Gevaarlijke encryptiewetgeving

Op 1 oktober 2007 is in het Verenigd Koninkrijk een wet in werking getreden die de overheid het recht geeft om burgers te verplichten encryptiesleutels te overhandigen. Wie dat weigert kan een gevangenisstraf tot vijf jaar oplopen. Deze sleutels kunnen worden opgevraagd wanneer dit noodzakelijk is voor misdaadpreventie, misdaadbestrijding, het nationaal economisch belang of de nationale veiligheid. Zo'n beetje altijd dus.
De nieuwe wet is tegelijk wél en geen verrassing. Eind november bekende de voorzitter van de Duitse federale politie nog dat zijn politiediensten niet bij machte zijn om versleutelde Skype-gesprekken af te luisteren. Het mag daarom niet verbazen dat een overheid die technisch niet meer in staat is om gesprekken af te luisteren, zijn toevlucht zoekt tot juridische maatregelen.
Toch komt de nieuwe wet wel degelijk als een verrassing. Vele landen hebben hun encryptiebeleid namelijk in de loop der jaren aanzienlijk versoepeld, om zo de elektronische handel en het gebruik van elektronische documenten aan te moedigen. Het Verenigd Koninkrijk slachtoffert de encryptievrijheid dus ten voordele van het antiterrorismebeleid, wat voor mij een weinig lovenswaardige evolutie is.
Enkele weken na de inwerkingtreding van de nieuwe wet, heeft zich al een fraai geval aangediend van de dilemma's waartoe dit kan leiden. Een Engelse dierenrechtenactiviste werd verplicht om, op grond van de wet, binnen de twaalf dagen de sleutel te overhandigen van een geëncrypteerd bestand dat op haar computer werd aangetroffen. De activiste beweert nu dat het bestand door iemand anders op haar computer moet zijn geplaatst, al was het maar omdat zij de technische kennis zou ontberen om met versleutelingsprogramma's om te gaan. Als ze de sleutel inderdaad niet kan overhandigen, wacht haar eventueel een gevangenisstraf. Ik zou niet graag in de schoenen van de rechter staan die moet oordelen over de geloofwaardigheid van deze verdediging.
Wat mij vooral zorgen baart, is dat de wet een loopje neemt met het verbod op zelfincriminatie, (het verbod om iemand ter verplichten tegen zichzelf te getuigen). Dat verbod is een essentieel beginsel van het strafrecht, op grond waarvan een verdachte bijvoorbeeld ook het recht heeft om te zwijgen tijdens een strafonderzoek. De Engelse wet vormt dus een gevaarlijk precedent, waarvan ik hoop dat de andere landen het voorbeeld niet zullen volgen.
Voor alle duidelijkheid: in flink wat Europese landen bestaat de verplichting wachtwoorden te overhandigen. Die verplichting geldt voor alle personen waarvan de onderzoeksrechter vermoedt dat zij over een bijzondere kennis beschikken van de (toegang tot) computers of netwerken die onderzocht worden. Die verplichting is weliswaar breder dan het louter overhandigen van encryptiesleutels (bijvoorbeeld ook het bedienen van een specifiek computersysteem), maar kan niet worden opgelegd aan de verdachte zelf. Dat is kortom want anders. Maar wie geen verdachte is in een strafonderzoek en zijn medewerking weigert, kan daarvoor wel gevangenisstraf en/of een boete krijgen. U bent dus gewaarschuwd.

Prof. Dr. Patrick Van Eecke