EU:s inrikesministrar diskuterar i dag om myndigheter borde få tillgång till innehåll användare delar privat via Whatsapp, Telegram och liknande appar, för att bättre kunna motarbeta terrorbrott. Det skulle samtidigt inkräkta på den personliga integriteten.
Ett dokument som har läckt ut från EU:s ministerråd och som bland annat Svenska Yle har tagit del av, tyder på att man inom unionen efterlyser sätt att kunna övervaka krypterade meddelanden.
EU-ordförandelandet Tyskland har aktualiserat den här frågan efter den senaste tidens terrordåd i Österrike och Frankrike.
Underrättelsetjänster inom unionen skulle vilja ha bättre möjligheter att kunna ta del av krypterad kommunikation som förs i meddelandeappar såsom Whatsapp, Telegram och Signal.
De använder i nuläget så kallad end-to-end-kryptering, vilket innebär att bara sändare och mottagare kan läsa meddelandena i klartext.
Meddelandehemligheten skulle försvagas
Elias Aarnio är vice ordförande vid Electronic Frontier Finland (Effi) – en organisation som arbetar för medborgares digitala rättigheter – är kritisk till att EU funderar på att försvaga krypteringen.
– Att föreslå att man bevakar precis allt genom sådana här bakdörrar är emot alla principer som har funnits tidigare, och jag har svårigheter att förstå hur man ska kunna göra det här lagligt överhuvudtaget.
Aarnio säger att det är en urdålig idé och att alla åtminstone då och då skickar meddelanden som man inte vill att ska övervakas.
– Man ska tänka på det också att hur ska man sedan kommunicera med banken till exempel, eller med myndigheter, eller människor i andra länder där demokratin i vissa fall inte står så högt i kurs.
Han påpekar dessutom att det till exempel för journalister är av stor betydelse att kunna kommunicera med källor på ett säkert sätt på nätet.
Exakt hur man inom EU skulle kunna kringgå krypteringen är oklart, men meddelandeappar kunde till exempel tvingas ge unionens underrättelsetjänster krypteringsnycklar för att möjliggöra digital avlyssning.
Det handlar då inte längre om säker kommunikation hela vägen mellan avsändaren och mottagaren.
– Om tanken är den att stora företag skulle ta hand om den här tekniken, så är det också de här företagen som får data sedan till förfogande. Och frågan är, litar vi på dem, säger Aarnio.
Samtidigt finns åtminstone i teorin risken att också brottslingar och underrättelsetjänster utanför EU skulle kunna komma åt meddelanden.
Stor nytta i brottsutredningar
Christian Jämsén som är överinspektör på Centralkriminalpolisen betonar däremot att det skulle vara viktigt för brottsbekämpningen att polisen fick möjligheter att ta del av krypterade meddelanden.
Kriminella har nämligen under senare år allt oftare övergått till att använda meddelandeappar med end-to-end-kryptering för att kommunicera med varandra.
– De möjligheter polisen har att utreda och förhindra brott kan begränsas om teknologin är sådan att det inte går att komma åt informationsinnehållet och använda det som bevismaterial.
Han säger att det skulle vara särskilt viktigt att kunna läsa digitala meddelanden till exempel i utredningen av grova brott såsom terrorbrott och sexuella övergrepp mot barn.
– Det kan finnas behov i enskilda fall att komma åt information som hjälper polisen i förundersökningen eller för att förhindra sådana här brott att överhuvudtaget begås, säger han.
Jämsén tillägger att det här skulle kunna utgöra godtagbara undantag i rätten till personlig integritet.
– Vi har ju egentligen i dagens läge lite liknande processer när det gäller teleövervakning och teleavlyssning. Den biten genomgår också en liknande process där avvikningarna från de grundläggande rättigheterna avgörs av domstol.
En balansgång krävs
Teleövervakning är alltså tillgång till identifieringsuppgifter, det vill säga metauppgifter om telemeddelanden, medan teleavlyssning betyder tillgång till själva innehållet.
Men det är viktigt att tillägga att det läckta EU-dokumentet, som är ett utkast, inte tydligt talar för att man borde bygga in någon slags bakdörr för att möjliggöra övervakning.
Där betonas istället att man måste hitta en balans mellan rättsväsendet och medborgarnas personliga integritet – övervakningen måste också vara berättigad och proportionell, sägs det.
I praktiken skulle det ändå handla om att försvaga krypteringen på något sätt. Man efterlyser samarbete mellan regeringar, IT-branschen och forskare för att hitta en bra lösning.
EU har diskuterat end-to-end-kryptering (E2EE) på politisk nivå i minst fyra år. År 2017 lutade unionen åt att tvinga alla appar att införa stark kryptering. Nu funderar man istället i motsatta banor.
Krypteringsärendet går vidare inom EU också efter i dag. Det väntas tas upp i EU-säkerhetskommittén COSI den 19 november och därefter i de ständiga representanternas kommitté den 25 november.
Underrättelsetjänster från USA, Storbritannien, Australien, Kanada och Nya Zeeland sade i ett uttalande förra månaden att E2EE gör det omöjligt för den officiella övervakningen och att det "orsakar avsevärda utmaningar för att kunna upprätthålla den allmänna säkerheten".
"Regeringar och internationella institutioner är allt mer eniga om att något måste göras", konstaterade de fem underrättelsetjänsterna (Five Eyes) i sitt uttalande.