Twee organisaties die belangrijk zijn voor het Europese standpunt over cybersecurity publiceerden een paar weken geleden een joint statement over het belang van versleuteling in onze maatschappij. Dat standpunt is best scherp, behalve dan op het allerbelangrijkste punt: wat als opsporingsdiensten toch bij versleutelde informatie willen?

Het standpunt van Europol (het samenwerkingsverband van politie in heel Europa) en ENISA (een expertisecentrum van de Europese Unie op het gebied van cybersecurity), begint scherp. De twee organisaties stellen dat het gebruik van versleuteling ontzettend belangrijk is voor het beschermen van onze informatie. Daar hebben we als maatschappij veel baat bij, omdat het misbruik van onze digitale infrastructuur door criminelen tegengaat. Dat vinden wij ook: versleuteling is essentieel voor onze economie, voor de overheid zelf en, niet in de laatste plaats, voor onze vrijheid. Een standpunt dat ook gedeeld wordt door onze regering.

Tegelijkertijd is het wenselijk, zo stellen ENISA en Europol, dat opsporingsdiensten soms versleutelde informatie kunnen ontsleutelen. De focus zou daarom moeten liggen op het verkrijgen van toegang tot de informatie zelf en niet op het verzwakken van de bescherming. “Het goede nieuws is dat de informatie vroeg of laat eens ontsleuteld moet worden, omdat anders die criminelen er ook niets aan hebben.” Dat kan bijvoorbeeld door andere onderzoekstactieken in de opsporing te gebruiken.

Maar, zeggen de twee organisaties zonder onderbouwing, het is voor opsporingsdiensten steeds lastiger om nog toegang tot die informatie krijgen. Dat betekent niet dat ze opeens wél achterdeurtjes ingebouwd willen zien. Dat zou ons immers onveiliger maken. Het maakt ons kwetsbaar voor aanvallen van kwaadwillenden, terwijl diezelfde kwaadwillenden zelf op software zonder achterdeurtjes overstappen. Maar hoe opsporingsdiensten dan wel alsnog bij die informatie moeten kunnen komen, dat maken Europol en ENISA dan weer niet duidelijk.

En daarom baart dit net-niets-zeggende joint statement zorgen. Want het kan ook betekenen dat Europol hetzelfde wil als de Nederlandse overheid: de politie moet kunnen inbreken op alles dat aan het internet hangt. Dat is in onze ogen net zo zorgelijk, omdat de politie alleen maar kan inbreken op een computer als er een zwakheid in de beveiliging zit. Een perverse prikkel voor de overheid: ervoor zorgen dat onze computers goed beveiligd zijn, of toch maar een deurtje voor de politie (en kwaadwillenden!) open laten?