| Ingediend | 30 april 2024 |
|---|---|
| Beantwoord | 25 oktober 2024 (na 178 dagen) |
| Indieners | Barbara Kathmann (PvdA), Jesse Six Dijkstra (NSC) |
| Beantwoord door | Alexandra van Huffelen (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (D66), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
| Onderwerpen | bestuur openbare orde en veiligheid parlement politie, brandweer en hulpdiensten recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2024Z07716.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20242025-398.html |
Ja
De Kamer heeft in juli 2022 middels de motie van het lid Van Raan c.s. de regering verzocht end-to-end-encryptie in stand te houden en voorstellen die dat onmogelijk maken niet te steunen. Het vorige kabinet heeft, in antwoord op dit verzoek, toegezegd uitvoering te geven aan deze motie.3 Dit standpunt staat hier niet ter discussie.
Wel wil ik, zoals mijn voorganger vaak heeft benadrukt, het belang onderstrepen dat wij moeten blijven zoeken naar mogelijkheden om rechtmatige toegang tot gegevens mogelijk te maken en/of te behouden. Zoals de Kamer is geïnformeerd wordt onder andere in Europees verband naar oplossingen gezocht.4 Dat is echter een lang proces, waarbij nog geen concrete oplossingen in zicht zijn.
Overigens geeft (vooral) het Wetboek van Strafvordering bevoegdheden voor de opsporing van strafbare feiten. Deze bevoegdheden, zoals de bevoegdheid tot binnendringen in een geautomatiseerd werk, kunnen leiden tot een inbreuk op de persoonlijke levenssfeer en zijn daarom met voorwaarden en waarborgen omkleed. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal. Of een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, wordt derhalve niet bepaald door de keuze van de beveiligingstechniek van de verdachte.
De hoofden van politie wijzen op de uitdagingen voor de opsporing bij de rechtmatige toegang tot gegevens. Zij roepen op tot het mogelijk houden dan wel maken van die rechtmatige toegang, waarbij zij tevens vermelden dat de technische oplossingen hiervoor kunnen verschillen voor diverse platforms of vormen van toegang. Zoals gemeld wordt momenteel onder andere in Europees verband naar oplossingen gezocht.
De politie geeft in haar verklaring niet aan dat «end-to-end versleuteling in stand kan blijven met een achterdeurtje die alleen voor de politie beschikbaar is». Het is van belang te zoeken naar mogelijkheden om te voorkomen dat er vrijplaatsen voor criminele activiteiten ontstaan, die tevens recht doen aan het belang van het in stand houden van end-to-end encryptie.
Een inperking van de privacy door de overheid moet steeds voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Waar nodig worden in wettelijke regelingen daarover waarborgen opgenomen, zoals een rechterlijke machtiging voor het inperken van de vertrouwelijkheid van communicatie. In het kader van de opsporing van strafbare feiten betreft dergelijke wetgeving vooral het Wetboek van Strafvordering. Deze wettelijke bepalingen zijn in beginsel techniek-neutraal geformuleerd. Welke beveiligingsmethodiek wordt toegepast, is niet van belang voor de vraag of een inbreuk op de privacy gerechtvaardigd is.
Toegang tot informatie in specifieke gevallen leidt niet noodzakelijkerwijs tot het onmogelijk maken van end-to-end-encryptie. Wanneer informatie wordt getransporteerd tussen twee punten («end-to-end») kan deze worden beveiligd (versleuteld) worden met end-to-end-encryptie. Deze beveiligingsmethode zorgt er voor dat tijdens het transport van die informatie derden dit bericht niet in leesbare vorm kunnen onderscheppen. Om toch toegang tot het berichtenverkeer te verkrijgen, bijvoorbeeld omdat op grond van wettelijke bevoegdheden tot toegang tot de berichten van een verdachte in het kader van een opsporingsonderzoek is besloten, zijn er in theorie diverse mogelijkheden. Het bericht kan bijvoorbeeld versleuteld worden onderschept en later worden ontsleuteld. Dit blijkt echter tegenwoordig in de praktijk vaak technisch niet mogelijk. Een andere mogelijkheid is dat de aanbieder van de communicatiedienst de encryptie voor de berichten van een specifieke verdachte niet toepast en de berichten onversleuteld aan de autoriteiten verstrekt, zoals ook aanbieders van openbare telecommunicatiediensten verplicht zijn de versleuteling ongedaan te maken in het geval van het aftappen van telecommunicatie. De end-to-end-versleuteling wordt voor berichten van en naar deze specifieke verdachte dan uitgezet. Zoals eerder is toegelicht aan uw Kamer staat deze methode los van andere processen die plaatsvinden op een apparaat.7 Een manieren waarop inzicht in informatie kan worden verkregen op het apparaat is bijvoorbeeld het binnendringen in een geautomatiseerd werk. Met een dergelijke methode is er toegang tot de gegevens op het apparaat in plaats van tijdens het transport. De berichten zijn dan veelal in leesbare vorm, omdat deze op het apparaat nog niet zijn versleuteld voor het transport, of reeds zijn ontsleuteld na het transport.
Deze mogelijkheden kunnen een meer dan geringe inbreuk op de privacy opleveren en zijn daarom met passende wettelijke voorwaarden en waarborgen omkleed. Zo moeten zij onder meer voldoen aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Voor een nadere toelichting wil ik verwijzen naar brieven van 8 mei, 28 juni en 18 september 2023 aan uw Kamer.8
Ja, ik ben bekend met cryptotelefoons. Deze zijn op zichzelf niet verboden. Voor handhavingsautoriteiten is het probleem bij cryptotelefoons niet anders dan bij andere sterk versleutelde diensten: iedereen, inclusief gerechtelijke autoriteiten in Europese lidstaten die handelen op basis van wettelijke bevoegdheden, wordt toegang ontzegd tot de inhoud van deze berichten door het platform dat de communicatie mogelijk maakt. Dit gebrek aan rechtmatige toegang tot digitale gegevens raakt tevens de kern van de zorg die wordt uitgesproken door de nationale hoofden van politie in hun verklaring d.d. 18 april.9
Ik ben bekend met het store-now-decrypt-later-begrip en de mogelijkheid om versleutelde informatie op te slaan om deze op een later moment te kunnen ontsleutelen indien er in de toekomst een kwantumcomputer beschikbaar komt. In dat verband wil ik wijzen op de strategie die de rijksoverheid heeft ontwikkeld om organisaties te helpen de risico’s van kwantumtechnologie op cryptografie op tijd te beheersen, door tijdig te migreren naar zogenaamde post-quantum cryptografie.10 Deze vorm van cryptografie biedt weerstand tegen het eerder genoemde store-now-decrypt-later-scenario.
Op uw vraag over de veiligheidsdiensten wijs ik erop dat over de precieze werkwijze van de inlichtingen- en veiligheidsdiensten in het openbaar geen uitspraken worden gedaan. Voor de politie in Nederland geldt dat zij in het kader van de opsporing versleutelde persoonsgegevens rechtmatig kunnen vergaren op grond van diverse bevoegdheden uit het Wetboek van Strafvordering. De wettelijke bewaartermijnen voor politiegegevens, zoals onder andere opgenomen in de Wet politiegegevens, maken geen onderscheid tussen versleutelde en onversleutelde gegevens.
Ja, ik ben bekend met de uitspraak in de zaak Podchasov v. Rusland.
Daarnaast ben ik bekend met de verklaring van het Europees Comité voor gegevensbescherming van 13 februari 2024. Dit betreft echter geen reactie op de Verordening ter bestrijding en voorkoming van seksueel kindermisbruik zoals voorgesteld door de commissie, maar op het (tegen)voorstel zoals gedaan door het Europees Parlement op 22 november 2023.14 Ten slotte ben ik bekend met de uitspraak van het Europese Hof in de zaak Schrems. Versleutelde berichten of versleuteling speelden echter geen rol in deze zaak.
In de zaak Podchasov v. Rusland is klager een Russische onderdaan, en gebruiker van de berichtenapplicatie Telegram. Telegram is door de Russische staat aangemerkt als «Internet organisator van communicatie». Als gevolg hiervan is het bij wet verplicht om alle communicatiegegevens op te slaan voor de duur van een jaar en de inhoud van alle communicatie gedurende zes maanden. Verder is bepaald dat deze gegevens kunnen worden voorgelegd aan de rechtshandhavingsinstanties of veiligheidsdiensten, samen met de informatie die nodig is om versleutelde berichten te kunnen ontsleutelen.15 Het EHRM overweegt dat het opslaan van de gegevens van klager een inmenging is in het recht op privéleven (artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM)). Deze inmenging kan gerechtvaardigd zijn indien deze heeft plaatsgevonden in overeenstemming met de wet, een legitiem doel dient en noodzakelijk is in een democratische samenleving. Het EHRM overweegt dat nationale wetgeving voldoende waarborgen moet bieden met betrekking tot onder andere de duur, de opslag, het gebruik, de toegang van derden, procedures voor het bewaren van de integriteit en vertrouwelijkheid van gegevens en procedures voor de vernietiging ervan, zodat er voldoende garanties zijn tegen het risico van misbruik en willekeur, om te voorkomen dat persoonsgegevens in strijd met artikel 8 EVRM worden gebruikt. De nationale wetgeving moet er met name voor zorgen dat de bewaarde gegevens relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden bewaard, en dat ze in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden bewaard. Daarnaast moet de wetgeving aan het voorzienbaarheidsvereiste voldoen.
Het EHRM overweegt dat Russische wetgeving communicatieaanbieders verplicht tot het installeren van technieken die directe toegang door de Russische veiligheidsdiensten tot de communicatie mogelijk maken. De Russische opsporingsautoriteiten moeten weliswaar een rechterlijke machtiging verkrijgen alvorens deze gegevens te kunnen raadplegen, maar er bestaat geen verplichting om die machtiging ook aan de communicatieaanbieder te tonen.16 Gezien het risico van misbruik dat een dergelijke regeling in het leven roept, moet de wet voldoende waarborgen bevatten tegen willekeur en misbruik. Het EHRM oordeelt dat daar in deze zaak onvoldoende sprake van is.
Met betrekking tot de verplichting tot medewerking van Telegram aan het ontsleutelen van alle end-to-end versleutelde communicatie overweegt het EHRM:
«Deze maatregelen kunnen naar verluidt niet worden beperkt tot specifieke individuen en zouden zonder onderscheid iedereen treffen, inclusief individuen die geen bedreiging vormen voor een legitiem overheidsbelang. Het verzwakken van de encryptie door het creëren van achterdeuren zou het blijkbaar technisch mogelijk maken om routinematige, algemene en willekeurige surveillance van persoonlijke elektronische communicatie uit te voeren.»
Het EHRM overweegt dat onder die omstandigheden de bovengenoemde verplichting die Rusland oplegde aan Telegram niet proportioneel is ten aanzien van het beoogde doel.17 Het EHRM concludeert dat de bestreden Russische wetgeving onvoldoende adequate waarborgen tegen misbruik bevat en de kern van artikel 8 EVRM aantast – het recht op eerbiediging van het privéleven.
Het vorige kabinet heeft aangegeven uitvoering te geven aan de motie-Van Raan en heeft dit standpunt uitgebreid weergegeven en onderbouwd. Dit standpunt, dat hier niet ter discussie staat, staat haaks op het creëren van enige verplichting tot afzwakking, uitschakeling of algehele ontsleuteling van end-to-end versleutelde informatie.
Het Europese Hof in de zaak Schrems schreef dat «een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie [moet] worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven zoals door artikel 7 van het Handvest gewaarborgd».18
Hoewel ik deze conclusie van het Hof onderschrijf, wil ik erop wijzen dat versleutelde berichten of versleuteling als zodanig geen rol speelde in deze zaak.
Het kabinet onderschrijft de conclusie van het Europees Comité voor gegevensbescherming dat end-to-end versleuteling een belangrijk middel is om de vertrouwelijkheid van elektronische communicatie te kunnen bewerkstelligen.
Nee. Dit standpunt, zoals aangehaald en beschreven in mijn beantwoording op uw vorige vragen, is niet strijdig met voornoemde uitspraken.
De doelstelling van artikel 13 Grondwet (Gw) betreft het beschermen van de vertrouwelijkheid van communicatie. Die bescherming geldt met en zonder encryptie: ook als de inhoud van communicatie niet versleuteld is, mag die niet zomaar worden bekeken. Encryptie is een technische manier om de inhoud van de communicatie te beschermen tegen inzage door anderen, naast andere manieren om daartegen te beschermen. Artikel 13 schrijft niet voor of en op welke wijze private partijen hun communicatie dienen te beschermen.20 Dat een beveiligingsmethode eventueel gekraakt kan worden doet aan de juridische bescherming niet af.21 Overigens biedt artikel 13 Gw expliciet de mogelijkheid inperkingen te maken op het communicatiegeheim. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machtiging van de rechter of, in het belang van de nationale veiligheid, door of met machtiging van hen die daartoe bij de wet zijn aangewezen. Een voorbeeld van een dergelijke beperking is inzet van de interceptiebevoegdheid ten behoeve van de opsporing van strafbare feiten. Voorafgaande machtiging van de rechter is dan vereist.
In 2010 adviseerde de Staatscommissie om de bescherming van artikel 13 Gw te beperken tot de transportfase van de informatie en de inhoud van de communicatie buiten de bescherming van artikel 13 te laten vallen.22 In de memorie van toelichting bij de herziening van dit grondwetsartikel, alsmede tijdens debatten over het wetsvoorstel in de Tweede Kamer, is toegelicht waarom voor een andere, tevens techniek-onafhankelijke benadering is gekozen bij de vormgeving van dit grondwetsartikel.23 In de kern komt het erop neer dat bij de bescherming van het telecommunicatiegeheim is gekozen om niet het middel dat bescherming kan bieden, maar bescherming van de inhoud van de communicatie zelf centraal te stellen.24
Zoals gezegd is voornoemd standpunt inzake end-to-end-encryptie niet strijdig met voornoemde uitspraken. Voor nadere uitleg verwijs ik naar mijn puntsgewijze beantwoording van vraag 10.
Ja.
Hierbij deel ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, mede dat de schriftelijke vragen van de leden Kathmann (GroenLinks-PvdA) en Six Dijkstra (Nieuw Sociaal Contract), van uw Kamer aan de Minister van Justitie en Veiligheid over de oproep van Europese politiechefs om end-to-endencryptie te verzwakken (ingezonden 30 mei 2024) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.