Gebruik decryptiebevel alleen om schade te voorkomen

OPINIE - Minister Opstelten wil verdachten met het zogenoemde decryptiebevel kunnen dwingen hun computer te ontsleutelen. Expert Jaap Henk Hoepman pleit ervoor dat de informatie dan niet als bewijs wordt gebruikt.

Een nieuw plan van minister Opstelten: verdachten van ernstige misdrijven worden verplicht mee te werken aan het openen van versleutelde bestanden op hun computer. Bestrijden van kinderporno is de aanleiding, en het doel van de maatregel is om verdere schade en misbruik te voorkomen (denk aan de zaak Dutroux) en om slachtoffers zo snel mogelijk van bijstand te kunnen voorzien.

De minister heeft onderzoek laten doen naar de vraag in hoeverre dit voorstel ingaat tegen het nemo-tenetur beginsel dat stelt dat een verdachte niet mee hoeft te werken aan zijn eigen veroordeling. Dit onderzoek is uitgevoerd door Bert-Jaap Koops van het TILT. In het onderzoek worden drie mogelijke uitwerkingen beschreven.A) Een decryptieregeling conform de regeling van het verhoor. Dit komt neer op de mogelijkheid om een verdachte te verzoeken om een bestand te ontsleutelen. De verdachte mag het verzoek weigeren, maar dat kan opgevat worden als aanvullend bewijs van betrokkenheid bij het misdrijf en/of leiden tot een hogere straf.

B) Een decryptiebevel met bewijsuitsluiting. De verdachte moet de bestanden ontsleutelen. Echter, de daarmee verkregen informatie mag niet als bewijs in de zaak tegen de verdachte worden gebruikt. Ook afgeleid bewijs mag niet gebruikt worden (dit volgens de “leer van de verboden vruchten”: als de boom vergiftigd is, mogen de vruchten ervan ook niet worden gegeten). In tegenstelling tot Koops noemt de minister hier expliciet de mogelijkheid om weigering van het bevel strafbaar te stellen.

C) Een decryptiebevel met strafbaarstelling van weigering.De verdachte moet de bestanden ontsleutelen, is strafbaar als hij dat niet doet (met een naar verhouding hoge straf) en de daarmee verkregen informatie mag als bewijs in de zaak tegen de verdachte worden gebruikt.

Zoveel mogelijk bewijs

De minister kiest voor optie C. Maar dit lijkt meer ingegeven te zijn door de (impliciete) wens om toch zoveel mogelijk bewijs tegen de verdachte te kunnen verzamelen, en niet door de expliciet genoemde doelstelling om verdere schade te voorkomen en slachtoffers zo snel mogelijk te helpen. Als dat werkelijk het doel is, dan ligt optie B meer voor de hand. Ook al omdat voor een verdachte optie B aantrekkelijker is dan optie C, waardoor hij sneller zal meewerken, en er dus vaker en eerder schade voorkomen kan worden.

De minister is echter bang dat onder optie B) (zie pagina 6 van de brief):

‘Bewijsmateriaal, dat rechtmatig is verkregen, bij voorbaat uitgesloten [is] van het bewijs. Een dergelijk systeem, waarbij een verdachte immuniteit voor strafvervolging verkrijgt door medewerking te verlenen aan het opsporingsonderzoek, past niet goed in het Nederlandse stelsel van strafvordering.’

Dit lijkt mij echter geenszins het geval. Al het bewijs dat zonder medewerking van de verdachte is verkregen is nog steeds bruikbaar. En zonder op zijn minst zeer sterke aanwijzingen van een zwaar misdrijf zou de politie sowieso geen aanspraak kunnen doen op de mogelijkheid het nemo-tenetur beginsel te omzeilen. Meewerken aan een decryptiebevel maakt de verdachte niet immuun.

Misschien dat de overweging van de minister gebaseerd is op de volgende opmerking van Koops (zie pagina 92 van het rapport):

‘Bovendien bestaat het gevaar dat de verdachte aan strafvervolging kan ontkomen door in een vroeg stadium mee te werken onder toezegging van bewijsuitsluiting, terwijl misschien uit ander onderzoek later alsnog
hetzelfde of ander overtuigend bewijs naar voren had kunnen komen.’

Dit lijkt te suggereren dat de leer van de ‘verboden vrucht’ ook geldt voor bewijs dat op volledig andere wijze is verkregen. IANAL, maar dit gaat tegen mijn intuïtie in en lijkt mij niet de intentie van die leer. Ik zou mij kunnen voorstellen dat door het nemen van speciale maatregelen tijdens het onderzoek, als er sprake is van bewijsuitsluiting, het mogelijk is om contaminatie te voorkomen. Hiermee kan zeker worden gesteld dat het overige bewijs op faire wijze is verkregen.

Dagboeken

Koops noemt ook nog (p97,98) het bezwaar dat naast het ontsleutelen van direct bewijs tegen de verdachte, de computer van de verdachte ook nog allerlei andere privé informatie (zoals dagboeken) kan bevatten. Deze zouden dan ook onderdeel van het dossier gaan uitmaken (waar dat anders niet het geval zou zijn) en vervolgens van invloed kunnen zijn op de strafmaat of de beslissing om al dan niet TBS op te leggen.

Opvallend is de minister eigenlijk alleen kinderporno als mogelijk misdrijf noemt waarvoor het middel van een decryptiebevel wenselijk is. In het persbericht wordt ook nog iets prominenter terrorisme als optie genoemd. Terrorisme, en met name het voorkomen van een terroristische aanslag, lijkt mij echter een veel belangrijker motivatie voor een dergelijk decryptiebevel. Zeker als het doel van de maatregel oprecht is om schade te voorkomen.

Volgens mij moeten we niet zozeer focussen op de zwaarte van het gepleegde delict, als wel op de omvang van de schade die door een decryptiebevel voorkomen of beperkt kan worden. In dat licht bezien is optie B) “Een decryptiebevel met bewijsuitsluiting” de meest voor de hand liggende keuze, en ieder geval een keuze waardoor het nemo-tenetur beginsel wordt gehandhaafd.

In tegenstelling tot Fox-IT en Bits of Freedom ben ik overigens niet zo bang dat deze maatregel het gebruik van encryptie ontmoedigt. Encryptie beschermt niet alleen tegen de overheid, maar ook tegen cybercriminelen of andere nieuwsgierige aagjes. Wel kun je vragen stellen bij de effectiviteit van zo’n zwaar middel als het zelden gebruikt hoeft te worden. Ook wetgeving kost wat, zowel in termen van geld als in termen van immateriële schade.

  1. 1

    “Ik zou mij kunnen voorstellen dat door het nemen van speciale maatregelen tijdens het onderzoek, als er sprake is van bewijsuitsluiting, het mogelijk is om contaminatie te voorkomen. “

    Grote kans dat OvJ en politie de betreffende maatregelen gaan omzeilen, zoals ook nu al vaak papieren maatregelen vooral dode letter blijken.

    “Opvallend is de minister eigenlijk alleen kinderporno als mogelijk misdrijf noemt waarvoor het middel van een decryptiebevel wenselijk is.”

    Huh?

  2. 2

    Ik kan me nog het geval herinneren van een vriend die werd gearresteerd wegens overtreding van de auteurswet. Heel wat bewijsmateriaal stond op zijn geencrypte harddisk en de sleutel stond op zijn telefoon in een SMSje naar hemzelf. Die telefoon was door de politie net als de rest van het bewijsmateriaal behandeld en was dus helemaal kapot;P

    Derhalve, tip van mij: sla je sleutel zo op dat deze een huiszoeking of inbeslagname niet overleeft. Bijvoorbeeld de ordening van de stukken op een schaakbord bovenop je PC, zo gepositioneerd dat het maken van een foto niet zo 1-2-3 gaat lukken en het verplaatsen ervan de sleutel “vernietigd”. Of een reissschaakbord in uw PC dat gegarandeerd verschuift zodra iemand de PC oppakt.

    Of dat dan de echte sleutel was of een decoy doet er dan niet meer zoveel toe;-) En ook als je (nog) geen geencrypt iets hebt, je kunt maar vast ergens nonchalant een schaakbordje neerzetten;-) Ik maak me dan ook niet zo druk om dit soort wetgevingen. Leuk is het niet, evenmin vriendelijk of vertrouwenswekkend, maar mij hebben ze er in de praktijk niet mee; ik heb mijn smoes klaar:)

  3. 4

    @Bismarck, #3 Ja, ken ik, maar dat is m.i. gevaarlijk terrein. Ik geloof sowieso niet dat TrueCrypt echt niet aantoonbaar is en voor zover het dat wel zou zijn is de kans groot dat het ontkennen dat bepaalde data bestaat in tegenspraak is met ander bewijsmateriaal, wat je geloofwaardigheid nogal zou kunnen aantasten. Dan vertel ik liever gewoon waar de sleutel is, waarna de politie zelf mag constateren dat deze niet meer klopt danwel daadwerkelijk vernield is:p Plausible accusation:p

  4. 5

    Sleutel 1: toegang tot bewijslast
    Sleutel 2: vernietigt bewijslast en geeft toegang tot nep data

    Je geeft sleutel 2.

    De wetgeving zal altijd achter de feiten aanlopen. Daarom is zulke wetgeving niet wenselijk omdat echte criminelen meer hun best zullen doen om deze wet te ontduiken terwijl er een controlestaat ontstaat.

    Straks wordt al ons internetverkeer opgeslagen als eventuele bewijslast. Een echte crimineel stuurt dan zijn gegevens via een postduif (als ze dat al niet doen).
    Al onze kentekens worden geregistreerd. Een echte crimineel steelt kentekenplaten om zo onopgemerkt te reizen.

  5. 6

    @1: nounou, er is toch al heel wat verbeterd bij de korpsen ten opzichte van eerdere inspecties.
    Dit rapport zegt oa. dat niet alles op rechtmatigheid gecontroleerd kon worden (en geeft aan dat dat moet verbeteren), maar constateert dat waar die check wel gedaan kon worden er geen onrechtmatigheid werd geconstateerd.

    nu weer ontopic: ja, de echte wizzkids vang je hier niet mee. Gelukkig blijken er toch nog genoeg (zware) criminelen rond te lopen die net niet genoeg weten van encryptie om hier wel mee gevangen te kunnen worden.
    Mijn rechtvaardigheidsgevoel zegt overigens dat optie C de voorkeur geniet, maar ik moet zeggen dat er een sterk argument is voor optie B (namelijk de schade kunnen overzien en beperken).

  6. 7

    “Gelukkig blijken er toch nog genoeg (zware) criminelen rond te lopen die net niet genoeg weten van encryptie om hier wel mee gevangen te kunnen worden.”

    Het rapport van TILT zegt juist dat vooral (zware) criminelen hun gegevens goed versleutelen.

  7. 9

    @6: “Gelukkig blijken er toch nog genoeg (zware) criminelen rond te lopen die net niet genoeg weten van encryptie om hier wel mee gevangen te kunnen worden.”

    Ik ben benieuwd naar een kwantificatie van “genoeg”, liefst onderbouwd met iets meer dan “volgens mij”. Verder ben ik erg benieuwd naar de effectiviteit die je in optie C denkt te vinden. Logischerwijs zal iedereen die als enige bewijslast de ge-encrypte data tegen zich heeft de straf voor niet medewerking voor lief nemen, als het alternatief een veroordeling voor terrorisme of pedofilie is. Dat betekent dat optie C nooit zinvol is (want alleen als de bewijsvoering tegen de verdachte al rond is zonder de data, zal hij/zij meewerken, waarop de data dus verder onnodig zijn in de bewijsvoering).

    @4: Er bestaat wel meer software behalve Truecrypt (klik eens even door). Overigens berust het plausible deniability er bij Truecrypt op dat je meerdere lagen kunt aanbrengen, waarbij de aanwezigheid van de eerste laag wel te zien is, maar of er een tweede laag is niet. Verder wat #5 zegt.

  8. 10

    Ik heb trouwens ook zo mijn bedenkingen bij de effectiviteit van optie B. Ik ben benieuwd welke schadepreventie er bij toegang tot digitale data inzake pedofilie te halen valt (ik neem aan dat we het dan hebben over filmpjes en foto’s). Daar zal het namelijk van moeten komen; Een echte terrorist zal zich niet laten afschrikken door een (langere) gevangenisstraf (past juist prima in het martelaarschap).

  9. 11

    Er zijn eenvoudigere beveiligingsmiddelen beschikbaar dan Truecrypt. Het gebruik daarvan maakt je op zich al verdacht. Net zoals dat geldt voor TOR of proxy’s.

    En met Truecrypt kun je wel data verbergen, maar niet het gebruik van Truecrypt zelf.

    Het is dan ook af te raden Truecrypt te gebruiken voor data die niet erg waardevol of gevoelig is en die je net zo goed op een andere manier voldoende kunt beveiligen.

  10. 12

    @5
    Belastingen kunnen ontdoken worden. Belasting dan ook maar afschaffen? We leven al in een controle staat. Vreemd genoeg hoor je hier op sargasso enkel wat over als het over het internet en gerelateerde zaken gaat.

  11. 14

    Gelukkig is mijn geheugen niet in staat om die lange codes te onthouden. Briefjes raak ik altijd kwijt. Daarnaast ben ik dilectisch zoals u aan de spelling kunt zien. Mij kan dus helemaal niets gebeuren. Als ze dat strafbaar gaan stellen dan mogen ze er wel gevangenissen bijbouwen en zit straks heel Nederland achter slot en grendel. De meeste mensen klagen over hun geheugen en niet over hun verstand. Teeven als Opstelten kunnen beter klagen over het tweede, maar daar komen ze ze van wegen de eerste handicap niet toe.

  12. 15

    @9 Moeilijk te kwantificeren, geef ik grif toe. Maar de premisse dat zware criminelen zichzelf beter gaan beveiligen gaat ook niet zonder meer op. Het geldt niet alleen voor overheden, maar ook voor criminelen, wie probeert te beveiligen zal uiteindelijk ook fouten maken.

  13. 16

    Het leuke van encryptie is dat een goed encrypted bestand, net als een goed gecomprimeerd bestand, de kenmerken hebben van een bestand met ruis (random data).