Tweede Kamer en minister in de clinch over client-side scanning voor bestrijding kinderporno

Wat de Tweede Kamer betreft is client-side scanning echter geen optie. Maar daar is de minister van Justitie en Veiligheid het niet mee eens.

Bij end-to-end-encryptie kan niemand behalve de ontvanger en zender van een bericht - ook het bedrijf achter de app in kwestie - lezen wat er gezegd wordt. Willen bedrijven of opsporingsdiensten toch kunnen inzien wat er gedeeld wordt of gesprekken automatisch kunnen scannen op de aanwezigheid van bijvoorbeeld kinderporno, dan moet de encryptie worden verbroken.

De Europese Unie is van mening dat er wel iets gedaan moet worden aan de verspreiding van kinderporno. Hier wordt daarom nog druk gesproken over het al dan niet verzwakken van end-to-end-encryptie of het inzetten van alternatieven om toch berichten te kunnen scannen op dergelijk materiaal. Techbedrijven zijn in ieder geval fel tegen het verzwakken van de encryptie en ook de Nederlandse overheid wil geen plannen steunen die encryptie verzwakken. Maar over een alternatief blijken de meningen te verschillen.

Client-side scanning alternatief?

Dat alternatief is client-side scanning. Dit omvat systemen die nog voordat een bericht verstuurd wordt de inhoud hiervan scannen op specifieke content, zoals dus kinderporno. Op die manier wordt er geen encryptie verbroken, aangezien het bericht in kwestie op het moment van scannen nog niet versleuteld is. Maar ook hier is de techsector niet happig op. Critici zijn bang dat deze maatregel massasurveillance in de hand kan spelen. Daarnaast wijzen zij erop dat er geen garantie is dat er echt alleen naar illegale content gezocht wordt in de berichten.

Het merendeel van de Nederlandse Tweede Kamer blijkt ook weinig gecharmeerd te zijn van dit alternatief. Woensdag stemde de meerderheid van de Kamer voor een motie van onder meer Lisa van Ginneken (D66), waarin de regering verzocht wordt om op Europees niveau ook tegen wetsvoorstellen met client-side scanning te pleiten. Net als lidstaten als Duitsland en Oostenrijk vinden de indieners van de motie het niet proportioneel om alle berichten van iedereen "zo maar te monitoren". Daarnaast stellen ze dat alternatieven als client-side scanning nog altijd een bedreiging zijn voor encryptie en het postgeheim, omdat berichten inhoudelijk gecontroleerd worden.

Ciaran Martin, de voormalige baas van het Britse National Cyber Security Centre, gaf eerder deze maand een zelfde argumentatie. In Groot-Brittannië wordt namelijk aan een wetsvoorstel gewerkt dat apps verplicht om client-side scanning toe te passen. "In essentie betekent end-to-end-encryptie dat er geen deur is. Of, als je een analogie van de post wil gebruiken, er is geen sorteercentrum waar de staat in kan zoeken. Client-side scanning lijkt, ondanks de claims van tegenstanders, wel een bepaald niveau van toegang te omvatten, een soort mogelijkheid om te sorteren en te scannen. En daardoor is er geen mogelijkheid om dat alleen te beperken voor gebruik van legitieme, betrouwbare overheden en liberale democratieën", aldus Martin vorige week tegenover Politico. 

Kamer en minister zijn het niet eens 

Minister Yeşilgöz-Zegerius van Justitie en Veiligheid ziet dat echter anders, zo geeft ze aan in een brief aan de Tweede Kamer. De minister ontraadde de motie voor de stemming met klem, onder meer omdat ze wil dat Nederland "een positieve bijdrage levert" aan de aanpak van kinderporno "- en niet nagenoeg alleen komt te staan met een vroegtijdige afwijzing van voorstellen in de Verordening waar zich vooralsnog een grote meerderheid van Europese lidstaten achter schaart". Volgens haar is client-side scanning nu "de enige manier waarop de maatregelen in de verordening kunnen worden uitgevoerd zonder end-to-end encryptie aan te passen". Zou Nederland die optie uitsluiten, dan beperkt dat volgens de minister de onderhandelingsruimte en zou Nederland "geen betekenisvolle invloed" uitoefenen om het voorstel te verbeteren. "Immers: als de verordening wordt aangenomen, dan is Nederland daar onverkort aan gebonden."

Daarnaast benadrukt de minister dat als zowel client-side scanning als het breken van end-to-end-encryptie worden uitgesloten als maatregelen om de verspreiding van kinderporno via bijvoorbeeld chatapps tegen te gaan, er geen mogelijkheden meer over zijn. "Het is echter bekend dat juist deze diensten in toenemende mate voor de verspreiding ervan worden misbruikt. Die situatie acht ik, mede gezien ook de onderhandelingspositie in Brussel, zacht gezegd buitengewoon onwenselijk. Daarom heb ik deze motie, met klem, ontraden."

Van Ginneken zegt in een bericht op LinkedIn echter dat er nog wel gerichte acties mogelijk lijken te zijn. "Onze politie is in het verleden meermaals succesvol gebleken om chatkanalen van criminelen gericht te infiltreren en te volgen en dat is een prestatie van formaat. Zulke gerichte acties op basis van redelijke verdenking zijn dus mogelijk én nodig."

Gevolgen kunnen groot zijn

Mocht de Europese Unie client-side scanning toch verplicht maken, dan kan dat grote gevolgen hebben voor de digitale dienstverlening in lidstaten, zo blijkt uit ontwikkelingen in Groot-Brittannië. WhatsApp en Signal hebben namelijk aangekondigd dat  zij hun dienstverlening in het land stopzetten als Groot-Brittannië techbedrijven inderdaad gaat verplichten om privégesprekken te scannen op de aanwezigheid van materiaal van kindermisbruik - bijvoorbeeld met client-side scanning.