Chatdiensten zoals WhatsApp mogen vanaf 3 april berichten niet langer scannen op beelden van kindermisbruik, las ik bij Tweakers. De ophef ging toch over of ze dat móesten? Inderdaad, maar dit is een ander aspect van de discussie.
Al sinds 2022 is er ophef over een EU-wetsvoorstel dat communicatiedienstverleners zoals chatdiensten wil verplichten om berichten (en daar bij behorende afbeeldingen) te screenen op misbruik. Dit impliceert namelijk onder meer het moeten doorbreken van end-to-end encryptie en het lezen van alle berichten, wat laten we zeggen een tikje ver gaat.
Het communicatiegeheim bij dit soort diensten is verankerd in de stokoude ePrivacy-richtlijn, artikel 5 lid 1:
De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1.Om het mogelijk te maken dat aanbieders dergelijke scans kunnen doen, bestond er sinds 2021 een tijdelijke verordening die een wettelijke basis hiervoor creëerde om zo de “tenzij dat bij wet is voorzien”-uitzondering te triggeren.
De uitzondering stond meelezen en controleren toe voor zover dat “strikt noodzakelijk is” voor
het gebruik van specifieke technologie met als enig doel onlinemateriaal betreffende seksueel misbruik van kinderen op te sporen, te verwijderen en te melden aan rechtshandhavingsinstanties en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen, en het benaderen van kinderen op te sporen en te melden aan rechtshandhavingsinstanties of organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;Dit was ingestoken als een tijdelijke regeling, die af zou lopen op 3 april 2024 maar werd verlengd tot en met komende 3 april.
Een nieuwe verlenging stond in de steigers, maar is dus vastgelopen in politieke discussie. Het voorstel uit maart van het Europees Parlement lijkt daar splijtzwam in te zijn geweest. Tweakers legt uit:
Zo wil het [Europees] Parlement niet dat het scannen geldt voor berichten die eind-tot-eind versleuteld zijn. Het Parlement wil ook niet dat ieders berichten gescand kunnen worden, maar alleen die van mensen waarvan een rechter vermoedt dat ze verbonden zijn aan het maken of verspreiden van kindermisbruikmateriaal.De kern hierachter is dat men massasurveillance wilde verbieden. Maar technisch is het lastig om onderscheid te maken tussen gewone mensen en mensen met enige verdenking dat ze misbruikmateriaal uitwisselen. Natuurlijk, als er een justitiële verdenking geldt dan kun je daarop acteren maar dan ben je niet meer aan het scannen – dan werk je mee aan een gericht onderzoek. Scannen is bedoeld om een breder net uit te werpen.
Wijzigingen van dit niveau vereisen instemming van de Raad van Ministers, maar die wilde er niet aan. Nieuwe gesprekken zullen niet op tijd iets opleveren, dus per 3 april vervalt dan de mogelijkheid om op vrijwillige basis te scannen.
Of iedereen daar daadwerkelijk mee stopt, is een open vraag. Het belang is vrij duidelijk, en de infrastructuur draait al jaren prima. Tussen de regels door lees ik dat we een paar maanden later een nieuwe tijdelijke verlenging mogen verwachten, wat tijdelijk stoppen dan helemaal onzinnig maakt.
Arnoud
Ik moet nu vreemd genoeg denken aan Safe Harbor -> Privacy Shield -> EU-U.S. data privacy framework?
Al is -net als daar- een langzame overgang naar compliance ook wel uit te leggen: het is geen migratie die even in een weekendje kan plaatsvinden, men wil geen risico lopen dat er een kwetsbaarheid wordt gecreëerd in de communicatie.
Sommige big tech heeft misschien nog een extra reden om niet hard te gaan lopen: moeten meekijken is kunnen meekijken is oeps het ook voor ads (of tegenwoordig even “hip”: AI-training) inzetten.
Zoals heel vaak wordt “denk om de kinderen” gebruikt om heel andere belangen of voorzieningen door te drukken. Ik zou dat gedrag bijna “kindermisbruik van de tweede orde” willen noemen, omdat de voorgestelde maatregelen (massa-surveillance) over het algemeen niet aantoonbaar helpen het beoogde probleem op te lossen (immers, de mensen die zich daarmee bezig houden weten over het algemeen wel dat ze onder een vergrootglas liggen, en richten zich daar op in), maar juist gebruikt gaan worden om de privécommunicatie van de grote massa onder druk te zetten.
Op termijn is volgens mij trouwens het beste antwoord hierop decentralisatie van chat communicatie. Als voldoende mensen hun eigen kleine server voor chat diensten kunnen inrichten, zijn er niet langer de grote centrale bedrijven die politiek onder druk gezet kunnen worden, of dingen kunnen doen die anderszins ongewenst zijn (vanuit hun commerciële belangen, zoals advertenties plaatsen). Daarvoor is het wel nodig dat gedeelde protocollen voor communicatie en “federatie” worden afgesproken. Natuurlijk kun je dan nog de ISP’s zelf onder druk zetten om Stasi-achtige praktijken te gaan uitvoeren, maar met open source cryptografie is dat een stuk lastiger af te dwingen.