Een verbod om te fluisteren... 4.3

Het Nederlandse voorontwerp en de kritieken

4.3 Het voorontwerp bezien vanuit bestuurlijk perspectief

In januari 1994 werd aan Prof. Dr. R.J. In 't Veld opdracht verleend om "(..) vanuit een bestuurlijke invalshoek onderzoek [te] verrichten naar de keuze van regulering van cryptografie ten principale, eventuele alternatieve beheersmogelijkheden met betrekking tot cryptografie, de inrichting van de ontwerpregeling zelf alsmede de gevolgen ervan, met de nadruk op handhaafbaarheid." Zijn advies verscheen op 31 maart 1994, onder de titel: Verborgen bericht.²⁶

De heer In 't Veld neemt, ten behoeve van zijn advies, als vooronderstelling in zijn rapport aan, dat wetgeving op het gebied van cryptografie noodzakelijk is. Zijn interpretatie van het doel van het voorontwerp van wet is de volgende:

"Ten behoeve van de criminaliteitsbestrijding en de bescherming van de staatsveiligheid bestaat de behoefte om buiten medeweten van en buiten medewerking van betrokkenen de inhoud van tussen A en B uitgewisselde boodschappen te kunnen begrijpen. Om de belangen van A en B te beschermen is een overheidsorgaan, dat met een zodanige taak is belast, alleen bevoegd om kennis te nemen van voornoemde boodschappen, als het daarvoor toestemming heeft gevraagd en verkregen van een tot het verlenen bevoegde instantie.²⁷ Indien voornoemde boodschap echter is versleuteld, kan de bevoegde instantie de inhoud van de boodschap niet begrijpen, of slechts tegen hoge kosten dan wel met een aanzienlijke vertraging decoderen en begrijpen. Daarom is het verlangen opgekomen om garanties te scheppen voor bevoegde overheidsorganen om tijdig te kunnen beschikken over de inhoud van verzonden bood schappen. Dit is mogelijk door ervoor te zorgen, dat geen versleuteling plaatsvindt of ervan verzekerd te zijn, dat het bevoegde orgaan zelf over de sleutel kan beschikken."

Aan de hand van deze interpretatie, wordt de uitvoering van de opdracht gebaseerd op de volgende drie vragen:
1) Binnen welke omgevingsfactoren moet het wetsontwerp vigeren?
2) Welke zal de vermoedelijke effectiviteit zijn van een wet zoals beschreven in het wetsontwerp?
3) Welke zal de verwachte efficiency zijn van een wet zoals beschreven in het wetsontwerp?

Het eerste punt van kritiek dat door In 't Veld genoemd wordt, is of de in het wetsontwerp gebruikte definitie van cryptografie wel houdbaar is. In het wetsontwerp is cryptografie gedefinieerd als: "een verzameling van opdrachten kennelijk bedoeld om gegevens automatisch te bewerken zodanig dat deze in geval van overdracht via telecommunicatie niet meer direct begrijpelijk of bruikbaar zijn, of, indien zij eerder zijn bewerkt, weer direct begrijpelijk of bruikbaar worden, voor zover deze opdrachten ter beschikking worden gesteld of zijn vastgelegd in een vorm dat zij voor onmiddellijk gebruik kunnen worden aangewend." Het woord "kennelijk" in deze definitie is kwetsbaar. Immers, zij die informatie overdragen hebben niet alleen belang bij vertrouwelijkheid, maar ook bij authenticiteit en integriteit van informatie. De programmatuur en andere hulpmiddelen om de authenticiteit en de integriteit te verzekeren is vaak dezelfde die gebruikt wordt om een bericht te versleutelen. Dit roept de vraag op, of het de bedoeling is van de wetgever om met deze definitie alle cryptografische technieken te verbieden, of dat de wetgever onderscheid wil maken tussen authenticatie en integriteitsbescherming enerzijds en encryptie anderzijds.

Ook de opmerkingen in de Memorie van Toelichting, dat nu algemeen verkrijgbare programma's vrij beschikbaar zullen blijven en dat bijvoorbeeld nieuwe tekstverwerkingsprogramma's met een encryptie-module wel onder deze regeling zullen vallen roepen vragen op. Er ontstaat een schemergebied tussen "echte" cryptografie en andere vormen van coderen en er is een mogelijk gevolg dat alle wat meer complexe software onder de regeling zou gaan vallen. Niet alleen zullen hierdoor de kosten van het stelsel tot verlenen van machtigingen en verloven onmiddellijk exploderen, maar het is ook niet voldoende duidelijk wat wel en wat niet tot cryptografie gerekend moet worden. Vanuit het oogpunt te streven naar goede wetgeving is het niet wenselijk om dit door de rechter te laten bepalen. Dit zou een onderschatting zijn van de onafhankelijkheid van de rechterlijke macht. De rechter zou met deze definitie wel eens kunnen komen tot een zeer onaangename verdeling van de bewijslast.

Indien het vergunningenbeleid tot stand komt en de terbeschikkingstelling van technieken door de overheid bepaald wordt, zullen deze technieken op het modernste niveau moeten liggen. Dat houdt in dat de overheid voldoende capaciteit zal moeten inzetten om technologisch bij te blijven.

Met de huidige stand van de techniek is het, onder andere bij banken, al normaal dat duizenden sleutels per dag gegenereerd worden om gegevenstransport te beveiligen. Indien de toegankelijkheid tot op een dergelijke manier versleutelde informatie gewaarborgd moet zijn, is het nodig dat de overheid toegang heeft tot alle informatieoverdracht van de bedrijven die ervan gebruikmaken. Dat levert hoge risico's op voor de betreffende ondernemingen.

Indien grote internationale ondernemingen met een Nederlandse vestiging vergunning krijgen voor het gebruik van cryptografie en, conform het wetsvoorstel, vrijgesteld zijn van directe controle, ontstaat het neveneffect dat juist deze bedrijven het doelwit kunnen worden van criminele infiltratie-pogingen. Daarnaast zullen in de schaduw van bonafide ondernemingen zich dubieuze ondernemingen kunnen gaan ophouden. Als aan alle banken een vergunning wordt verleend, geldt dat dan ook voor de Banco Ambrosiano met een bijkantoor in Nederland?

Ook de internationale omgeving waarin het Nederlandse initiatief tot wetgeving zich bevindt is van belang voor de effectiviteit van de wetgeving. De vraag kan gesteld worden of het zinvol is met het oog op de effectiviteit, dat Nederland met wetgeving komt op het gebied van cryptografie, terwijl de ons omringende landen zich, op Frankrijk na, onthouden hebben van wetgeving. Zelfs als alle andere landen zouden kiezen voor wetgeving op dit gebied zou de vormgeving van het wetsvoorstel waarvoor gekozen is een onevenredig grote aantasting van de economische belangen met zich mee kunnen brengen.

Verschillende partijen en organen hebben hun eigen belang bij de voorgestelde wetgeving. De belangrijkste spelers zijn het Openbaar Ministerie, de landelijke en regionale politiecorpsen en de Binnenlandse Veiligheidsdienst. De belangen van deze partijen zijn onder meer: de bestrijding van de criminaliteit en de bescherming van de staatsveiligheid. Daarnaast spelen de economische belangen van personen en organisaties, alsmede de privacybelangen van deze personen en organisaties een rol. Naast deze deelbelangen bestaat er ook een gezamenlijke interesse van betrokken partijen, te weten middels evenwichtige wetgeving vormgeven aan een democratische rechtsstaat. Deze belangen komen -uiteraard- niet overeen. Het is de vraag of in het voorliggend wetsvoorstel al die belangen wel voldoende in overweging zijn genomen. Het blijkt dat aan het belang van criminaliteitsbestrijding een onevenredig groot gewicht is toegekend. Vervolgens wordt het evenwicht weer hersteld, door de handhaving van de wet ter discretie aan de executieve te laten.

Een stelsel, waarbij een algemene verplichting geldt tot het aanvragen van een vergunning, maar waarbij het uitvoeringsregime niet gericht is op het nakomen van deze verplichting door alle betrokkenen, staat op gespannen voet met de beginselen van een rechtsstaat. Slechts wie verdacht is, is de klos. Dit riekt naar willekeur.

Samenvattend komt In 't Veld tot het oordeel dat het voorliggende wetsvoorstel wat betreft effectiviteit dubieus is en wat betreft efficiency evenmin gunstig te beoordelen is. Daarnaast zijn aan de uitvoering van het vergunningenstelsel zeer hoge kosten verbonden.

Tot slot schetst In 't Veld een alternatieve opzet: door cryptografie als dienst te laten aanbieden door telecommunicatie bedrijven, op een zodanige manier dat een bevoegd overheidsorgaan met medewerking van de telecom-operator berichten kan aftappen en vervolgens kan decoderen, kan een beter evenwicht bereikt worden dan in het huidige voorstel.

Voor ondernemingen die groot belang hebben bij de vertrouwelijkheid van informatieoverdracht zou een instantie als de Nederlands Bank of de Verzekeringskamer kunnen optreden als trusted third party voor het beheren van sleutels.