Indignatie redactie 
Een groep EU-experts debatteert momenteel over de manier waarop onderzoeksautoriteiten meer gegevens kunnen verkrijgen. Tot nu toe zijn de Europese Commissie en de politie grotendeels op zichzelf gebleven. Het maatschappelijk middenveld werd gisteren voor het eerst uitgenodigd voor een bijeenkomst – en waarschuwde voor achterdeurtjes en het bewaren van gegevens.
EU Wanneer de politie grotendeels onderling potentiële oplossingen bespreekt over hoe ze aan zoveel mogelijk gegevens kunnen komen, kun je de uitkomst bijna voorspellen. U wilt bijvoorbeeld dat opsporingsautoriteiten hun eigen toegang hebben tot IT-apparaten en -applicaties , idealiter goedgekeurd door standaardisatiecommissies en verkocht als “Security by Design”. Ze willen het bewaren van gegevens in heel Europa opnieuw invoeren . En ze willen meer gegevens van boodschappers als Signal, die afhankelijk zijn van data-economie en encryptie.
Sinds vorig jaar komt een groep hooggeplaatste deskundigen, die volgens de Europese Commissie geen deskundigengroep mag worden genoemd , regelmatig bijeen om het zogenaamde ‘going dark’-probleem aan te pakken. Vooral politie en geheime diensten zijn bezorgd dat de toenemende encryptie van apparaten en online-inhoud criminelen helpt zichzelf tegen vervolging te beschermen. Maar in de door de EU opgerichte “High-Level Group” was vanaf het begin een onevenwichtigheid merkbaar: de Brusselse instelling luistert vooral naar de opsporingsautoriteiten en hun visie op de kwestie.
Durf een burgermaatschappij te zijn
Dat zou nu moeten veranderen. Gisteren kwam de groep voor het eerst bijeen, waarbij ook vertegenwoordigers uit het maatschappelijk middenveld aan tafel zaten. Op de agenda van de bijeenkomst : Hoe moeten we omgaan met in beslag genomen apparaten die in de toekomst mogelijk worden gecodeerd? En hoe moet de toegang tot gegevens worden ingericht als deze momenteel in realtime worden verzonden of sluimerend in het datacenter van de provider liggen?
Groepen uit het maatschappelijk middenveld beschouwen het proces zelf en de zeer late uitnodiging voor de bijeenkomst, die vermoedelijk het gevolg was van publieke druk, met argwaan. “We zien dit ‘Going Dark’-initiatief als een poging om gevaarlijke maatregelen die de online privacy en veiligheid van iedereen in gevaar zouden brengen, te vergoelijken en ze tegelijkertijd acceptabel te laten lijken voor het publiek”, zegt Chloé Berthélémy van EDRi (European Digital Rights), de overkoepelende organisatie van niet-gouvernementele organisaties op het gebied van netwerkbeleid.
Relevante oriëntatie
Ondanks al het scepticisme woonde EDRi de bijeenkomst bij, samen met andere maatschappelijke groeperingen zoals IT-Pol Denemarken en Statewatch, bevestigt Berthélémy. Deelnemers maakten van de gelegenheid gebruik om “de Europese wetshandhavingsinstanties te waarschuwen dat elke actie die de encryptie verstoort een bedreiging zou vormen voor de veiligheid en privacy van miljoenen mensen, openbare instellingen en het bredere digitale ecosysteem”, zoals ze vooraf in een open brief hadden aangekondigd . .
In feite vond de bijeenkomst grotendeels plaats onder de auspiciën die al waren geschetst in een werkdocument van de Raad toen de groep werd opgericht , meldt Jesper Lund van IT-Pol Denemarken – dat wil zeggen: “Security by Design”. Wat de EU-experts hiermee bedoelen: toegang voor onderzoeksautoriteiten die al in IT-producten zijn ingebakken en een begrip van grondrechten dat primair betrekking heeft op slachtoffers van misdrijven zonder rekening te houden met de grondrechten van de rest van de bevolking en andere bijkomende schade.
Uitgerekend België als rolmodel
Een vertegenwoordiger van de Europese Commissie van het Directoraat-Generaal voor Migratie en Binnenlandse Zaken (DG HOME) gaf aan dat het bewaren van gegevens langs de lijnen van België kan worden voorgesteld. Ook een recent verschenen achtergrondpaper van een werkgroep wijst in deze richting . Dienovereenkomstig moeten de ervaringen uit België worden verwerkt in een eventuele wet en leiden tot verschillende gegevenscategorieën om gericht toegang te kunnen krijgen tot de noodzakelijke gegevens in onderzoeken.
Het valt echter nog te bezien of de Belgische aanpak, waarmee grote delen van het land zonder aanleiding worden gemonitord, überhaupt verenigbaar is met het EU-recht – net als in andere EU-landen is massasurveillance herhaaldelijk ongedaan gemaakt door nationale en Europese rechtbanken . Waarnemers betwijfelen of de vierde nieuwe editie van dataretentie in België verenigbaar is met de smalle grenzen die het HvJ onlangs heeft gesteld .
Gissen naar achterdeuren
Het debat over achterdeurtjes was zelfs nog vreemder, zegt Lund, wiens indrukken werden bevestigd door een andere deelnemer aan de bijeenkomst. De vertegenwoordiger van DG Binnenlandse Zaken verzekerde namens de groep deskundigen dat hij geen achterdeurtjes wilde introduceren. “Maar wat ze in plaats daarvan overwegen, is heel erg onduidelijk”, zegt Lund.
Zo wordt in een werkdocument benadrukt dat de toegang tot versleutelde inhoud pas later aan de orde komt. Tegelijkertijd wordt in een ander document opgeroepen om het juridische kader voor OTT-diensten (over-the-top diensten, waartoe ook gecodeerde boodschappers behoren) in één lijn te brengen met die voor traditionele telecommunicatieaanbieders – inclusief legale toegang tot inhoud en metadata.
Er is een methode om de verwarring te creëren, zegt Lund: “De expertgroep doet er alles aan om het gebruik van het woord ‘achterdeur’ te vermijden, maar het beschrijft een objectieve, legale onderschepping van end-to-end gecodeerde communicatie die alleen kan worden gedaan met een of andere vorm van encryptie kan een achterdeur worden bereikt”. De bijeenkomst heeft deze tegenstrijdigheid niet opgelost.
“Het komt erop neer dat ons werd verteld om te wachten tot juni”, zei Lund. “De groep experts zal dan hun rapport presenteren om oplossingen te presenteren voor een probleem dat niemand de afgelopen dertig jaar heeft kunnen oplossen.”
Dat klinkt niet bijzonder geloofwaardig, bekritiseert Lund en verwijst naar het debat dat al lang aan het sudderen is. sinds de jaren negentig over achterdeuren . Dit volgt altijd hetzelfde patroon: de politie wil een zo onbeperkt mogelijke toegang tot gegevens, zelfs gecodeerde gegevens. Tot nu toe heeft de andere kant echter altijd de overhand gekregen, omdat achterdeurtjes van welke aard dan ook de privacy en IT-veiligheid van alle gebruikers en de economie ernstig in gevaar zouden brengen.
Vrijwillige toegang in plaats van wettelijke dwang
Tegelijkertijd heeft de Commissie volgens Lund aangegeven dat zij niet alleen juridische maatregelen onderzoekt, maar dat vrijwillige samenwerking met de industrie ook als alternatief kan worden overwogen. Dit is tevens vastgelegd in een werkdocument . Dienovereenkomstig zou de werkgroep moeten onderzoeken hoe juridisch conforme toegang voor onderzoeksautoriteiten in hun producten kan worden geïntegreerd. Bovendien moet de voortdurende dialoog met normalisatie-instellingen ervoor zorgen dat “wettelijk conforme toegangsopties worden geïntegreerd in apparaten en applicaties voordat ze op de markt komen”.
Het simpele bezit van gecodeerde apparaten waarvan is bewezen dat ze uitsluitend voor communicatie tussen criminelen worden gebruikt, zou echter volgens de krant strafbaar kunnen worden gesteld. Dit verwijst waarschijnlijk naar gevallen zoals die van EncroChat . De aanbieder, die uiteindelijk ten val werd gebracht door een spectaculaire hack van de Franse opsporingsautoriteiten, had blijkbaar afluisterveilige mobiele telefoons op de markt gebracht, die kennelijk vooral door criminelen werden gebruikt. Hoe een dergelijk verbod ten uitvoer kan worden gelegd, blijft volledig open.
De toenemende pogingen om het gebruik van encryptie onder algemene verdenking te plaatsen, baren Berthélémy ook zorgen: “De gevaarlijke trend in heel Europa om mensen te beschuldigen die encryptie of andere privacybevorderende tools zoals Signal of Tor gebruiken, is zeer zorgwekkend.” In het onderzoek naar de SkyECC-zaak werd het simpele feit dat je een smartphone bezit, gezien als een “duidelijk teken van criminaliteit”. Er zijn ook relevante pogingen in deze richting in Frankrijk, die EDRi nauwlettend in de gaten houdt, zei Berthélémy.
Piraten eisen dat de groep wordt ontbonden
Wat er zal gebeuren met alle aanbevelingen die de groep deskundigen tegen de zomer zal ontwikkelen, zal een politieke beslissing zijn van de volgende Europese Commissie, zo werd tijdens de bijeenkomst gezegd. In juni vinden de verkiezingen voor het Europees Parlement plaats, waarna de Commissie wordt herbenoemd.
Voor Patrick Breyer, die tot die tijd in het parlement zit voor de Pirates, is het hele proces verkeerd. “De resultaten van de #EUGoingDark-groep, die medio 2024 gepresenteerd moeten worden, zijn ondemocratisch, niet-transparant en politiek willekeurig”, schrijft het Kamerlid . Daarom konden ze niet worden gebruikt als wetgevings- of beleidsvoorstellen. “Aangezien de #EUGoingDark-groep met haar manier van werken geen bruikbare resultaten kan boeken, moet deze groep worden ontbonden”, eist Breyer.
