Het omstreden voorstel om de privé-communicatie van alle 450 miljoen Europeanen te gaan scannen op verboden inhoud, ChatControl genoemd, ligt weer op tafel. Maar ditmaal heeft het EU-plan een cruciale verandering ondergaan en heeft het de steun van genoeg lidstaten.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Voor de huidige EU-voorzitter Denemarken was het vanaf het begin menens: het land zou hoe dan ook het beruchte ChatControl, bedoeld om de verspreiding van materiaal van seksueel misbruik tegen te gaan, aan een meerderheid helpen. Sinds mei 2022 proberen verschillende Europese landen het plan al aan de man te brengen. Telkens kreeg het voorstel te maken met forse kritiek en bleek er (net) geen voldoende steun voor. Een herzien plan maakt nu wel kans om aangenomen te worden.
De Europese Commissie wil aanbieders van communicatieplatforms verplichten om afbeeldingen en url’s van websites die gebruikers elkaar sturen te controleren op mogelijk seksueel misbruik. Alleen: dat kan niet zomaar, want sommige berichten zijn versleuteld. Daar kan niemand bij, ook de aanbieder zelf – zoals WhatsApp, Telegram, Signal – niet.
Daarom bedacht de Commissie een truc. Platforms wordt in het voorstel opgedragen om iedere afbeelding of url te scannen vóórdat deze wordt versleuteld. Een ondermijning van het digitale briefgeheim.
Jaap-Henk Hoepman, privacy-onderzoeker aan de Radboud Universiteit Nijmegen, legde daarover eerder uit: ‘De Europese Commissie eigent zich het recht toe om mee te kijken naar wat we versturen voordat onze communicatie in een envelop gaat.’ De consequentie is, zei Hoepman, dat Europa niet alleen alle berichten van Europeanen scant, maar in feite ook alle Europese burgers als verdachten gaat behandelen. Alsof je in elk huis in Europa een camera van de overheid plaatst, om mogelijk huiselijk geweld op te sporen.
Met als gevolg: end-to-end-versleuteling bestaat niet meer. Vertrouwelijke communicatie is in dat geval verleden tijd. ‘Met een kanon schieten op een mug’, zei directeur Robbert Hoving van de stichting tegen kindermisbruik OffLimits daarom eerder. Hij juicht iedere vorm van bestrijding van misbruik toe, maar vond ChatControl veel te ver gaan.
De Denen werkten direct van de start van hun voorzitterschap – vanaf 1 juli – dit omstreden plan uit. En zij meenden dat het kansrijk was. Maar door het wegvallen van de steun van Duitsland – Nederland was sowieso tegen – bleek er onvoldoende draagvlak. Daarom gingen de Denen terug naar de tekentafel en kwamen met een nieuw voorstel. Belangrijkste verschil: de verplichting om berichten te scannen, is eruit gehaald. Winst voor privacy-organisaties, zou je denken.
Rejo Zenger, beleidsadviseur bij Bits of Freedom, is voorzichtig. Ja, het heetste hangijzer, de verplichting om te scannen, is gesneuveld. En daarmee is vertrouwelijke communicatie gered. Zenger: ‘Dat is absoluut winst.’ En gelukkig, zegt hij, bevat het laatste tekstvoorstel van de Denen ook een garantie waarin een platform niet alsnog kan worden verplicht te scannen.
Zenger: ‘Het plan laat nog steeds ruimte om dit soort detectie te doen met kunstmatige intelligentie om beelden op te sporen die politie nog niet eerder heeft gezien. Dat is lovenswaardig, maar die technologie is nog absoluut niet ver genoeg. En dat betekent dat je gemakkelijk onterecht als verdachte kunt worden aangemerkt.’
Een artikel in The New York Times in 2022 liet zien hoe serieus de consequenties zijn als een communicatiedienst iemand foutief aanmerkt als mogelijke verspreider van kinderporno. Een Amerikaanse man stuurde een foto van zijn zoontje met een pijnlijke penis naar een zorgmedewerker. De systemen van Google merkten het op als materiaal van seksueel misbruik, waarna de man de toegang tot zijn account werd ontzegd en zelfs een strafrechtelijk onderzoek volgde. Het kostte de man veel moeite zijn onschuld te bewijzen.
Het is onduidelijk welke diensten vrijwillig zullen scannen en welke dat nu al doen. Communicatiediensten zoals WhatsApp en Signal in elk geval niet, daarvoor zouden ze de versleuteling moeten breken en dat willen ze niet. Signal zei eerder uit Europa te vertrekken als ChatControl werd aangenomen. Apple kondigde aan iCloud-foto’s te scannen maar trok dat voorstel na kritiek weer in.
En dan zijn er nog twee andere onderdelen van het voorstel die Zenger niet helemaal geruststellen. Een al dan niet verplichte leeftijdsverificatie voor het gebruik van sommige platforms, wat het optuigen van registratiesystemen vergt met daarin de data van miljoenen Europeanen.
Een ander voorstel is het het, vrijwillig wederom, scannen van berichten met hulp van kunstmatige intelligentie op mogelijke grooming – het verleiden van jonge slachtoffers om ze vervolgens te exploiteren. Zenger: ‘De systemen om dat soort berichten te herkennen zijn verre van perfect. Wat veel zogeheten false positives zal opleveren.’ Wederom kunnen onschuldige gebruikers dan in de problemen komen.
Het nieuwe Deense voorstel krijgt in elk geval voorlopig voldoende steun, en waarschijnlijk komende dinsdag of woensdag goedkeuring van de EU-delegaties. Daarna zullen de Europese Commissie, de Europese Raad en het Europees Parlement zich erover buigen. Voor de Commissie en sommige lidstaten, zoals Spanje en Hongarije, gaat het voorstel niet ver genoeg. Andere lidstaten, zoals Duitsland en initiatiefnemer Denemarken, zijn blij dat er eindelijk een tekst ligt die acceptabel is en voldoende steun krijgt.
Geselecteerd door de redactie
Source: Volkskrant