Artikel 13 Grondwet

Vorig jaar kwamen de Ministers Dijkstal en Sorgdrager met een voorstel om artikel 13 van de grondwet te wijzigen. Dit zou een aantal ingrijpende gevolgen hebben. Aan de ene kant zouden meer vormen van communicatie (bijvoorbeeld e-mail) onder het ‘briefgeheim’ gaan vallen, maar aan de andere kant zou de algemene bescherming een stuk minder worden: met name politie en inlichtingendiensten zouden een stuk makkelijker inbreuk mogen maken op communicatie. Dit wetsvoorstel leverde een storm van kritiek op. Hierdoor zagen de Ministers zich genoodzaakt een aanvullende nota uit te brengen waarin zij wat gas terug namen. Door de nota verandert er inhoudelijk het één en ander aan de voorgestelde wetswijziging van artikel 13 van de Grondwet. Het wetsvoorstel maakte verschil tussen vertrouwelijke en niet-vertrouwelijke communicatie. Een bericht is vertrouwelijk wanneer de verstuurder van het bericht enige moeite heeft gedaan om het vertouwelijk te maken. Zo kan de verstuurder een wachtwoord plaatsen, een codering gebruiken of bijvoorbeeld een envelop dichtplakken.

Voor alle communicatie geldt (en blijft gelden) dat er niet afgetapt of afgeluisterd mag worden en dat er geen brieven mogen worden geopend. Het verschil tussen vertrouwelijke en niet-vertrouwelijke communicatie geldt dus slechts voor gegevens die iemand op legale wijze in handen krijgt. Wanneer deze gegevens beschermd zijn is er sprake van vertrouwelijke communicatie en mag degene die het in handen heeft gekregen, er geen kennis van nemen. Als deze bescherming ontbreekt mag hij dat wel. Zo mag je wel een ansichtkaart gericht aan je buurvrouw lezen, maar geen gesloten brief.

Een gapend gat dat in het wetsvoorstel was ontstaan, was de status van e-mail. E-mail zou de status van ansicht-kaart krijgen. De Ministers zijn niet van plan daar veel aan te veranderen en zeker niet in de Grondwet. In de nota wordt wel vermeld dat de Minister van Justitie van plan is een verbod in te stellen voor Internetproviders om de e-mail van hun klanten te lezen. E-mail zonder wachtwoord blijft echter vogelvrij.

Een belangrijke wijziging, voorgesteld in de nota, is dat inbreuk op vertrouwelijke communicatie (openen van een brief of inzien van versleutelde e-mail) alleen nog maar mag met toestemming van een rechter. In het oorspronkelijke wetsvoorstel was het mogelijk om met toestemming van een wettelijk bevoegde ambtenaar, bijvoorbeeld een (hulp-)Officier van Justitie het geheim op vertrouwelijke communicatie te schenden. Op dit punt heeft de kritiek die op het wetsvoorstel dus de nodige gevolgen gehad. Opsporingsdiensten mogen nu bijvoorbeeld uitsluitend een brief openen of een telefoongesprek afluisteren met toestemming van een rechter. Eén grote uitzondering blijft echter staan: Veiligheidsdiensten zoals bijvoorbeeld de BVD hoeven geen toestemming aan een rechter te vragen, zij kunnen volstaan met toestemming van een Minister (1). Zo wil de Minister voorkomen dat de BVD voor elke tap naar een rechter moet stappen. Overigens is deze wijziging wel als een kleine overwinning te zien, maar zal het in de praktijk weinig uitmaken. De toestemming van een rechter-
commissaris of een Minister voor het tappen van een telefoon is op dit moment niet meer dan een formaliteit.
Een ander opvallend detail uit de wetswijziging is dat strenge eisen worden gesteld aan het afluisteren van gegevens. Voor het verkrijgen van gesprekken die al gevoerd zijn (wie heeft met wie gebeld of ge-emaild) is een last van een officier van Justitie genoeg.

De Wet Computercriminaliteit 2

De Wet Computercriminaliteit 2 is een vervolg op de Wet Computercriminaliteit uit 1993. Was deze wet voornamelijk gericht tegen criminaliteit met één computer, de nieuwe wet richt zich op criminaliteit op het Internet. De politie krijgt meer opsporingsbevoegdheden op het Internet. Een kort overzicht van de plannen van Minister Sorgdrager, zoals ze zijn beschreven in het Memorie van Toelichting op de wet:

– De eerste belangrijke wijziging is dat Internetproviders niet verantwoordelijk zijn voor de gegevens die op hun computers staan. Zij krijgen daarmee dezelfde positie als een uitgever, die niet strafbaar is voor het uitgeven van een verboden boek, mits hij aan een aantal voorwaarden voldoet. De provider moet bekend maken welke persoon er achter een bepaalde account zit. Bovendien moet hij al het mogelijke doen om verdere verspreiding te voorkomen. De provider hoeft echter niet zelf alles te controleren wat er op zijn computers staat. Hij hoeft pas op te treden, wanneer er door een rechter is geconstateerd dat er onrechtmatig wordt gehandeld. Dit is bedoeld om vrijheid van drukpers te garanderen en om zelfcensuur te voorkomen. Deze wet moet trouwens ook gaan gelden voor organisaties die radio- en tv-programma’s uitzenden, boekhandelaren en bioscoop-exploitanten.
Door Internetproviders te dwingen mee te werken aan de vervolging van hun klanten wil de regering verspreiding tegengaan van bijvoorbeeld kinderporno en racistische propaganda. Maar het kan net zo goed gebruikt worden tegen de staat onwelgevallige meningen van hele andere aard. Hier valt bijvoorbeeld te denken aan het data-asiel dat momenteel verleend wordt aan ‘Radikal‘. Verboden in Duitsland wordt de inhoud van het blad momenteel gepubliceerd op het Nederlandse deel van Internet.

– De tweede wijziging gaat over het vernietigen van gegevens. Wanneer de wet wordt aangenomen krijgt de politie de mogelijkheid om computergegevens tijdelijk of definitief onleesbaar te maken (encrypten of wissen). Als computergegevens door criminele activiteiten in bezit van iemand zijn gekomen en het zinvol is om ze te vernietigen (gestolen data) of wanneer computergegevens gebruikt zijn om criminele activiteiten te ontplooien (computervirussen, racistische e-mails) mogen ze op bevel van een Officier van Justitie ontoegankelijk gemaakt worden. Een rechter kan uiteindelijk beslissen de data definitief te laten vernietigen.

– Het meest ingrijpende deel van de voorgestelde wet gaat echter over het gebruik van encryptie (versleuteling van gegevens). Zoals we in ons vorige stuk schreven leek het er op dat justitie in eerste instantie het versleutelen van gegevens domweg wilde verbieden. Inmiddels is er een hele andere weg ingeslagen.
Aangezien steeds meer mensen gebruik maken van versleutel-technieken om gegevens voor anderen onleesbaar te maken, stuiten politie en inlichtingendiensten met enige regelmaat op het probleem dat ze wel elektronische gegevens in beslag hebben genomen of afgeluisterd hebben, maar ze die vervolgens niet kunnen lezen. Wat Minister Sorgdrager daarvoor als oplossing bedacht heeft is zonder meer bizar te noemen.
In het algemeen hoeft een verdachte niet mee te werken aan zijn eigen veroordeling. Daar zijn twee uitzonderingen op in de wet: Een verdachte moet meewerken aan een bloedproef (bij een verdenking van alcoholgebruik in het verkeer) en moet meewerken aan het afstaan van bijvoorbeeld slijm, huidschilfers of haar ten behoeve van een DNA-test. Sorgdrager wil nu dat een verdachte ook mee moet gaan werken aan ontsleuteling van gecrypte gegevens, dat wil zeggen een wachtwoord vertellen of de encryptie methode uitleggen.
Sorgdrager motiveert dit door te stellen dat medewerking aan het afstaan van bloed of andere lichaamsstoffen los van iemands wil kan plaatsvinden: je hoeft niet te willen, als je door een aantal agenten wordt vastgepakt en er wordt bloed afgetapt, kan dit los van je wil gebeuren, je hoeft niet psychisch onder druk gezet te worden. Volgens Sorgdrager geldt dit ook voor het vertellen van je wachtwoord, aangezien er over een wachtwoord geen interpretatie mogelijk is: het gaat om een reeks vaststaande letters en/of cijfers.
Hoe zij deze dwang in de praktijk vorm wil geven blijft onduidelijk. Want wat te doen wanneer je je wachtwoord bent ‘vergeten’? Opsluiten tot je je het herinnert? Hard slaan?
Het voorstel is zo bizar dat Sorgdrager kennelijk niet beseft wat voor consequenties dit heeft. Hiermee wordt een inbreuk op de rechten van verdachten gemaakt waardoor alles wat door Justitie als vaststaand ‘feit’ gedefinieerd is, niet meer onder het zwijgrecht valt. Een verdachte hoeft immers niet ‘in eigen bewoordingen een oorspronkelijke weergave van bepaalde feiten of gebeurtenissen te geven’, maar hoeft alleen de feiten mee te delen. Heb je iemand vermoord? Ja of nee.
Wat Sorgdrager wel beseft is dat de kans groot is dat deze opzet bij verdere rechtspraak flinke klappen zal oplopen, want ze besluit de paragraaf in het Memorie van Toelichting met: ‘Voor de wijze waarop de rechter van deze clausule gebruik zal maken, zal verdere jurisprudentie van het Europees Hof voor de rechten van de mens mede richtinggevend zijn.

– Direct nadat ze deze ingrijpende wijziging heeft toegelicht lijkt Sorgdrager een doekje voor het bloeden te willen geven. Na de storm van kritiek die ze kreeg toen ze vorig jaar verklaarde dat e-mail dezelfde wettelijke bescherming geniet als een ansichtkaart (iedereen mag het lezen), laat de Minister nu weten dat e-mail, mits voorzien van een wachtwoord, onder het briefgeheim gaat vallen. Bovendien mag tijdens het transport over de telefoonkabels en op de computers van de Internetproviders niemand (ook de providers zelf niet) kennis nemen van de inhoud. Alleen opsporingsdiensten mogen e-mail afluisteren, maar ze mogen hem alleen lezen met toestemming van een rechter mits hij voorzien is van een wachtwoord.
Wat Sorgdrager echter blijft vinden is dat wanneer e-mail niet beschermd is door een wachtwoord er ook geen bescherming kan zijn. Er ontbreekt dan volgens haar een ‘envelop’.

– Als laatste worden er nog enkele punten uitgewerkt die aangeven wat politieagenten mogen op Internet. Ze mogen sowieso rondkijken, zoals iedereen. Wat opmerkelijk is, is dat Sorgdrager stelt dat politieagenten zich onder pseudoniem op het Internet mogen begeven, omdat dat dat op het Internet een gebruikelijke gang van zaken is. Wanneer ze echter structureel onderzoek naar personen gaan doen, moet er wel sprake zijn van een ernstige verdenking. Verder moeten de agenten zich tijdens hun onderzoek beperken tot Internet voor zover zich dat fysiek in Nederland bevindt. Voor opsporing naar strafbare activiteiten op delen van het Internet die buiten de Nederlandse jurisdictie liggen zal de politie een beroep moeten doen op opsporingsdiensten in andere landen.

Wet op de Telecommunicatie

Naast deze wet is er een andere spraakmakende wet in voorbereiding: de nieuwe Wet op de Telecommunicatie wordt over enkele weken in de Tweede Kamer behandeld. Deze wet is geschreven om greep te krijgen op de geprivatiseerde en steeds verder groeiende Telecom-markt. Ten aanzien van aftappen stelt de wet alle telecommunicatiebedrijven in Nederland verplicht de gegevens die over hun apparatuur en kabels lopen afluisterbaar te maken en zelf voor de kosten op te draaien. Dit geldt natuurlijk voor telefonie-bedrijven, maar bijvoorbeeld ook voor Internetproviders en kabeltelevisie-exploitanten. Op zich is deze ontwikkeling niet verrassend, de klassieke Telecom-bedrijven hadden deze verplichting al.
Bovendien bleek onlangs één van de grootse Internetproviders in Nederland (Worldaccess/Planet Internet) de afgelopen tijd al vrijwillig mee te werken aan het aftappen van haar klanten door justitie (2).

Dit beeld verandert echter zeer sterk, wanneer je weet dat de afluisterpraktijk in Nederland zo snel groeit dat er meer wordt afgeluisterd dan in landen als de Verenigde Staten of Duitsland. Hiervoor werd onlangs door de Registratiekamer ernstig gewaarschuwd. Er ontstaat nu de terechte vrees dat Internet-verkeer in de nabije toekomst net zo massaal afgeluisterd zal worden als dat met telefoonverkeer op dit moment al de praktijk is. Een ander, minder principieel, nadeel is het feit dat Telecom-leveranciers de hoge kosten voor het afluisteren zelf moeten dragen en af zullen wentelen op hun klanten.

Dit zijn de plannen. Wat betekent dit nu in de praktijk voor de gemiddelde computergebruiker.
Ten eerste zal je er als Internetter rekening mee moeten gaan houden dat wanneer je (potentieel) strafbare documenten op Internet wil zetten, je dit beter niet in Nederland kan doen. Een Internetprovider zal onder de nieuwe wet de personalia bekend moeten maken van een gebruiker die verdacht wordt. Een vrij simpele, en nu al veel gebruikte, oplossing daarvoor is om gevoelige pagina’s in een land met liberale wetgeving op dit gebied (de VS bijvoorbeeld) onder te brengen.

Een ander gevolg van de wet is dat je tijdens een virtuele reis op het Internet vriendelijke mensen tegen kan komen die er precies het zelfde over lijken te denken als jij of bijvoorbeeld geïnteresseerd zijn in het afnemen van producten (illegale software, drugs, verboden lectuur). Bedenk dan goed dat degene die je benadert niet oprecht hoeft te zijn: Het kan een oplichter, maar ook een agent zijn.

Wat verder kan gebeuren is dat justitie tijdens of naar aanleiding van een onderzoek naar jou activiteiten op een gegeven moment besluit dat ze data onbruikbaar willen maken. Daar is vrij simpel een oplossing voor te verzinnen: maak goede back-ups en bewaar ze ergens anders dan naast je computer.

Het belangrijkste gevolg van de aangekondigde wetten is echter dat de bestaande afluisterpraktijk bevestigd wordt en uitgebreid wordt naar het Internet. Als oplossing wordt al enige jaren het gebruik van goede versleutelprogramma’s (zoals bijvoorbeeld  PGP, zie boven) aangeraden (3).
Met het gebruik van crypto worden berichten voor anderen die het niet mogen lezen onleesbaar. Maar wat te doen als je volgens de wet gedwongen mag worden een wachtwoorden af te geven? Het simpelste lijkt om je wachtwoord te ‘vergeten’. In de wet lijkt nog niets geregeld voor de dwang die de politie op je mag uitoefenen. De vraag is nu hoe ze dat gaan oplossen. Een volgend probleem doemt echter op wanneer je verdacht wordt van een strafbaar feit en de politie vindt versleutelde bestanden op je computer, die daar al jaren staan en waar je werkelijk het wachtwoord niet meer van weet. Ook hier lijkt niet over nagedacht te zijn (4).  Vooralsnog lijkt alleen encryptie een laatste vorm van echt vertrouwelijke communicatie mogelijk te maken, waarmee de privacy op communicatie-gebied geprivatiseerd is.

NOTEN

1. Op dit moment moet de BVD nog handtekeningen van drie Ministers krijgen. Mogelijk
wordt dat in een wet die het communicatiegeheim verder moet regelen uitgewerkt.

Voor iedereen die geïnteresseerd is in het gebruik van goede cryptografie, is nog steeds het (gratis) programma PGP aan te raden: ftp://ftp.hacktic.nl/pub/crypto/pgp of http://www.pgp.com/products/pgpfreeware.cgi

2.  Bij een discussiebijeenkomst in de Balie in Amsterdam op 5 februari jl. versprak een woordvoerder van Worldaccess/Planet Internet zich en vertelde dat zijn organisatie recent 200.000 gulden kwijt was geweest aan het door justitie laten aftappen van tien van haar klanten. Even later werd deze bewering gewijzigd, een andere woordvoerder vertelde dat alleen persoonsgegevens van tien personen waren doorgegeven. De vraag blijft hoe dat twee ton kan kosten.

3. PGP is te vinden bij ftp://ftp.hacktic.nl/pub/crypto/pgp of http://www.pgp.com/products/pgpfreeware.cgi
Er bestaan ook programma’s om (delen van) harde schrijven of floppies te versleutelen (zoals bijvoorbeeld SecureDrive), helaas is er tot op heden nog geen goed programma te krijgen dat onder Windows95 draait.

4. Overigens heeft de regering aangekondigd na te denken over ‘marktregulering’ van encryptietechnieken. Wat hiermee wordt bedoeld is niet duidelijk. Mogelijk is het de bedoeling bepaalde encryptieprogramma’s toe te staan en andere niet. De toegestane programma’s hebben dan de mogelijkheid voor overheidsdiensten om het bericht alsnog via een achterdeurtje te ontsleutelen.