Bert-Jaap Koops homepage - publications

verschenen in Computerrecht 1998/5, pp. 222-227

Dit artikel mag niet worden verspreid of vermenigvuldigd zonder toestemming van de auteur. Het afdrukken van één copie voor persoonlijk gebruik is toegestaan. Citeren met bronvermelding.

De risico's van data recovery voor overheid en gebruikers

© Bert-Jaap Koops en Huub de Jong,⁽¹⁾ - (2) oktober 1998

Wie iets versleutelt, maakt het onleesbaar. Alleen wie de juiste sleutel heeft, kan de gegevens weer ontsleutelen. Dat maakt een versleuteld bestand voor derden onleesbaar, maar ook voor de rechtmatige ontsleutelaar als hij zijn sleutel kwijt is. Er zijn (tenminste) twee partijen die een rechtmatig belang hebben bij de mogelijkheid te ontsleutelen bij ontstentenis van de decryptiesleutel: de overheid (voor de opsporing) en degene die rechtmatig toegang heeft tot de gegevens (zoals de ontvanger, de werkgever of de curator). In dit artikel bekijken wij onder welke voorwaarden de TTP-dienst "data recovery" aan dit belang tegemoet kan komen, enerzijds voor de overheid en anderzijds voor gebruikers van cryptografie. Hiermee willen we aangeven dat het om twee te onderscheiden zaken gaat, die ten onrechte vaak (vooral door overheden) op één hoop worden gegooid.

1. Inleiding

Voor zowel overheid als gebruikers kan een "data recovery"-TTP uitkomst bieden. Dit is een Trusted Third Party die de beschikbaarheid van de oorspronkelijke gegevens veiligstelt, wanneer de sleutel niet beschikbaar is. Het maakt echter nogal wat uit of de Data Recovery Organisatie (DRO) dit doet voor de overheid of voor de rechtmatige encryptiegebruiker. In het eerste geval staat de toegang van de overheid tot door verdachten versleutelde informatie voorop, wat gepaard kan gaan met een cryptografische infrastructuur waarin een achterdeur voor de overheid is ingebouwd (en waarmee dus in principe de informatie van álle cryptografiegebruikers achterhaalbaar kan zijn). In het tweede geval kiest de gebruiker (in bepaalde gevallen) voor een "data recovery"-dienst, waarbij hij voor zichzelf toegang tot de gegevens veiligstelt. Het onderscheid in belangen en in wie toegang heeft, betekent dat ook de daaraan gekoppelde dienst en de techniek sterk kunnen verschillen: "the requirements of a government and the requirements of the commercial world and individual users are very different in this regard, so different that, in fact, there is little overlap between systems that address these two problems."⁽³⁾

Na een uitleg van de techniek van data recovery, analyseren we de haken en ogen van data recovery ten dienste van de overheid, waarbij we vooral kijken naar de effectiviteit van dergelijke systemen. Voorts bekijken we de voor- en nadelen van een data-recoverydienst voor gebruikers, waarbij we ook aandacht besteden aan het aansprakelijkheidsvraagstuk. Aan data recovery ten behoeve van de overheid, zo betogen wij, kleven (te) veel bezwaren, terwijl het in bepaalde gevallen voor gebruikers wel een nuttige dienst kan zijn.

2. Wat is data recovery?

Uit de in augustus 1994 gestolen diskettes bij officier van justitie Valente in Amsterdam en de in januari 1997 gestolen laptops van het Landelijk Recherche Team blijkt het belang van het beveiligen van informatie. In beide gevallen kwam een deel van de gevoelige informatie namelijk via de media naar buiten. Met het toenemend belang van informatie in de informatiemaatschappij wordt het beveiligen van opgeslagen en overgedragen gegevens steeds belangrijker. Het omgekeerde is zeker ook waar: door een betere beveiliging groeit het vertrouwen van gebruikers en daarmee het gebruik van in het bijzonder netwerken.

Cryptografie wordt algemeen genoemd als middel bij uitstek om aan de noodzaak van beveiliging tegemoet te komen.⁽⁴⁾ Cryptografie is het geheel van systemen voor het versleutelen van gegevens, waardoor deze ontoegankelijk worden voor ongeautoriseerden. Het proces van vercijferen noemt men encryptie, het weer ontcijferen van de gegevens noemt men decryptie. Voor encryptie en decryptie gebruikt men een sleutel; bij asymmetrische cryptosystemen (zoals RSA) zijn dat verschillende sleutels: één openbare en één privésleutel, bij symmetrische cryptosystemen (zoals DES en IDEA) gebruikt men voor beide handelingen dezelfde, geheime sleutel.

Het grootschalige gebruik van cryptografie heeft ook een keerzijde. Bij gebruik van adequate cryptografie is het praktisch onmogelijk om zonder de juiste sleutel de gegevens begrijpelijk te maken. Door allerlei omstandigheden kan het voorkomen dat belanghebbenden niet over de juiste sleutel beschikken. De sleutel kan bijvoorbeeld vergeten of verloren zijn, of men heeft er nooit de beschikking over gehad. Het is bijvoorbeeld belangrijk voor de (organisatie van de) gebruiker dat deze nog bij de gegevens op zijn pc kan als de chipkaart waarmee hij deze beveiligd heeft (de drager van de sleutel) beschadigd of verloren is. Op de tweede plaats wil de overheid als handhaver van recht en staatsveiligheid inzage hebben in de informatie en communicatie van misdadigers - en de overheid beschikt veelal niet over de encryptiesleutels van boeven.

Het achterhalen van gegevens die door cryptografie beveiligd zijn, wordt "data recovery" genoemd.⁽⁵⁾ De techniek van data recovery kan worden onderscheiden in "key escrow" en "key recovery". Onder key escrow verstaat men dat de gegevens ontcijferd kunnen worden doordat een organisatie de privésleutel ergens heeft opgeslagen. Dit opslaan kan fysiek gebeuren, bijvoorbeeld op schrift, maar het ligt meer voor de hand dat dit digitaal gebeurt. Een cd-rom is vanwege zijn eigenschappen uitermate geschikt om een sleutel langdurig te bewaren. De escrow kan plaatsvinden binnen de organisatie zelf ("self-escrow" of "key backup") of extern, bij een data-recoveryorganisatie (DRO, die in dit geval Key Escrow Agent heet).

Bij key recovery wordt de privésleutel niet bij een data-recoveryorganisatie opgeslagen. Het achterhalen van de gegevens is mogelijk doordat bij elk bericht een pakketje wordt meegestuurd, waaruit de DRO de sessiesleutel kan afleiden. (De sessiesleutel is een symmetrische sleutel die één keer wordt gebruikt voor een berichtenuitwisseling of een telefoongesprek; na afloop van de sessie wordt hij weggegooid.) Key recovery wordt tegenwoordig ook wel "key encapsulation" genoemd. Een groot verschil met key escrow is dat bij key recovery geen privésleutel toegankelijk is; alleen sessiesleutels zijn achterhaalbaar.

De dienst kan door (de organisatie van) de gebruiker zelf verzorgd worden, maar het is ook denkbaar dat hij dit uitbesteedt aan een vertrouwenspersoon of -organisatie - denk aan een notaris, de Kamer van Koophandel, een cryptoproducent, een bedrijfsorganisatie of het Computer Uitwijk Centrum. Het inschakelen van een externe partij voor vertrouwelijke diensten als data recovery is nog geen uitgemaakte zaak. De mogelijkheid dat derde partijen bij vertrouwelijke informatie kunnen, houdt immers een risico in. Bovendien zijn veel bedrijven huiverig voor data recovery, omdat zij nog niet weten onder welke voorwaarden de overheid inzage zal eisen bij de DRO.

De discussie die momenteel in bepaalde kringen in Nederland en de rest van de wereld gaande is, draait om de vraag of data recovery slechts een dienst voor het bedrijfsleven moet worden, of dat het ingebouwd moet worden in de informatie-infrastructuur ten behoeve van de overheid. De aanhangers van data recovery als dienst voor gebruikers vinden dat zij van geval tot geval moeten kunnen beslissen of zij derden toegang willen geven tot gevoelige gegevens; data recovery moet in elk geval vrijwillig zijn. De aanhangers van data recovery als infrastructuur voor de overheid willen data recovery min of meer verplicht invoeren bij het gebruik van cryptografie. In diverse landen behoort de overheid tot deze laatste groep. In de volgende paragrafen bespreken we of en onder welke voorwaarden data recovery aan deze uiteenlopende belangen tegemoet kan komen.

3. Oplossing voor de overheid?

Wanneer criminelen cryptografie gebruiken, blijft de aftappende en in computers speurende overheid met lege handen achter. Het telefoonverkeer is niet te verstaan, de bestanden zijn onleesbaar. Nu wordt de telefoontap binnen justitie gezien als een onmisbaar opsporingsmiddel dat criminele netwerken blootlegt en belangrijk bewijs kan leveren.⁽⁶⁾ Onderzoek in computers wordt steeds belangrijker, met het groeiend gebruik van pc's, laptops en beveiligde zakagenda's door criminelen.⁽⁷⁾ Encryptie is daarom mogelijk een bedreiging voor het voortbestaan van effectieve opsporing en nationale veiligheid.⁽⁸⁾

Om deze reden kijken diverse overheden naar data-recoverydiensten als mogelijkheid om toegang tot cryptografische sleutels te waarborgen, zodat ook bij cryptogebruik door misdadigers de overheid de inhoud kan inzien.⁽⁹⁾ In de discussies wordt daarbij voornamelijk gekeken naar het aftappen van telecommunicatie, hoewel ook het inzien van opgeslagen gegevens van belang is voor de opsporing (vooral bij bedrijfscriminaliteit).

Zo lanceerde de Verenigde Staten in 1993 de Clipperchip, een chip die telefoonverkeer versleutelt met een sleutel die in twee delen bij de overheid ligt gedeponeerd. Clipper werd daarmee het prototype van een "key escrow"-systeem: een cryptosysteem met ingebouwde sleutelopslag bij een derde partij. Clipper sloeg, om voor de hand liggende redenen, niet aan bij het Amerikaanse publiek (en trouwens ook niet bij overheidsdiensten zelf), en vorig jaar gaf de regering definitief de poging op om mensen vrijwillig aan de Clipperchip te krijgen. Dat laat onverlet dat de VS nog steeds een beleid voorstaat dat systemen met overheidstoegang tot cryptosleutels stimuleert. Ook het Verenigd Koninkrijk staat een data-recoverybeleid voor, voornamelijk gebaseerd op een door de Royal Holloway-groep ontwikkeld, nogal rigide, systeem van sleuteldeponering, dat in theorie internationaal toepasbaar is.⁽¹⁰⁾ En Frankrijk maakte in 1996 op zijn verbod op sterke cryptografie een uitzondering voor gebruikers die hun sleutel bij een bevoegde sleutelbeheerder deponeren.⁽¹¹⁾

Ook binnen EU-verband circuleerden lange tijd ideeën om key escrow of key recovery te bevorderen. Zo suggereerde het eerste voorstel voor 'European Trusted Services' (ETS) dat gebruikers hun sleutel zouden deponeren bij een DRO.⁽¹²⁾Recentelijk is de Europese Commissie afgestapt van het idee dat data recovery dé oplossing voor opsporingsproblemen zou zijn; in Ensuring security and trust in electronic communication noemt de Europese Commissie diverse risico's van data recovery-systemen.⁽¹³⁾ Ook de Nederlandse overheid, die in 1994 nog overwoog om cryptografie aan een streng vergunningstelsel te verbinden, is inmiddels afgestapt van verplichte ingebouwde toegang tot cryptosleutels. Toch vindt de eindrapportage van het Nationaal TTP-project systemen voor bewaring van sleutels nog steeds aantrekkelijk: bewaring van privésleutels is geen randvoorwaarde, maar wel een aanbeveling voor TTP's die confidentialiteitsdiensten aanbieden.⁽¹⁴⁾

De problemen rond data recovery voor overheidstoegang komen steeds meer naar voren. Een bijeenkomst van experts, georganiseerd door de Europese Commissie in Kopenhagen in april 1998, concludeerde dat de technologie nog niet voldoende rijp was voor toepassing op grote schaal.⁽¹⁵⁾ Een groep van crypto-experts concludeerde eerder al dat de implementatie van een crypto-infrastructuur met ingebouwde overheidstoegang grote risico's voor de informatiebeveiliging met zich meebrengt, zeer kostbaar en enorm complex is - iets waartoe de huidige cryptografie lang niet is toegerust.⁽¹⁶⁾ Ook de weinige pilotprojecten die data-recoverysystemen met overheidstoegang implementeren lijken vooralsnog weinig resultaat op te leveren.⁽¹⁷⁾

Daar komen nog twee problemen bij. Ten eerste het feit dat systemen met ingebouwde overheidstoegang moeilijk toepasbaar zijn in een internationale context. De OESO-richtlijnen voor cryptografiebeleid sluiten data-recoverywetgeving weliswaar niet uit, maar stimuleren deze bepaald ook niet.⁽¹⁸⁾ Diverse landen zien niets in dit soort systemen; zo verwierp onlangs een enquêtecommissie van de Duitse Bundestag de ontwikkeling en het gebruik van een wereldwijde key-recovery-infrastructuur.⁽¹⁹⁾

Ook is internationale rechtshulp bij toegang tot sleutels moeilijk voorstelbaar, wellicht op enkele bilaterale verdragen na. Alleen al het gevaar van bedrijfsspionage door buitenlandse overheden lijkt daarvoor een afdoende belemmering (zo zal een Duits bedrijf geen cryptosysteem gebruiken als het weet dat de Amerikaanse overheid daardoor toegang tot zijn gegevens heeft).⁽²⁰⁾

Het belangrijkste bezwaar tegen ingebouwde overheidstoegang tot sleutels is echter de effectiviteit, of liever het gebrek daaraan. Dergelijke systemen zijn immers bedoeld om boeven te vangen, en een beetje boef zal geen cryptosysteem gebruiken als hij weet dat de overheid daarmee zijn sleutel kan achterhalen. Er zijn genoeg sterke cryptosystemen zonder overheidstoegang op de markt, bijvoorbeeld het via Internet wijdverspreide Pretty Good Privacy, waartoe criminelen makkelijk toegang hebben. Een verbod hierop zou zinloos zijn, want niet te handhaven. Het zou overigens ook in strijd zijn met de OESO-richtlijnen. De enige situatie waarin een boef een overheidsvriendelijk cryptosysteem zou gebruiken is bij ingebouwde cryptosystemen, bijvoorbeeld in de telecominfrastructuur, in besturingsprogramma's en in emailsoftware. Waar het gaat om telecommunicatie, zijn telecomaanbieders al verplicht om, als zij versleuteling inbouwen in hun netwerk of dienst, dit voor de overheid te ontsleutelen⁽²¹⁾ (wat onverlet laat dat eindgebruikers daarnaast zelf cryptografie kunnen gebruiken). Het feit dat cryptografie die is ingebouwd in de telecominfrastructuur transparant voor de overheid moet zijn, betekent overigens wel dat het opsporingsprobleem minder groot is dan wel wordt voorgesteld: de communicatie van georganiseerde boeven met "de bovenwereld" zal hierdoor gewoon af te luisteren blijven.

Bij programma's die gebruikt worden voor opslag van gegevens zou een verplichte ingebouwde overheidstoegang zinvol kunnen zijn. Wel geldt daarbij het bezwaar dat de meeste criminelen zich bij het opslaan van compromitterende gegevens zullen realiseren dat overheidstoegang ingebouwd zit, en ze dus meestal andere of aanvullende cryptografie zullen gebruiken. Hoewel, sommige criminelen zijn lui en gebruiken alleen voor het grijpen liggende faciliteiten.⁽²²⁾ Als overheidstoegang is ingebouwd in standaardprogramma's voor de pc, zal het cryptoprobleem voor de overheid wat dat betreft minder groot zijn. Er is echter wel een groot bezwaar tegen deze oplossing: dergelijke systemen creëren overhead voor legitieme gebruikers, en leveren onvermijdelijk extra risico's op. Data-recoverysystemen zijn immers inherent kwetsbaarder dan gewone systemen: als de overheid erbij kan, dan kunnen anderen dat ook, al was het maar door een data-recoveryfunctionaris om te kopen. Vooralsnog zijn er geen voldoende betrouwbare data-recoverysystemen op de markt, en daarom is het inbouwen van overheidstoegang in de informatie-infrastructuur (voorlopig) niet aan de orde. Wel kan de overheid natuurlijk onderzoek stimuleren naar voor iedereen betrouwbare data-recoverysystemen.

De genoemde bezwaren leiden tot de conclusie dat data recovery-systemen (in elk geval voorlopig) geen oplossing kunnen bieden voor de cryptoproblemen van de overheid. Zij zal dus andere manieren moeten vinden om het achterhalen van de inhoud van versleutelde berichten en bestanden veilig te stellen. Een mogelijkheid is het geven van een bevel tot ontsleuteling aan degene die waarschijnlijk de mogelijkheid heeft te ontsleutelen. Dit is momenteel in beperkte gevallen mogelijk (zie art. 125k lid 2 en art. 125m lid 1 Sv), en wordt in het wetsontwerp Computercriminaliteit II vergaand uitgebreid.⁽²³⁾

Onze conclusie is dat de overheid moet afzien van een verplichting of stimulering van het inbouwen van data-recoverysystemen in de communicatie- en informatie-infrastructuur. Wel kan de overheid onderzoek naar betrouwbare data-recoverysystemen stimuleren, om te kijken of het technisch mogelijk is overheidstoegang tot door criminelen versleutelde informatie veilig te stellen zonder dat legitieme gebruikers daardoor onaanvaardbare risico's lopen. Zolang dat niet mogelijk is, moet de overheid andere oplossingen zien te vinden voor het probleem dat misdadigers cryptografie (kunnen) gebruiken, bijvoorbeeld door een bevel tot ontsleuteling of door gebruikmaking van alternatieve opsporingsmethoden (zoals direct afluisteren).

4. Dienst voor bedrijfsleven

Het inbouwen van data recovery ten behoeve van de overheid is dus (voorlopig) niet aan de orde. Dat neemt niet weg dat het voor gebruikers van cryptografie in bepaalde situaties een zinvolle dienst kan zijn. Voor het bedrijfsleven is het gebruik van cryptografie immers niet zonder risico's, vooral wanneer kritische bedrijfsinformatie wordt versleuteld. Verschillende bedrijven onderzoeken daarom de mogelijkheid om een interne data-recoverydienst op te zetten.⁽²⁴⁾ Een klein aantal bedrijven wil de data-recoverydienst mogelijk uitbesteden aan een externe organisatie. Kleinere organisaties zullen de dienst niet zelf willen of kunnen verzorgen, bijvoorbeeld omdat zij de technische kennis, de organisatorische capaciteit of de financiële middelen niet in huis hebben.

Het gebruiken van een data-recoverydienst bij de opslag van gegevens heeft een duidelijke meerwaarde voor bedrijven.⁽²⁵⁾ In beginsel heeft namelijk slechts één persoon, de geautoriseerde gebruiker, toegang tot deze gegevens. Het kan door omstandigheden voorkomen dat deze persoon geen toegang meer kan of wil verlenen. Het niet meer toegang kunnen verlenen kan onder andere veroorzaakt worden door verlies of beschadiging van de sleutel of verlies van het wachtwoord. Indien een werknemer ontevreden is over bepaalde zaken of belang heeft bij het geheimhouden van de gegevens, kan hij weigeren toegang te verlenen. De rechthebbende kan ad hoc proberen om de versleuteling te kraken (er zijn bijvoorbeeld programma's die automatisch vaakgekozen wachtwoorden uitproberen), maar dat is geen aantrekkelijke oplossing uit beleidsoogpunt. In dat geval resteert data recovery als enige methode om de gegevens te achterhalen.

Bij het beveiligen van communicatie ligt data recovery veel minder voor de hand. Het is namelijk vrijwel altijd mogelijk om nieuwe gegevens te versturen. Hierdoor is het niet nodig om ingewikkelde data-recoverysystemen op te zetten. Alleen in zeldzame gevallen, bijvoorbeeld als een bedrijf de communicatie van werknemers opneemt voor auditingdoeleinden, kan data recovery bij communicatie aan de orde zijn.⁽²⁶⁾

Op het moment zijn er voor zover ons bekend nog geen aanbieders van data recovery. Wel doet minimaal één bedrijf in Nederland (Philips Crypto BV) onderzoek naar de mogelijkheden om data recovery aan externe partijen aan te bieden. Er is voor zover ons bekend, nog geen onderzoek gedaan naar de behoefte aan data recovery bij de gebruikers van cryptografie. Wij verwachten dat er met het toenemende gebruik van cryptografie bij het bedrijfsleven een toenemende vraag zal zijn naar veilige en betrouwbare data-recoverydiensten. Hierdoor kan men namelijk zicht houden op de inhoud van opgeslagen gegevens (en eventueel communicatie) bij de organisatie.⁽²⁷⁾

Het aanbieden van een data-recoverydienst kan in de praktijk risico's opleveren. Ten eerste kan het voorkomen dat de dienst faalt, bijvoorbeeld door een technische storing of door faillissement van de data-recoveryorganisatie.⁽²⁸⁾ Ten tweede kan het voorkomen dat de gegevens of de sleutels in de verkeerde handen terecht komen. Dit kan te allen tijde gebeuren, bijvoorbeeld doordat de DRO niet zorgvuldig controleert of de aanvrager wel recht heeft op de gegevens, of doordat iemand een werknemer van de DRO omkoopt.

Door dergelijke problemen is het heel goed mogelijk dat de gebruiker schade lijdt. Deze schade kan bijvoorbeeld ontstaan als rapporten van medewerkers verloren gaan, maar ook als deze rapporten in handen van de media of de concurrentie komen. De hoogte van de schade zal grotendeels afhangen van de inhoud van de gegevens. In het bijzonder in de zakenwereld kunnen gegevens, zoals onderhandelingsgegevens of bedrijfsresultaten, zeer waardevol zijn. De omvang van de schade zal echter vaak moeilijk vast te stellen zijn. Meestal zal de schade door het niet meer kunnen achterhalen of uitlekken van de gegevens bestaan uit directe vermogensschade en gevolgschade - denk bijvoorbeeld aan het uitlekken van fusiebesprekingen. Het is niet ondenkbaar dat er in bepaalde gevallen (daarnaast) ook sprake is van immateriële schade, doordat bijvoorbeeld gevoelige persoonsgegevens uitlekken.

Ook voor derden kan schade ontstaan, vooral wanneer gevoelige gegevens uitlekken over derden. Denk bijvoorbeeld aan een arts die een data-recoverydienst heeft voor zijn patiëntensysteem. Als de DRO ten onrechte gegevens uit dit systeem verstrekt, kan de patiënt daardoor schade lijden, zowel materiële als immateriële. Daarnaast kan schade ontstaan bij relaties van de gebruiker, bijvoorbeeld de partij waarmee de gebruiker geheime onderhandelingen voert.

Aansprakelijkheid

Voordat partijen besluiten een data-recoveryovereenkomst aan te gaan, zullen zij inzicht willen hebben in de risico's die dit oplevert, vooral het risico dat er schade ontstaat door het uitlekken van vertrouwelijke gegevens of het falen van de dienst. Pas indien de gebruiker vertrouwen heeft in de dienst, zal hij besluiten er gebruik van te gaan maken. Het vertrouwen van de gebruiker in een dienst wordt grotendeels bepaald door de ervaringen die de gebruiker of anderen met de dienst en aanbieder van de dienst hebben. Aangezien data-recovery nog niet in de praktijk wordt aangeboden is het erg lastig om op deze gronden iets over dit vertrouwen te zeggen. De gebruiker zal daarom op andere aanwijzingen af moeten gaan. Eén van deze aanwijzingen is de mate waarin eventuele schade op de DRO te verhalen valt.

De gebruiker zal met de DRO een overeenkomst afsluiten. Kern van deze overeenkomst is dat de DRO op verzoek van de gebruiker binnen redelijke termijn de klare tekst van door de gebruiker tijdens de looptijd van de overeenkomst versleutelde gegevens aan de gebruiker ter beschikking stelt. Indien de DRO aan een dergelijk verzoek niet voldoet, pleegt hij wanprestatie. De DRO kan in het contract opnemen dat hij geen garantie levert voor het tijdig ter beschikking stellen van de gegevens, en dat de gebruiker geen enkel recht kan laten gelden als de DRO op het gevraagde moment niet kan nakomen. Dit is een beding dat onder art. 6:236 sub a BW (de zwarte lijst) valt, en dat tegenover consumenten onredelijk bezwarend is. Naast een uitsluiting van de nakomingsverplichting, kan de DRO een exoneratiebeding opnemen om aansprakelijkheid uit te sluiten voor schade die de gebruiker lijdt als gevolg van het niet nakomen door de DRO. Hij kan (vrijwel) alle aansprakelijkheid hiervoor uitsluiten, behoudens opzet en grove schuld, en (waarschijnlijk) behoudens schade voor dood of lichamelijk letsel. Een dergelijk exoneratiebeding wordt op grond van art. 6:237 sub f BW vermoed onredelijk bezwarend te zijn voor consumenten. Wij gaan er in dit artikel van uit dat de dienst aan bedrijven wordt geleverd, en in dat opzicht is het niet relevant dat genoemde bedingen onredelijk bezwarend zijn.

Voor de dienst aan bedrijven kan de DRO de aansprakelijkheid dus vrijwel geheel uitsluiten. Dit is van belang voor de DRO, omdat hierdoor de continuïteit niet in gevaar komt. Er is echter een keerzijde. Aangezien het beschikbaar stellen van de gewenste gegevens de cruciale prestatie van de DRO is, kan het uitsluiten van vrijwel alle aansprakelijkheid door de DRO ten koste gaan van het benodigde vertrouwen bij de gebruiker in de dienst. De DRO kan daarom proberen het vertrouwen te vergroten door meer aansprakelijkheid op zich te nemen.⁽²⁹⁾ Om te voorkomen dat de continuïteit van zijn bedrijf daardoor in gevaar komt, ligt het voor de hand dat de DRO een aansprakelijkheidsverzekering afsluit. Het afsluiten van een aansprakelijkheidsverzekering voor nieuwe IT-diensten is echter lastig. Hoewel veel in principe verzekerbaar is, zijn in de praktijk de premies en het eigen risico zo hoog dat er van effectief verzekeren geen sprake meer is.⁽³⁰⁾ Als blijkt dat de dienst niet verzekerbaar is, dan zou het een redelijk alternatief zijn om de schadevergoedingsplicht te beperken tot een percentage van de geleden schade met een bepaald maximum.⁽³¹⁾

Het aanbieden van data recovery is niet aan landsgrenzen gebonden. De dienst kan zelfs eenvoudig internationaal worden aangeboden. Het recht is echter sterk aan landsgrenzen gebonden. Het is daarom belangrijk om te kunnen bepalen welk recht van toepassing is en welke rechter bevoegd is. In de overeenkomst kunnen een forumkeuze- en een rechtskeuzebepaling worden opgenomen, zoals bij een EDI-interchange-agreement gebeurt.

De kans is overigens groot dat conflicten bij bestaande overeenkomsten niet voor de rechter worden uitgevochten. Het is voor zowel de gebruiker als de DRO waardevol om de opgebouwde goede verhouding niet onnodig te verstoren. Hierdoor leidt het vertrouwen immers minder schade. Alternatieve vormen van geschillenbeslechting zijn dan ook een belangrijk aandachtspunt bij dit soort diensten. Reeds bestaande vertrouwelijke diensten bevestigen dit. De broncode-escrowovereenkomst van het CUC in Lelystad heeft bijvoorbeeld nog nooit tot een juridische procedure geleid; eventuele conflicten zijn kennelijk op een andere manier opgelost.

Ook derden kunnen schade lijden, bijvoorbeeld door het uitlekken van gevoelige gegevens over hen (bijvoorbeeld werknemers- of patiëntengegevens) of door het falen van de dienst (bijvoorbeeld als een arts tevergeefs probeert patiëntengegevens te achterhalen). De aansprakelijkheid tegenover derden is echter moeilijk te regelen. Op dergelijke schade is immers nauwelijks te anticiperen, omdat de DRO (meestal) geen enkele relatie heeft met de personen die in de achterhaalbare gegevens voorkomen. Dit maakt de data-recoverydienst anders dan bijvoorbeeld een certificatiedienst, omdat daarbij vrijwel alleen schade aan derden kan ontstaan door fouten in een certificaat of door verkeerd gebruik ervan. De CA kan aansprakelijkheid hiervoor uitsluiten door een clausule op te nemen in het certificaat die zich richt tot derden die het certificaat willen gebruiken. Een DRO kan zich veel minder richten tot derden.⁽³²⁾

Samengevat stellen wij dat de behoefte aan data-recoverydiensten naar verwachting zal toenemen, waarbij de aansprakelijkheid voor mogelijke schade goed geregeld moet worden. Hiervoor hebben aanbieder en gebruiker veel ruimte. De continuïteit van de dienst en het vertrouwen dat de aanbieder wil genereren zijn daarbij belangrijke factoren voor de verdeling van de aansprakelijkheid. De aansprakelijkheid tegenover derden valt nauwelijks te regelen.

5. Overige juridische problemen

Naast de hiervoor genoemde twee hoofdthema's, opsporing en contractuele aansprakelijkheid, zijn er nog verschillende juridische problemen en onduidelijkheden bij data-recoverydiensten. We noemen hier enkele voorbeelden die volgens ons nader onderzoek behoeven.

Op grond van de Wet persoonsregistraties (en de komende Wet bescherming persoonsgegevens) dient de houder van een persoonsregistratie (dan wel bewerker van persoonsgegevens) te zorgen voor een adequate beveiliging van deze gegevens. Cryptografie is hiervoor een aangewezen middel. Dit kan echter op gespannen voet komen te staan met het recht op inzage van betrokkenen in de gegevens. Wat te doen indien bijvoorbeeld een arts geen inzage kan verlenen? Houdt de verplichting tot inzage verlenen een verplichting in tot data recovery, als de houder/bewerker van persoonsgegevens deze beveiligt met cryptografie?

Hetzelfde geldt voor de controlebevoegdheden ter handhaving van bepaalde wetten. Hoe verhouden zich de inzageverplichtingen van speciale wetten, zoals de Algemene wet inzake rijksbelastingen en de Wet op de economische delicten, tot de mogelijkheid de administratie te versleutelen? Houdt de verplichting te allen tijde inzage te verlenen mogelijk een verplichting in om bij versleuteling een (externe) data-recovery-overeenkomst aan te gaan? En omgekeerd, hoe verhoudt zich de verplichting van data-recoveryorganisaties om inzage te verlenen tot de privacy van de gebruikers van de dienst? En hoe zit het als een verschoningsgerechtigde notaris deze dienst aanbiedt?

Tot slot noemen wij nog een mogelijk probleem bij langdurige opslag van gevoelige gegevens. Als een archief uit beveiligingsoverwegingen wordt versleuteld, bestaat er dan een mogelijke verplichting tot data recovery, bijvoorbeeld op grond van de archiefwet? En wat zijn de implicaties voor de data-recoveryorganisatie van langdurige toegankelijkheid? Als digitale duurzaamheid een verplichting tot continuïteit van data recovery inhoudt, heeft dat consequenties voor de data-recoveryorganisatie bij beëindiging van de bedrijfswerkzaamheden. Mogelijk ligt hier dan ook een rol voor de TTP-kamer die volgens de eindrapportage Nationaal TTP-project de naleving van de randvoorwaarden voor TTP's moet waarborgen?

6. Conclusie en aanbevelingen

Het ontwikkelen van data-recoverydiensten moet geheel aan de markt worden overgelaten. Er kleven veel nadelen aan verplichte data recovery, niet in het minst de beperkte effectivieit voor de opsporing ervan. De overheid moet het crypto-opsporingsprobleem dan ook loskoppelen van TTP-diensten, ook die op het gebied van confidentialiteit. De randvoorwaarden voor TTP's moeten data recovery niet stimuleren voor confidentialiteits-TTP's. Aangezien data recovery naar onze mening een belangrijke dienst zal worden, is het wel aan te bevelen dat de overheid onderzoek naar betrouwbare data-recoverysystemen stimuleert.

Data recovery kan, zeker voor opgeslagen gegevens, nuttig zijn voor bedrijven. Er zijn echter wel risico's aan verbonden. De dienst kan falen of de gegevens kunnen uitlekken. Wil de DRO een betrouwbare dienst leveren, dan zal hij daarom zeer strenge beveiligingsmaatregelen moeten treffen en zijn uiterste best moeten doen om de gevraagde gegevens tijdig aan de gebruiker beschikbaar te stellen. Het vertrouwen in het slagen van de dienst is immers een cruciale factor bij het aangaan van een data-recoveryovereenkomst. Hoewel dit vertrouwen vooral een bedrijfseconomische afweging zal zijn, kan de invulling van de aansprakelijkheidsverdeling tussen de DRO en de gebruiker ook een rol spelen. DRO's zijn immers nog niet operationeel en gebruikers kunnen hun vertrouwen dus niet baseren op ervaringen. De aansprakelijkheid van de DRO kan het beste beperkt worden tot een verzekerbaar bedrag, zodat de continuïteit niet in gevaar komt.

Uit de analyse van het nut van data-recoverydiensten voor de overheid en voor gebruikers blijkt dat het hier om twee gescheiden zaken gaat, waarbij geheel verschillende belangen spelen. Zo draait data recovery voor gebruikers vrijwel alleen om opslag van gegevens, terwijl bij het overheidsbelang het transport (aftappen) een prominente rol speelt. De techniek en de invulling van de dienst verschillen daarom dusdanig, dat beide vormen van data recovery niet op beleidsniveau met elkaar moeten worden vermengd. De enige rol voor de overheid lijkt ons vooralsnog het stimuleren van onderzoek naar betrouwbare systemen voor data recovery.

Noten

1. Drs. Bert-Jaap Koops is AIO aan de Katholieke Universiteit Brabant en de Technische Universiteit Eindhoven. Hij publiceert in december een proefschrift over justitiële en particuliere belangen bij encryptie. Huub de Jong rondt zijn studie rechten aan de Katholieke Universiteit Brabant af met afstudeerscripties over civiele en strafvorderlijke aspecten van data recovery.

2. Met dank aan Sylvia Huydecoper en Simone van der Hof voor hun commentaar op een eerdere versie.

3. Hal Abelson, Ross Anderson, Steven M. Bellovin et al., The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption, juni 1998, WWW <http://www.cdt.org/crypto/risks98/>. < a name="N_4_">

4. N.F. Breed, D.J. Out, O. Tettero, Informatiebeveiliging, een blik achter de schermen, Alphen aan den Rijn: Samsom BedrijfsInformatie, 1994. Zie ook European Commission, Ensuring security and trust in electronic communication - Towards a European Framework for Digital Signatures and Encryption, COM(97) 503, 10 oktober 1997, p. 9. Zie over cryptografie Bruce Schneier, Applied Cryptography, 2nd edition, New York: John Wiley, 1996.

5. Zie onder andere Department of Trade and Industry, Consultation Paper on Licensing of Trusted Third Parties for the Provision of Encryption Services, 19 maart 1997, WWW <http://dtiinfo1.dti.gov.uk/pubs/>, p. 16.

6. Zie de studie van het WODC: Z. Reijne, R.F. Kouwenberg en M.P. Keizer, Tappen in Nederland, Arnhem: Gouda Quint, 1996.

7. Zo werden in de Zandvoortse kinderpornozaak versleutelde bestanden op diskettes aangetroffen. Zie ook Beleidsadviesgroep Computercriminaliteit, Op weg naar... digitaal rechercheren, juni 1996.

8. Zie voor een overzicht van de cryptoproblemen voor de opsporing en een analyse van de mogelijke oplossingen daarvan B.J. Koops, The crypto controversy. A key conflict in the information society (diss. KUB, verschijnt in december 1998). Overigens lijkt encryptie momenteel nog niet een enorm probleem voor de opsporing in de praktijk te zijn; in veel gevallen blijkt de versleuteling te kraken (bijvoorbeeld omdat het wachtwoord ergens is opgeschreven). De algemene verwachting is wel dat het probleem in de (nabije) toekomst veel groter zal worden. Zie Dorothy Denning, William Baugh, Cases involving encryption in crime and terrorism, versie 10 oktober 1997, <http://guru.cosc.georgetown .edu/~denning/crypto/cases.html>.

9. Zie B.J. Koops, Crypto Law Survey, WWW <http://cwis.kub.nl/~frw/people/koops /lawsurvy.htm> voor een wereldwijd en actueel overzicht van regulering van encryptie. Zie aldaar de verwijzingen naar de rapporten uit de VS, Frankrijk en het VK die we verderop in de tekst noemen.

10. Department of Trade and Industry, a.w. Voor het Royal Holloway-systeem, zie N. Jefferies, C. Mitchell, M. Walker, 'A Proposed Architecture for Trusted Third Party Services', Cryptography: Policy and Algorithms, Proceedings of the conference, Springer-Verlag (LNCS 1029), 1996, p. 98-104.

11. Yves Le Roux, French Encryption Regulation, versie 5 mei 1998, WWW <http://www.op engroup.org/security/meetings/apr98/french-regulation.pdf>.

12. SOG-IS, Proposal for a Council Decision in the field of security of information systems, concerning the establishment of a Europe-wide network of Trusted Third Party Services (ETS), 1 november 1995.

13. COM(97) 503, a.w.

14. KPMG EDP Auditors, Ministerie van Economische Zaken, Ministerie van Verkeer en Waterstaat, Eindrapportage Nationaal TTP-project, Amstelveen, 1 maart 1998, p. 22-23. Zie over het Nationaal TTP-project §4 van het eerste artikelin dit dossier.

15. The Copenhagen Hearing April 23 - 24 1998, Draft (Version 2) Report of Day 1, WWW <http://www.fsk.dk/fsk/div/hearing/first.html >.

16. Hal Abelson et al., a.w. Zie ook een officieus rapport van het National Security Agency, Threat and Vulnerability Model for Key Recovery, 18 februari 1998, WWW <http://www.fc w.com/pubs/fcw/1998/0413/web-nsareport-4-14-1998.html>.

17. In de VS zijn zo'n dertig bedrijven actief in de Key Recovery Alliance <http://www.kra.org>. Hun functioneel model voor een data-recoveryinfrastructuur is nog in het beginstadium. In EU-verband loopt een KRISIS-project (Key Recovery In Secure Information Systems) in opdracht van de Europese Commissie. De resultaten daarvan stonden gepland voor maart 1998, maar zijn nog niet beschikbaar.

18. Zie OECD, Cryptography Policy: The Guidelines and the Issues, maart 1997, WWW <http://www.oecd.org/dsti/sti/it/se cur/prod/e-crypto.htm>.

19. Enquete Kommission des Deutschen Bundestages 'Zukunft der Medien', BT/DS 13/11002.

20. "It is very hard to accept that confidential data communications between German users could be exposed to access by foreign agencies outside the reach of German law and not subject to control by German courts." Ibid.

21. Op grond van het Beleidsvoornemen bevoegd aftappen telecommunicatie, TK 1995-1996, 24 679 nr. 1, 4 april 1996, een uitwerking van de Council Resolution of 17 January 1995 on the lawful interception of telecommunications (96/C329/01), OJ 4 November 1996. De verplichting wordt geregeld in hoofdstuk 13 van de nieuwe Telecommunicatiewet. De aftapbaarheid impliceert dat telecomaanbieders door henzelf gebruikte encryptie moeten ontsleutelen voor justitie.

22. Zie de studie van Denning en Baugh, a.w. Dit is vooral het geval bij bedrijfscriminaliteit.

23. Het is de vraag in hoeverre een dergelijk bevel aan een verdachte mag worden gegeven. Zie daarover B.J. Koops, The crypto controversy, a.w., hoofdstuk 8.

24. Lex van Almelo, 'Gevraagd: vertrouwenspersonen voor de elektronische handel', Automatisering Gids, 9 mei 1997, p. 13.

25. Zie het rapport van het Business Scenarios Committee van de Key Recovery Alliance, Business Requirements for Key Recovery, Release 3.0, 18 december 1997, WWW <http://www.kra.org>.

26. Ibid.

27. Deze verwachting wordt gedeeld door Sergej Katus van de werkgeversvereniging VNO-NCW.

28. Mogelijke schade veroorzaakt doordat de ontsleuteling incorrecte gegevens oplevert is zuiver theoretisch. Bij de huidige stand van de cryptografie is de kans dat een bericht ontsleutelt tot zinvolle maar onjuiste gegevens nihil.

29. Vergelijk de negatieve publiciteit over het mogelijk onveilige gebruik van Rabobank telebankieren. De Rabobank heeft haar gebruikers laten weten dat zij alle schade die hierdoor mogelijk ontstaat voor haar rekening neemt.

30. "Dikwijls is het bij dit soort diensten heel moeilijk een verzekeraar te vinden die bereid is tegen acceptabele premies de risico's te verzekeren." Rob van Esch, interview in IT&Recht 1998 nr. 3, p. 6.

31. Overigens kan de rechter de schadevergoedingsplicht matigen (art. 6:109 BW) en kan de regering de aansprakelijkheid tot een bepaald bedrag limiteren bij algemene maatregel van bestuur (art. 6:110 BW).

32. Alleen in het zeldzame geval dat bedrijf X data recovery gebruikt voor (email)communicatie, kan het bedrijf in al zijn berichten een standaardclausule opnemen dat alle berichten via een data-recoverydienst achterhaalbaar zijn. Als een derde vervolgens in reactie op een bericht van een werknemer van X vertrouwelijke gegevens stuurt naar X, ligt het risico voor mogelijke schade eerder bij hem dan wanneer hij niet door X is gewaarschuwd.