Europees Parlement over anti-kinderpornowet: client-side scanning van tafel

Vanuit de Europese Unie wordt gewerkt aan wetgeving om de verspreiding van kinderporno tegen te gaan. In het voorstel dat de Europese Commissie hiervoor deed, wordt ook gesproken over een verplichting om berichten te scannen op de aanwezigheid van kinderporno, zelfs als die berichtgeving versleuteld is met end-to-end-encryptie. Dat is bijvoorbeeld het geval bij chatapps WhatsApp en Signal.

Het verzwakken van de encryptie wordt niet als optie gezien, maar over client-side scanning werd wel gesproken. Met deze techniek worden berichten gescand nog voor ze verzonden worden en dus nog voor ze versleuteld zijn. Mocht er dan bepaald materiaal worden aangetroffen, dan kan dat naar een nieuw op te richten Europees anti-kinderpornocentrum worden verzonden, zodat daar nader onderzoek gedaan kan worden. Experts zijn hier echter kritisch over, bijvoorbeeld omdat dit massasurveillance in de hand kan werken.

Internet scannen, versleutelde berichten niet

Het Europees Parlement stelt voor om wel detectie-orders te behouden, maar dan alleen voor niet-versleutelde content. Inlichtingendiensten kunnen dus alle content op websites als Facebook en Instagram monitoren en scrapen, zolang die niet versleuteld is. Dat mag echter alleen als daar een goede reden voor is en het gericht is op een specifiek persoon of groep personen. “Maar het gaat dan echt niet om versleutelde communicatie. Dus content scannen in WhatsApp of Signal, dat kan niet, dat mag niet en dat gaat ook niet gebeuren”, zegt Tang stellig.

Veelgenoemd probleem is echter dat kinderporno juist ook verspreid wordt in dergelijke apps, aangezien daar niet op gemonitord op kan worden. Hoe wordt dat dan aangepakt? Het Europees Parlement ziet daar wel een oplossing voor: meldingen van gebruikers. Mocht iemand dan dergelijk materiaal aantreffen bij een ander of naar zich toegestuurd krijgen, dan kan diegene daar melding van maken bij bijvoorbeeld het nieuwe anti-kinderpornocentrum. “Dus je moet je voorstellen dat dat de laatste vijf berichten zijn die zijn gewisseld, plus het foto- en videomateriaal dat daarbij is gedeeld.”

Dit verloopt dan buiten de chat-app in kwestie om en de gebruiker verstuurt het materiaal zelf naar het centrum, zodat er geen sprake is van het breken van encryptie. “Gebruikers worden dan onze ogen en oren op het internet. En het voordeel is: dit kan niet alleen in een niet-versleutelde omgeving, maar ook in een versleutelde omgeving.” Wat het Parlement betreft wordt hier dan ook harder op ingezet.

Verder wil het Parlement graag een verplichting voor aanbieders van diensten en hosters om kinderporno te verwijderen als dit wordt aangetroffen. Wordt er dus op een website via scraping dergelijk materiaal aangetroffen, dan moet dat verwijderd worden. In Nederland doen veel hosting providers dat al vrijwillig, maar “wij maken dat dan verplicht”.

Tekst loopt door onder kader.

Privacy- en Safety-by-Design

Daarnaast heeft het Europees Parlement een akkoord gesloten over twee maatregelen: safety-by-design en privacy-by-design. “Een favoriet voorbeeld van safety-by-design is bijvoorbeeld Instagram. Een account is nu publiek, maar zou eigenlijk privaat moeten zijn, zodat een kind niet zomaar benaderd kan worden. Een andere mogelijkheid is dat je niet zomaar een screenshot kunt maken van content”, legt Tang uit. “Dat soort maatregelen moet bij diensten die alleen op kinderen gericht zijn verplicht worden.”

Daarmee wordt het wel belangrijker om een duidelijk onderscheid te maken tussen kinderen en volwassenen, en kinderen en tieners. Daarom moet er van het Parlement meer nadruk komen op leeftijdsverificatie, maar dan wel in zo’n vorm dat de privacy van gebruikers gerespecteerd wordt. “Nu is het soms zo dat je een paspoort moet opsturen, dat willen wij juist niet. Wij zijn erg geïnspireerd door het Nederlandse voorbeeld van Irma. Daarmee laat je alleen maar weten of je jonger bent dan bijvoorbeeld dertien of achttien. Dat is het enige kenmerk dat je deelt. In Nederland kan dat bijvoorbeeld via DigiD, in België hebben ze daar weer een ander systeem voor.”

Hoe nu verder?

Het Europees Parlement heeft nu wel een akkoord bereikt, maar vooralsnog is ook dit alleen nog een voorstel. Op 13 november moet er nog gestemd worden, waarmee het Parlement definitief akkoord gaat met dit voorstel. Maar wetsvoorstellen in de Europese Unie moeten door zowel het Europees Parlement als de Raad van Ministers goedgekeurd worden.

“Daarna is het dus wachten op de Raad”, zegt Tang. Hij hoopt dat de Raad ook heil ziet in dit voorstel. “Maar zij moeten eerst een algemene overeenstemming krijgen over hun inzet bij de onderhandelingen met het Europees Parlement. Zolang dat niet gebeurd is, ligt het stil. Dus dat is eigenlijk nog wel spannend. Ik heb zelf de hoop dat we in december met de Spaanse voorzitter aan de gang kunnen. Zo niet, dan moet de Belgische voorzitter het vanaf januari oppakken [het voorzitterschap verandert met de jaarwisseling, red.].”

De Raad en het Parlement hebben vervolgens tot half maart om tot een besluit te komen. Mocht dat lukken, dan kan de wet in theorie in augustus 2024 in werking gaan treden.