Mag een opsporingsambtenaar mijn wachtwoord opeisen?

Als je veel aandacht besteed aan het versleutelen van je data, wil je de sleutel goed beschermen. Een interessante vraag is dan: mag een opsporingsambtenaar je wachtwoord opeisen? De wet zegt dat wachtwoorden gevorderd mogen worden, maar niet van de verdachte. De wet is echter ook niet erg duidelijk wat precies wel en niet mag.

Vorderen mag, maar niet van de verdachte

  1. Voor zover het belang van het onderzoek dit bepaaldelijk vordert, kan indien toepassing is gegeven aan artikel 125i of artikel 125j tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Degeen tot wie het bevel is gericht, dient desgevraagd hieraan gevolg te geven door de kennis omtrent de beveiliging ter beschikking te stellen. 
  2. Het eerste lid is van overeenkomstige toepassing indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens. 
  3. Het bevel, bedoeld in het eerste lid, wordt niet gegeven aan de verdachte. Artikel 96a, derde lid, is van overeenkomstige toepassing. 
Als de politie tijdens een onderzoek versleutelde bestanden tegenkomt waarvan men vermoed dat de bestanden bewijsmateriaal bevat, dan kan de politie eisen dat deze bestanden toegangelijk worden gemaakt. Ze kunnen dat eisen van iedereen waarvan ze maar vermoeden dat hij of zij het wachtwoord kent. Maar niet van de verdachte zelf.
 
Als niemand het wachtwoord weet, dan zal de politie zelf moeten proberen de bestanden toegangelijk te maken. Vaak genoeg gebruiken mensen makkelijk te raden wachtwoorden, afgeleid van iets in de persoonlijke sfeer. De naam van de partner, het eigen geboortedatum, het kenteken van de auto of een variatie op de naam van de favoriete voetbalclub. En soms heeft de politie geluk, om dat voor de versleuteling software is gebruikt met bekende beveilingsgaten.
 

Maar glashelder is dat niet

In het in 2000 verschenen Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur? van Bert-Jaap Koops staan twee dingen genoemd die in dit wetsartikel niet glashelder zijn. Het eerste gaat over "degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging":
Een interessante vraag lijkt mij overigens wel of een decryptiebevel mag worden gegeven aan een crypto-expert, met name aan een deskundige in het kraken van versleutelde boodschappen. Zo is er een Amerikaans bedrijf, AccessData, dat bedrijfsmatig versleutelde bestanden kraakt (meestal voor wanhopige werknemers die de sleutel kwijt zijn). Men kan beargumenteren dat zo iemand voldoende "kennis draagt van de wijze van versleuteling" om hem op te dragen zijn kraakkunsten (en zijn supercomputers) los te laten op de gewraakte cijfertekst. De vraag is of dat via 125k Sv moet – maar bij meer onwillige burgers (denk aan de Electronic Frontier Foundation uit de VS, die een speciale DES-kraakcomputer heeft gebouwd) zou het misschien een aardige optie kunnen zijn? 
Een ander punt is de vraag wat er precies beschikbaar gesteld moet worden ingeval van een vordering:
Het bevel tot toegangsverschaffing uit het eerste lid kan echter op twee manieren worden opgevolgd: door zelf de toegang te verschaffen (lees: het wachtwoord in te tikken) of door ("desgevraagd") kennis ter beschikking te stellen (lees: het wachtwoord aan de politie te geven). Analoog hieraan zou de adressant van een decryptiebevel of zelf kunnen ontsleutelen, of de sleutel (met wachtwoord) kunnen afgeven, maar dit wordt niet gedekt door de Memorie van Toelichting. Strikt genomen zou iemand dan ook alleen door het afgeven van de sleutel aan het bevel kunnen voldoen. Als toch de eerste mogelijkheid wordt toegestaan, zal de politie wel over de schouder willen meekijken om te controleren dat ook daadwerkelijk de cijfertekst ontsleuteld wordt, en niet een onschuldig tekstje ergens vandaan wordt getoverd.
Een opsporingsbeambte kan het wachtwoord niet vorderen van de verdachte, maar wat er van anderen precies gevraagd mag worden, is niet helemaal duidelijk.