Een gelegenheidscoalitie bestaande uit ProtonMail, Threema, Tresorit en Tutanota is niet te spreken over de encryptieresolutie die de Europese Raad half december aannam. Als de EU deze plannen verwezenlijkt, betekent dit volgens hen het einde van end-to-end encryptie. De partijen zeggen zich met hand en tand te verzetten tegen alle pogingen om het recht op privacy in te perken.
Dat staat in een gezamenlijke verklaring die ProtonMail donderdag heeft gepubliceerd.
Vorig jaar november presenteerde de Europese Raad, bestaande uit de regeringsleiders van alle 27 EU-lidstaten, een conceptresolutie over versleuteling. In het voorstel stond onder meer dat er een betere balans gevonden moest worden tussen enerzijds privacy en beveiliging, en krachtig optreden tegen hackers en cybercriminelen anderzijds. “Beschermen van privacy en beveiliging van communicatie door middel van encryptie en tegelijkertijd ervoor zorgen dat bevoegde autoriteiten op het gebied van criminaliteit en beveiliging wettelijke toegang krijgen tot deze data voor het bestrijden van georganiseerde misdaad en terrorisme, zowel in de fysieke als digitale wereld, is van extreem groot belang”, zo schreef de Raad.
Voor de precieze invulling van het voorstel willen de regeringsleiders ‘een actieve discussie’ met technologiebedrijven als Facebook (eigenaar van WhatsApp). Eén van de voorstellen die werd geopperd in de conceptresolutie, was dat de ontwikkelaars van chatapplicaties naast een private key en public key ook een master key genereren. Opsporings- en handhavingsdiensten kunnen de laatstgenoemde cryptografische sleutel dan gebruiken om versleutelde berichten te lezen.
Half december stemde de Europese Raad in met de conceptresolutie. “De rechtshandhavingsinstanties en de rechterlijke macht zijn steeds afhankelijker van toegang tot elektronisch bewijsmateriaal om terrorisme, georganiseerde misdaad, seksueel misbruik van kinderen en andere cyber- en gedigitaliseerde criminaliteit doeltreffend te kunnen bestrijden”, aldus de Raad. “Toegang [tot versleutelde berichten, red.] is essentieel voor een succesvolle rechtshandhaving en strafrechtspleging in cyberspace. In sommige gevallen maakt versleuteling het echter uiterst moeilijk of zelfs praktisch onmogelijk om toegang te krijgen tot bewijsmateriaal en de inhoud ervan te analyseren.”
ProtonMail, Threema, Tresorit en Tutanota moeten niets weten van deze resolutie. Volgens hen zet de Europese Raad met het voorstel de deur voor achterdeurtjes bij end-to-end encryptie op een kier. Daardoor komt het recht op privacy van miljoenen Europeanen onder druk te staan. Daar wil de gelegenheidscoalitie een vuist tegen vormen.
De opstellers maken volgens de techbedrijven een cruciale denkfout. Data is versleuteld of niet, ‘een beetje versleuteld’ bestaat niet. Burgers genieten privacy of helemaal geen privacy. Ze hebben begrip voor de wens om (digitale) criminaliteit en terrorisme te bestrijden. “Maar de voorstellen zijn het digitale equivalent van rechtshandhaving met een sleutel tot het huis van elke burger en kunnen het begin zijn van een glijdende schaal naar grotere inbreuken op de persoonlijke levenssfeer.”
De coronacrisis zorgt voor veel ellende, maar heeft volgens de coalitie ervoor gezorgd dat men meer is gaan nadenken over privacy en digitale beveiliging. Veel mensen namen afscheid van WhatsApp toen ze hoorden dat de chatdienst in de nabije toekomst gebruikersdata gaat delen met moederbedrijf Facebook. De vraag naar end-to-end encryptie steeg doordat men op een veilige en verantwoorde manier de bedrijfsvoering wilde voortzetten.
“Overal ter wereld nemen mensen de controle over hun privacy terug, en vaak zijn het Europese bedrijven die hen daarbij helpen.” Het is in de ogen van ProtonMail en trawanten dan ook niet logisch dat beleidsmakers in de EU aandringen op wetten ingaan tegen de publieke opinie. Politici moeten beseffen dat iedere vorm van toegang tot versleutelde berichten de gehele constructie achter encyptie aan het wankelen brengt.
Oprichter en CEO van ProtonMail Andy Yen zegt dat het “niet de eerste en de laatste keer” is dat er anti-encryptie retoriek wordt geuit in Europa. Directeur van Threema Martin Blatter benadrukt dat bedrijven vertrouwen op end-to-end encryptie om bedrijfsgeheimen en andere vertrouwelijke informatie te beschermen. Het inbouwen van achterdeurtjes brengt ons allen in gevaar. Het verzwakken of omzeilen van eind-tot-eindversleuteling vernietigt in zijn ogen de Europese economie en maakt van Europa een ‘privacywoestenij’.
“Deze nieuwe voorstellen zijn onverenigbaar met het huidige standpunt van de EU inzake dataprivacy. De huidige en de voorgestelde aanpak staan haaks op elkaar: het is onmogelijk om de integriteit van encryptie te garanderen en tegelijkertijd enige vorm van toegang tot de versleutelde gegevens te verschaffen”, aldus de CEO van Thresorit, Istvan Lam.
Arne Möhle van Tutanota noemt encryptie de ‘ruggengraat van het internet’. “Elke EU-burger heeft encryptie nodig om zijn gegevens op het web veilig te houden en zich te beschermen tegen kwaadaardige aanvallers. Met de recente poging om achterdeurtjes te geven aan versleuteling, zoeken politici een eenvoudigere manier om misdaden als terroristische aanslagen te voorkomen. Daar gaan ze echter voorbijgaan aan een reeks andere misdaden waartegen encryptie ons beschermt, waaronder afluisterpraktijken door hackers, buitenlandse overheden en terroristen. Europese beleidsmaker dwingen ons niet om te kiezen tussen veiligheid en privacy. Ze vragen ons om geen veiligheid te kiezen.”
De Verenigde Staten, Canada, het Verenigd Koninkrijk, Australië, Nieuw-Zeeland, India en Japan ondertekenden vorig jaar oktober een gezamenlijke verklaring. Daarin vragen ze de techindustrie om samen met overheden ‘redelijke en technisch haalbare oplossingen’ te bedenken om handhavingsinstanties de middelen te geven om digitale criminaliteit en terrorisme aan te pakken.
De internationale coalitie erkent dat end-to-end encryptie belangrijk is om de privacy van mensen te beschermen. Maar dit mag burgers niet in gevaar brengen of ten koste gaan van rechtshandhaving. In hun gezamenlijke verklaring pleiten ze dan ook voor ‘wederzijds aanvaardbare oplossingen’.
“Wij herhalen dat gegevensbescherming, respect voor de privacy en het belang van encryptie bij de ontwikkeling van technologische veranderingen en wereldwijde internetstandaarden voorop blijven staan in het rechtskader van elke staat. Wij betwisten echter de bewering dat de openbare veiligheid niet kan worden beschermd zonder de privacy of de cyberveiligheid in gevaar te brengen. Wij zijn er sterk van overtuigd dat een aanpak ter bescherming van elk van deze belangrijke waarden mogelijk is en streven ernaar om met de industrie samen te werken aan wederzijds aanvaardbare oplossingen.”
