Minister beantwoordt Kamervragen over OM en encryptie
Minister Van der Steur van Veiligheid en Justitie heeft Kamervragen van de PvdA beantwoord over de wens van het Openbaar Ministerie om toegang tot versleutelde informatie te krijgen. Eind augustus liet officier van justitie Martijn Egberts weten dat het OM de mogelijkheid wil hebben om versleutelde informatie na een bevel van de rechter te kunnen inzien. Encryptie maakt het volgens de officier moeilijker om op te sporen.
"Wat wij het liefste zouden willen is dat er, na een rechterlijke toetsing, toch een mogelijkheid is om aan een bedrijf te vragen om die informatie beschikbaar te stellen", aldus Egberts. Naar aanleiding van de uitspraken wilden Kamerleden Oosenbrug en Recourt weten of Van der Steur het ermee eens is dat end-to-end-encryptie nodig is om burgers en bedrijven veilig te laten communiceren.
Ook vroegen de PvdA-Kamerleden naar de mening van de minister over het toevoegen van extra encryptiesleutels of het juist moeten afstaan van encryptiesleutels om met end-to-end versleutelde berichten toch te kunnen lezen en de risico's die dit voor de veiligheid van het internet met zich meebrengt. Daarop stelt de minister dat de mening van het kabinet over versleuteling is weergegeven in het kabinetsstandpunt van eerder dit jaar. "Dit standpunt is sindsdien niet veranderd", stelt Van der Steur.
De PvdA-Kamerleden wilden ook weten welke Europese landen, anders dan Frankrijk en Duitsland, van mening zijn dat er beperkende maatregelen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie moeten komen. "Tijdens de Informele JBZ raad van 7 en 8 juni is er tijdens de lunch gesproken over encryptie, waarbij het Nederlandse standpunt is ingebracht", zegt Van der Steur (pdf). Hij noemt echter geen landen die encryptie zouden willen beperken.
De minister moest tevens zijn mening over de wensen van het Openbaar Ministerie geven en of hij daar tegemoet aan wil komen. "Ik onderschrijf het belang van rechtmatige toegang tot niet-versleutelde informatie ten behoeve van de opsporing. Ik wijs in dit verband ook op de indiening van het wetsvoorstel Computercriminaliteit III bij uw Kamer", antwoordt Van der Steur. Volgens de minister kan verder overleg met private partijen in bepaalde gevallen behulpzaam zijn.
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2016/01/04/tk-kabinetsstandpunt-encryptie/tk-kabinetsstandpunt-encryptie.pdf
Kort samengevat wordt het belang van sterke encryptie voor legitieme doeleinden onderkend, wordt onderkend dat backdoors en dergelijke het risico op verzwakken van de encryptie opleveren, wordt het belang van inlichtingen-, opsporings- en veiligheidsdiensten om wel toegang tot versleutelde data te kunnen krijgen daar tegenovergesteld, maar omdat er geen zicht is op goede oplossingen voor de risico's van beperkingen op encryptie is de conclusie voor dit moment dat encryptie niet beperkt moet worden.
Ik ben eigenlijk ook wel benieuwd hoe de Autoriteit Persoonsgegevens hierover denkt. Hoe kan de overheid de werkgevers hierin een 'wettelijke plicht' geven zonder dat je de deur voor iedereen open zet? Ik voldoe als werkgever dan toch niet meer aan de 'plicht' om de persoonsgegevens die ik verwerk dusdanig te beveiligen dat ik uit kan sluiten dat (de kans op) schade niet optreedt?
En let op hé mensen: De maximale boete staat nu op maximaal 820.000,- euro. Met de Europese Privacy Verordening die inmiddels reeds geaccepteerd is en van kracht gaat vanaf 2018 kan de boete oplopen tot 5% van de omzet of maximaal 100.000.000,-.
Bij end-to-end encryptie kan ik als werkgever zonder sleutel in ieder geval de informatie niet inzien. Dus hoe wil je 'encryptie' verzwakken? Dat is wiskundig gezien onmogelijk. Het enige waar ik mijzelf iets bij voor kan stellen is dat je bijvoorbeeld bij telefoons die met een pincode werken de functionaliteit 'tijdelijk' afhaalt waardoor het account niet na 3 pogingen geblokkeerd wordt, waardoor je een brute-force uit kan voeren. Je kan in Active Directory ook de tabel met wachtwoorden overrulen, door als beheerder zelf een wachtwoord op te geven, wellicht dat dat een ideetje is.
Aan de andere kant: Ik ben geen voorstander van welke mogelijkheid dan ook en ik vertrouw de overheid hierdoor in zekere zin ook niet.
En let op hé mensen: De maximale boete staat nu op maximaal 820.000,- euro. Met de Europese Privacy Verordening die inmiddels reeds geaccepteerd is en van kracht gaat vanaf 2018 kan de boete oplopen tot 5% van de omzet of maximaal 100.000.000,-.
Klopt niet meer. Is inmiddels meermaals aangepast. Op het moment ligt de boete volgens mij op 20 miljoen of 4% van de jaaromzet van vorig boekjaar. Nog steeds veel, maar al een stuk minder dan 100miljoen.
Overigens heeft er ook een voorstel van 1 miljoen of 2% van de jaaromzet gelegen, gelukkig is dat van tafel gegooid. Non-compliance was dan voor mening multinational voordeliger geweest.
Let op. Die verordening is nu al van kracht. Alles wat je nu snel een eenvoudig kunt implementeren, moet je al realiseren. Uiteindelijk mag je de moeilijkste zaken rekken tot 28 mei 2018.
Zo heeft een Europese rechter bij een recente uitspraak al aangeven dat bepaalde onderdelen van de verordening nu al van kracht zijn omdat die zo eenvoudig te implementeren zijn.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
