Een verbod om te fluisteren... 4.2b

Het Nederlandse voorontwerp en de kritieken

Hoofdlijnen
Soms is cryptografie onontbeerlijk voor overheid en private personen. (Waar gesproken wordt over personen wordt daaronder steeds mede begrepen rechtspersonen.) Deze nieuwe wet regelt enerzijds wie er verlof krijgt cryptografie te gebruiken of aan te bieden, anderzijds welke systemen er toegelaten worden en wie ze op de markt mag brengen.

Voor particulieren komt er een vergunningensysteem. De overheid verleent "verlof" voor het gebruiken van toegelaten cryptografie en men moet aannemelijk kunnen maken dat men die nodig heeft met het oog op een gerechtvaardigd belang. Men denke daarbij bijvoorbeeld aan bedrijven die gevoelige informatie uitwisselen met een dochteronderneming. Overheidsorganen of organen met andere publieke taken worden bij ministeriële regeling vrijgesteld van de vergunningplicht.

Handhaving van het verbod op gebruik van cryptografie is illusoir als niet tegelijkertijd het aanbod aan banden wordt gelegd. Er is veel cryptografie vrij verkrijgbaar en "voor een deel is dit alleszins gerechtvaardigd". Er wordt gesuggereerd dat de huidige, vrij verkrijgbare vormen van cryptografie aan particulieren een redelijke bescherming bieden, terwijl ze voor de criminaliteitsbestrijding slechts soms een probleem vormen.

Daarnaast hebben sommige vormen van cryptografie, zoals de elektronische handtekening, een dusdanig groot economisch belang dat ze niet verboden worden. Toelating is echter slechts mogelijk als het desbetreffende algoritme en informatie over het systeem bekend zijn bij een nieuw op te richten centraal beheersorgaan. Ook is toelating mogelijk als het cryptografie-systeem "naar zijn aard niet kan worden aangewend om berichten onbegrijpelijk te maken". Toelating hangt af van de stand van de techniek, en zal mede bepaald worden door "een evaluatie van de desbetreffende vorm van cryptografie". Het ministerie van Verkeer en Waterstaat wijst een instituut aan dat een dergelijke evaluatie zal uitvoeren. Dat instituut is niet hetzelfde als het beheersorgaan.

Het beheersorgaan
Het Ministerie van Verkeer en Waterstaat roept een beheersorgaan in het leven. Dit orgaan is belast met het beheer van informatie over cryptografische systemen en algoritmen in verband met aanvragen voor toelatingen en machtigingen. Officiële afluisteraars moeten met de aan hen verleende toestemming van de rechter-commissaris langs dit orgaan om aan te tonen dat het gaat om opsporing van strafbare feiten. Geheime diensten moeten de handtekeningen van vier ministers²⁴ meenemen om te laten zien dat ze toestemming hebben. In ruil daarvoor krijgen ze de bij het beheersorgaan beschikbare informatie. Aftappen uit de ether mag overigens zonder al deze waarborgen.

De minister van Verkeer en Waterstaat is slechts beperkt verantwoordelijk voor dit orgaan, hij zal zelf niet alle informatie over cryptografische systemen ontvangen. Het orgaan heeft de rol van een zogenaamde trusted third party. Informatie over sleutels wordt slechts gegeven op voorwaarde dat die kennis "niet verdergaand bekend wordt dan strikt noodzakelijk". De desbetreffende overheidsdienst c.q. afluisteraar moet de sleutels vernietigen na gebruik. Overheidsorganen die zijn vrijgesteld, kunnen niet verplicht worden informatie over hun systemen bij het beheersorgaan neer te leggen. Er kunnen eventueel ook andere organen in het leven geroepen worden die een zelfde rol spelen als het beheersorgaan van de overheid.

Geheimhouding.
Mocht de aanvraag voor een vergunning tot gebruik van cryptografie worden afgewezen, dan is er de mogelijkheid tot beroep bij het College van Beroep voor het Bedrijfsleven. Bij een afwijzing kunnen echter overwegingen aan de orde komen die in een concreet geval niet alle ter kennis van de eiser kunnen worden gebracht.²⁵ De vraag rijst dan of het beginsel van de inwendige openbaarheid van het procesdossier (de mogelijkheid voor de eiser om van de inhoud daarvan kennis te nemen), dit toelaat. Art. 8.29 van de Algemene Wet Bestuursrecht opent weliswaar de mogelijkheid dat alleen de rechter inzage krijgt, indien daarvoor gewichtige redenen zijn, zodat deze op grond van wat hij gelezen heeft uitspraak kan doen, echter, deze constructie vereist de toestemming van de eiser.

Een andere vraag is, hoe gecontroleerd kan worden of afluisterende opsporingsbeambten zich aan de wet hebben gehouden. Bij het vermoeden van onrechtmatig verkregen bewijs is het aan de rechter om nader onderzoek te laten doen door de rechter-commissaris. De rechter zou vragen van de verdediging aan de afluisteraars kunnen stellen zonder dat de verdedigende partij daarbij aanwezig is. De Memorie van Toelichting maakt hier een vergelijking met de anonieme getuige.

Handhaving
Handhaving is een bijzonder punt van zorg. Als de overheid het af laat weten, zullen met name die personen tegen wie de regelgeving zich richt, geneigd zijn zich minder aan de regels te houden. Daarom is een aantal bepalingen opgenomen om een doeltreffende handhaving te verzekeren. Het aanbod van cryptografie, voor zover deze niet is toegelaten, is gereguleerd. Dit betreft zowel de in hardware ingebouwde cryptografie, als cryptografie aangeboden als software. De machtiging tot gebruik is gekoppeld aan de beschikbaarheid van informatie over de gebruikte cryptografie, inclusief het gebruikte algoritme. Wie een machtiging heeft moet inzage geven in een volgens vastgestelde regels bijgehouden administratie. Hiermee heeft de wetgever vooral bedrijven op het oog. De sanctie op niet naleving van deze regels kan de beëindiging van de bedrijfsvoering zijn.

Het gebruik van illegale cryptografie wordt aldus teruggedrongen door beperking van het aanbod. Aanbieders van verboden cryptografie als dienst lopen het gevaar van intrekking van de machtiging. Andere mogelijkheden zijn het in beslag nemen van apparatuur, een administratieve boete opleggen of het voor maximaal drie dagen afsluiten van de communicatielijn. Bij communicatie door de ether mag de niet-toegestane cryptografie worden gestoord.

Internationale aspekten
Het in bezit hebben van buitenlandse apparaten met niet toegestane cryptografische voorzieningen is onder de nieuwe wet zonder meer strafbaar. Hetzelfde geldt voor het in bezit hebben van gegevensdragers met cryptografische software. Anders is het met de buitenlander die via internationale netwerken cryptografie aanbiedt, hetzij als bruikbare software, hetzij als dienst. Blijkens bestaande jurisprudentie is het mogelijk dat men zich in het buitenland bevindend, hier te landen een misdrijf pleegt. Door tussenkomst van een instrument kan men immers handelen op een andere plaats dan waar men zich bevindt. Het instrument is in dit geval telecommunicatie met behulp waarvan in Nederland cryptografie ter beschikking wordt gesteld. Ook al ligt de oorsprong van de cryptografie in het buitenland, de gevolgen daarvan doen zich in Nederland gevoelen en men is in Nederland strafbaar.