Massale dataopslag van het internetverkeer lijkt onafwendbaar in Europa, terwijl meer en meer overheden aandringen op het ontsleutelen van encryptie, zodat ze berichten kunnen inkijken. Paul De Hert (hoogleraar privacy en strafrecht) en Rosamunde Van Brakel (docent AI en criminologie, VUB) waarschuwen in een opiniebijdrage voor de Tijd dat op die manier onze privacy meer en meer wordt uitgehold.
► Oorspronkelijk bij tijd.be ►
Het recht op privacy op zich wordt nooit in vraag gesteld. Maar in de praktijk wordt het verder en verder aangetast, op vraag van de overheid. Zo zette het Europees Hof van Justitie onlangs de deur open voor de massale opslag van internetgegevens om illegale downloaders te betrappen. Magistraten vragen al jaren dat operatoren al uw internetgegevens bijhouden, zodat ze die indien nodig kunnen opvragen. Omdat het Europees Hof dergelijke massasurveillance al sinds 2014 verbiedt, bleven magistraten uit alle lidstaten het bestoken met detailvragen, in de hoop dat het ooit van mening verandert. Die slijtageslag begint dus stilaan te lonen. Een overwinning voor de magistratuur, die er geen gevaar voor de democratie in ziet.
Een andere privacyoorlog draait rond encryptie. Dat kennen we allemaal: bedrijven als WhatsApp, Telegram en Signal gebruiken end-to-endversleuteling (E2EE) als bescherming tegen hacking of het onderscheppen van berichten. Iedereen blij? Niet echt. De overheid, die weliswaar tegen hacken is, ziet hacking voor zichzelf wel zitten. Al jaren komen magistraten en beleidsmakers op de proppen met voorstellen om encryptie ‘hackbaar’ te maken voor de overheden, die we maar moeten vertrouwen.
Orwells ‘1984’
Mocht de overheid voorstellen om in elke woning camera’s met artificiële intelligentie op te hangen die de politie informeren als er kindermisbruik of een drugstransactie plaatsvindt, zouden de meeste mensen dat associëren met George Orwells klassieker ‘1984’. Toch roepen politie en beleidsmakers almaar meer op precies dat te doen. Weliswaar niet in de woning, maar evengoed in onze persoonlijke levenssfeer: online en op smartphones, waar een groot deel van ons persoonlijke leven verloopt.
Nationaal drugscommissaris Ine Van Wymersch heeft in het federaal parlement opgeroepen de wetgeving te versoepelen. Strenge regels rond privacy staan volgens haar een aanpak van drugscriminaliteit in de weg. Ook Europol pleit voor de mogelijkheid E2EE-encryptie te doorbreken. Om criminelen proactief op te sporen, wil de Europese politiedienst een sleutel krijgen om mee te lezen met alle berichten.
Een stap verder gaat een Europees wetsvoorstel dat serviceproviders zoals WhatsApp of Telegram wil verplichten onlinebeelden van kindermisbruik te detecteren (CSAM, ofwel Child Sexual Abuse Material). Volgens het voorstel moet elke telefoon daartoe overheidssoftware bevatten, die je gegevens nog voor ze worden versleuteld scant op illegaal materiaal of praktijken zoals grooming – het online benaderen van jongeren met slechte bedoelingen. Als de software iets verdachts ontdekt, wordt de politie direct gewaarschuwd. De politie wil dus niet alleen een sleutel om je data achteraf te bekijken, ze wil ook al vooraf kunnen controleren.
Foto van peuter in bad
Er bestaat geen wetenschappelijk bewijs dat die voorstellen de samenleving veiliger maken. Uit jarenlang onderzoek blijkt wel dat een sleutel creëren voor de politie álle versleutelde toepassingen – dus ook de beveiliging van kritieke infrastructuur en bankrekeningen – verzwakt. Omdat hackers dezelfde sleutel kunnen misbruiken, leidt het uiteindelijk tot een toename van cybercriminaliteit. Bovendien zullen zware criminelen en terroristen sowieso hun eigen cryptotechnologie en nieuwe beveiligde netwerken creëren om te communiceren.
In een open brief roepen meer dan 270 wetenschappers op het CSAM-voorstel opnieuw te evalueren. Een serviceprovider laten scannen op inhoud is onmogelijk zonder E2EE te verzwakken en de privacy van gebruikers te ondermijnen, zeggen ze. Bovendien zijn de technologische oplossingen voor detectie niet betrouwbaar genoeg, door het grote aantal valse identificaties – denk aan een ouder die foto’s maakt van zijn peuter in bad – en fouten. Ze zijn ook kwetsbaar voor cyberaanvallen. Het voorstel beperkt ook het risico van computergegenereerde inhoud niet.
Europa is China niet
Het Europese voorstel is niet alleen weinig effectief, het verplicht ontsleutelen van E2EE-gegevens schendt ook het recht op privacy. Dat blijkt uit een uitspraak van het Europees Hof voor de Rechten van de Mens, waar een Russische gebruiker aanvocht dat de berichtendienst Telegram zijn geëncrypteerde communicatie moest ontsleutelen. Het Hof in Straatsburg noemde de eis dat bedrijven de ontcijfering van communicatiegegevens vergemakkelijken in het Podchasov-arrest ook disproportioneel. Net als de experts wees het op het gevaar dat ook criminelen de sleutel in handen kunnen krijgen.
Volgens onderzoeksrechter Philippe Van Linthout moeten we in België door de vele checks and balances niet bang zijn voor misbruik van onze persoonlijke data. Met een dergelijk waarborgenverhaal slaagt de overheid erin onze privacy almaar verder uit te hollen. Het heeft zoveel druk gezet op de bezorgde Europese rechters dat hun verzet stap voor stap werd afgebouwd en massale dataopslag van het internetverkeer onafwendbaar lijkt. Nochtans beroept Europa zich op de mensenrechten om zich te onderscheiden van China, waar de gegevens van burgers ook massaal opgeslagen worden. Wij moeten ons maar zoet houden met de gedachte dat in Europa waarborgen bestaan die de Chinese burger niet kan inroepen.
Op het vlak van encryptie neemt het Podchasov-arrest afstand van dat waarborgenverhaal. Het ontsleutelen van gegevens is in beginsel in strijd met het recht op privacy, hoe robuust de waarborgen ook zijn. Bovendien blijft het feit dat je encryptie onmogelijk kan verzwakken zonder dat dat alle veiligheidsinfrastructuur onveilig maakt. Of je daar nu waarborgen aan koppelt of niet.
► Oorspronkelijk bij tijd.be ►