Encryptie volgens het EHRM: het recht op privacy in de zaak Podchasov

5 september 2024 / in Nieuws / door Tijn Iserief

Inleiding

Het Europees Hof voor de Rechten van de Mens (EHRM) oordeelt in haar uitspraak van februari 2024 in de zaak Podchasov t. Rusland het belang van encryptie bij de bescherming van ‘het recht op privacy’. Dit recht is vastgelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). De zaak betreft de vraag of end-to-end encryptie van versleutelde communicatie via Telegram ontsleuteld mag worden voor gebruik door de Russische Federale veiligheidsdienst FSB in het kader van de nationale veiligheid.

Dit artikel zet uiteen hoe de uitspraak van het EHRM de balans tussen nationale veiligheid en privacy beïnvloedt, specifiek in de context van dataretentie (het bewaren van gegevens) en de verplichting tot het ontsleutelen van versleutelde communicatie. Eerst volgt een analyse van de feiten van deze zaak, gevolgd door een uitleg in hoeverre deze zaak de bestaande rechtspraak uitbreidt. Daarna volgt een uiteenzetting van het gebrek aan juridische waarborgen bij de dataretentie, te weten tekortkomingen in gerechtelijk toezicht, gevolgen van indiscriminatoire gegevensverzameling, en gebrek aan transparantie, verantwoording en rechtsmiddelen. Vervolgens worden de gevolgen van het ontsleutelen van versleutelde communicatie besproken. Tot slot wordt in de conclusie onderstreept dat uit Podchasov blijkt dat dataretentie en de verplichting tot het ontsleutelen van end-to-end encryptie, zonder adequate juridische waarborgen, niet verenigbaar zijn met de bescherming van artikel 8 EVRM.

De feiten

De zaak draait om Russische wetgeving die een ‘Internet Communications Organizer’ (ICO) verplicht om metadata van Telegramgebruikers, zoals identificatiegegevens, verkeersgegevens en locatiegegevens, gedurende een jaar op te slaan en de inhoud van alle communicatie zes maanden te bewaren. Daarnaast verplicht de wetgeving deze diensten om op verzoek van de autoriteiten toegang te verlenen tot deze gegevens en om informatie te verstrekken die nodig is om versleutelde berichten te ontsleutelen. Telegram, een populaire berichtendienst, werd door de Russische autoriteiten aangesproken om technische informatie te delen waarmee de FSB de berichten van specifieke gebruikers kon ontsleutelen. Telegram weigerde echter; het ontsleutelen van berichten zou leiden tot een verzwakking van de encryptie voor alle gebruikers. Als reactie hierop legden de Russische autoriteiten sancties op, waaronder een gerechtelijk bevel om de dienst in Rusland te blokkeren. Podchasov en anderen vochten deze verplichtingen en de daaropvolgende maatregelen aan bij de Russische rechter, maar hun klachten werden afgewezen. Dit leidde uiteindelijk tot een klacht bij het EHRM, waarin werd aangevoerd dat de Russische wetgeving en de daaropvolgende maatregelen van de autoriteiten, waaronder het blokkeren van Telegram en het opleggen van sancties, een ernstige schending vormen van het recht op eerbiediging van privéleven en correspondentie zoals vastgelegd in artikel 8 EVRM.

Uitbreiding van rechtspraak

De zaak Podchasov bouwt voort op eerdere jurisprudentie van het EHRM, waarin de rechtmatigheid van dataretentie en de toegang tot deze gegevens al uitgebreid aan bod kwam. In eerdere zaken, zoals Roman Zakharov en Big Brother Watch, richtte het EHRM zich op de wettigheid van grootschalige gegevensverzameling en het gebrek aan effectieve waarborgen tegen misbruik.[1] Wat Podchasov echter bijzonder maakt, is dat het EHRM hier voor het eerst specifiek oordeelt over de verplichting voor communicatiediensten om versleutelde communicatie te ontsleutelen, wat een directe impact heeft op de privacy en veiligheid van digitale communicatie. Deze zaak breidt de discussie uit naar de implicaties van een verplichting tot het ontsleutelen van versleutelde gegevens. Het EHRM erkent dat het ontsleutelen van versleutelde gegevens niet alleen invloed heeft op de bescherming van het recht op eerbiediging van privéleven en correspondentie, maar ook bredere veiligheidsrisico’s creëert voor andere gebruikers. Hierdoor draagt de zaak bij aan de verdere ontwikkeling van het juridisch kader rond de bescherming van communicatie onder artikel 8 EVRM.

Gebrek aan juridische waarborgen

  • Effectief gerechtelijk toezicht

Een van de meest fundamentele tekortkomingen die door het EHRM werd geïdentificeerd, is het ontbreken van effectief gerechtelijk toezicht binnen de Russische wetgeving. Het Hof oordeelde dat de Russische wetgeving autoriteiten in staat stelt om directe toegang en op afstand toegang te krijgen tot opgeslagen communicatiegegevens zonder dat er voorafgaande rechterlijke toestemming nodig is. Dit gebrek aan voorafgaande toetsing verhoogt aanzienlijk het risico op willekeurige en ongeoorloofde toegang tot persoonlijke informatie. Dit vormt volgens het Hof een ernstige inbreuk op de rechten van individuen onder artikel 8 van het EVRM.[2]

Het EHRM benadrukte dat gerechtelijk toezicht een waarborg is om ervoor te zorgen dat toegang tot internetcommunicatie en gerelateerde communicatiegegevens alleen wordt verleend wanneer dit gerechtvaardigd en noodzakelijk is. In de context van de Russische wetgeving zijn autoriteiten echter niet verplicht om bewijs van gerechtelijke autorisatie te verstrekken aan de betrokken ICO’s voordat zij toegang krijgen tot de gegevens. Dit maakt het voor de dienstverleners onmogelijk om de legaliteit van de verzoeken te controleren. Dit biedt geen enkele bescherming tegen potentieel misbruik door de autoriteiten. Dit gebrek aan controle was een centraal punt van kritiek van het EHRM, omdat het een fundamenteel aspect van rechtsstatelijkheid en proportionaliteit ondermijnt.[3]

  • Indiscriminatoire gegevensverzameling

Het EHRM bekritiseerde ook de massale en ongedifferentieerde opslag van communicatiegegevens die door de Russische wetgeving werd vereist. Deze wetgeving verplichtte ICO’s om alle internetcommunicatiegegevens op te slaan, zonder onderscheid naar personen, tijdsperioden of geografische gebieden. Het Hof oordeelde dat dergelijke ongerichte en allesomvattende gegevensverzameling verder gaat dan wat noodzakelijk is voor legitieme doeleinden zoals nationale veiligheid of criminaliteitsbestrijding. De ongedifferentieerde aard van deze verzameling schendt volgens het Hof het noodzakelijkheids- en proportionaliteitsbeginsel, dat centraal staat in de bescherming van het recht op privacy onder het EVRM.[4]

De impact van deze brede benadering wordt nog verergerd door de risico’s die inherent zijn aan massale gegevensverzameling. Het opslaan van gegevens van alle gebruikers, ongeacht hun betrokkenheid bij verdachte activiteiten, verhoogt de kans op datalekken, ongeoorloofde toegang, en misbruik van informatie, wat ernstige gevolgen kan hebben voor de privacy en veiligheid van individuen. Dit werd door het EHRM beschouwd als een significant risico dat onvoldoende werd geadresseerd door de Russische wetgeving, vooral gezien het eerdergenoemde ontbreken van effectieve mechanismen voor toezicht en verantwoording.[5]

  • Transparantie, verantwoording en rechtsmiddelen

Een bijkomend probleem dat door het EHRM werd geïdentificeerd, is het gebrek aan transparantie en verantwoording in de Russische wetgeving. De wetgeving voorziet niet in de noodzakelijke publieke toezichtmechanismen die essentieel zijn om misbruik te voorkomen en om het vertrouwen van het publiek te behouden. Het EHRM benadrukte dat zonder verplichte rapportagevereisten over het gebruik en de reikwijdte van surveillancepraktijken, het moeilijk is om de proportionaliteit en effectiviteit van dergelijke maatregelen te beoordelen. Dit gebrek aan transparantie werd beschouwd als een ernstige tekortkoming in de bescherming van fundamentele rechten, en het EHRM waarschuwde dat dit soort systemische problemen de rechtsstatelijkheid ondermijnt.[6]

Daarnaast bekritiseerde het EHRM de beperkte rechtsmiddelen die beschikbaar zijn voor individuen om zich te verzetten tegen deze maatregelen. Aangezien personen niet op de hoogte worden gesteld van de surveillancemaatregelen die tegen hen worden genomen, zelfs niet achteraf, is het voor hen bijna onmogelijk om rechtsmiddelen te zoeken of om schendingen van hun rechten aan te vechten. Dit gebrek aan effectieve rechtsmiddelen draagt bij aan een cultuur van ondoorzichtigheid en gebrek aan verantwoording, wat volgens het Hof een gevaarlijk precedent schept voor toekomstige surveillancepraktijken.[7]

Verzwakking van encryptie en veiligheidsrisico’s
Een bijzonder zorgwekkend aspect van de Russische wetgeving is de verplichting voor ICO’s om versleutelde communicatie te ontsleutelen en de bijbehorende sleutels aan de autoriteiten te overhandigen. Het EHRM stelde dat deze verplichting in wezen neerkomt op het verzwakken van de encryptie voor alle gebruikers, niet alleen voor specifieke verdachten. Dit maakt de algemene beveiliging van digitale communicatie kwetsbaarder voor cyberdreigingen en ongeoorloofde toegang door kwaadwillende actoren.

Het Hof oordeelde dat een dergelijke verzwakking van encryptie een onnodige en onevenredige inbreuk vormt op het recht op privacy, vooral omdat de impact niet beperkt blijft tot verdachte individuen, maar alle gebruikers treft. Deze brede verplichting ondermijnt de vertrouwelijkheid van communicatie en vergroot de blootstelling aan cyberdreigingen zoals hacking en datalekken, wat niet alleen individuele gebruikers, maar ook de bredere samenleving schade kan toebrengen. Het EHRM benadrukte dat een dergelijke verzwakking van encryptie niet proportioneel is in verhouding tot de beoogde doelen van nationale veiligheid en criminaliteitsbestrijding.[8]

Conclusie

De uitspraak in de zaak Podchasov heeft belangrijke implicaties voor zowel lidstaten als gebruikers van beveiligde communicatieapps zoals Telegram en Signal. Het EHRM heeft duidelijk gemaakt dat brede, ongedifferentieerde gegevensverzameling en het verzwakken van encryptie zonder effectieve waarborgen niet kunnen worden gerechtvaardigd als “noodzakelijk in een democratische samenleving.” Dit betekent dat pogingen van lidstaten om encryptie te ondermijnen, zonder de juiste juridische waarborgen en toezicht, niet toelaatbaar zijn.

Voor de gemiddelde gebruiker van diensten zoals Telegram betekent deze uitspraak dat hun vertrouwelijke communicatie beter beschermd blijft tegen ongeoorloofde toegang door de overheid. Het EHRM heeft bevestigd dat het verzwakken van encryptie, zelfs in naam van nationale veiligheid, alleen gerechtvaardigd kan zijn onder zeer strikte voorwaarden en met voldoende juridische waarborgen. Dit biedt gebruikers de zekerheid dat hun recht op privacy en de veiligheid van hun communicatie worden beschermd onder Europese mensenrechtenstandaarden, wat essentieel is voor het vertrouwen in digitale communicatiediensten.

[1] EHRM 25 mei 2021, zaaknrs. 58170/13, 62322/14 en 24960/15 (Big Brother Watch e.a. t. Verenigd Koninkrijk);

EHRM 4 december 2015, zaaknr. 47143/06 (Roman Zakharov t. Rusland).

[2] Zie paragraaf 72-73.

[3] Zie paragraaf 72-73.

[4] Zie paragraaf 70-71.

[5] Zie paragraaf 71.

[6] Zie paragraaf 74-75.

[7] Zie paragraaf 75.

[8] Zie paragraaf 76-79.