Tijd voor advocaten om alles te versleutelen

Posted on by Ot van Daalen

Op 18 december 2014 leerden we dat de AIVD jaren de advocaten van Prakken d’Oliveira heeft afgeluisterd. Dat is een grove schande en nóg een reden om de bevoegdheden van de geheime diensten aan banden te leggen. Maar ondertussen moeten advocaten het heft in eigen hand nemen: ze moeten al hun communicatie gaan versleutelen.

Dit artikel is op 22 december 2014 in verkorte vorm in het NRC Handelsblad gepubliceerd.

Toen ik directeur van de digitale burgerrechtenorganisatie Bits of Freedom was kwam ik voor het eerst in contact met security-experts. Zij vertelden me dat mijn informatie niet veilig was voor luistervinken. Ik moest mezelf beter gaan beschermen, onder meer door mijn communicatie te versleutelen. En dat deed ik. Gelukkig, want de onthullingen van Snowden vorig jaar bevestigden wat die experts me al jaren eerder hadden verteld: alles kan afgeluisterd worden.

Toen ik in 2014 mijn eigen advocatenkantoor startte nam ik die paranoïde instelling mee. Als advocaat heb je immers een bijzondere verantwoordelijkheid om je cliënt een veilige haven te bieden. Anders kunnen cliënten niet vrijuit over hun zaak spreken, en kan hun advocaat hen niet goed verdedigen. Dat vertaalt zich van oudsher in een verschoningsrecht om niet tegen je cliënt te hoeven getuigen. Maar het betekent tegenwoordig ook dat je technische maatregelen moet nemen om je cliënt te beschermen.

Dat heb ik gedaan. Als een cliënt wil, dan kan hij versleuteld met mij emailen. En dat gebeurt steeds vaker: ongeveer de helft van al mijn cliënten versleutelt zijn mail. Bovendien sla ik gegevens over mijn cliënten niet op in de cloud: het is relatief makkelijk om informatie bij cloudproviders op te vragen zonder dat ik daar iets van merk. En – iets waar strafrechtadvocaten zich al langer van bewust zijn – sommige onderwerpen bespreek ik niet over de telefoon. Al mijn harde schijven zijn onleesbaar als mijn computer is uitgeschakeld, en mijn internetverbinding is versleuteld.

Natuurlijk: als de NSA of de Russische mafia écht wil, dan hackt ze mijn computer. Maar huis-tuin-en-keukenafluisteren, dat is door die maatregelen een stuk moeilijker geworden.

Gelukkig kom ik de laatste tijd meer advocaten tegen die hun email versleutelen, maar nog lang niet genoeg. Laat het nieuws van gisteren dus een wake up-call zijn. Nu blijkt dat de AIVD langdurig Nederlandse mensenrechtenadvocaten heeft afgeluisterd is het tijd dat deze gezonde dosis paranoïa bij meer advocaten postvat.

Want het zijn heus niet alleen mensenrechtenadvocaten die rekening moeten houden met surveillance. Gesprekken tussen strafrechtadvocaten en cliënten worden al jaren door politie en justitie ten onrechte afgeluisterd. Advocaten aan de Zuidas die grote fraudeonderzoeken doen moeten er rekening mee houden dat hun communicatie wordt getapt. Advocaten die asielzoekers bijstaan en advocaten die procederen tegen de Staat zijn mogelijke doelwitten. Zelfs advocaten die werken aan grote fusies en overnames lopen een risico: Snowden onthulde ook voorbeelden van indringende economische spionage door de NSA.

Het nemen van de eerste maatregelen tegen surveillance is gelukkig relatief eenvoudig. Grote kantoren zullen hun IT-afdeling kunnen inschakelen. Advocaten bij kleine kantoren kunnen het zelf doen. Op het internet staan talloze gidsen waarin wordt uitgelegd hoe je emailversleuteling op je computer kan instellen (zie bijvoorbeeld hier en hier). Probeer daarnaast de cloud te vermijden. Als je toch ervoor kiest om te werken in de cloud, voorkom dan dat écht gevoelige informatie daar wordt opgeslagen. En als je hulp nodig hebt: Bits of Freedom organiseert geregeld bijeenkomsten waar vrijwilligers uitleggen hoe je jezelf op internet kan beveiligen: de privacy cafe’s. Ik heb in een andere blog uitgebreider beschreven wat je kan doen om jezelf te beveiligen.

Ondertussen is een discussie over de bevoegdheden van de geheime diensten onvermijdelijk geworden. De Wet op de inlichtingen- en veiligheidsdiensten wordt de komende tijd herzien. De regering pleit voor het uitbreiden van de aftapbevoegdheid van de geheime diensten, zodat die op grote schaal internetverkeer zouden kunnen tappen. Maar als de AIVD blijkbaar geen maat kan houden met de bevoegdheden die ze nu al heeft, is een uitbreiding niet op zijn plaats: in plaats daarvan moet de aftapbevoegdheid van de geheime diensten juist worden ingeperkt. En zelfs dan: technische beveiligingsmaatregelen blijven een goede tweede verdedigingslinie.