Computable was er op 5 maart als de kippen bij toen Kees Verhoeven zich afvroeg wat eerdere toezeggingen van het kabinet omtrent de noodzaak voor encryptie nu nog voorstellen. Daarna stort zowel digitaal Nederland als de pers zich op dit onderwerp. Intussen blijft het internationale aspect en de lange geschiedenis die leidde tot de overijverige ambtenaren bij het ministerie van J&V, grotendeels buiten beeld – en dendert op dit punt de EU gewoon door.
Dat er terecht voor de Tweede Kamer een Digitale Binnenhof Academie komt, maar ook onze landelijke pers hoognodig wat eerder signalen uit de ict-wereld zou moeten oppikken over digitale zaken, bleek deze week: een bijdrage op LinkedIn en enkele vragen op 8 maart van Tweede Kamerlid Verhoeven aan minister Grapperhaus resulteerde in een bericht bij de NOS met als kop dat de overheid aan een plan werkt om de encryptie te verzwakken. Daarna reageerde de nationale digitale wereld met inschakeling van de Volkskrant en een website. Hadden ze in Den Haag wat vaker de waarschuwingen in Computable gelezen, zoals de blog op 30 juli 2019 over de snode plannen van Europol, gevolgd door een serie artikelen over het beoogde verbieden of verzwakken van encryptie om ‘lawful interception’ mogelijk te maken, dan was minister Grapperhaus waarschijnlijk eerder tot de orde geroepen. Ook op de website van ISP en ‘cloud-hoster’ BIT verscheen een uitgebreid verhaal van de CTO, dat weinig twijfel laat over het kennisniveau van de minister op het gebied van end-to-end-encryptie.
Hardleers
Op 24 december 2020 verzuchtte ik nog met een minder vredelievende boodschap voor de Kerstavond met als kop: ‘Grapperhaus draait om verzwakken encryptie heen‘ en refereerde daarbij aan een eerder artikel dat een nieuwe Crypto War mogelijk achtte op internationaal niveau. Het is dan ook jammer dat NOS, Volkskrant en de verse website de internationale achtergrond en de hernieuwde wereldwijde inspanningen van de Five Eyes niet lijken te herkennen of noemen. Bovendien doen ze net alsof dit een paar overijverige Nederlandse ambtenaren met ook al een gebrek aan digitale basiskennis zijn, die nog even gebruik willen maken van een vertrekkend en al demissionaire minister.
De vragen van Kamerlid Verhoeven worden de volgende dag professioneel (mediatraining en leren hoe je met zoveel mogelijk mooi en duur klinkende woorden ergens geen antwoord op hoeft te geven, krijgen politici wel standaard) door de minister beantwoord: ‘Het gebruik en de ontwikkeling van sterke encryptie blijvend moet worden aangemoedigd. Dit is belangrijk voor de systeem- en informatiebeveiliging van de maatschappij, bedrijven en overheid. Eveneens is dit belangrijk voor de bescherming van fundamentele rechten, zoals het recht op de persoonlijke levenssfeer en het communicatiegeheim. Tegelijkertijd kan het nadelige effect van versleuteling op de uitvoering van de wettelijke taak van opsporings- en inlichtingen en veiligheidsdiensten niet worden genegeerd.’
Ja, oeps, voel je het ook? Daar staat onze minister dus weer appels met peren te vergelijken. Ook de vraag of onze minister de motie Baudet die de Kamer 11 november jongstleden aan heeft genomen, nu toch niet opvolgt, weet hij handig te omzeilen. Want die ging niet over verzwakken of omzeilen van encryptie maar over verbieden. ‘Er is geen sprake van een voornemen om versleuteling te verbieden en het kabinet zal het verbieden van encryptie in de toekomst niet steunen’, bezweert de minister. Nee, de nieuwe tactiek van de opsporingsdiensten heet ‘security despite encryption’, zoals de lezers van Computable weten. Dus we willen zo sterk mogelijke encryptie, handig en nuttig, maar toch ook wel kunnen meelezen zo nu en dan. Of eigenlijk altijd. Jammer van de privacy, maar misdaadbestrijding gaat nu eenmaal voor fundamentele mensenrechten..
Gelijktijdig met politie-successen
Precies als indertijd in Europa ambtenaren handig gebruik leken te maken van een succesvolle politieactie waarbij versleutelde berichten van criminelen konden worden meegelezen, komt ook nu een vergelijkbaar succes van de politie tegelijk met een nieuwe poging meer mogelijkheden te creëren voor opsporingsdiensten op het gebied van encryptie-omzeiling. ‘Stress in Dubai’, kopt het Parool na een kraak van een berichtendienst. Het artikel maakt duidelijk dat ook een digitale boevenacademie geen kwaad kan, of dat het ook maar gewoon mensen zijn die zich door online-marketing laten inpakken, zeker als een app lekker makkelijk op een iPhone werkt.
EU dendert intussen door
Terwijl we ons hier op het nationale debat en de verkiezingen werpen, blijkt dat de toezeggingen en standpunten van de regering uit 2016 niet veel voorstellen en probeert de Europese Commissie de schijn van inspraak op te houden. Dit gebeurt in het kader van bestrijding van nog veel verschrikkelijkere boeven, onder de noemer: ‘Fighting child sexual abuse: detection, removal and reporting of illegal content online‘. Onder dit mom van kindermisbruikbestrijding wordt sinds september 2020 vanuit de Europese Commissie (EC) een heel programma afgewerkt met overleggen, inspraakrondes en onderhandelingen dat in april dit jaar al zou moeten leiden tot regelgeving over vrijwillige en eventueel verplichte vormen van ‘message screening’. Ook bij de ‘vrijwillige controle’ worden volgens de huidige onderhandelingen met de grote berichtenplatformen verdachte berichten doorgegeven aan de politie en aan in de VS gesitueerde NGO die de wereldwijde database met verdacht materiaal (CSAM) beheert. En zonder dat de verzender of ontvanger van het bericht daarvan op de hoogte wordt gesteld. Dat dit lijnrecht ingaat tegen data-soevereiniteit en de principes van de GDPR/AVG maakt kennelijk niet uit. Dat er sprake is van disproportionele inbreuk op fundamentele rechten, geen enkel bewijs is van effectiviteit en grote kans op negatieve gevolgen voor de slachtoffers, lijkt allemaal geen rol te spelen in dit belangenspel.
Ik roep iedereen dan ook op om in de publieke consultatie van de EC die van 11 februari tot 15 april loopt zijn stem te laten horen, ook al is de vraagstelling zelf op gekleurde en eenzijdige uitgangspunten gebaseerd.
Laten we hopen dat Van der Leijen dat doet wat ze in Duitsland het beste kon, de boel in het zand zetten.
Het demokratische nivo van de EU schijnt te willen konkurreren met China.
Ik vraag me af of het kennisniveau aangaande encryptie bij Kamerleden het probleem is als het om juridische verkenningen gaat. Fred vergeet even dat AVG/GDPR enkele opschortende clausules kent omdat het fundamentele recht om in veiligheid te leven inlichtingsdiensten het recht geeft om vanuit een preventieve optiek mee te lezen als het om snode plannen van subjectieve elementen gaat.
Ik begreep uit andere berichtgeving dat toezicht op de inlichtingsdiensten uitgehold wordt door demissionair kabinet wat me dus zorgelijker lijkt dan de juridische verkenningen over het verzwakken van de (end-to-end) encryptie. Want Kafka ligt vooral op de loer als de verkregen bewijslast onrechtmatig verkegen is maar toch gebruikt mag worden om de scoringsdrang van ‘crimefighters’ met politiek ambities te bevredigen.
Disproportionele inbreuk op fundamentele rechten van de daders afgezet tegen de rechten van de slachtoffers is altijd een lastige overweging maar leggen we deze taak niet in handen van de rechters? En hebben deze het kennisniveau dat nodig is om sommige kamerleden te corrigeren in hun scoringsdrang? Kortom, hebben we als lezers van Computable nog het vertrouwen in een democratische rechtsstaat?
@oudlid
je bedoelt “subversive elementen” neem ik aan.
Er heerst bij de EU een hang naar afbreken van privacy ondanks de gpdr.
De text ven de EU is: “Draft Council Resolution on Encryption – – Security through encryption and security despite encryption”
6 pagina’s gezwam van “bestuurders” die nauwelijks wat begrijpen van wat ze willen sturen.
Nederland speelt hier nauwelijks een rol.
@een oudlid: ik noem het alleen ingaan tegen “de principes”, oftewel, de uitgangspunten, van de AVG en zeg niet dat je met alleen de AVG zelf in de hand dit soort uitzonderingen voor inlichtingen- en opsporingsdiensten kunt tegenhouden. Dat de speurhonden met hun digitale successen zelf steeds meer onderdeel worden van de hackers-scene en daarmee de economie ervan mede in stand houden, is ook erg gevaarlijk. Ook een Wannacry virus dat wereldwijd miljarden schade oplevert en mogelijk was omdat de NSA de EternalBlue vulnaribility onder de pet hield en zelf gehackt kon worden, moet iedereen kunnen snappen. Je pleidooi om het eindoordeel hierover in laatste instantie in de trias-politica bij de rechtspraak te leggen, hoe lastig ook om daar voldoende ICT-kennis te krijgen voor dit soort dilemma’s, ondersteun ik helemaal. Wij kunnen als ICT-ers alleen zo nu en dan erop wijzen dat het strijdig lijkt met wat er elders in de wet- en regelgeving is vastgelegd. En daarmee ook de wetgevende macht proberen zover te krijgen geen gevaarlijke wetten zoals de “sleepwet” en de “hackwet” in te voeren zonder voldoende waarborgen.
Ik bedoel inderdaad subversieve elementen, een term die betrekking heeft op gezagsondermijnende groepen. Uiteraard valt nog te discussiëren wat onder die groepen valt omdat bepaalde protestgroepen ook onrechtmatig als subversief gezien worden zoals we recentelijk konden ondervinden met het Wapen van de Informatiemanoeuvre. Vandaar dat ik toezicht wil op basis van een redelijke afweging van belangen omdat uiteindelijk een ondermijning van de rechtsstaat op de loer ligt als machthebbers een belang hebben in een bepaalde status quo als we kijken naar oude Juvenalis dilemma.
Some men change their party for the sake of their principles; others their principles for the sake of their party. – Winston Churchill.
De speurhonden met hun digitale successen spreken nu eenmaal meer tot de verbeelding dan de waakhonden want wij als ICT-ers hebben nog weleens kennis van misstanden en achterdeurtjes in processen die misbruikt kunnen worden. En ja, we kunnen wijzen op deze zwakheden maar uiteindelijk niet op tafel slaan en ondanks de waarschuwingen van de AIVD over het beschermen van cruciale belangen is er de afgelopen 10 jaar dan ook nog niet veel veranderd.