Quantum Technologie & Recht

Door JAVB Editor

Quantumcomputers halen met enige regelmaat het nieuws met records die voor de meeste ondernemers abstract blijven. Toch is er één gevolg dat nu al op de directietafel thuishoort, en het is verrassend concreet: data die vandaag veilig versleuteld zijn, kunnen morgen alsnog op straat liggen. Kwaadwillenden kunnen versleutelde gegevens nú onderscheppen en bewaren, om ze te ontsleutelen zodra de techniek dat toelaat — in vakjargon "harvest now, decrypt later". Hoeveel van uw bedrijfsgeheimen, klantdata en contracten moeten over tien jaar nog steeds geheim zijn?

Harvest now, decrypt later: vandaag geoogst, later ontsleuteld.

In dit artikel vertalen we de quantumontwikkeling naar de mkb-praktijk: waarom het risico nu al bestaat terwijl de machines er nog niet zijn, welke data en contracten het eerst geraakt worden, wat de internationale standaardisatie betekent voor uw planning, en welke clausules u vandaag in IT- en geheimhoudingscontracten kunt opnemen. Voor het Europese beleidskader verwijzen we naar onze pagina over Europese regelgeving. Geschreven voor ondernemers, IT-verantwoordelijken en inkopers in het mkb. Dit is algemene, educatieve informatie en geen juridisch advies op maat.


Het probleem in twee zinnen natuurkunde

Een quantumcomputer rekent met qubits, die — anders dan gewone bits — in superposities van toestanden kunnen verkeren en onderling verstrengeld kunnen raken; voor specifieke wiskundige problemen levert dat een fundamenteel snellere aanpak op. Eén van die problemen is precies de wiskunde achter de hedendaagse publieke-sleutel-cryptografie — de RSA- en ECC-systemen waarmee internetverkeer wordt opgezet en handtekeningen worden gezet. Symmetrische versleuteling (zoals AES) wordt door quantum slechts verzwakt, niet gebroken: daar volstaan doorgaans langere sleutels — een relatief eenvoudige eerste stap die u leveranciers nu al kunt vragen. Een voldoende grote, foutgecorrigeerde quantumcomputer bestaat nog niet — maar de cryptografische gemeenschap werkt er sinds jaren aan vervangende, "quantumbestendige" algoritmen, en de Amerikaanse standaardisatie-instantie NIST is bezig de finalisten daarvan tot standaard te verheffen. De vraag is dus niet óf de overstap komt, maar wanneer — en of uw gevoeligste data de tussentijd overleven.

De crypto-agility-clausule: vervangbaarheid als contractuele eis.


Welke data lopen het eerst risico?

De vuistregel is de vertrouwelijkheidshorizon: hoe lang moet informatie geheim blijven? Alles waarvan het antwoord langer is dan de verwachte komst van krachtige quantummachines, verdient nu aandacht:

  • Bedrijfsgeheimen en R&D — recepturen, ontwerpen, processen die decennia waarde houden;

  • Langlopende contracten en geschillendossiers — overnames, licenties, vaststellingsovereenkomsten met langdurige geheimhouding;

  • Persoonsgegevens met lange gevoeligheid — medische en financiële gegevens; de AVG-plicht tot "passende technische maatregelen" is een meegroeiende norm, en wat vandaag passend is, hoeft dat over vijf jaar niet meer te zijn;

  • Intellectueel eigendom in transit — alles wat u versleuteld deelt met partners, producenten en adviseurs.


Wat u contractueel kunt regelen — nu al

De techniek is aan de specialisten; de levensduur van afspraken is aan de jurist. Vier concrete handvatten:

  • Crypto-agility-clausule in IT-contracten. Verplicht uw leverancier om versleutelingsstandaarden te kunnen vervangen zonder herbouw of meerkosten-verrassing, en om aangekondigde standaarden (zoals de komende NIST-selectie) binnen een redelijke termijn te implementeren.

  • Vraag het uit in uw inkoop. Neem in RFP's en verwerkersovereenkomsten de vraag op hoe de leverancier zich voorbereidt op post-quantumcryptografie — het antwoord zegt veel, ook als het "nog niet" is.

  • Herijk uw geheimhoudingsbedingen. Een NDA die tien of twintig jaar geheimhouding belooft, veronderstelt dat de beveiliging die periode meegroeit; benoem dat, en koppel de bewaarpraktijk (wat wordt waar, hoe lang, hoe versleuteld bewaard) aan de belofte.

  • Dataminimalisatie is quantumbestendig. Wat u niet bewaart of onnodig verstuurt, kan niet worden geoogst — onderschept verkeer is immers het hoofddoelwit. De saaiste maatregel is de zekerste.

Wie de achtergrond wil: over de verhouding tussen quantumtechnologie en intellectueel eigendom publiceerden wij eerder een uitgebreide analyse, en over de bredere juridisch-ethische kaders een verkenning van het juridisch-ethisch kader.


Veelgestelde vragen

Is dit niet veel te vroeg voor een mkb-bedrijf?

Voor de aanschaf van quantumtechniek: ja. Voor de vraag welke data een lange vertrouwelijkheidshorizon hebben en wat uw leveranciers van plan zijn: nee — dat is gewoon contract- en risicobeheer met een langere blik.

Wat is "harvest now, decrypt later" precies?

Het nu al onderscheppen en opslaan van versleuteld verkeer, in afwachting van de techniek om het later te ontsleutelen. Daarom telt niet de komst van de quantumcomputer, maar de levensduur van uw geheimen.

Moet ik nu al "quantumveilige" producten kopen?

Wees terughoudend met verkooppraatjes: de standaardisatie loopt nog. Wat u wél kunt eisen, is aantoonbare voorbereiding en de contractuele flexibiliteit om over te stappen zodra standaarden er zijn.

Raakt dit ook mijn AVG-verplichtingen?

Indirect: beveiliging moet "passend" zijn bij de stand van de techniek en de risico's. Voor langdurig gevoelige persoonsgegevens hoort de quantumvraag dus in de periodieke beveiligingsbeoordeling thuis.

Sorteer uw geheimen op levensduur — vandaag.


Conclusie

Quantumcomputing is voor het mkb geen aanschafbeslissing maar een houdbaarheidsvraag: welke geheimen moeten langer mee dan de huidige versleuteling — en staan uw contracten die werkelijkheid toe? Inventariseer de data met een lange vertrouwelijkheidshorizon, stel uw leveranciers de voorbereidingsvraag en bouw crypto-agility in bij elke nieuwe IT-deal. De machines komen wanneer ze komen; uw contracten tekent u vandaag — en regeren is vooruitzien.

Laatst bijgewerkt: 9 november 2021.