Dinsdag 25 maart 2014

Het decryptiebevel

Versleuteling, ook wel encryptie genoemd, is het gebruik van een technisch middel (vaak software) om digitale informatie onleesbaar te maken voor onbevoegden. Het kan gaan om versleuteling van transactiegegevens door een bank, maar ook om plannen voor een terroristisch misdrijf. Dit spanningsveld geeft al aan dat gebruik van dit middel twee kanten heeft. De kracht van deze techniek wordt ook gevoeld bij de opsporingsdiensten waar men in toenemende mate versleutelde internetcommunicatie en computerbestanden aantreft. Met die ontwikkeling ontstaat er een spanningsveld tussen enerzijds het effectief kunnen opsporen van strafbare feiten, en anderzijds het recht van de verdachte om niet mee te hoeven werken aan zijn eigen veroordeling.

De minister van Veiligheid en Justitie, Ivo Opstelten, heeft dit probleem erkend en in het voorjaar van 2013 een wetsvoorstel ingediend dat dit probleem zou moeten oplossen. 1Wet computercriminaliteit III In dit artikel wordt gekeken naar de belangen die hier spelen en naar de vraag of het tijd is voor een omslag.

Het voorstel
Hoewel het Wetboek van Strafvordering ook nu al bepalingen bevat die kunnen helpen in dergelijke situaties, is de verdachte daar nog van uitgezonderd. 2Artikel 125k lid 3 Wetboek van Strafvordering Het voorstel bevat, naast een aantal andere verruimingen met betrekking tot opsporingsbevoegdheden, een mogelijkheid tot strafbaarstelling van het niet meewerken aan een decryptiebevel. Het doel van het wetsvoorstel is dat een verdachte kan worden gedwongen om het Openbaar Ministerie (OM) toegang te verschaffen tot zijn versleutelde informatie. Het gaat in dit geval vooral om zware misdrijven als terrorisme en het in bezit hebben of aanbieden van kinderpornografie. Het niet meewerken aan een dergelijk bevel wordt strafbaar gesteld met een gevangenisstraf van ten hoogste drie jaar. In theorie is een dergelijke sleutel, net als een fysieke kluis, weliswaar te kraken maar in de praktijk en met de huidige stand van techniek zal dit in veel gevallen enkele duizenden jaren duren. Kortom, de medewerking van de verdachte, en daarmee eventueel een aanpassing van wetgeving, is absoluut nodig om toegang tot de informatie te verkrijgen.

Maatschappelijk belang
Er zal weinig begrip zijn voor een pedofiel die door middel van versleuteling een veroordeling ontloopt. Maatschappelijk gezien bestaat voor dergelijke praktijken weinig tolerantie en die categorie van misdrijven is dan ook strafbaar gesteld. Toch is het voor deze daders relatief eenvoudig om met versleuteling zand in de machine van het OM te strooien. Een bekend voorbeeld is de Amsterdamse zedenzaak omtrent Robert M. De inmiddels veroordeelde M. maakte gebruik van encryptie om de verboden bestanden voor de buitenwereld te verbergen. Tijdens het proces heeft hij overigens vrijwillig meegewerkt aan het ontsleutelen van zijn bestanden. 3http://www.om.nl/actueel-0/strafzaken/amsterdamse/@154783/stand_van_zaken/ Voor tegenstanders is dit een reden geweest om te twijfelen aan de noodzakelijkheid van een dergelijk bevel. Er zijn ook internationaal gezien nog geen algemeen geaccepteerde maatstaven om bij aan te sluiten omdat digitalisering en computercriminaliteit relatief nieuwe verschijnselen zijn.

Niet meewerken aan eigen veroordeling
Tegenover het opsporingsbelang staat de bescherming van de rechten van de verdachte. De huidige Nederlandse wetgeving bepaald dat een verdachte niet mee hoeft te werken aan zijn eigen veroordeling. Dit staat bekend als het nemo-teneturbeginsel, en wordt onder andere ingelezen in artikel 6 lid 1 van het Europees Verdrag inzake de Rechten van de Mens (EVRM). Hoewel het daar niet letterlijk staat beschreven, is uit de zaken Funke, Murray en Saunders gebleken dat het nemo-teneturbeginsel wel degelijk bestaat in de Europese rechtspraak. 4NJ 1993/485, NJ 1996/725, BNB 1997/254 Uit de aangehaalde rechtspraak is gebleken dat het beginsel bestaat, maar dat de toepassing daarvan vrij casuïstisch is. Mede hierdoor heeft de minister besloten hier nogmaals onderzoek naar te laten doen. Met betrekking tot het nemo-teneturbeginsel kan het gaan om het niet verplicht beantwoorden van vragen, maar ook om het niet verstrekken van de sleutel die nodig is om de versleuteling van de betreffende informatie ongedaan te maken. Kenmerkend in dit geval is dat het niet gaat om een fysieke sleutel die aan de sleutelbos hangt, maar om een stukje informatie die bestaat in de geest van diegene die de versleuteling toepast. In tegenstelling tot een vingerafdruk of een alcoholtest, is deze informatie niet zo eenvoudig te verkrijgen.

Effectiviteit
Een belangrijke vraag die bij iedere uitbreiding van bevoegdheid en beperking van vrijheden gesteld moet worden, is of de voorgestelde maatregelen wel effectief zijn. Met betrekking tot het decryptiebevel zijn er een aantal kanttekeningen te plaatsen. In de eerste plaats is het niet ondenkbaar dat een verdachte zijn gekozen wachtwoord is vergeten. Dit betekent dat hij onmogelijk mee kan werken aan een gegeven bevel om zijn sleutel af te staan of toegang te verlenen. Moeten deze verdachten daarvoor gestraft worden? Tevens is het technisch gezien mogelijk om versleutelde bestanden te ‘verstoppen’. 5http://www.truecrypt.org/docs/plausible-deniability Verdachten kunnen dan een sleutel afstaan of toegang geven tot een (onschuldig) deel van de versleutelde bestanden zonder dat het OM kan aantonen dat er nog andere informatie is dat niet is vrijgegeven. Tot slot kan er een situatie ontstaan waarin een verdachte een veroordeling voor het niet meewerken aan een decryptiebevel op de koop toe neemt om daarmee een zwaardere veroordeling te voorkomen.

Waarborgen
Wanneer er wordt getornd aan iets fundamenteels als het nemo-teneturbeginsel, dan zal eventuele inbreuk met voldoende waarborgen moeten zijn omkleed om misbruik te voorkomen. Mocht het zo ver komen dat een decryptiebevel met een hoge mate van dwang daadwerkelijk kan worden gegeven, dan moet er met betrekking tot waarborgen bijvoorbeeld worden gedacht aan een schriftelijk bevel, toegang tot een advocaat, een bevoegdheid van de rechter om materiaal alsnog uit te sluiten van bewijs en toezicht door een onafhankelijk toezichthouder. 6Koops, B.J, Het decryptiebevel en het nemo-teneturbeginsel, Den Haag: WODC 2012.

Conclusie
Het is niet de eerste keer dat dit onderwerp aandacht krijgt. Reeds in 1998 werd een voorstel geïntroduceerd om deze bevoegdheid in de wet op te nemen. Destijds is het snel gesneuveld. In 2000 is er vervolgens een uitgebreid onderzoek gedaan waaruit is gebleken dat het decryptiebevel niet verenigbaar is met het nemo-teneturbeginsel. 7Koops, B.J, Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur? Verschenen in: ITeR, 31. Deventer: Kluwer 2000 Recent is er een nieuw rapport uitgekomen om aan de hand van nieuwe ontwikkelingen, rechtspraak en technieken opnieuw te bekijken of er mogelijkheden zijn voor een decryptiebevel. 8Koops, B.J, Het decryptiebevel en het nemo-teneturbeginsel, Den Haag: WODC 2012.Ditmaal luidt de conclusie dat een dergelijk bevel onder bepaalde strenge voorwaarden niet onverenigbaar is met het nemo-teneturbeginsel. Het lijkt er dus op dat er met de verandering van tijd en techniek een zekere verschuiving plaatsvindt. Toch is het momenteel alles behalve duidelijk of een dergelijk voorstel ooit tot wet zal verworden. Het internet en de techniek zullen blijven veranderen. De vraag is of een afdoende oplossing wel mogelijk is. De tijd zal het leren.

 

 

   [ + ]

1. Wet computercriminaliteit III
2. Artikel 125k lid 3 Wetboek van Strafvordering
3. http://www.om.nl/actueel-0/strafzaken/amsterdamse/@154783/stand_van_zaken/
4. NJ 1993/485, NJ 1996/725, BNB 1997/254
5. http://www.truecrypt.org/docs/plausible-deniability
6, 8. Koops, B.J, Het decryptiebevel en het nemo-teneturbeginsel, Den Haag: WODC 2012.
7. Koops, B.J, Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur? Verschenen in: ITeR, 31. Deventer: Kluwer 2000