Tot tweemaal toe (8 april 2016 en 25 augustus 2016) heeft NRC Handelsblad in haar redactioneel commentaar een lans gebroken voor het verplicht inbouwen van een achterdeur in encryptie. Want, zo redeneert de krant, het recht op encryptie is niet absoluut en ‘onze geheime diensten en opsporingsinstanties’ moeten toegang hebben. Daar komt bij dat in een recent interview in de Volkskrant AIVD-chef Bertholee zegt de encryptie te willen verzwakken. Een redenering met zware consequenties.
Encryptie beveiligt ons tegen de ogen en oren van andere naties - ons al dan niet vriendelijk gezind -, tegen concurrenten die het niet zo nauw nemen en tegen overheden die hun burgers niet vertrouwen. En inderdaad, encryptie kan net zo goed worden gebruikt om privacy te waarborgen.
Geheime diensten en opsporingsinstanties willen inzicht in de informatie-uitwisseling tussen terroristen, criminelen - en nog veel meer groepen, afhankelijk van het land in kwestie. Doordat kwalijke elementen in toenemende mate encryptie gebruiken, kunnen geheime diensten en opsporingsinstanties hen niet meer afluisteren en aftappen. Of er moeten onwerkbare hoeveelheden tijd en moeite in het kraken van de encryptie worden gestoken, zonder garantie op succes.
Wat nu wordt bepleit is de inbouw van een achterdeur waardoor de geheime diensten en opsporingsinstanties met een eigen sleutel kunnen binnenkomen. Nu is het technisch waarschijnlijk wel mogelijk om een zeer zwaarbeveiligde achterdeur te bouwen die iedereen buiten houdt. En het is te regelen - althans in Nederland - dat de geheime diensten en opsporingsinstanties aan stringente eisen moeten voldoen alvorens zij de sleutel mogen omdraaien.
Maar dan beginnen de problemen:
Zodra er een sleutel is, zullen om te beginnen de in het AIVD-jaarverslag genoemde naties, terroristen en cybercriminelen hun best doen om die in handen te krijgen. Die sleutel zal ook zijn weg vinden naar bevriende geheime diensten. Of erger, die buitenlandse diensten hebben een eigen sleutel waarvan het gebruik onder heel andere wet- en regelgeving valt. Bovendien: één klokkenluider volstaat en de sleutel ligt op straat. Inbouwen van een achterdeur zorgt voor een fundamentele aantasting van encryptie. En dus van het vermogen om ons te beveiligen.
Dan zijn er nog allerlei praktische bezwaren die NRC gemakshalve afserveert met een verwijzing naar een ‘naïef mensbeeld’ bij degenen die deze bezwaren naar voren brengen. Laat ik toch één essentieel aspect noemen: internet kent geen grenzen. Wie in Nederland niet over goede encryptie mag beschikken, kan gewoon elders terecht. Bijvoorbeeld het Russische Telegram, de favoriet onder jihadisten. Overigens eist de Russische overheid nu een achterdeur in de encryptie van Telegram en vergelijkbare diensten op straffe van een zware boete, niet alleen voor de aanbieders maar ook voor de gebruikers. Als onderdeel van antiterreurwetgeving, uiteraard.
Wel meer bevoegdheden
Wat dan wel? Want de behoefte van onze geheime diensten en opsporingsinstantie om communicatie te kunnen inzien is legitiem en encryptie maakt de opsporing ontegenzeggelijk moeilijker. Maar dat wil niet zeggen dat de geheime diensten en opsporingsdiensten dan meteen machteloos zijn, zeker niet als zij wat meer bevoegdheden krijgen.
Zij zouden bijvoorbeeld meer ruimte moeten krijgen om niet-versleutelde communicatie en metadata te monitoren. Daarvoor is dan wel toegang tot de kabel nodig en die bevoegdheid komt er pas als de nieuwe de wet op de inlichtingendiensten van kracht wordt. Ook inbreken op systemen van de verdachten (terughacken) kan bruikbare informatie opleveren, al vergt dit eveneens een uitbreiding van de bevoegdheden. Tot slot zou er veel meer aandacht besteed kunnen worden aan human intelligence, de traditionele, maar inmiddels bijna vergeten competentie van geheime diensten.
Gezien de cruciale rol van encryptie voor beveiliging van burger, bedrijf en overheid is de fundamentele vraag nu of zij de vrijheid mogen behouden om geheim te houden wat zij geheim willen en moeten houden. NRC, en meer politici dan me lief zijn, vinden van niet en encryptie mag daarom niet absoluut zijn. De rechtstaat wordt er zelfs bijgehaald, die moet onder alle omstandigheden bewijs kunnen verzamelen. In dit principe kan ik me vinden - alleen niet tot elke prijs.
Die prijs is dat encryptie absoluut moet zijn. Verzwakking ervan betekent onvermijdelijk dat onze burgers en bedrijven de mogelijkheid wordt ontnomen zich goed te beveiligen. Die vrijheid gaat af door de achterdeur. Wie zich de consequenties hiervan realiseert, kan niet anders dan concluderen dat deze vrijheid niet verkwanseld mag worden.
Ten onrechte stelt NRC dat deze discussie in de kern gaat om absolute privacy of niet. Die kern is echter: mogen we ons goed beschermen tegen de partijen waar de overheid nota bene zelf, met recht en reden, voor waarschuwt. Of niet?