Security- en privacyexperts hekelen plannen voor backdoor in nieuwe dataretentiewet

Een lange lijst gespecialiseerde ngo’s, academici en bedrijven van over de hele wereld kanten zich in een open brief tegen de plannen om telecomdiensten te verplichten de communicatie tussen burgers te ontsleutelen voor de overheid. De plannen maken deel uit van de nieuwe versie van de dataretentierichtlijn. De vorige versie werd door de Europese en Belgische hoogste rechters vernietigd wegens strijdig met de privacy. Maar ook de nieuwe versie is in hetzelfde bedje ziek – of zelfs nog zieker.

De dataretentiewet verplicht telecomproviders om van alle gebruikers alle data over wie waar met wie communiceert een jaar lang op te slaan. Die wet werd in 2020 vernietigd door het Europees Hof van Justitie wegens wegens strijdig met de grondrechten, waarna ook het Belgisch Grondwettelijk Hof in 2021 de dataretentiewet terug naar af stuurde. De Belgische regering werkte daarna een nieuw wetsontwerp uit, dat binnenkort naar het parlement gaat. Alleen komt dat niet tegemoet aan de kritieken van de Europese en Belgische hoogste rechters. Integendeel, het ontwerp bevat ook een reeks nieuwe regels waarvan sommige nog verder gaan dat de vernietigde versie.

Een daarvan is dat ook versleutelde berichtendiensten als Whatsapp metadata moeten bijhouden. Ook zouden aanbieders van geëncrypteerde telecomdiensten het gerecht toegang moeten geven tot de ontsleutelde gegevens, om bijvoorbeeld gesprekken te kunnen tappen. Experts en de Gegevens­beschermingsautoriteit waren eerder al vernietigend voor zo’n verplichte backdoor. En nu mobiliseert ook de internationale privacygemeenschap tegen de plannen. Een heleboel ngo’s, academici en ­bedrijven die bezig zijn met privacy en encryptie, publiceerden een open brief tegen het wetsontwerp.

“Het is niet mogelijk om vervolgingsautoriteiten toegang te geven tot backdoors zonder kwetsbaarheden te creëren die kunnen uitgebuit worden door criminele actoren. Versleuteling ondermijnen maakt België niet alleen kwetsbaar voor aanvallen op groepen als advocaten en journalisten, maar ook op elke burger.”

Initiatiefnemer van de open brief is Internet Society, een grote Amerikaanse privacyvoorvechter die onder meer de domeinnaam .org beheert. De brief werd ondertekend door bedrijven en organisaties als Cranium, de Liga voor de Mensenrechten en verschillende internationale organisaties en wetenschappers uit de Verenigde Staten, Canada, India, Oeganda, Brazilië en Japan. Ook Bart Preneel, cryptograaf en hoofd van de onderzoeksgroep COSIC aan de KU Leuven, ondertekende en deelde de brief met een duidelijk standpunt:

“Velen onder ons zouden willen dat er een magische oplossing was om end-to-end encryptie mogelijk te maken, behalve voor de ‘slechterikken’ (definitie vrij in vullen). Experten hebben aangetoond dat dit technisch onmogelijk is. Helaas begrijpen beleidsmakers dit niet (of willen ze het niet?).”

Preneel wijst er ook op dat er geen enkel bewijs is dat technologie het vandaag onmogelijk maakt voor politiediensten om hun werk uit te voeren. “Integendeel, ze hebben nooit meer data en metadata, samen met de tools om die te analyseren, gehad.”

Nog op Twitter treedt ook Will Cathcart, hoofd van WhatsApp, de ondertekenaars van de open brief bij. “Sterke encryptie is essentieel om privacy te beschermen en iedereen veilig te houden van hackers en cybercriminaliteit. We delen de bezorgdheid in de maatschappij over een voorstel in België die end-to-end encryptie ondermijnt en de veiligheid van iedereen in gevaar brengt.”

David Frautschy, vertegenwoordiger van Internet Society in Brussel:

“Nederland heeft gelijkaardige maar minder concrete plannen en ook Australië en India vragen toegang via backdoors. Maar het Belgische wetsontwerp is het meest verregaande van alle regels die Europese landen momenteel overwegen. Het zou een verschrikkelijk precedent creëren.”

“We zijn niet tegen alle data­retentie. Maar encryptie is essentieel. Elke burger die online shopt, betaalt of zijn bankzaken doet, gebruikt het. We zijn er allemaal afhankelijk van, het is zeker niet alleen weggelegd voor criminelen. Daar moet iedereen zich van bewust zijn, zeker omdat de Belgische regeling weggemoffeld zit als een onopvallend artikel in een veel bredere wet.”