Diensten als WhatsApp en Gmail moeten van de EU actief jagen op kinderporno, privacy-experts vrezen gevolgen

Wat is er aan de hand?

De Europese Commissie komt woensdag met een nieuw wetsvoorstel (waarover het Europees Parlement en de lidstaten nog moeten stemmen) dat de verspreiding van materiaal met kindermisbruik erin moet tegengaan. Het Parlement stemde vorig jaar al in met een verordening waarin staat dat providers van e-mail- of chatdiensten vrijwillig de inhoud van berichten mogen scannen op kwalijke inhoud. De Commissie wil nu een stap verder gaan met een verplichting. Alle ‘relevante aanbieders van onlinediensten’ worden daarbij verplicht om seksueel misbruik van kinderen online op te sporen en dat materiaal aan de overheid te melden. Denk bij dit soort diensten aan Gmail, Outlook (die dit al doen), maar ook aan Facebook Messenger, Telegram, Signal of WhatsApp.

Die diensten zijn toch versleuteld?

Klopt: diensten als WhatsApp en Signal hebben zogenoemde end-to-end-versleuteling. Dat betekent dat niemand bij de inhoud van conversaties kan, behalve de verzender en de ontvanger – ook de aanbieder van de dienst niet. Alleen de ontvanger bezit namelijk de unieke sleutel die nodig is om de onleesbare cijferbrij te ontwarren. Strikt genomen blijft de versleuteling werkend; hieraan zal de Europese Commissie niet kunnen morrelen. Maar met andere trucs moeten de aanbieders tóch bij de inhoud van berichten kunnen.

Hoe kunnen techbedrijven die versleutelde berichten dan toch scannen? 

Met technologie genaamd client-side device scanning is het mogelijk de potentieel kwalijke inhoud op het toestel (van de ontvanger) te scannen. Dat is immers de plek waar de berichtjes ontcijferd zijn. Bij het opsporen van foto’s waarop misbruik te zien is, werken instanties met databases waarin bekende misbruikfoto’s staan. De verschillende afbeeldingen kunnen (geheel geautomatiseerd) met elkaar worden vergeleken. Als er een match is, gaat er een alarm af. Bij teksten kan er gekeken worden naar bepaalde woorden of woordcombinaties. En bij een alarmbel worden de verdachte berichten, foto’s of video’s doorgestuurd naar de politie.

Wat is de kritiek?

Burgerrechtenorganisaties en cryptografie-experts maken zich grote zorgen over deze ontwikkeling. Niemand betwist het belang van het opsporen van kindermisbruik, maar wel van de noodzaak om op grote schaal de communicatie van alle burgers te scannen. Het voorstel van de Europese Commissie betekent dat platformen als WhatsApp op het mobieltje van de gebruiker gedwongen worden mee te kijken met alle chats, en alles wat verdacht lijkt moeten melden bij de politie, vrezen Bits of Freedom en andere Europese burgerrechtenorganisaties. ‘End-to-end-encryptie is een van de weinige technologieën waarop burgers kunnen vertrouwen om hun berichtjes te beschermen tegen pottenkijkers. Een Europese verplichting om aanbieders te laten meekijken, ondermijnt dit principe’, zegt Rejo Zenger van Bits of Freedom. Die aanbieders kunnen  zelfs (gratis) gebruik gaan maken van speciale, door de EU beschikbaar gestelde software om hun opgelegde taak te vervullen, blijkt uit de dinsdag uitgelekte plannen.

Maar uiteindelijk gaat het toch om de goede zaak?

Niemand betwist het probleem van kindermisbruik, zegt Ronald Cramer, leider van de cryptologiegroep bij het Centrum Wiskunde en Informatica in Amsterdam en hoogleraar cryptologie aan de Universiteit Leiden. ‘Maar het gaat niet alleen om de vraag of de voorgestelde technologisch aanpak aanzienlijk bijdraagt aan de oplossing, maar ook om de schade van die aanpak.’ Cramer wijst op de commotie die vorig jaar ontstond toen Apple een vergelijkbare technologie voorstelde om berichten op iPhones te kunnen analyseren. Een waslijst aan argumenten tégen het gebruik van technieken als client-side device scanning staat wat hem betreft nog altijd fier overeind: de geautomatiseerde systemen die afbeeldingen op een mobieltje vergelijken met een database zijn bijvoorbeeld niet feilloos. Verder worden mobieltjes kwetsbaar voor spionagediensten of kwaadwillende hackers: ‘Is er eenmaal een achterdeur geopend, dan kan iedereen in principe toegang verkrijgen.’ Maar misschien wel het belangrijkst: ‘We moeten met zijn allen vrezen dat we ons hiermee op een glijdende schaal begeven richting acceptatie van steeds verder opgerekte continue scanning van de glazen mens. Door een veelheid aan partijen, en, vanwege de achterdeur, misschien ook wel door ons onwelgevallige partijen. Met als gevolg, naast de veiligheidsrisico’s, een inperking van fundamentele vrijheden.’