Encryptie speelt steeds grotere rol bij opsporingswerk

9 juni 2023 | Door redactie

Er is in Nederland géén wetgeving die het gebruik van encryptie (versleuteling van gegevens) verbiedt. Dat zou ook erg onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van vooral persoonsgegevens te realiseren. Encryptie neemt in opsporingsonderzoeken wel een steeds belangrijkere rol in, maar maakt opsporing niet anders dan een crimineel die zijn mondt houdt, zo blijkt uit recent onderzoek.

De Algemene verordening persoonsgegevens (AVG) schrijft een adequate beveiliging van persoonsgegevens voor, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Encryptie wordt dan ook steeds vaker standaard toegepast in software en hardware. Ook wordt het bewust gebruikt om relevante informatie en communicatie te verbergen. Een logisch gevolg is dat de opsporing vaker met encryptie te maken heeft. NHL Stenden Hogeschool deed in samenwerking met de Open Universiteit en de Politieacademie, in opdracht van het WODC recent onderzoek naar encryptie.

Dilemma tussen veiligheid en wettelijke bevoegdheden

Aanleiding voor het onderzoek (pdf) is een dilemma dat gepaard gaat met encryptie. Zo staat in een resolutie over versleuteling die op 14 december 2020 door de Europese Raad werd aangenomen dat encryptie noodzakelijk is om de grondrechten en de digitale veiligheid van burgers, overheden, het bedrijfsleven en de samenleving te beschermen. Anderzijds geeft de Raad aan dat de rechtshandhavings- en justitiële autoriteiten hun wettelijke bevoegdheden moeten kunnen uitoefenen om onze samenlevingen en burgers te beschermen terwijl dat door encryptie lijkt te worden bemoeilijkt. De wet zegt dus wél dat als justitie gerechtigd is om toegang tot data te vorderen, de encryptie ongedaan gemaakt moet worden. Een onderneming mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery). Maar als de klant zelf data versleutelt en dat bij een andere onderneming parkeert (zoals bij een online backup met clientside encrypted data), dan is de onderneming niet verplicht een achterdeur of kopiewachtwoord te eisen.

Opsporingsmethoden moeten meebewegen met digitalisering

Uit het onderzoek wordt duidelijk dat opsporing door encryptie bemoeilijk wordt. Personen of  samenwerkingsverbanden zijn lastiger te identificeren of lokaliseren. Toch geven meerdere respondenten aan dat er nog steeds mogelijkheden tot opsporen zijn. Dat maakt dat de onderzoekers de vraag opwerpen wat encryptie écht anders maakt voor het opsporingswerk. Het beschermen en verkrijgen van informatie is altijd al onderdeel van het zogenoemde kat-en-muisspel tussen opsporing en criminelen. De onderzoekers stellen dat het toenemend gebruik van encryptie en de toenemende mate van digitalisering het noodzakelijk maken dat opsporingsmethoden meebewegen.  

Bijlagen bij dit bericht