Amerikaanse wetsvoorstellen bedreigen veilig en vrij internet

Sterke end-to-end versleuteling is van groot belang om ons internet veilig en vrij te houden. Niet alleen vanwege onze ‘eigen’ privacy, maar ook met het oog op onze rechtstaat en economie. Zonder encryptie zou (veilig) internetbankieren bijvoorbeeld niet mogelijk zijn. En veilig chatten met een klokkenluider zit er voor journalisten dan ook niet meer in. Toch worden er regelmatig wetsvoorstellen ingediend die het gebruik van encryptie proberen in te perken, of om de gebruikte versleuteling af te zwakken. Dit jaar lijken vooral de Amerikanen op dreef: twee verschillende wetsvoorstellen hebben de potentie om het internet een stuk onveiliger te maken. In deze blog staan we stil bij deze wetsvoorstellen en de bezwaren.


Haat-liefdeverhouding

Overheden hebben van oudsher een moeizame relatie met versleuteling. Gelukkig snappen overheden best (of in ieder geval steeds beter) dat een veilig en vrij internet een groot goed is. Maar het gebruik van encryptie heeft voor de overheid ook een keerzijde. Door communicatie te versleutelen is meelezen immers niet meer mogelijk. Daarmee wordt het ook moeilijker om criminelen op te sporen, of om communicatie tussen terroristen te onderscheppen. En daar zijn ze op het Ministerie van Justitie en Veiligheid natuurlijk niet blij mee.

Gelet op het voorgaande worden er regelmatig wetsvoorstellen ‘tegen’ encryptie ingediend, of wordt daarnaar door politici gehint. Vorig jaar nog pleitte Minister Grapperhaus voor het inbouwen van achterdeuren in versleutelde software en diensten. Probleem is natuurlijk dat zo’n achterdeur niet alleen gebruikt kan worden door het Openbaar Ministerie of andere opsporingsinstanties (al dan niet onder toeziend oog van bijvoorbeeld een rechter commissaris). Wordt het deurtje ontdekt door een kwaadwillende hacker of een buitenlandse mogendheid, dan kan deze ook misbruikt worden. Met een dergelijke achterdeur maken we ons internet dus structureel onveiliger, en dat is een groot offer.

Hoewel de uitspraken van Minister Grapperhaus vooralsnog niet tot een concreet wetsvoorstel hebben geleid, timmert men in Amerika wél aan de weg. Al in januari van dit jaar werd daar een voorstel voor de als zodanig aangeduide ‘EARN IT Act’ gepubliceerd. En recenter werd daar het voorstel voor de ‘LAED 2020 Act’ aan toegevoegd. Beide voorstellen vormen een serieuze bedreiging voor het toepassen van encryptie in het digitale domein.

 

EARN IT Act

Het begon allemaal in januari 2020 met de EARN IT Act. Dit wetsvoorstel slaagde erin om zonder het woord ‘encryptie’ ook maar één keer te noemen, de toepassing daarvan alsnog onder druk te zetten. In de basis gaat de EARN IT Act helemaal niet over versleuteling; de wet is gericht op het voorkomen van (online) kindermisbruik c.q. kinderexploitatie. Dat is natuurlijk een heel nobel doel – maar de pijn zit in de maatregelen die de wet voorstelt om dit doel te bereiken.

Om dit uit te leggen moeten we even een stapje terug doen. In Amerika zijn namelijk (net als in Europa) specifieke maatregelen genomen om aanbieders van online diensten zoals Twitter, WhatsApp of YouTube te beschermen tegen aansprakelijkheidsclaims. Publiceer ik een smadelijke tekst op Twitter, dan kan het platform daar niet zomaar op worden aangesproken. En dat is ook niet wenselijk. Als Twitter voor iedere onrechtmatige tekst of foto een schadeclaim zou kunnen krijgen, dan zou Twitter er waarschijnlijk héél anders uitzien (en niet per se beter). Bij twijfel over een Tweet zou Twitter een duidelijke prikkel hebben om het zekere voor het onzekere te nemen en deze te verwijderen. Het economische risico van een schadeclaim zal voor Twitter immers vaak zwaarder wegen dan de vrije meningsuiting van een individuele gebruiker. En voor andere online diensten is dat niet anders.

Om het hiervoor beschreven risico weg te nemen, heeft de Amerikaanse overheid (en overigens óók de Europese) een zekere immuniteit toegekend aan online platforms. Dergelijke platforms zijn (kort gezegd) niet zomaar aansprakelijk voor berichten of andere gedragingen van hun gebruikers. We schreven er eerder op onze website al een factsheet over.

Maar terwijl de bescherming tegen aansprakelijkheidsclaims op dit moment een vast gegeven is, zou een online platform deze immuniteit voor bepaalde soorten claims onder het aanhangige wetsvoorstel eerst moeten verdienen (“you have to EARN IT”). En die bescherming, die verdien je niet zomaar. Daarvoor moet het online platform namelijk voldoen aan best practices. Die best practices moeten als zodanig nog worden vastgesteld, maar uit de EARN IT Act blijkt al wel op hoofdlijnen wat de invulling hiervan wordt. Zo moeten online platforms meewerken aan het verzamelen en verstrekken van bewijs in zaken rondom kindermisbruik. En zij moeten overheidsinstanties ook gaan helpen om verdachten te identificeren en op te sporen.

Probleem is dat je natuurlijk als online platform nooit aan dit soort eisen kunt voldoen als je end-to-end encryptie toepast. Hoe kun je bewijs verzamelen en verstrekken als je zelf de communicatie van je gebruikers niet kunt inzien? In feite betekent de EARN IT Act dus: je moét een achterdeur inbouwen of je encryptie uitzetten, en doe je dat dan loop je voortaan het risico op bepaalde soorten schadeclaims of andere juridische acties. Het online platform wordt indirect klemgezet.

 

LAED 2020 Act

Vanuit verschillende kanten is kritiek geuit op het voorstel voor de EARN IT Act en er zijn ook al diverse amendementen voorgesteld. Maar ondertussen is óók een voorstel voor de Lawful Access to Encrypted Data 2020 Act (of ‘LAED 2020 Act) gepubliceerd. Dit voorstel windt er verder geen doekjes om en legt gewoon in klare taal uit dat opsporingsinstanties toegang moeten kunnen krijgen tot versleutelde gegevens. Het toepassingsbereik van de LAED 2020 Act is daarbij heel ruim en ziet op alles van besturingssystemen tot online cloudopslag. Dus geen veilige chat meer via Signal, maar ook iCloud zou voortaan voor de overheid toegankelijk moeten zijn.

Het voorgaande is vanuit een grondrechten- en beveiligingsperspectief natuurlijk volledig onwenselijk. Er is dan ook veel kritiek op zowel de EARN IT Act als de LAED 2020 Act. Maar wat moeten we hier nu concreet mee?

 

(Potentiële) gevolgen

De potentiële gevolgen van de EARN IT Act en LAED 2020 Act zijn serieus, en kunnen ook doorwerken op ons Europeanen. Heel veel software en online diensten die wij in Europa gebruiken, zijn immers uit Amerika afkomstig. Besluit Facebook om zijn end-to-end encryptie uit te zetten of af te zwakken, dan gaat dat óók ten koste van jouw en mijn privacy, om maar iets te noemen. Ook in het licht van de recente Privacy Shield discussie zijn deze wetsvoorstellen natuurlijk interessant. Want hoe veilig zijn onze persoonsgegevens in Amerika als deze wetgeving daadwerkelijk wordt ingevoerd?

Tegelijkertijd moeten we in ogenschouw nemen dat het hier ‘slechts’ om wetsvoorstellen gaat, die vanuit verschillende hoeken sterk bekritiseerd worden. Het is dus maar de vraag of deze voorstellen überhaupt de eindstreep gaan halen, en zo ja in welke vorm.

Wij houden de ontwikkelingen in de gaten en zullen indien relevant een nieuwe blog publiceren. Wilt u zelf meer lezen over de wetsvoorstellen en de bezwaren? Dan zijn de artikelen over de EARN IT Act en de LAED 2020 Act van Rianne Pfefferkorn zeer de moeite waard.

Terug naar overzicht