20 december 2007 16:04

Encryptiewetgeving in neerwaartse spiraal

Op 1 oktober 2007 is in het Verenigd Koninkrijk een wet in werking getreden die de overheid het recht geeft om burgers te verplichten encryptiesleutels te overhandigen. Wie weigert om de encryptiesleutels te overhandigen, kan een gevangenisstraf tot vijf jaar oplopen.

De encryptiesleutels kunnen door de overheid worden opgevraagd wanneer dit noodzakelijk is voor misdaadpreventie, misdaadbestrijding, het nationaal economisch belang of de nationale veiligheid. Zo’n beetje altijd dus.

De nieuwe wet is tegelijk wél en geen verrassing. Géén verrassing omdat encryptie in toenemende mate gebruikt wordt door terroristen, en de strijd tegen het terrorisme in vele landen – in het bijzonder in het Verenigd Koninkrijk – de hoogste prioriteit heeft gekregen. Eind november bekende de voorzitter van de Duitse federale politie bijvoorbeeld nog dat zijn politiediensten niet bij machte zijn om geëncrypteerde Skype-gesprekken af te luisteren. Het mag daarom niet verbazen dat een overheid die technisch niet meer in staat is om gesprekken af te luisteren, zijn toevlucht zoekt tot juridische maatregelen.

Toch komt de nieuwe wet wel degelijk als een verrassing. Vele landen hebben hun encryptiebeleid namelijk in de loop der jaren aanzienlijk versoepeld, om zo de elektronische handel en het gebruik van elektronische documenten aan te moedigen. Het Verenigd Koninkrijk slachtoffert de encryptievrijheid dus ten voordele van het antiterrorismebeleid, wat voor mij een weinig lovenswaardige evolutie is.

Enkele weken na de inwerkingtreding van de nieuwe wet, heeft zich al een fraai geval aangediend van de moeilijke dilemma’s waartoe decryptie onder druk kan leiden. Een Engelse dierenrechtenactiviste werd namelijk verplicht om, op grond van de wet, binnen de twaalf dagen de sleutel te overhandigen van een geëncrypteerd bestand dat op haar computer werd aangetroffen. De activiste beweert nu dat het bestand door iemand anders op haar computer moet zijn geplaatst, al was het maar omdat zij de technische kennis zou ontberen om met versleutelingsprogramma’s om te gaan.

Als ze de sleutel inderdaad niet kan overhandigen, wacht haar eventueel een gevangenisstraf. Ik zou niet graag in de schoenen van de rechter staan die moet oordelen over de geloofwaardigheid van deze verdediging.

Wat mij vooral zorgen baart, is dat de wet een loopje neemt met het verbod op zelfincriminatie, (het verbod om iemand ter verplichten tegen zichzelf te getuigen). Dat verbod is een essentieel beginsel van het strafrecht, op grond waarvan een verdachte bijvoorbeeld ook het recht heeft om te zwijgen tijdens een strafonderzoek. De Engelse wet vormt dus een gevaarlijk precedent, waarvan ik hoop dat de andere landen het voorbeeld niet zullen volgen.

Voor alle duidelijkheid: in België bestaat sinds 2000 ook een verplichting om paswoorden te overhandigen. Die verplichting geldt voor alle personen waarvan de onderzoeksrechter vermoedt dat zij over een bijzondere kennis beschikken van de (toegang tot) computers of netwerken die onderzocht worden.

Die verplichting is weliswaar breder dan het louter overhandigen van encryptiesleutels (bijvoorbeeld ook het bedienen van een specifiek computersysteem), maar kan niet worden opgelegd aan de verdachte zelf. Maar wie geen verdachte is in een strafonderzoek en zijn medewerking weigert, kan daarvoor tot één jaar gevangenisstraf en/of een boete van meer dan 100.000 € krijgen. U bent dus gewaarschuwd.

Prof. Dr. Patrick Van Eecke is advocaat gespecialiseerd in IT-recht bij DLA Piper. Hij doceert tevens IT-recht aan Queen Mary University, Londen, en aan de Universiteit Antwerpen.