Het lijkt een even simpele als doeltreffende maatregel om de verspreiding van kinderpornografisch materiaal tegen te gaan: scan iedere afbeelding die met een smartphone wordt verstuurd op mogelijke kinderporno. Het is de kern van een voorstel van de Europese Commissie tegen online kindermisbruik. Maar de gevolgen zijn zó verstrekkend dat wetenschappers, privacy-activisten en andere critici steeds fermer waarschuwen: begin er niet aan.
Het plan van de Europese Commissie houdt in dat straks elke tekst of afbeelding in een chatbericht wordt gescand. Vanaf augustus 2024 moet deze verplichting gaan gelden voor aanbieders van beveiligde communicatie, zoals WhatsApp, Facebook, iMessage. Die gebruiken nu end-to-endencryptie: berichten zijn versleuteld en alleen te lezen voor de verzender en de ontvanger. Een fundamenteel uitgangspunt voor vertrouwelijke gesprekken.
Huib Modderkolk is onderzoeksjournalist bij de Volkskrant met bijzondere aandacht voor cybersecurity en inlichtingendiensten. Hij won meerdere journalistieke prijzen en is onder meer auteur van het boek Het is oorlog maar niemand die het ziet. Eerder werkte hij bij NRC.
Hoewel niet duidelijk is hoeveel kinderporno er via deze weg wordt verstuurd, wil de Europese Commissie nu aan die vertrouwelijkheid gaan tornen. De ‘cliënt scanning’, zoals het in jargon heet, moet namelijk gaan plaatsvinden vóórdat een bericht wordt versleuteld. In feite wordt er dus een derde partij toegevoegd aan de communicatie tussen verzender en ontvanger.
Volgens het voorstel dat nu op tafel ligt zullen berichtendiensten voortaan de digitale vingerafdruk van verstuurde foto’s vergelijken met een database van vingerafdrukken van miljoenen bekende kinderpornografische afbeeldingen. Is er een match, dan gaat er een melding naar een speciaal EU-centrum dat de bewuste foto beoordeelt en zo nodig Europol of nationale politiediensten kan waarschuwen. Die database met vingerafdrukken wordt door aanbieders als WhatsApp óp de smartphone van EU-burgers gezet. Een bestandje van naar verwachting enkele megabytes.
De gevolgen van deze methode zijn gigantisch, schreven 400 wetenschappers en onderzoekers op het gebied van informatiebeveiliging en privacy begin deze maand in een open brief. Zij wezen de Europese Commissie erop dat het nog tien tot twintig jaar kan duren voordat er acceptabele technologie is ontwikkeld die zonder al te veel foutmarges afbeeldingen kan scannen.
De huidige techniek is kwetsbaar voor manipulatie: een kleine aanpassing in een bestaande kinderpornografische foto zorgt er al voor dat deze niet meer dezelfde vingerafdruk heeft en dus buiten de database zal vallen. Ook kunnen kwaadwillenden het systeem misbruiken om een legitieme foto als kinderpornografisch te laten aanmerken.
Bovendien is het uitermate complex om een computermodel het onderscheid te laten maken tussen een privéfoto van een 2-jarig kind in een badje in de tuin en een kwaadwillende kinderpornografisch beeld, zo leert de ervaring in het Verenigd Koninkrijk waar kunstmatige intelligentie reeds wordt ingezet. Computers letten niet op de intentie van de maker.
Ze controleren evenmin wat de relatie is tussen de afzender van de foto en het kind dat erop staat, waardoor privéfoto’s straks bij een Europese autoriteit kunnen belanden die gaat beoordelen of ze wel zedig zijn. Deskundigen verwachten dat de methode die de Europese Commissie voor ogen heeft zoveel fouten zal opleveren, dat het aantal valse meldingen in de tientallen miljoenen per dag zal lopen.
Maar de belangrijkste kritiek op de EU-voorstellen, raakt een fundamenteler punt. Zoals Jaap-Henk Hoepman, universitair hoofddocent privacy en technologie aan de Radboud Universiteit, het verwoordt: ‘Dit voorstel plaatst een koevoet in het privéleven van alle burgers. We slaan hiermee een pad in waar je eigenlijk niet wilt gaan.’
De implicaties zijn volgens hem enorm. ‘Het komt erop neer dat instanties de mogelijkheid krijgen om mee te kijken in ons privéleven, met wat we doen en zeggen op onze telefoon’, zegt hij. Hoepman vergelijkt het met het installeren van een beveiligingscamera in álle huizen in Nederland. ‘Een camera van de overheid die geactiveerd wordt en een livestream opzet als deze een verdacht geluid oppikt.’
Ook zeventig Britse cryptografen en beveiligingsexperts waarschuwden vorige week de Britse overheid, die aan vergelijkbare plannen werkt, dat er straks ‘een politieagent in ieders broekzak’ komt. Burgers komen onder permanente surveillance te staan, stelden zij. WhatsApp en Signal dreigen het Verenigd Koninkrijk te verlaten als deze plannen doorgaan.
Experts vrezen twee scenario’s. Eén: het scannen blijft niet beperkt tot kinderpornografisch materiaal maar wordt sluipenderwijs uitgebreid naar teksten en afbeeldingen die bijvoorbeeld terrorisme, geweld of desinformatie bevatten. Hoepman: ‘Dat is een bekende dynamiek: als de mogelijkheid er eenmaal is, is het verleidelijk om hem breder in te zetten.’
Een andere vrees is dat autoritaire regimes de optie zullen gebruiken voor andere doeleinden, zoals eerder gebeurde met Israëlische spionagesoftware. Die was bedoeld voor het opsporen van terroristen maar werd door landen als Hongarije, Polen en ook Spanje ingezet tegen journalisten, mensenrechtenactivisten en oppositieleden. Hoepman: ‘De drempel om die functionaliteit toe te voegen, gaat omlaag.’
Het voorstel van de Europese Commissie wordt binnenkort besproken in het Europees Parlement en de EU-raad. Het is aan Spanje, momenteel voorzitter van de Europese Unie, om een positie te bepalen. Voorlopig koesteren de tegenstanders van de plannen weinig hoop. Een eerder Zweeds voorstel om end-to-end-encryptie te beschermen en géén client scanning toe te staan, werd door Spanje verworpen.
Ook het, inmiddels demissionaire, Nederlandse kabinet is voorstander van het scannen. Een door de Tweede Kamer aangenomen motie uit april om niet akkoord te gaan met ‘encryptiebedreigende chatcontrole’, legde het kabinet naast zich neer. Vlak voor de val van het kabinet herhaalde minister van Justitie en Veiligheid Dilan Yesilgöz op vragen van het CDA dat zij ‘onder bepaalde omstandigheden’ toegang wil hebben tot ‘berichtenverkeer’.
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
U bent niet ingelogd
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2023 DPG Media B.V. - alle rechten voorbehouden