Illustratie Myrthe van Heerwaarden

Het ministerie van Economische Zaken en Klimaat (EZK) blokkeerde een wetswijziging van de Telecomwet die chatdiensten aftapbaar moest maken. Volgens EZK dreigde WhatsApp te vertrekken uit Nederland als de wijziging werd doorgevoerd, en zou het vertrouwen van burgers in onlinediensten „ernstig geschaad” worden.

EZK voerde de afgelopen jaren een hevige strijd met het ministerie van Justitie en Veiligheid, dat in opdracht van minister Ferd Grapperhaus (CDA) zocht naar ‘achterdeurtjes’ in de beveiliging van chatapps, zoals WhatsApp. Zo wilde Grapperhaus onder meer de verspreiding van foto’s van seksueel misbruik van kinderen tegengaan.

Dat blijkt uit vertrouwelijke discussies tussen experts bij de overheid, Nederlandse en buitenlandse opsporingsdiensten en de ministeries van Economische Zaken en Klimaat en Justitie en Veiligheid. NRC had samen met onderzoekscollectief Lighthouse Reports inzage in deze documenten. Ze beslaan de periode 2019-2021 en werden na een beroep op de Wet openbaarheid van bestuur vrijgegeven.

Justitie blijft zoeken naar de heilige graal: een ‘veilig’ achterdeurtje in WhatsApp.

Uit de documenten blijkt dat, ook na jarenlang onderzoek, Nederland geen mogelijkheid ziet om chatdiensten als WhatsApp af te luisteren zonder de veiligheid van het hele netwerk te ondermijnen. Zelfs Grapperhaus’ eigen specialisten waarschuwen dat zijn plan de communicatie „over de hele linie” onveiliger dreigt te maken. Toch blijven het ministerie van Justitie en Veiligheid en andere opsporingsdiensten zoeken naar de heilige graal: een ‘veilig’ achterdeurtje in WhatsApp.

Geen centrale sleutel

Het afluisteren van telefoongesprekken en onversleuteld mail- en internetverkeer is geen enkel probleem. In Nederland doet de politie jaarlijks meer dan 28.000 van die taps, de AIVD gemiddeld zo’n 2.000 per jaar.

Maar meelezen met de berichten van de 12 miljoen Nederlandse WhatsAppgebruikers kan niet. Door zogenoemde end-to-end encryptie zien alleen zender en ontvanger de inhoud van de berichten – ook WhatsApp zélf kent de inhoud niet. Dat geldt óók voor Signal, Facebook Messenger en Apple iMessage. Deze populaire chatdiensten hebben geen centrale sleutel die toegang geeft tot alle berichten.

Dat is een probleem voor de opsporingsdiensten, want criminelen en terroristen profiteren mee van encryptie. Dit leidt tot grote frustratie bij internationale opsporingsdiensten; zij willen chats kunnen aftappen bij hun onderzoeken. „De publieke veiligheid kan niet worden beschermd zonder de privacy of cybersecurity aan te tasten”, stelde een internationale coalitie onder leiding van de Verenigde Staten eind 2020.

Het is ook een frustratie voor Ferd Grapperhaus, van 2017 tot afgelopen januari de Nederlandse minister van Justitie en Veiligheid (CDA). Zijn grote zorg: de stroom afbeeldingen en video’s van kinderen die seksueel misbruikt worden die via Nederland verspreid worden „afknijpen”. Het is een onderwerp dat hem diep raakt, na een bezoek aan het Team Bestrijding Kindermisbruik in Zoetermeer in 2017.

Hacken van individuele verdachten om hun communicatie af te tappen is moeilijk en arbeidsintensief. Dus moet er een achterdeurtje komen in chatdiensten, vindt Grapperhaus, zodat opsporingsdiensten mee kunnen lezen. Als een telefoontap, maar dan voor WhatsApp.

Alleen moet daarvoor de versleuteling veranderen – en over de vraag of dat kan zónder de veiligheid van het hele systeem aan te tasten, wordt fel gedebatteerd. De wens om de chats mee te kunnen lezen is zo groot, dat ambtenaren van Justitie dat ambtenaren van het ministerie van Justitie kort na Grapperhaus’ aantreden de opdracht krijgen om te zoeken naar manieren om end-to-end encryptie te omzeilen of af te zwakken.

Het is een controversiële zoektocht, die indruist tegen het kabinetsstandpunt uit 2016: „Door een technische ingang in een encryptieproduct te introduceren die het voor opsporingsinstanties mogelijk zou maken versleutelde bestanden in te zien, kunnen digitale systemen kwetsbaar worden voor criminelen, terroristen en buitenlandse inlichtingendiensten.”

Lees ook dit interview met Grapperhaus: „Dit is zo verschrikkelijk, hier kun je je niet op privacy of vrijheid van meningsuiting beroepen.”

EZK voor het blok

Wat werd aangekondigd als een voorzichtige inventarisatie leidt al snel tot een concreet plan om de chatdiensten aftapbaar te maken, blijkt uit de documenten. De Telecomwet moet, nog voor de verkiezingen van 2021, gewijzigd worden vanwege de komst van 5G, de nieuwe generatie mobiel internet. Justitie stelt in 2019 voor de aanbieders van chatdiensten in die wet gelijk te stellen aan traditionele telecomproviders. Die laatsten zijn nu al verplicht hun netwerken aftapbaar te maken.

Het ministerie van Economische Zaken en Klimaat, verantwoordelijk voor de telecomsector, vindt de gedachte aanvankelijk niet verkeerd, zo blijkt uit Wob-stukken. Waarom zouden er andere regels moeten zijn voor WhatsApp, dan voor KPN of T-Mobile? Maar ze schrikken van de implicaties van het gelijktrekken van de aftapverplichting.

„Er was niet eens een concreet wetsvoorstel, alleen een plotseling beleidsvoornemen”, zegt een ingewijde achteraf. EZK voelt zich voor het blok gezet en pleit voor meer onderzoek. De collega’s van Justitie moeten wel kunnen bevestigen dat de gekozen aanpak niet leidt tot een zwakkere encryptie, zeggen ze. Dat druist immers in tegen het kabinetsstandpunt.

Waarom zouden er andere regels moeten zijn voor WhatsApp, dan voor KPN of T-Mobile?

Voor Economische Zaken spelen andere belangen mee. Via WhatsApp (wereldwijd 2 miljard gebruikers) worden dagelijks 100 miljard berichten verstuurd, door consumenten en bedrijven. Van Tikkie tot toegangskaartjes; er leunt een hele digitale economie op vertrouwelijk dataverkeer. Economische Zaken maakt zich zorgen over het ‘vestigingsklimaat’ en wil zeker weten dat Nederland niet als enig Europees land een tapplicht voor chatdiensten instelt.

Facebook (het moederbedrijf van WhatsApp, dat inmiddels Meta heet) laat volgens EZK weten dat het de dienstverlening van WhatsApp in Nederland zal stopzetten als een achterdeurtje hier verplicht wordt. Meta wil de encryptie van zijn chatdiensten juist versterken. Versleuteling is een essentieel onderdeel van WhatsApp, zegt het bedrijf tegen NRC. Meta wil niet zeggen of het gedreigd heeft met het vertrek van WhatsApp uit Nederland.

De ministeries bakkeleien verder. „We willen voorkomen dat dienstverleners zich terugtrekken en WhatsApp niet meer beschikbaar is in Nederland”, schrijft het Directoraat-Generaal Bedrijfsleven en Innovatie van EZK in oktober 2020 aan de Directie Rechtshandhaving en Criminaliteitsbestrijding van Justitie. Dat ministerie reageert gebeten: „Vlak voor de deadline vertraging op dit fundamentele punt claimen met een niet of amper uitvoerbaar onderzoek is onprofessioneel en onnodig.”

De techsector – „de rijkste en meest geavanceerde bedrijven ter wereld” – moet zelf een oplossing verzinnen om een product te bouwen dat zowel goed beveiligd is als goed aftapbaar, vindt Justitie. „Er moet geen sprake zijn van een omgekeerde bewijslast: dat wij moeten aantonen dat aftapbaarheid veilig kan.” EZK wordt „niet-tijdige beleidsvorming” verweten.

Het beroep op het kabinetsstandpunt rond encryptie kunnen de ambtenaren van Justitie ook niet volgen. „Dat stamt uit 2016, en sindsdien is de wereld flink veranderd.”

Wat er vooral veranderde, is dat miljarden burgers nu over goed versleutelde communicatie beschikken.

Illustratie Myrthe van Heerwaarden

Ongebruikelijke coalitie

Eind 2020 ziet het ministerie van Justitie in dat het niet gaat lukken voor de verkiezingen een aftapplicht voor chatdiensten af te dwingen. Vasthouden aan dat voornemen leidt door het verzet van Economische Zaken alleen maar tot vertraging. Dat is onhoudbaar nu de uitrol van het 5G-netwerk snel dichterbij komt.

Voor het einde van dat jaar kondigt Grapperhaus aan het heikele punt voorlopig uit de Telecomwet te halen. Een maand later, nadat het kabinet is afgetreden vanwege de toeslagenaffaire, wordt het aftapbaar maken van de chatdiensten door de Tweede Kamer ‘controversieel’ verklaard.

Achter de schermen gaat de zoektocht naar het omzeilen van de encryptie door. Als de NOS hierover in maart 2021 publiceert, komen privacy-organisaties, wetenschappers en de technologiesector in actie. Ze roepen het kabinet op juist het gebruik van encryptie te stimuleren. Een bijzondere coalitie tekent de petitie, van Facebook en burgerrechtenorganisatie Bits of Freedom, tot wetenschappers en zelfs het Nederlandse kinderpornomeldpunt. Deze belanghebbenden staan normaliter vaak tegenover elkaar.

Het achterdeurtje levert te veel problemen op, zoals „spionage, statelijke dreigingen van partijen die interesse hebben in informatie van politici, grote verzamelingen persoonsgegevens en economische veiligheid”

Ook onderdelen van Grapperhaus’ eigen ministerie spreken zich uit tegen het ondermijnen van de veiligheid van WhatsApp, blijkt uit de stukken. De Nationaal Coördinator Terrorisme en Veiligheid (NCTV) en het Nationaal Cybersecurity Centrum (NCSC) laten in het voorjaar van 2021 weten „op basis van hun expertise geen technische oplossingen te zien, die niet communicatie via chatapps over de linie onveiliger maken.” Het achterdeurtje levert te veel problemen op, zoals „spionage, statelijke dreigingen van partijen die interesse hebben in informatie van politici, grote verzamelingen persoonsgegevens en economische veiligheid.”

In geschreven aantekeningen voor een presentatie bij Grapperhaus schrijft een medewerker van het NCSC: „Hoe voorkomen we dat [weggelakt] de appjes van onze ministers meelezen? En hoe weerhouden we [weggelakt] ervan om met deze faciliteit hun dissidenten op Nederlands grondgebied in de gaten te houden?”

Justitie blijft spitten

In juni 2021 constateert de Directie Wetgeving en Strafrecht van Justitie en Veiligheid dat een wetsvoorstel pas kansrijk is als er eerst een technische mogelijkheid is uitgewerkt die „zowel sterke beveiliging en encryptie als toegang in specifieke gevallen (…) weet te waarborgen”. Grapperhaus krijgt die zomer het advies om aansluiting te zoeken bij Europese initiatieven.

Want Nederland is niet het enige land dat mee wil lezen met versleutelde chatberichten. Eind 2020 nam de Europese Raad een resolutie aan die stelt „dat er behoefte is aan beveiliging dankzij en ondanks versleuteling”. Technologiebedrijven, wetenschappers en burgers moeten betrokken worden in de zoektocht naar „het juiste evenwicht”.

Alternatieve technieken

Er zijn alternatieve encryptietechnieken die met meerdere sleutels en meerdere beheerders werken. Alleen een combinatie van sleutels kan een bericht openen. Dat vermindert de kans op misbruik van een centraal ‘achterdeurtje’.

Apple voerde vorig jaar een beschermingsmechanisme tegen kindermisbruik in dat controleert of iPhone-gebruikers geen afbeeldingen met kinderporno uploaden naar opslagdienst iCloud. Het algoritme scant niet de foto, maar kijkt naar de hash, een optelsom van alle pixels vertaald in een digitale code. Die wordt vergeleken met een database van eerder gevonden verboden afbeeldingen.

In mei 2022 publiceerde de Europese Commissie een wetsvoorstel dat technologiebedrijven verplicht chats te scannen op kinderpornografisch materiaal en grooming (digitale kinderlokkerij). Net als bij het gesneuvelde voorstel van Grapperhaus is de aanpak van de Europese Commissie ‘technologieneutraal’. De techbedrijven wordt niet expliciet gevraagd hun encryptie te verzwakken, maar volgens experts kan niet op een andere manier aan de eisen worden voldaan. Het Europees Parlement en de Europese regeringsleiders moeten nog instemmen met het omstreden voorstel.

In afwachting van een Europees besluit blijft Justitie doorspitten. Het Nederlands Forensisch Instituut doet op verzoek van het ministerie van Justitie in het voorjaar van 2021 een voorstel voor onderzoek met een „hoog R&D [research en development] en innovatief karakter met een mogelijk dure IT-component”. Het doel: een voldoende veilige techniek vinden om opsporingsdiensten „realtime” mee te laten lezen met „onvercijferde communicatie van een subject of verdachte”. Kennisinstituut WODC is daarnaast bezig met een onderzoek naar de „impact van encryptie op de opsporingsdiensten”. Dat had in mei moeten verschijnen, maar verschijnt na de zomer.

Bij Grapperhaus’ opvolger Dilan Yesilgöz-Zegerius (VVD) leeft de wens voort om de encryptie van chatdiensten aftapbaar te maken, schrijft zij eind april in een brief bij de publicatie van de Wob-stukken. „Rechtmatige toegang tot versleutelde communicatie kan ook de veiligheid van de maatschappij en burgers verbeteren. […] Deze eventuele interceptiebevoegdheid kan worden gebruikt voor de bestrijding van vele soorten criminaliteit.” Maar een goede oplossing is er nog niet, voegt Yesilgöz daaraan toe.

Realisme in encryptie

En wat als er wel zo’n goede oplossing zou zijn? In een achtergronddocument over tapbare digitale communicatie, van juni 2021, werpt de Cyber Security Raad principiële vragen op. Stel, schrijft deze adviesraad van het kabinet, „dat het technisch allemaal lukt en we kunnen een mondiale interceptie-infrastructuur bouwen. Is de mensheid daaraan toe? Welke landen mogen deze tapinfrastructuur voor welke delicten gebruiken? Kunnen taps ingezet worden bij zaken als moord en doodslag en kinderporno, maar niet bij politiek gevoeligere beschuldigingen van terrorisme of staatsondermijnende activiteiten? Wie beheert dat? Mogen [weggelakt] er ook bij? Mag bewijs daaruit leiden tot doodstraffen?”

De Cyber Security Raad stuurt zijn uiteindelijke advies op 16 juni naar het ministerie van Justitie. Op de inhoud wil Bart Jacobs, hoogleraar informatiebeveiliging (Radboud Universiteit), CSR-lid en auteur van het achtergrondstuk uit 2021 nog niet vooruitlopen. „Nederland loopt binnen Europa voorop in realisme in encryptie”, zegt hij. „Mogelijk zal het advies dit realisme alleen maar versterken.”

Reactie Justitie: ‘Zorgvuldig proces’

Het ministerie van Justitie en Veiligheid noemt het aftapbaar maken van de chatdiensten “een complex dossier” dat “een zorgvuldig proces vergt”, waarbij alle belangen gewogen worden.

Dat het ministerie van Economische Zaken en Klimaat en de NCTV de wijziging van de Telecomwet niet steunden, betekent niet dat zij tegen het aftapbaar maken van de chatdiensten zijn, zegt Justitie. “Maar op dit moment is er geen zicht op mogelijkheden om in algemene zin, bijvoorbeeld via standaarden, encryptieproducten te verzwakken zonder daarmee de veiligheid van digitale systemen die van encryptie gebruikmaken te compromitteren.”

De internationale zoektocht naar een goede oplossing “geniet de voorkeur” boven een nationale regeling, zegt het ministerie.