Wetsvoorstel tegen elektronische geheimtaal

AMSTERDAM, 24 MAART. Computergebruikers die hun elektronische berichten willen versleutelen met een geheime code, mogen dit alleen als ze de sleutel om het bericht te ontcijferen deponeren bij een speciaal orgaan. Dit orgaan kan de code verstrekken aan politie en veiligheidsdiensten, om deze in staat te stellen het elektronisch berichtenverkeer af te tappen. Politie en veiligheidsdiensten zijn bang dat criminelen en terroristen dankzij moderne coderingstechnieken voortaan ongestoord met elkaar kunnen communiceren, zonder dat de autoriteiten hun berichten via het aftappen van de telefoon kunnen meelezen of afluisteren.

Het verbod op het toepassen van elektronisch geheimschrift zonder toestemming van de overheid vormt de kern van een nog vertrouwelijk voorontwerp van wet tot wijziging van de Wet op de telecommunicatievoorzieningen. Het verbod geldt zowel coderingen die met een computerprogramma worden aangebracht als coderingen die in apparatuur (zoals telefoontoestellen en faxen) is ingebouwd. Het voorontwerp is nog niet door het kabinet goedgekeurd.

Het coderen van berichten is heel gebruikelijk in het elektronisch gegevensverkeer. Die codering moet voorkomen dat onbevoegden door het aftappen van de telefoonlijn over de verzonden gegevens zouden beschikken. Zo wil een bank die gegevens over een transactie naar een andere bank stuurt per se voorkomen dat derden kunnen meelezen. Veel elektronisch geheimschrift is door deskundigen met krachtige computers vrij gemakkelijk te ontcijferen. De wachtwoordbeveiliging op WordPerfect-documenten is bijvoorbeeld in een fractie van een seconde te kraken. Daarover maken politie en veiligheidsdiensten zich geen zorgen. Maar tegenwoordig zijn er ook coderingsmethoden die zo goed zijn dat het gecodeerde bericht zonder wachtwoord absoluut niet meer is te ontcijferen, zelfs niet door de beste deskundigen met de snelste computers. Als het voorstel wet wordt, wordt absolute beveiliging van berichtenverkeer verboden, ook voor banken en andere bedrijven, voor ziekenhuizen en voor gewone burgers.

Minister Hirsch Ballin (justitie) heeft reeds op Prinsjesdag een wettelijke regeling bepleit om het aftappen ten behoeve van justitie en de staatsveiligheid in de toekomst te waarborgen. De overheid stuit tegenwoordig volgens hem steeds vaker op het gebruik van cryptografie. Het nu opgestelde wetsontwerp is geïnspireerd op de In- en uitvoerwet. Deze is vooral bekend geworden door beperkingen op computerexport naar het toenmalige Oostblok. De dreiging uit het Oosten is niet meer wat zij geweest is. Maar de toelichting op de wet noteert dat particulieren, en daarmee criminelen, over dezelfde strijdmiddelen gaan beschikken als “voorheen mogelijk vijandige mogendheden”. Dan moeten ze ook overeenkomstig worden behandeld, aldus de minister.

Volgens het voorontwerp wordt zowel het zonder vergunning voorhanden hebben als het aanbieden van cryptografie verboden. Met name de controle op het aanbieden wordt gezien als een middel om illegaal gebruik terug te dringen. Het vergunningstelsel geldt in beginsel voor encryptie die wordt toegepast in de telecommunicatie, maar toch valt de beveiliging van alleenstaande computers er ook onder. Het gaat daarbij wel om nieuwe snufjes: methoden en apparaten die nu reeds algemeen verkrijgbaar zijn zullen in beginsel vrij beschikbaar blijven. Particulieren krijgen alleen een vergunning wanneer zij een “gerechtvaardigd belang” aannemelijk kunnen maken. Zonodig zullen hun antecedenten worden nagetrokken. Verder wordt de sterkte van de gewenste encryptiemethode bij de beoordeling van de vergunningaanvraag betrokken. Allerlei overheidsdiensten kunnen overigens een vrijstelling krijgen.

De Raad van Centrale Ondernemingsorganisaties (RCO) heeft grote bezwaren tegen het encryptieverbod. De ondernemers zijn het ermee eens dat de georganiseerde criminaliteit bestreden dient te worden, maar vinden dat een zwaar vergunningsstelsel zijn doel voorbij schiet. Principieel gezien behoort het tot de grondwettelijk gegarandeerde communicatievrijheid dat een ieder op zijn eigen wijze gebruik maakt van de moderne techniek. Praktisch gezien vormt een algemeen verbod van cryptografie een enorme barrière voor het economisch benutten van die moderne techniek, aldus de ondernemersorganisaties.

Beveiliging van elekronisch berichtenverkeer is voor het bedrijfsleven van groot belang, zeker in internationaal verband. Inbraak in computernetwerken - voor de sport, voor fraude of bedrijfsspionage - vormt in toenemende mate een bedreiging. Veel elektronische netwerken voor zakelijke transacties (EDI - Electronic Data Interchange) zijn rechtstreeks afhankelijk van cryptografie, bijvoorbeeld om de 'elektronische handtekening' bij opdrachten veilig te stellen. In verband met juridische aansprakelijkheid is cryptografie steeds meer een vereiste.

De toelichting bij de nieuwe wet erkent het belang van computerbeveiliging en zegt oog te hebben voor het gebruik van cryptografie om de integriteit of de herkomst van berichten te waarborgen, inclusief de elektronische handtekening. Toch dient de wetgever vast te houden aan inperking van de vrije verkrijgbaarheid, aldus de minister. De bezwaren van de RCO hebben wel geleid tot het instellen van een onderzoek onder driehonderd grote en kleinere ondernemingen naar de mogelijke effecten van de nieuwe wet. De resultaten worden volgende maand verwacht.

Veel onduidelijkeheid bestaat nog over het verplichte depot van codesleutels. Volgens het voorontwerp krijgen politie en veiligheidsdiensten daar niet rechtstreeks de beschikking over, maar kunnen ze terecht bij het speciale beheersorgaan, dat komt te vallen onder de minister van verkeer en waterstaat. Dit orgaan moet beoordelen of aan alle wettelijke voorwaarden is voldaan, voordat het de gewenste informatie verstrekt. De rol ervan is echter niet geheel duidelijk. Het wordt betiteld als een 'trusted third party' met een zelfstandig oordeel. Aan de andere kant maakt de wet duidelijk dat in geval van een botsing van belangen tussen burger en overheid de beslissing bij de minister ligt en niet bij het nieuwe orgaan. Hoe moet dit trouwens beoordelen of er sprake is van een gerichte zoekactie en niet van een min of meer willekeurige visexpeditie door de overheid in particuliere computersystemen? Ook het vereiste van een gerechtvaardigd belang bij de toewijzing van vergunningen schept nogal wat ruimte voor overheidsbemoeienis met particulier berichtenverkeer.

Deze kwestie speelt ook in andere landen, onder meer in de Verenigde Staten. Maar daar is de regering-Clinton vooralsnog niet verder gegaan dan het propageren van de zogeheten Clipper Chip (een mathematisch sterke versleutelmethode die toch toegankelijk blijft voor de veiligheidsdiensten) als een algemene standaard voor particulier gegevensverkeer. Het ligt niet in de bedoeling Clipper verplicht te stellen, verzekerde een medewerker van het Witte Huis in een speciale boodschap op Internet, de 'oprit naar de elektronische snelweg' waarvoor de regering-Clinton zich zo sterk maakt. Het maakte weinig indruk, meldt de New York Times: activisten zijn een Internet-discussie begonnen over burgerlijke ongehoorzaamheid.

Mogelijkheden voor burgerlijke ongehoorzaamheid zijn er te over, rekende de Rotterdamse hoogleraar jurimetrie R.V. de Mulder eind vorig jaar voor in het Juristenblad. De moderne versleutelingstechniek maakt het mogelijk een bericht te verzenden dat er niet versleuteld uitziet. Voor iedere letter zijn er ongeveer 70 nodig om hem in een 'gewone' boodschap te verstoppen. Dat is niet veel omdat per telefoon tegenwoordig al gauw 1000 letters per seconde kunnen worden verzonden. Zelfs als justitie weet dat er tussen de regels hele andere boodschappen staan, valt dat niet te bewijzen.

Dit maakt het onwaarschijnlijk dat leden van criminele organisaties zich veel zullen aantrekken van een verbodsbepaling. Zo dreigen vooral goedwillende burgers de dupe te worden van de uitgebreide overheidsbemoeienis.

    • F. Kuitenbrouwer