In een baanbrekende uitspraak, die het einde inluidt voor ChatControl, heeft het Europees Hof voor de Rechten van de Mens (EHRM) gisteren het verzwakken van E2EE (end-to-end encryptie) verboden (1). Deze beslissing is genomen op grond van de erkenning dat encryptie sterke technische waarborgen biedt tegen onwettige toegang tot de inhoud van communicatie en daarom breed wordt ingezet als middel om het recht op respect voor privéleven en de privacy van correspondentie online te beschermen.
Het hof overweegt dat in het digitale tijdperk technische oplossingen voor het beveiligen en beschermen van de privacy van elektronische communicatie door encryptiemaatregelen, bijdragen aan de waarborging van het genot van fundamentele rechten. Hieronder valt onder meer de vrijheid van meningsuiting en het recht op privacy.
Encryptie helpt bovendien burgers en bedrijven zich te verdedigen tegen misbruik van informatietechnologieën, zoals hacken, identiteitsdiefstal en persoonlijke gegevens, fraude en het ongepaste lekken van vertrouwelijke informatie. Dit moet in overweging worden genomen bij het beoordelen van maatregelen die encryptie kunnen verzwakken.
Het Hof concludeert dat de betwiste wetgeving, die voorziet in de bewaring van alle internetcommunicatie van alle gebruikers, directe toegang van de veiligheidsdiensten tot de opgeslagen gegevens zonder adequate waarborgen tegen misbruik en de eis om versleutelde communicatie te ontcijferen, zoals toegepast op end-to-end versleutelde communicatie, niet kan worden beschouwd als noodzakelijk in een democratische samenleving. Voor zover deze wetgeving de overheidsautoriteiten toestaat om op een algemene basis en zonder voldoende waarborgen, toegang te krijgen tot de inhoud van elektronische communicatie, schaadt het de kern van het recht op respect voor het privéleven onder Artikel 8 van het Europees Verdrag voor de Rechten van de Mens. De respondentstaat (Rusland)heeft daarom elke aanvaardbare marge van beoordeling in dit opzicht overschreden.
“The Court concludes from the foregoing that the contested legislation providing for the retention of all Internet communications of all users, the security services’ direct access to the data stored without adequate safeguards against abuse and the requirement to decrypt encrypted communications, as applied to end-to-end encrypted communications, cannot be regarded as necessary in a democratic society. In so far as this legislation permits the public authorities to have access, on a generalised basis and without sufficient safeguards, to the content of electronic communications, it impairs the very essence of the right to respect for private life under Article 8 of the Convention. The respondent State has therefore overstepped any acceptable margin of appreciation in this regard.”
Deze historische beslissing zet een krachtig precedent voor de bescherming van digitale privacy en benadrukt de cruciale rol van encryptie bij het handhaven van de veiligheid en privacy van online communicatie. Met deze uitspraak wordt een duidelijk signaal afgegeven aan overheden en regelgevende instanties over het belang van het beschermen van digitale rechten en vrijheden. De uitspraak onderstreept de noodzaak voor wetgevers om een evenwicht te vinden tussen nationale veiligheid en de bescherming van de privacy en vrijheid van hun burgers in het digitale tijdperk.
(1) https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854%22]}