Numrush

Het werd hoog tijd: Beleidsmakers omarmen encryptie steeds meer

Rejo Zenger

Zonder encryptie zou onze online wereld onveilig zijn. Encryptie is essentieel voor de bescherming van onze digitale infrastructuur en stelt ons in staat om veilig gebruik te maken van het internet. Dankzij encryptie kunnen bedrijven onze gegevens online beschermen en kunnen wij internetters vertrouwd communiceren en veilig informatie uitwisselen. Daarmee is encryptie niet alleen belangrijk voor onze democratische vrijheid, maar ook van groot belang voor innovatie en economische groei.

Onze overheid moet daarom de ontwikkeling en de toepassing van encryptie stimuleren, nog meer dan ze nu al doet. Het is absoluut onwenselijk als de overheid bedrijven zou dwingen om een achterdeur te ontwikkelen of versleutelingstechnologie op een andere manier te verzwakken. Dat is een moeilijk standpunt voor beleidsmakers, die al snel onder druk komen te staan als het onderzoek van de politie of geheime diensten bemoeilijkt wordt door zulke technologie.

Lof voor Nederlands standpunt

Het is absoluut onwenselijk als de overheid bedrijven zou dwingen om een achterdeur te ontwikkelen Gelukkig landde de Nederlandse regering begin vorig jaar ook al op dat punt. Ze stelde terecht dat “cryptografie een sleutelrol speelt in de technische beveiliging in het digitale domein”. Volgens het kabinet was er ook “geen zicht […] op mogelijkheden om in algemene zin […] encryptieproducten te verzwakken zonder daarmee de veiligheid van digitale systemen die van encryptie gebruik maken te compromitteren.” Anders gezegd, een achterdeur voor de politie is ook een achterdeur voor criminelen.

En dus acht het kabinet dat het “niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.” Een verstandig standpunt, zou je kunnen zeggen.

Brussel raakt doordrongen

Maar ja, Nederland is ook maar een klein land en veel van onze wet- en regelgeving komt uit Brussel. Daarom is het mooi dat het Europees Parlement begin deze maand een resolutie aannam waarin zij de Europese Commissie en de lidstaten “[verzoekt] […] praktische beveiligingsmaatregelen te bevorderen, zoals encryptie en andere technologieën ter versterking van de beveiliging en privacy”.

Ze vraagt lidstaten ook expliciet “geen verplichtingen op te leggen aan encryptiediensten waardoor de veiligheid van hun netwerken of diensten wordt verzwakt of in het gedrang komt, zoals het creëren of in de hand werken van “backdoors””.

En ook de Europese Commissie laat zich niet onberoerd. Zij publiceerde een rapport met maatregelen die Europa veiliger moet maken, zoals het ondersteunen van opsporingsdiensten bij het omgaan met versleutelde informatie. Maar, zegt ze er meteen bij, “zonder het verbieden, beperken of verzwakken van encryptie” want “encryptie is essentieel voor cybersecurity en de bescherming van de persoonsgegevens.”

Uit gevarenzone

Er hoeft maar één ernstige aanslag plaats te vinden waar encryptie een obstakel vormt en de politiek heeft haar verstand alweer bij het grof vuil gezet. Kunnen we nu achterover leunen? Nee, zeker niet. In de eerste plaats is een politiek standpunt net zo fluïde als water. De Nederlandse regering zegt bijvoorbeeld expliciet dat het “op dit moment” het verzwakken van encryptie onwenselijk acht. En er hoeft maar één ernstige aanslag plaats te vinden waarbij encryptie een obstakel voor de opsporings- en geheime diensten vormt en de politiek heeft haar verstand alweer bij het grof vuil gezet. Ook is onvoorspelbaar hoe standvastig de Nederlandse en Europese beleidsmakers zijn bij grote druk vanuit Frankrijk, Duitsland of Amerika.

Maar het grootste gevaar is waarschijnlijk veel subtieler: vaak worden bedrijven onder druk gezet om “hun maatschappelijke verantwoordelijkheid te nemen” in de strijd tegen wat op dat moment als Het Kwaad wordt gezien. Dan wordt ze voorgehouden: jullie willen toch niet bekend staan als de schuilplek van terroristen? De consequentie is dat zulke bedrijven veel te veel de digitale infrastructuur verzwakken, zonder checks and balances. Die medewerking aan het voorkomen van Het Kwaad is natuurlijk op “basis van vrijwilligheid” – maar wel met imagoschade of wetgeving als stok achter de deur.