Column


IT-jurist Peter van Schelven over...

Europese exportregels voor IT-security fors aangescherpt?

Enige dagen terug is een document uitgelekt dat duidelijk maakt dat de Europese Commissie de exportregels voor strategische IT-producten en -software naar afnemers in bepaalde landen in de wereld aanzienlijk wil gaan uitbouwen. De wijziging van de Europese wetgeving die de Commissie met dit document voor ogen heeft, vraagt om stevige aandacht van de IT-security-industrie in Europa. De voorgenomen aanpassingen zijn namelijk fors. De verwachting is dat het uitgelekte document volgende maand officieel in omloop wordt gebracht. 

Al decennia bestaat er zeer complexe regelgeving die de uit-, in- en doorvoer van goederen en technologie die gebruikt kunnen worden voor militaire doeleinden of die een ‘dual use’-karakter hebben, aan een uitgebreid systeem van overheidscontrole onderwerpt. Tot die goederen behoort sinds jaar en dag bepaalde encryptiesoftware.

Het doel van deze wetgeving is - kort gezegd - het voorkomen dat deze goederen en technologie om redenen van veiligheid of vanwege internationale handelsafspraken in handen van ‘fout volk’ of dubieuze regimes elders in de wereld terechtkomen. De juridische complexiteit ligt vooral bij de zogeheten ‘dual use items’; goederen en technologie die voor zowel keurige burgerlijke als foute militaire doeleinden kunnen worden gebruikt.

Dual Use Regulation 
De huidige Dual Use Regulation uit 2009 is Europese wetgeving van bijna 300 pagina’s dik. Deze regelgeving - voer voor superspecialisten - bevat enkele uitgebreide lijsten met een opsomming van goederen en technologie die onder de regeling vallen. De huidige overheidscontrole heeft de vorm van een veelomvattend systeem met bijvoorbeeld exportverboden, allerlei soorten vergunningen, meldplichten en certificaties.

In Nederland wordt deze wetgeving uitgevoerd door de Centrale Dienst voor In- en Uitvoer (CDIU) van de douane. Ook goederen die niet op de lijst voorkomen, kunnen door middel van een zogeheten ‘catch-all-beschikking’ eventueel ook nog onder de overheidscontrole worden gebracht.

Cybersurveillancetechnologie  
Ten minste twee vernieuwingen die de Europese Commissie wil gaan doorvoeren, trekken de aandacht. Ten eerste wordt het pakket van goederen dat onder de regeling gaat vallen, uitdrukkelijk uitgebreid tot zogeheten cybersurveillancetechnologie. Dit begrip is gedefinieerd in de wetswijziging waartoe het plan bestaat. Het betreft alle technologie die ontworpen is om in IT- en telecommunicatiesystemen binnen te dringen met het oog op bijvoorbeeld het monitoren, verzamelen en analyseren van data of het onbruikbaar maken ervan. Dat is wel heel erg ruim omschreven.

Forse verbreding 
De wetswijziging gaat bovendien voorzien in een voorbeeldlijstje van technologie die in ieder geval tot de bestreken cybersurveillancetechnologie gerekend moet worden. In het document worden bijvoorbeeld genoemd: ‘interception equipment’ voor mobiele communicatie, monitoringsoftware, dataretentiesystemen, biometrische systemen, systemen voor digitale forensische toepassingen, technologie voor ‘deep packet inspection’ en zelfs systemen voor locatiebepaling.

Dat is al met al een zeer forse verbreding. Met een beetje fantasie valt daar zelfs mijn mobieltje onder. Zonder twijfel zal heel veel bestaande securitytechnologie dus geraakt gaan worden door de voorgenomen wetswijziging.

Mensenrechten 
Deze verbreding hangt samen met een andere belangrijke, tweede wijziging. Terwijl de huidige regelgeving beperkt is tot controle op export naar landen met een fout militair regime en landen waarvoor internationaal een handelsembargo is afgesproken, laat het uitgelekte document zien dat het systeem ook moet gaan gelden met betrekking tot landen die mensenrechten serieus schenden. Ook dat is meer dan een majeure aanpassing.

Immers, als de Commissie haar zin krijgt, wordt exportcontrole een nieuw instrument in de strijd van de Europese Unie tegen forse inbreuken elders in de wereld op de fundamentele rechten van de mens. De gedachte daarbij is dat dergelijke inbreuken niet zelden door uit Europa afkomstige cybersurveillancetechnologie worden ondersteund, zoals systemen voor het afluisteren en aftappen van dataverkeer. Het lijkt er op dat de Commissie gevoelig is voor enkele spraakmakende schandalen die zich de afgelopen jaren op dat vlak hebben voorgedaan.

Lobby  
Met een mes kan brood worden gesneden of een mens worden gedood. Zo is het ook met  cybersurveillancetechnologie. Doorgaans is er niks mis met het gebruik ervan, maar soms kan de technologie ook voor abjecte en zeer verwerpelijke doeleinden worden ingezet. Met de wetswijziging die de Europese wetgever momenteel voor ogen heeft, lijkt het er op dat cybersurveillancetechnologie per definitie in de verdachte hoek wordt gezet.

De vraag of de Europese Commissie in die gedachte is doorgeschoten, is vanzelfsprekend primair een politieke vraag en is dus veel minder van juridische aard. Duidelijk is wel dat als leveranciers van IT-security hun belangen wensen veilig te stellen, zij goed moeten weten wat er precies te verwachten valt. Het is geen optie om langs de zijlijn te staan toekijken. Er ligt weer heel wat werk klaar voor de IT-lobbyisten.


Lees meer over