in essentie gaat de controverse over de informatiebeveiliging en privacy tegenover opsporing. De discussie tussen deze twee partijen is sterk gepolariseerd, vooral in de VS, zodat er geen oplossing door middel van consensus tot stand kan komen en dus niemand goed weet waar hij of zij aan toe is." Koops heeft in zijn proefschrift vier basismogelijkheden gedefinieerd en getracht daaruit door middel van een gedachtenexperiment de voor alle betrokkenen meest acceptabele oplossing te kiezen.
Om de impasse te doorbreken heeft Koops een conferentie belegd met vier representanten uit de samenleving die belang hebben bij een rechtvaardig cryptobeleid: een individuele cryptogebruiker, een bedrijfsmatige cryptogebruiker, een politie-agente, en een verdachte. Zij moeten een cryptobeleid vaststellen dat de belangen van privacy en informatiebeveiliging verenigt met het belang van opsporing. Koops: "John Rawls, een politiek filosoof, heeft een kader geschreven voor de keuze van een rechtvaardige indeling van de maatschappij, waarbij de deelnemers discussiëren achter een sluier van onwetendheid [2]. Zij beschikken allen over dezelfde informatie, maar ze weten niet van elkaar wie ze zijn, zodat ze de belangen van een ieder goed tegen elkaar moeten afwegen." (Dit is een uitbreiding van de eerlijke verdeling door twee spelers, waarbij de eerste de verdeling maakt en de tweede de keuze van helft heeft, HvS)
Uitgangspunten
Voor de discussie moest eerst een aantal principes worden vastgesteld als uitgangspunt. De deelnemers kozen de volgende vier grondrechten als essentieel voor het cryptoprobleem:
- het recht op privacy, inclusief vertrouwelijke communicatie;
- het recht op een eerlijk proces;
- de rechtsorde, inclusief de vrijwaring van misdaad;
- het recht op economische ontwikkeling.
Hierbij wordt een inbreuk op zo’n grondrecht alleen toegestaan op grond van een ander grondrecht, niet op grond van bijvoorbeeld uitvoerbaarheid of wenselijkheid. Verder wordt aan een hoger geplaatst grondrecht meer gewicht toegekend dan aan een lager geplaatst recht, dat wil zeggen: privacy gaat boven economische belangen.
Aan de hand van deze criteria werden vier principiële gevallen beoordeeld: - Gebruik alleen crypto-systemen die de opsporing niet hinderen, bijvoorbeeld door middel van ‘key escrow’ en ‘derde partijen’ (ttp: ’trusted third parties’) of een achterdeurtje. Dit lost iets op, maar het is niet veilig voor gebruikers en verhindert zware criminelen niet andere oplossingen te zoeken of deze oplossing te misbruiken.
- Als maatregel achteraf zou men verdachten wettelijk kunnen verplichten hun communicatie en opgeslagen gegevens op verzoek te ontsleutelen. In het Nederlands recht echter hoeft een verdachte niet mee te werken aan zijn veroordeling. Een veroordeling bij een mogelijke weigering is niet in overeenstemming met het uitgangspunt dat iemand onschuldig is, tenzij het tegendeel bewezen is. Deze mogelijkheid tast dus de fundamentele rechten van de verdachte aan.
- Zoek naar andere alternatieven, zoals direct afluisteren, elektromagnetische straling van beeldschermen (Tempest), infiltreren, kroongetuigen enzovoort, om belastende informatie te verzamelen. Ook deze alternatieven maken inbreuk op fundamentele rechten.
- Besluit om niets te doen: de nuloptie. Het gebruik van zware cryptografie blijft toegestaan; dit is nu alleen in bijvoorbeeld Frankrijk verboden. Dit ondersteunt het hooggeplaatste recht op privacy.
Privacy hoogst gewaardeerd
Kernpunt in deze vraagstelling is dat privacy het hoogst gewaardeerd wordt. Sommige mensen vinden dat privacy te pas en te onpas gebruikt wordt om zich te verzetten tegen bepaalde maatregelen. Bovendien, als je niks te verbergen hebt, waarover maak je je dan druk? Belangrijker is dat mensen die wel wat te verbergen hebben, gemakkelijker gepakt kunnen worden. En zo kan de maatschappij als geheel van veel kwaad verlost worden!
Koops: "Thomas Jefferson, de Amerikaanse president die de Onafhankelijkheidsverklaring ontwierp, stelde dat mensen die onderdelen van hun privacy opgeven in ruil voor meer veiligheid, noch privacy noch veiligheid verdienen. De bescherming van je privé levenssfeer is een absoluut grondrecht waaraan niet zomaar getornd mag worden, anders verzeil je in Orwelliaanse toestanden. Bovendien mag je dergelijke zaken niet voor een ander beslissen. Er is natuurlijk ook een grondrecht om beschermd te worden tegen misdaad. De afweging slaat duidelijk door naar privacy, mede omdat openheid misdadigers niet zal verhinderen hun gang te gaan met zware cryptografie, die overal beschikbaar is." Phil Zimmermann stelde: ‘Als cryptografie buiten de wet blijft, zullen alleen mensen die zich buiten de wet stellen erover beschikken’ (‘If cryptography is outlawed, only outlaws will have cryptography’).
Je zou ook kunnen overwegen een verbetering van de mogelijkheid tot klagen in te voeren, bijvoorbeeld via een ombudsman, als je merkt dat je privacy geschonden is. Dat betekent dat de politie daarvoor goede redenen gehad moeten hebben. Koops: "Maar de politie maakt nu eenmaal fouten, waarvan burgers het slachtoffer worden. En wat voor sancties moet je daar tegenover zetten? Een vergoeding? Je kunt een politieman daarvoor toch niet in de cel zetten. Ik zie deze mogelijkheid als iets weggeven zonder dat je er iets voor terugkrijgt."
Een vergelijkbare problematiek speelt in bedrijven en instellingen: moet het management toegang hebben tot alle communicatie (telefonie, post, fax en e-mail) en bestanden van hun medewerkers, zowel bedrijfsmatige als persoonlijke? Koops: "Dat ligt iets anders, omdat daarbij sprake is van een (vrijwillig) dienstverband. Als er maar duidelijkheid is waar en wanneer die toegang gebruikt kan worden, lijkt me dat niet zo’n punt. Helaas zijn bedrijven hierover meestal erg vaag."
Internationale verschillen
Koops heeft zijn verhaal en oplossing specifiek gericht op Nederland en de Nederlandse wetgeving. Is dat ingegeven door praktische overwegingen? Koops: "Mijn bedoeling was om te laten zien hoe je de cryptoproblematiek in een wettelijk kader kunt plaatsen, door een ‘beste’ oplossing te vinden voor de controverse tussen privacy-activisten en justitie. Zo’n oplossing heeft alleen zin als je die in een wettelijk kader kunt plaatsen. Dat moet een nationaal kader zijn omdat in internationaal verband de wetten zo sterk verschillen, afhankelijk van de nationale cultuur. Dat is ook de belangrijkste reden waarom Internet niet in een wettelijk kader geplaatst kan worden. Neem bijvoorbeeld porno, dat in sommige staten verboden is, maar in de meeste andere niet. Kinderporno is in vrijwel alle landen verboden, dus daarvoor valt wel iets te regelen."
Het internationale en elektronische karakter van Internet leidt tot allerlei nieuwe paradoxen, merkt Koops op. "Denk maar eens aan het Starr-rapport, dat door de overheid op Internet geplaatst is. Die tekst bevat pornografische passages, waarvan de verspreiding strafbaar is in verschillende staten van de VS! Omgekeerd wordt informatie over borstkanker soms geweerd." Zo creëert de nieuwe elektronische communicatie veel nieuwe conflicten met bestaande opvattingen en nieuwe paradoxen. Het is duidelijk dat de nieuwe technologie en de informatiemaatschappij lang niet altijd passen in de bestaande wettelijke kaders.
Koops heeft een website opgezet waarin, naast andere informatie, de voornaamste cryptografiewetten en -regelingen van ongeveer vijftig landen worden vermeld http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm). Deze site wordt courant gehouden en bevat onder meer ook recente veranderingen in het accoord van Wassenaar. Koops: "De informatie is langzaam opgebouwd en wordt nu beschouwd als het internationale referentiepunt voor informatie over crypto-regelgeving. Dat is het leuke van Internet: je begint met zoiets, mensen sturen je informatie toe, en langzamerhand raak je bekend en word je een soort van internationale autoriteit. Internet biedt erg veel nieuwe mogelijkheden."
Groot onderzoeksterrein
Koops is gepromoveerd en zijn dissertatie is als boek gepubliceerd. Wat zijn de plannen? Koops: "Er komt nog een kort vervolgonderzoek, en ik ga meer dan drie maanden met vakantie, richting Chili en Paaseiland. En daarna? Dat zie ik dan wel weer. Ik wil wel bij de universiteit blijven de komende jaren, omdat ik hier onafhankelijk kan werken en mijn eigen onderwerpen kan zoeken. De combinatie van recht en techniek biedt een groot braakliggend terrein voor onderzoek. Ik zou graag de zaken wat fundamenteler willen aanpakken, bijvoorbeeld: zijn de juridische concepten van een handtekening, authenticatie en dergelijke, bestand tegen de informatiemaatschappij? Moeten we die begrippen behouden of is er een beter kader?"
Met ‘goed’ boerenverstand zou je kunnen stellen dat wat in de traditionele wereld mag en niet mag, ook in de elektronische wereld zou moeten gelden (‘wat offline geldt, moet ook online gelden’). Koops: "Dat is een goed uitgangspunt dat aantrekkelijk simpel is, maar het is ook gevaarlijk generaliserend en kinderlijk naïef. Je moet deze zaken op de langere termijn zien, bijvoorbeeld over tien jaar, wanneer iedereen veel mobieler is en via Internet zal werken. Dan worden bepaalde aspecten vergroot tot in het absurde, en wordt het bijvoorbeeld makkelijker om dingen over iemand aan de weet te komen die je nu niet kunt achterhalen. Het is ook kinderlijk naïef, omdat Internet niet zomaar gereguleerd kan worden."
"Het is dan makkelijk te zeggen dat waar geen oplossing is, ook geen probleem is. Maar wellicht kun je door nieuwe kaders en nieuwe begrippen te scheppen, wel iets doen om de informatiemaatschappij in goede banen te leiden. Hoe precies, weet ik nog niet, maar na mijn vakantie wil ik daar eens goed over gaan nadenken."
Hein van Steenis, freelance medewerker
Literatuur
[1]. Koops, Bert-Jaap. The Crypto Controversy: A Key Conflict in Information Society, Den Haag: Kluwer Law International (1999), ISBN 90-411-1143-3.
[2]. Rawls, John. A Theory of Justice, Oxford, (1971)
Cryptografiewetten
Voornaamste cryptografiewetten en -regelingen van 50 landen op http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
