De mitsen, maren en mogelijkheden van een decryptiebevel.

November 28, 2012
2

Een nieuw plan van minister Opstelten: verdachten van ernstige misdrijven worden verplicht mee te werken aan het openen van versleutelde bestanden op hun computer. Bestrijden van kinderporno is de aanleiding, en het doel van de maatregel is om verdere schade en misbruik te voorkomen (denk aan de zaak Dutroux) en om slachtoffers zo snel mogelijk van bijstand te kunnen voorzien.

De minister heeft onderzoek laten doen naar de vraag in hoeverre dit voorstel ingaat tegen het nemo-tenetur beginsel dat stelt dat een verdachte niet mee hoeft te werken aan zijn eigen veroordeling. Dit onderzoek is uitgevoerd door Bert-Jaap Koops van het TILT. In dit onderzoek worden drie mogelijke uitwerkingen beschreven.

  • A) Een decryptieregeling conform de regeling van het verhoor.Dit komt neer op de mogelijkheid om een verdachte te verzoeken om een bestand te ontsleutelen. De verdachte mag het verzoek weigeren, maar dat kan opgevat worden als aanvullend bewijs van betrokkenheid bij het misdrijf en/of leiden tot een hoger straf.
  • B) Een decryptiebevel met bewijsuitsluiting.De verdachte moet de bestanden ontsleutelen. Echter, de daarmee verkregen informatie mag niet als bewijs in de zaak tegen de verdachte worden gebruikt. Ook afgeleid bewijs mag niet gebruikt worden (dit volgens de "leer van de verboden vruchten": als de boom vergiftigd is, mogen de vruchten ervan ook niet worden gegeten). In tegenstelling tot Koops noemt de minister hier expliciet de mogelijkheid om weigering van het bevel strafbaar te stellen.
  • C) Een decryptiebevel met strafbaarstelling van weigering.De verdachte moet de bestanden ontsleutelen, is strafbaar als hij dat niet doet (met een naar verhouding hoge straf) en de daarmee verkregen informatie mag als bewijs in de zaak tegen de verdachte worden gebruikt.

De minister kiest voor optie C. Maar dit lijkt meer ingegeven te zijn door de (impliciete) wens om toch zoveel mogelijk bewijs tegen de verdachte te kunnen verzamelen, en niet door de expliciet genoemde doelstelling om verdere schade te voorkomen en slachtoffers zo snel mogelijk te helpen. Als dat werkelijk het doel is, dan ligt optie B meer voor de hand. Ook al omdat voor een verdachte optie B aantrekkelijker is dan optie C, waardoor hij sneller zal meewerken, en er dus vaker en eerder schade voorkomen kan worden.

De minister is echter bang dat onder optie B) (zie pagina 6 van de brief)

bewijsmateriaal, dat rechtmatig is verkregen, bij voorbaat uitgesloten [is] van het bewijs. Een dergelijk systeem, waarbij een verdachte immuniteit voor strafvervolging verkrijgt door medewerking te verlenen aan het opsporingsonderzoek, past niet goed in het Nederlandse stelsel van strafvordering.

Dit lijkt mij echter geenszins het geval. Al het bewijs dat zonder medewerking van de verdachte is verkregen is nog steeds bruikbaar. En zonder op zijn minst zeer sterke aanwijzingen van een zwaar misdrijf zou de politie zowieso geen aanspraak kunnen doen op de mogelijkheid het nemo-tenetur beginsel te omzeilen. Meewerken aan een decryptiebevel maakt de verdachte niet immuun.

Misschien dat de overweging van de minister gebaseerd is op de volgende opmerking van Koops (zie pagina 92 van het rapport)

Bovendien bestaat het gevaar dat de verdachte aan strafvervolging kan ontkomen door in een vroeg stadium mee te werken onder toezegging van bewijsuitsluiting, terwijl misschien uit ander onderzoek later alsnog hetzelfde of ander overtuigend bewijs naar voren had kunnen komen.

Dit lijkt te suggereren dat de leer van de 'verboden vrucht' ook geldt voor bewijs dat op volledig andere wijze is verkregen. IANAL, maar dit gaat tegen mijn intuitie in en lijkt mij niet de intentie van die leer. Ik zou mij kunnen voorstellen dat door het nemen van speciale maatregelen tijdens het onderzoek, als er sprake is van bewijsuitsluiting, het mogelijk is om contaminatie te voorkomen. Hiermee kan zeker worden gesteld dat het overige bewijs op faire wijze is verkregen.

Koops noemt ook nog (p97,98) het bezwaar dat naast het ontsleutelen van direct bewijs tegen de verdachte, de computer van de verdachte ook nog allerlei andere privé informatie (zoals dagboeken) kan bevatten. Deze zouden dan ook onderdeel van het dossier gaan uitmaken (waar dat anders niet het geval zou zijn) en vervolgens van invloed kunnen zijn op de strafmaat of de beslissing om al dan niet TBS op te leggen.

Opvallend is de minister eigenlijk alleen kinderporno als mogelijk misbrijf noemt waarvoor het middel van een decryptiebevel wenselijk is. In het persbericht wordt ook nog iets prominenter terrorisme als optie genoemd. Terrorisme, en met name het voorkomen van een terroristische aanslag, lijkt mij echter een veel belangrijker motivatie voor een dergelijk decryptiebevel. Zeker als het doel van de maatregel oprecht is om schade te voorkomen.

Volgens mij moeten we niet zozeer focussen op de zwaarte van het gepleegde delict, als wel op de omvang van de schade die door een decryptiebevel voorkomen of beperkt kan worden. In dat licht bezien is optie B) "Een decryptiebevel met bewijsuitsluiting" de meest voor de hand liggende keuze, en ieder geval een keuze waardoor het nemo-tenetur beginsel wordt gehandhaafd.

In tegenstelling tot Fox-IT en Bits of Freedom ben ik overigens niet zo bang dat deze maatregel het gebruik van encryptie ontmoedigt. Encryptie beschermd niet alleen tegen de overheid, maar ook tegen cybercriminelen of andere nieuwsgierige aagjes... Wel kun je vragen stellen bij de effectiviteit van zo'n zwaar middel als het zelden gebruikt hoeft te worden. Ook wetgeving kost wat, zowel in termen van geld als in termen van immateriale schade.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
PanicOffice
, 2012-11-29 13:07:39
(reply)

Ik gebruik voor de bescherming van gevoelige bedrijfsgegevens TrueCrypt. Dat kent zogenaamde ‘plausible deniability’: er valt niet vast te stellen dat een (deel van) een opslagmedium versleuteld is.

Daarnaast kan een TrueCrypt-container een extra verborgen bestand bevatten, met een apart wachtwoord. Alleen met het ‘geheime’ wachtwoord kunnen de bestanden in het verborgen bestand zichtbaar gemaakt worden. http://www.truecrypt.org/docs/?s=plausible-deniability

Bij een decryptiebevel kan het ‘openbare’ wachtwoord gebruikt worden, waarbij hooguit wat onschuldige files zichtbaar worden. Ook hier kan niet bewezen worden dat er een verborgen bestand met ‘geheim’ wachtwoord bestaat. http://www.truecrypt.org/hiddenvolume

In mijn visie is het plan van Opstelten een papieren tijger.

Gebruik decryptiebevel alleen om schade te voorkomen | Sargasso
, 2012-11-29 13:30:14
(reply)

[…] verdachten met het zogenoemde decryptiebevel kunnen dwingen hun computer te ontsleutelen. Expert Jaap Henk Hoepman pleit ervoor dat de informatie dan niet als bewijs wordt […]