De Europese Raad is een groot voorstander van encryptie om onze privacy en veiligheid te waarborgen. Tegelijkertijd pleit de instantie ervoor om opsporingsinstanties en andere bevoegde autoriteiten toegang te geven tot versleutelde berichten. Diensten die berichten versleutelen zouden zogeheten master keys moeten creëren en opslaan om dit mogelijk te maken.Dat schrijft de Europese Raad, die is samengesteld uit de regeringsleiders van alle 27 EU-lidstaten, in een conceptvoorstel voor een resolutie over encryptie, zo schrijft het Oostenrijkse FM4. Het document draagt de titel Security through encryption and security despite encryption.
Berichtendiensten als WhatsApp en Signal zijn reuze populair onder gebruikers Met deze diensten kun je berichten over en weer sturen, inclusief bijlagen, die alleen voor de afzender en ontvanger zijn te lezen. Dit is mogelijk door een techniek die end-to-end encryptie heet. Afluisteren van privégesprekken is hierdoor niet langer mogelijk. Je privacy is gewaarborgd, evenals je veiligheid omdat het onmogelijk is om persoonlijke gegevens te onderscheppen.
Dergelijke communicatieapps worden door miljoenen mensen wereldwijd gebruikt. En meestal voor onschuldige doeleinden, zoals vragen hoe het met iemand gaat of foto’s en video’s delen met een ander. Er zijn echter ook mensen die de privacy- en beveiligingswaarborgen misbruiken om bijvoorbeeld te communiceren over cyberaanvallen en aanslagen, of auteursrechtelijk beschermd materiaal of kinderporno te verspreiden. Daar wil de Europese Raad een stokje voor steken.
In een conceptversie van een resolutie over encryptie schrijven de regeringsleiders van de EU-lidstaten dat ze de ontwikkeling, implementatie en gebruik van encryptie steunen en respecteren, maar dat er een ‘betere balans’ moet komen. Zij grijpen de aanslagen in de Oostenrijkse hoofdstad Wenen van eind oktober aan om harder op te treden tegen islamitisch terrorisme.
“Beschermen van privacy en beveiliging van communicatie door middel van encryptie en tegelijkertijd ervoor zorgen dat bevoegde autoriteiten op het gebied van criminaliteit en beveiliging wettelijke toegang krijgen tot deze data voor het bestrijden van georganiseerde misdaad en terrorisme, zowel in de fysieke als digitale wereld, is van extreem groot belang”, zo schrijft de Europese Raad in het conceptvoorstel.
Hoe zorg je ervoor dat opsporings- en handhavingsinstanties versleutelde berichten kunnen lezen? Daarvoor wil de Europese Raad in gesprek treden met de techindustrie. Eén van de eisen die de regeringsleiders stellen, is dat de oplossing moet voldoen aan “de principes van legaliteit, transparantie, noodzakelijkheid en proportionaliteit”. Samenwerking tussen overheden, techbedrijven en academici is noodzakelijk om deze balans te creëren, aldus de Raad.
Volgens het Oostenrijkse FM4 ligt er één concreet voorstel op tafel. Leveranciers van communicatiediensten als WhatsApp en Signal zouden verplicht moeten worden om master keys te maken en op te slaan. Met deze decryptiesleutels moeten bevoegde handhavingsinstanties toegang krijgen tot versleutelde berichten, zodat ze hun werk kunnen uitoefenen. Ontwikkelaars hebben nog niet gereageerd op dit plan van de Europese Raad.
Boven de conceptresolutie staat de datum vrijdag 6 november. Volgens FM4 hebben belanghebbende partijen tot donderdag 12 november de tijd om te reageren op het voorstel. Als er geen aanpassingen of wijzigingen worden voorgesteld, wordt de tekst op donderdag 19 november worden voorgelegd aan de werkgroep Cooperation in the National Security Sector (COSI). Bij goedkeuring wordt de tekst op woensdag 25 november voorgelegd aan het Comité van Permanente Vertegenwoordigers (COREPER). Pas daarna belandt de conceptresolutie op de tafel van de Europese Raad.
Minister Ferd Grapperhaus van Justitie en Veiligheid pleit er al langer voor om versleutelde berichten af te tappen. In mei schreef hij een brief aan de Tweede Kamer waarin hij aankondigde om dit te laten onderzoeken. Doordat diensten als WhatsApp end-to-end encryptie aanbieden, neemt volgens de minister de online criminaliteit verder toe. Hij erkent het recht op privacy en anonimiteit op internet, maar tegelijkertijd wil hij handhavingsinstanties de middelen geven om effectief op te treden tegen cybercriminelen.
Grapperhaus staat niet alleen in deze strijd. Afgelopen maand ondertekenden de Verenigde Staten, Canada, het Verenigd Koninkrijk, Australië, Nieuw-Zeeland, India en Japan een gezamenlijke verklaring. Daarin spreken ze hun zorgen uit over de gevaren van end-to-end encryptie om de openbare veiligheid te garanderen. De landen pleiten ervoor om het voor opsporingsdiensten mogelijk te maken deze gesprekken af te luisteren zodat ze kunnen optreden tegen illegale praktijken.
“We dringen er bij de [tech]industrie op aan om onze ernstige zorgen te nemen wanneer encryptie wordt toegepast op een manier die elke wettelijke toegang tot inhoud volledig uitsluit. We roepen technologiebedrijven op om samen met overheden stappen te nemen, die gericht zijn op redelijke en technisch haalbare oplossingen”, zo schrijven de zeven landen in de verklaring.
“Wij herhalen dat gegevensbescherming, respect voor de privacy en het belang van encryptie bij de ontwikkeling van technologische veranderingen en wereldwijde internetstandaarden voorop blijven staan in het rechtskader van elke staat. Wij betwisten echter de bewering dat de openbare veiligheid niet kan worden beschermd zonder de privacy of de cyberveiligheid in gevaar te brengen. Wij zijn er sterk van overtuigd dat een aanpak ter bescherming van elk van deze belangrijke waarden mogelijk is en streven ernaar om met de industrie samen te werken aan wederzijds aanvaardbare oplossingen.”
