ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen?
Antwoord: Van tijd tot tijd krijgen overheden het inderdaad in hun hoofd dat het een goed idee zou zijn om sterke en dus niet-aftapbare encryptie te verbieden of aan banden te leggen. Het niet kunnen meelezen met digitale communicatie is voor inlichtingen- en opsporingsdiensten nogal vervelend.
Dat zo'n wet een sterke negatieve invloed heeft op de beveiliging, staat buiten kijf. De technische feature van een achterdeur is neutraal: iedereen met de juiste toegang kan deze gebruiken, of hij daar nu toe gerechtigd is of niet.
Tegen ongeautoriseerde toegang hebben we sinds 1 januari een Wet meldplicht datalekken. Deze is breder dan enkel melden: ook op het niet goed op orde hebben van je beveiliging staan nu boetes. Moedwillig een achterdeur inbouwen kan daarmee in strijd zijn. Je verzwakt dan de beveiliging en maakt misbruik mogelijk.
Echter, hier zou het dan gaan om een wettelijk voorgeschreven achterdeur. Enkel het hebben van die achterdeur zal dan geen strijd met deze beveiligingseis opleveren. Wetten kunnen niet met elkaar in strijd zijn, is de gedachte daarachter: als er toch strijd lijkt te zijn, moet je gaan puzzelen hoe je de wetten met elkaar in overeenstemming kunt lezen.
Ik zie daar wel ruimte voor: die achterdeur moet er dan komen en dat is dan niet strijdig met je beveiligingsplicht of datalekmeldplicht. Gebruik daarvan door bevoegde opsporingsambtenaren is dan geen datalek, dat is dan immers wettelijk toegestaan en dus geen misbruik of ongeautoriseerd gebruik.
Natuurlijk moet je dan ook die achterdeur goed beveiligen (organisatorisch en technisch) tegen wél ongeautoriseerd gebruik. Dat is lastig en duur, maar dat is dan een onvermijdelijk uitvloeisel van een wettelijke plicht.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.