Internet niet langer immuun voor opsporing

Niet veel burgers zullen tijd vinden om de versie 3.0 van de Wet op de Computercriminaliteit te lezen, die het kabinet begin deze maand naar de Kamer stuurde. In de kranten dook het op onder de noemer ‘terughacken’. De overheid wil heimelijk kunnen inbreken op computers om hackers te pakken en te blokkeren. Overal ter wereld, maar liefst.

Ook beleefde de term ‘ontsleutelplicht’ zijn publieksdebuut. Verdachten met een laptop vol geheime bestanden moeten een ‘decryptiebevel’ krijgen. Wie weigert moet drie jaar de cel in. Dan gaat het dus niet (alleen) om misdaad in de virtuele wereld, maar ook in de echte. Moord, drugshandel, milieudelicten, wapenhandel, financiële fraude, mensenhandel.

Tot zover dus ook het onschuldbeginsel: niemand is (wordt: was) verplicht bewijs te helpen verzamelen tegen zichzelf. Weliswaar beperkt dit wetsvoorstel de ontsleutelplicht nog tot verdachten van terreur en kinderporno, maar het kabinet gaat hier over een grens. Er wordt al vijftien jaar over gevochten, maar nu is de teerling toch geworpen.

De ontwikkelingen in de technologie gaan zo snel en zijn kennelijk zo bedreigend voor de rechtsorde dat de staat meer bevoegdheden vraagt. Wie de 89 pagina’s memorie van toelichting leest, kan er een eind in mee gaan. Althans, als beroepsscepticus kan zelfs ik het me voorstellen. De digitale wereld is vrijwel ondoordringbaar en onbereikbaar aan het worden – die totale vrijheid wordt een bedreiging. Justitie kan bijvoorbeeld internettelefonie (Skype) niet afluisteren: het bedrijf zit in het buitenland en de datastroom is versleuteld. Hetzelfde geldt voor Gmail, Twitter, WhatsApp. De algemeen gebruikte cloud computing is ook een probleem – daarbij worden bestanden opgeslagen op servers waarvan niet bekend is in welk land die zich bevinden. Er blijken inmiddels zogeheten ‘kogelvrije aanbieders’ te bestaan die speciale ‘anti forensische’ IT diensten leveren aan kwaad willenden. Denk aan cryptografieprogramma’s als TrueCrypt waarmee de inhoud van complete harde schijven onzichtbaar gemaakt kan worden.

Alle Europese landen breidden inmiddels hun digitale zoek- en luisterbevoegdheden al uit, over hun landsgrenzen. Er is een inhaalslag gaande, met Nederland niet echt in de voorhoede. Dit kabinet maakte recent een golf aan cyberaanvallen op banken en overheidsdiensten mee. Deze week was het weer prijs bij rijksoverheid.nl Denk ook aan de zaak Robert M. Die gaf zijn wachtwoorden vrijwillig af. Maar had hij dat niet gedaan, dan was een succesvolle vervolging niet gegarandeerd. Interessante ironie: het nieuwe ontsleutelbevel in de wet is dus uitgelokt door een verdachte tegen wie het niet gebruikt zou hoeven worden. Maar die wel de lacune in de wet aantoonde.

Dit ‘Geef je wachtwoord’ bevel gaat verder dan de plicht voor burgers om te blazen, bloed of DNA af te staan. De tot nu toe aanvaarde inperkingen op het recht om de staat niet te helpen bewijs tegen je te verzamelen. Dit is iets anders: een plicht als verdachte om je iets te herinneren en dat te vertellen. Wachtwoorden, locaties of bestandsnamen, een virtuele kluis of datacontainer openen. Daarmee gaan het onbeperkte zwijgrecht en de verklaringsvrijheid over boord. De ‘ontsleutelplicht’ is nu nog alleen voor kinderporno- en terreurverdachten. Maar dat zal wel snel worden uitgebreid, als het bevalt. Zo gaat het meestal.

Het lijkt me overigens nog lastig om iemand te veroordelen die zijn encryptiesleutel is vergeten. Wat gebeurt er bij de spreekwoordelijke ‘drie mislukte pogingen’? Automatisch drie jaar cel? Na een weekje vakantie ben ik ook wel eens een wachtwoordje kwijt. Maar misschien kunnen terreur- of kinderporno geïnteresseerden zich beter concentreren.

Verder wil de politie op afstand kunnen volgen welke toetsen een verdachte op zijn computer aanslaat, zijn bestanden heimelijk kunnen doorzoeken, opnames maken, de webcam en de GPS locatiezoeker inschakelen. Dat is nieuw – nu luistert de politie alleen maar verbindingen af. Straks nestelt de staat zich in apparaten zelf, met eigen programma’s, spionnetjes en openstaande achterdeurtjes.

Dat alles geldt voor ‘geautomatiseerde werken’ – laptops, pc’s, smartphones, navigatie en al die apparaten die op internet zijn aangesloten. Dat kan ook de auto zijn, de internetradio of digitale energiemeter. Het grondrecht op vertrouwelijke communicatie verliest dus grond onder de voeten. Natuurlijk, onder strikte voorwaarden, getoetst door de rechter-commissaris, zo beperkt mogelijk en alleen if all else failed – maar de wondere tijd van internet als overheidsvrije zone is voorbij.

Zelf bekijk ik mijn ‘geautomatiseerde werken’ nu met andere blik. Een webcam is snel af te plakken – en mijn archief heb ik eigenwijs op een (externe) harde schijf. In de moderne virtuele wereld is dat zo’n beetje de oude datasok. Mij sprak die ‘cloud’ nooit zo aan. Al mijn geheime stukken ergens in de VS in een datacenter, waarom eigenlijk? Voor je het weet krijgt de FBI belangstelling. En de politie die mijn telefoongesprekken laat opnemen en doorsturen? Die mijn GPS locatiezoeker inschakelt, een ‘bug’ installeert, of spyware die de harde schijf afsnuffelt en justitie bijpraat? Daar moet ik nog eens over nadenken.

Folkert Jensma

De auteur is juridisch redacteur en schrijft deze rubriek wekelijks. T: @folkertjensma