Encryptie en de achterdeur: WP29 publiceert verklaring over encryptie in relatie tot de AVG

De WP29, het Europees verband van privacy-toezichthouders, heeft zich in een recente verklaring uitgesproken over het gebruik van encryptie in relatie tot de bescherming van persoonsgegevens. Met name de vraag in hoeverre opsporingsdiensten de mogelijkheid moeten hebben om encryptie te omzeilen door middel van ingebouwde achterdeuren, staat hierbij centraal.

Dat organisaties op grond van de AVG maatregelen moeten treffen om persoonsgegevens te beveiligen die door de organisatie worden verwerkt, is voor velen niet nieuw. Desalniettemin speelt vaak de vraag wélke maatregelen dan getroffen moeten worden. Daarbij wordt al snel teruggevallen op een aantal standaard beveiligingsmaatregelen, waaronder niet op de laatste plaats de inzet van encryptie. Aangezien encryptie een steeds vaker ingezet middel is, wordt ook de discussie over de balans tussen privacy en het opsporingsbelang steeds belangrijker.

Korte achtergrond met betrekking tot encryptie

Met encryptie worden gegevens versleuteld. Het is vervolgens enkel mogelijk deze gegevens te ontsleutelen door degene die in het bezit is van de sleutel. Gebruik van encryptie voor het beveiligen van persoonsgegevens is, in geval van sterke encryptie, een uiterst effectieve manier om persoonsgegevens onherleidbaar en oninteressant te maken voor derden. Een derde die de gegevens onderschept, is niet in staat om de inhoud van de versleutelde gegevens te raadplegen.

Er bestaan verschillende vormen van encryptie. Desalniettemin heeft iedere vorm van encryptie één ding gemeen: er bestaat een sleutel (publiek en/of privé) waarmee de encryptie ongedaan kan worden gemaakt. Daarmee wordt het bijvoorbeeld mogelijk de identiteit van verzender of ontvanger te zien bij normaalgesproken afgeschermde communicatie, of kan de inhoud van de eerst versleutelde gegevens leesbaar worden gemaakt. Zonder sleutel is het (afhankelijk van de complexiteit van de encryptie) moeilijk of zo goed als onmogelijk om de versleuteling ongedaan te maken. Hierbij geldt: des te minder mensen de sleutel kennen of kunnen achterhalen, des te hoger het beschermingsniveau.

Discussie: achterdeuren in versleuteling voor opsporingsautoriteiten?

Een veelbesproken onderwerp in dit kader is de vraag of opsporingsautoriteiten voor opsporingsdoeleinden de mogelijkheid moeten hebben om versleuteling te omzeilen of ongedaan te maken. Dit kan bijvoorbeeld door makers van encryptie-software verplicht te stellen hier zogenaamde ‘backdoors’ in te bouwen of zogenaamde ‘master keys’ af te geven. Een andere mogelijkheid is dat inlichten-, veiligheids-  en opsporingsdiensten onbekende backdoors mogen verzwijgen zodat zij die zelf kunnen blijven gebruiken. Zo wordt het voor deze autoriteiten mogelijk achter de inhoud van versleutelde gegevens te komen om criminele activiteiten op te sporen of bewijs te vergaren.

Tegenstanders beargumenteren dat deze mogelijkheid om gegevens voor derden leesbaar te maken niet alleen bestaat voor opsporingsautoriteiten, maar ook voor derden met criminele intenties. Het toestaan van backdoors zou daarmee een averechts effect hebben op de bescherming van persoonsgegevens en informatie. De WP29 stelt zich nu op datzelfde standpunt.

Artikel 29-werkgroep

In een verklaring geeft de werkgroep aan dat afzwakken van de techniek door invoegen van ‘backdoors’ of ‘master keys’ de techniek minder bruikbaar maakt voor het beveiligen van gegevens. Aanbieders van encryptie zouden niet verplicht mogen worden om mogelijkheden aan de software toe te voegen die de inhoud van de gegevens leesbaar kan maken buiten zender en ontvanger om. Daarbij geven zij aan dat een sterke vorm van encryptie noodzakelijk is in de moderne digitale wereld. Het invoegen van mogelijkheden om de beveiliging te omzeilen heeft hierbij impact op het gebruik van encryptie als standaard om gegevens te beveiligen.

In plaats daarvan geeft de werkgroep aan dat autoriteiten via bestaande bevoegdheden al toegang hebben tot enorme hoeveelheden gegevens. Toegang tot versleutelde gegevens weegt niet op tegen het afzwakken van de techniek. Volgens de werkgroep kunnen de autoriteiten zich beter richten op het verbeteren van de mogelijkheden waarover zij beschikken om gegevens te interpreteren en criminelen op te sporen en te vervolgen.

De Artikel 29-werkgroep heeft een onafhankelijk en raadgevend karakter. Een verklaring van de werkgroep geldt als een belangrijke richtlijn voor de nationale toezichthouders. Bij het uitbrengen van een advies door een toezichthouder bij de totstandkoming van nationale wet- en regelgeving zijn de verklaringen van de werkgroep dan ook leidend.

Wilt u meer informatie? neem gerust contact met ons op.