Minister: EU moet client-side scanning alleen gebruiken om beeldmateriaal te scannen
- Binnen de EU wordt gezocht naar manieren om de verspreiding van kinderporno tegen te gaan
- End-to-end-encryptie breken om gesprekken in chatapps daarop te controleren, vindt Nederland geen optie
- Demissionair minister Yeşilgöz-Zegerius ziet wel opties in client-side scanning, mits dat 'proportioneel' gebeurt
- Lees ook: Waarom na Signal ook Apple dreigt met een Brexit
Shutterstock
Kinderporno wordt tegenwoordig op allerlei manieren verspreid, ook via chatapps als WhatsApp en Signal. De Europese Unie wil regels gaan opstellen om die verspreiding tegen te houden. Client-side scanning wordt als optie genoemd en wat demissionair minister Yeşilgöz-Zegerius van Justitie en Veiligheid betreft is dat een goed idee, mits het proportioneel wordt ingezet.
Het probleem bij het opsporen van kinderporno in chatapps is dat alle communicatie in dergelijke apps versleuteld is met end-to-end-encryptie. Alleen de verzender en ontvanger van tekstberichten, spraakberichten, foto's en video's kunnen de inhoud dus lezen of zien, de rest niet. Ook de bedrijven die de apps gemaakt hebben en de opsporingsdiensten niet.
Wat de Nederlandse overheid betreft is het verzwakken van de encryptie om kinderporno op te sporen in ieder geval geen optie. Voorstellen vanuit de EU die dat wel noemen, worden door Nederland dan ook niet gesteund. Maar er ligt een alternatief op tafel: client-side scanning. Deze techniek scant de inhoud van berichten nog voordat deze verzonden worden en dus ook nog voordat er end-to-end-encryptie is toegepast.
Proportioneel toepassen
Eerder gaf demissionair minister Yeşilgöz-Zegerius al aan dat zij wel achter deze techniek staat, ondanks bezwaren uit de techsector én de Tweede Kamer. Maar de demissionair minister benadrukt nu in antwoorden op Kamervragen dat ook deze techniek alleen ingezet mag worden als dat "proportioneel is ten aanzien van het doel dat wordt nagestreefd".
Wat het kabinet betreft mag client-side scanning bijvoorbeeld niet worden ingezet om tekstberichten te scannen. Er mag alleen gescand worden op bestaand beeldmateriaal. "Dat wil zeggen, materiaal waarvan reeds is vastgesteld dat dit materiaal betreft van seksueel kindermisbruik, en waarvan het bezit dus strafbaar is", aldus Yeşilgöz-Zegerius.
"Omdat bij het gebruik van client-side scanning het communicatiegeheim moet worden gewaarborgd, beziet het kabinet verder zeer kritisch welke nadere waarborgen aan het bevel moeten worden verbonden, met name ten aanzien van de vraag wat er met gedetecteerde informatie moet gebeuren."
Angst voor surveillance
De Kamervragen werden gesteld door Tweede Kamerleden Evert Jan Slootweg (CDA) en Attje Kuiken (PvdA) naar aanleiding van berichtgeving van AG Connect in mei. Destijds dreigden WhatsApp en Signal om het Verenigd Koninkrijk te verlaten als de Online Safety Bill daar wordt aangenomen. Met dat wetsvoorstel worden de bedrijven verplicht om gesprekken te scannen op de aanwezigheid van kinderporno, via client-side scanning.
De techsector en diverse andere experts zijn dus niet happig op het gebruik van de technologie. Experts zijn bang dat het massasurveillance in de hand kan werken en niet te garanderen is dat er echt alleen naar illegale content gezocht wordt.
Motie naast zich neergelegd
Ook in de Tweede Kamer blijkt een groot deel niet achter het gebruik van client-side scanning te staan. In mei werd een motie waarin de regering verzocht wordt om op Europees niveau tegen wetsvoorstellen met client-side scanning te pleiten aangenomen door de Kamer. Demissionair minister Yeşilgöz-Zegerius ontraadde die en zei deze eind juni naast zich neer te leggen. Volgens haar zijn extra maatregelen om de verspreiding van beeldmateriaal van seksueel kindermisbruik tegen te gaan namelijk hard nodig, "juist ook om de grondrechten van kinderen te beschermen".
Bovendien is client-side scanning "de enige manier waarop de maatregelen in de verordening kunnen worden uitgevoerd zonder end-to-end encryptie aan te passen", aldus de demissionair minister in mei. Als Nederland deze optie nu uitsluit, zou dat de onderhandelingsruimte beperken en zou Nederland "geen betekenisvolle invloed" uitoefenen om het voorstel te verbeteren. "Immers: als de verordening wordt aangenomen, dan is Nederland daar onverkort aan gebonden."
'Sluit tech niet bij voorbaat uit'
Tien kinderrechtenorganisaties riepen de EU in juni juist op om het maken en het verspreiden van kinderporno te voorkomen met nieuwe wetgeving. Eén van die organisaties was Defense for Children, waar Celine Verheijen projectcoördinator is. Zij sluit zich aan bij demissionair Justitie-minister Yeşilgöz-Zegerius en benadrukt bovendien dat de meeste apparaten ook alleen maar kunnen scannen op bekend materiaal. "Scannen op onbekend materiaal is veel te zwaar voor de meeste apparaten die we nu hebben", zegt ze tegenover AG Connect. "Al weet je natuurlijk niet wat er in de toekomst mogelijk wordt."
Mocht het in de toekomst mogelijk worden om nog nieuw, onbekend materiaal te detecteren, dan is de volgende vraag wat een bedrijf met die informatie moet doen. Een veelgehoorde zorg is dat er heel veel doorgespeeld wordt naar autoriteiten - ook als het valse positieven zijn en een foto dus helemaal geen kinderporno is. Met dat doorspelen wordt dan de privacy van eindgebruikers geschonden. Verheijen ziet echter meerdere opties. "Als het bekend materiaal is, dan weet je als bedrijf zijnde dat het strafbaar materiaal is en je dat bij de autoriteiten zou moeten melden. Maar bij nieuw gevonden materiaal kun je eventueel natuurlijk ook een waarschuwing plaatsen en contactgegevens van organisaties waar je hulp kunt krijgen. Dan maak je mensen er in ieder geval bewust van." Hierbij valt te denken aan een popup die een eindgebruiker dan krijgt voorgeschoteld, voor bijvoorbeeld een foto van een gekke plek op een lichaamsdeel van een (eigen) kind.
Verheijen pleit er dan ook vooral voor om technologie niet bij voorbaat uit te sluiten, bij de bestrijding van kinderporno. "Kijk naar wat er mogelijk is, maar zorg tegelijkertijd dat er waarborgen zijn, zodat de proportionaliteit goed afgewogen kan worden door een rechter en bedrijven dat niet zelf hoeven te doen."
Update 14:38: Defense for Children heeft tegenover AG Connect een reactie gegeven. Deze is toegevoegd in een kader onderaan het artikel.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeCitaat: "Immers: als de verordening wordt aangenomen, dan is Nederland daar onverkort aan gebonden."
Anticiperende organisaties zoals sommige universiteiten hebben hun end-to-end encryptie met eigen hard- en software ingericht, zie https://www.math4sci.com/ndax-quantum-system-secure-client/ voor uitleg en https://photos.app.goo.gl/XRcRX84H48EvhX9i9 voor een voorbeeld. Gebruikte Quantum Hardware is te zien op https://photos.app.goo.gl/Q8QLdXpRmDYUK76r5
Wanneer juridische wetmatigheden de formele wetmatigheden tegenspreken zullen formele wetmatigheden de juridische wetmatigheden wetenschappelijk overrulen.
Op https://drive.google.com/file/d/1yjV4h2EHAM-edgIv0uaQvIJDTK1DWXXv is hierbij nog een aardig voorbeeld te vinden. Zoals de auteur het artikeltje terecht afsluit: "The laws of mathematics are here to stay forever, whether politicians like it or not."
In de reactie op https://www.agconnect.nl/tech-en-toekomst/juridisch/techindustrie-wacht-in-spanning-fundamenteel-oordeel-hoogste-hof-vs-af is hiervan een uitgebreide uitleg te vinden.
Citaat: "Wat het kabinet betreft mag client-side scanning bijvoorbeeld niet worden ingezet om tekstberichten te scannen. Er mag alleen gescand worden op bestaand beeldmateriaal."
Vorige maand meldde de minister juist dat ook tekstberichten onder voorwaarden beschikbaar zouden moeten komen voor opsporingsdiensten: "Er moeten mogelijkheden zijn om onder bepaalde voorwaarden toegang te krijgen tot chatberichten die end-to-end versleuteld zijn" stelt demissionair minister Dilan Yeşilgöz-Zegerius van Justitie en Veiligheid in een antwoord op Kamervragen van het CDA, zie https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2023D32085&did=2023D32085
Daar is ze dan blijkbaar op teruggekomen. Gezien ze nu dus zegt dat het uitdrukkelijk alleen voor beeldmateriaal zou zijn. Maar het is afwachten wat ze daar op Europees niveau van vinden, gezien daar de uiteindelijke beslissing wordt gemaakt.
Security by Design begint bij de vaststelling dat informatie wiskundig beschreven kan worden met de informatie-theorie, zie bijvoorbeeld https://en.wikipedia.org/wiki/Information_theory en https://nl.wikipedia.org/wiki/Informatietheorie
De security van de informatie en de privacy van de gebruikers welke in sommige situaties verplicht is kan gedefinieerd en afgedwongen worden met informatie theorie. Daarmee zijn wiskundig onkraakbare informatie systemen te ontwerpen. Het Ndax Quantum Systeem is hiervan een voorbeeld.
De spelregels van de wetenschap hierbij zijn simpel. Als je iets wetenschappelijk geaccepteerd wilt krijgen moet je een reproduceerbaar bewijs leveren. Het informatie-theoretisch wiskundige veilgheidsbewijs van het Ndax Quantum Systeem is te vinden op https://www.ndax.eu/TnMjbSkq72-hHFbiE6be.7z Op http://xitip.epfl.ch/ kun je een gratis Information Theoretic Inequalities Prover vinden waarmee je het bewijs kunt reproduceren. Als je wilt aantonen dat dit bewijs niet klopt dan zul je dit ook wetenschappelijk moeten bewijzen.
In haar laatste updatebrief herhaalt ze nogmaals haar eerdere uitspraken dat client-side scanning geen aantasting van end-to-end encryptie is. Ze zegt: "Client-side scanning is een check die plaatsvindt vóór verzending van een bericht, dus ook vóór dat het bericht wordt versleuteld. Het gaat hierbij om een check in de app zelf van een te verzenden bericht en niet een check op al het materiaal op een telefoon. Deze techniek wordt onder andere gebruikt om spelfouten uit berichten te halen (‘autocorrect’)" zie https://www.rijksoverheid.nl/documenten/kamerstukken/2023/09/18/tk-brief-inzake-motie-over-de-europese-verordening-ter-bestrijding-en-voorkoming-van-seksueel-misbruik en https://debatgemist.tweedekamer.nl/debatten/onlineveiligheid-en-cybersecurity
Demissionair minister Yesilgoz van Justitie en Veiligheid stelt in een brief aan de Tweede Kamer dat een groot deel van de EU-lidstaten voor de invoering van client-side scanning is, waarbij alle chatberichten van burgers worden gecontroleerd, zoals de Europese Commissie wil, zie https://www.rijksoverheid.nl/documenten/rapporten/2023/09/18/tk-bijlage-geannoteerde-agenda-jbz-28-september-2023
Er is europees onderzoek waaruit zou blijken dat veel EU-burgers voor client-side scanning zouden zijn, zie https://europa.eu/eurobarometer/api/deliverable/download/file?deliverableId=88738
Volgens het onderzoek is een meerderheid van de Nederlanders voorstander van client-side scanning. Op de vraag 'In hoeverre bent u voor of tegen de volgende maatregelen' is 53 procent van de Nederlanders voor detectie in end-to-end versleutelde berichten. In de vraagstelling wordt nergens vermeld dat alle berichten van alle burgers worden gecontroleerd.
Deze week nam het Britse parlement de omstreden Online Safety Bill aan, waardoor het chatapps kan verplichten om client-side scanning toe te voegen, waarmee alle berichten die gebruikers versturen worden gecontroleerd, https://www.gov.uk/government/news/britain-makes-internet-safer-as-online-safety-bill-finished-and-ready-to-become-law
Een clausule van de wet geeft de Britse telecomtoezichthouder Ofcom de bevoegdheid om techbedrijven te verplichten dat ze berichten van hun gebruikers controleren, https://www.ofcom.org.uk/news-centre/2023/ofcom-welcomes-the-online-safety-bill-passing-final-stage-in-parliament
Chatapp Signal zal het Verenigd Koninkrijk verlaten als het wordt gedwongen om een backdoor aan de encryptie toe te voegen, https://twitter.com/mer__edith/status/1704550434634187062
Europol zocht onbeperkte toegang tot data die via client-side scanning zou worden verkregen en dat de AI-technologie erachter ook voor andere misdrijven wordt ingezet, zo melden onderzoeksjournalisten van het Balkan Investigative Reporting Network op basis van notulen die via een verzoek op de Wet open overheid zijn verkregen. De notulen betreffen een bijeenkomst die vorig jaar plaatsvond tussen Europol en de Europese Commissie, https://balkaninsight.com/2023/09/29/europol-sought-unlimited-data-access-in-online-child-sexual-abuse-regulation/
Verschillende hoogleraren gaan de Tweede Kamer volgende week informeren over client-side scanning. Dat blijkt uit de deelnemerslijst van het rondetafelgesprek voor de vaste commissie voor Digitale Zaken https://www.tweedekamer.nl/debat_en_vergadering/commissievergaderingen/details?id=2023A06027 Het rondetafelgesprek zal gaan over de techniek, impact en effectiviteit van client-side scanning, waarbij chatberichten van burgers worden gecontroleerd. De Europese Commissie wil aanbieders van chatapps verplichten dit in te voeren.
Op https://debatgemist.tweedekamer.nl/debatten/client-side-scanning-css is het debat te bekijken.
Tweede Kamer maant kabinet: stem tégen EU-regels met client-side-scanning, https://www.agconnect.nl/maatschappij/privacy/tweede-kamer-blijft-tegen-eu-plan-voor-client-side-scanning
De Europese Commissie wil een lijst van experts die claimen dat het technisch haalbaar is om de inhoud van versleutelde berichten te controleren zonder dat dit encryptie ondermijnt niet openbaren https://www.iccl.ie/news/ombudsman-european-commissions-concealment-of-secret-expert-list-on-csam-regulation-constitutes-maladministration/