De General Data Protection Regulations (GDPR), ofwel de Algemene Verordening Gegevensbescherming (AVG) is goedgekeurd en zal in mei 2018 in werking treden. Maar nu lijkt de Europese Commissie (EC) zich toch te bedenken. Is encryptie nu onze vriend of onze vijand in de ogen van de EC? Hoe zal de weegschaal doorslaan op het gebied van privacybescherming tegenover veiligheid?
Conflict
Het is niet voor het eerst dat ik hier de GDPR ter sprake breng. Direct na de verkiezing van Trump in de VS voorzag ik al een conflict tussen de GDPR en de belangen van de VS. Die zijn deels geregeld in het Privacy Shield. Die overpeinzing is hier terug te vinden. Maar nu lijkt zich zelfs een conflict te ontwikkelen tussen verschillende belanghebbenden binnen de EU zelf. Het gaat hierbij om een dilemma dat ik ook al eerder heb aangestipt: het spanningsveld tussen privacy en veiligheid.
Traditioneel gezien heeft Europa altijd de voorkeur uit laten gaan naar privacy als het om dit dilemma ging. In vergelijk met de VS, zijn Europese inlichtingendiensten altijd een stuk terughoudender geweest. Zowel met het afluisteren, als met het registreren of bespioneren van de bevolking. Onder de invloed van wereldwijde toename van terroristische aanvallen, is er echter een duidelijke verschuiving opgetreden. In bijna alle Europese landen vragen inlichtingendiensten om meer bevoegdheden om de bevolking meer stelselmatig te kunnen surveilleren. Om zo (hopelijk) de rotte appels eruit te kunnen pikken. Ook op Europees niveau is een dergelijke lobby gaande.
Achterdeuren
Nota bene Duitsland heeft hierin mede het voortouw genomen. Het meest privacy bewuste land van Europa (dat harde lessen geleerd heeft uit het verleden). De Duitse en Franse ministers van Binnenlandse Zaken hebben een brief geschreven aan Europese Commissie. Hierin roepen zij -onder andere- oproepen tot ingebouwde achterdeuren in encryptie. Uiteraard onder de voorwaarde dat de encryptie wel ‘veilig en sterk’ blijft. Dit is te vergelijken met het vragen naar een waterdicht reservoir met een gat in de bodem: het is simpelweg niet te doen.
Elke constructie die je zou kunnen bedenken om een dergelijk gat in het reservoir waterdicht te maken (met een kurk, lijm, een klep, tape, wat dan ook): we weten dat het gat voor altijd een zwakke plek blijft. Als je te maken hebt met kwaadwillenden, laten we zeggen: extreem dorstigen, weet je dat die op zoek zullen gaan naar een zwakke plek in het reservoir. Vooral wanneer zij weten dat elk reservoir een dergelijke zwakke plek heeft. Als achterdeuren in encryptie dus echt verplicht worden, zal iedereen moeten accepteren dat de encryptie daarmee niet meer zo veilig is als voorheen.
Maar met de GDPR in de hand, is dat lastig te accepteren. Die verplicht ondernemingen immers om persoonlijke gegevens van hun werknemers en klanten optimaal te beschermen tegen de eerder genoemde extreem dorstigen. Dat gaat niet goed lukken met encryptie waar een achterdeur in zit. Datalekken zullen dan veel gemakkelijker voorkomen. Maar wie is daarvoor dan verantwoordelijk? Voor wie is de sanctie die wordt opgelegd bij het onvoldoende beveiligen van privacygevoelige gegevens?
Oneens
Het is lastig te begrijpen dat dezelfde Europese Commissie die nog geen half jaar geleden instemde met de GDPR, nu positief staat tegenover het voorstel van de Duitse en Franse ministers. De technologiesector is het er alvast stevig mee oneens en verzet zich met hand en tand tegen een achterdeurverplichting. Dit, omdat de sector weet dat dit onvermijdelijk de veiligheid van een encryptiesysteem in geding brengt. Het meest frustrerende vindt de technologie-industrie (of in elk geval: ik) nog wel dat de maatregel van achterdeuren in encryptie puur symbolisch is en dus niet de voordelen zal bieden die inlichtingendiensten en beleidsmakers voor ogen hebben. Immers: encryptie is een wiskundig proces.
Iedereen met voldoende wiskundige kennis, kan zelf een ondoordringbare encryptie maken. Zonder achterdeuren. Dus terroristen en criminelen die echt iets te verbergen hebben voor overheden, zullen geen gebruik maken van commerciële encryptie waarin achterdeuren zitten. Nee, zij zullen hun eigen encryptie zonder achterdeur inzetten voor hun communicatie. Degenen die dus echt nadeel ondervinden van een maatregel waarbij encryptie verplicht over achterdeuren beschikt, zijn alle bonafide bedrijven, organisaties en consumenten, die geen gebruik (willen) maken van illegale encryptiemethoden.
Helaas zullen we moeten afwachten hoe deze discussie zich verder ontwikkelt. Wordt vervolgd…
Dirk Cools, Country Manager G DATA Benelux
