De EU-regelgeving rondom het tegengaan van seksueel misbruik van kinderen (EU CSA) is op het eerste gezicht een nobel initiatief, bedoeld om online kinderporno en andere schadelijke content aan te pakken. Als Internet Society Nederland begrijpen we de noodzaak van een veilig internet voor iedereen, vooral voor kwetsbare groepen zoals kinderen. Toch willen we aandacht vragen voor de risico’s van de voorgestelde technische oplossing: client-side scanning (CSS). Hoewel deze technologie lijkt te beloven dat het effectief illegale inhoud kan opsporen, zijn er ernstige bezwaren die het tegenovergestelde suggereren. Deze bezwaren hebben wij uiteengezet in onze open brief aan de ministers van Justitie en Veiligheid, Economische Zaken en de staatssecretaris van Digitalisering.
We worden hierin gesteund door meer dan 60 organisaties, waaronder Mozilla, Global Partners Digital, en de Center for Democracy & Technology, die gezamenlijk oproepen om alle scanningvoorstellen af te wijzen die onverenigbaar zijn met het principe van end-to-end encryptie.
Wat is Client-side Scanning (CSS)?
Client-side scanning is een technologie die direct op de apparaten van gebruikers werkt om inhoud, zoals foto’s en video’s, te controleren voordat deze worden versleuteld en verstuurd. Het doel hiervan is om illegale content te detecteren, zoals afbeeldingen van seksueel misbruik van kinderen, en deze te blokkeren voordat ze worden gedeeld.
Waarom is CSS problematisch?
Hoewel het doel van de EU CSA-regelgeving duidelijk is, zitten er een aantal grote risico’s aan de implementatie van CSS. Hier zijn de belangrijkste zorgen:
- Privacy in gevaar: CSS kan eenvoudig worden gebruikt voor massasurveillance. Het feit dat elke afbeelding die op een apparaat wordt gedeeld eerst wordt gecontroleerd, betekent dat er een gedetailleerd digitaal spoor wordt gecreëerd. Zelfs als deze controles aanvankelijk alleen zijn bedoeld voor het opsporen van illegale content, is er geen garantie dat ze niet later voor andere vormen van controle kunnen worden gebruikt.
- Omzeilbare technologie: Een van de grootste zwaktes van CSS is dat criminelen relatief eenvoudig manieren kunnen vinden om de technologie te omzeilen. Ze kunnen content bijvoorbeeld aanpassen zodat deze niet meer wordt herkend door de detectiealgoritmen. Dit maakt het systeem ineffectief tegen de mensen die het eigenlijk zou moeten aanpakken.
- Schending van fundamentele rechten: De technologie druist in tegen de principes van privacy zoals die zijn vastgelegd in Europese wetgeving. Het Europees Hof voor de Rechten van de Mens heeft herhaaldelijk benadrukt dat privacy een fundamenteel recht is. De kans is groot dat de invoering van CSS zal leiden tot juridische conflicten over de proportionaliteit van deze maatregel.
Meer details over deze bezwaren kun je lezen in onze open brief. Deze brief is mede ondertekend door Professor Jaap-Henk Hoepman, universitair hoofddocent aan de Radboud Universiteit en expert op het gebied van privacy by design en cryptografie, die eerder publiekelijk heeft gewaarschuwd voor de risico’s van client-side scanning als instrument voor massasurveillance. Hoepman was ook een van de auteurs van een open brief die werd ondersteund door bijna 200 wetenschappers uit 26 landen, waarin zij hun zorgen uitten over het EU-wetsvoorstel en de negatieve gevolgen voor privacy en veiligheid, zie tevens dit [artikel bij de NOS].
OPEN BRIEF ISOC NL CS INZAKE EU CSA-REGELGEVING
Wat stellen wij voor?
Bij Internet Society Nederland pleiten we voor een bredere aanpak die zich richt op preventie in plaats van louter technologische controle. We noemen hierbij ook het werk van het Nederlands Jeugdinstituut (NJI), dat zich richt op preventieve maatregelen, zoals educatie, opvoedingsondersteuning en hulp voor risicogroepen. Door de oorzaken van misbruik aan te pakken, kunnen we structurele oplossingen vinden zonder de privacy van miljoenen burgers in gevaar te brengen.
Steun van andere organisaties
Onze zorgen worden breed gedeeld. Meer dan 60 organisaties, waaronder Mozilla, Global Partners Digital, en de internationale Internet Society zelf, benadrukken in hun gezamenlijke verklaring dat het huidige compromisvoorstel van de EU niet alleen ineffectief zal zijn, maar ook aanzienlijke veiligheidsrisico’s met zich meebrengt. Deze organisaties roepen de EU-lidstaten op om scanningvoorstellen zoals client-side scanning af te wijzen om de veiligheid van burgers en bedrijven te waarborgen.
Conclusie
De intentie achter de EU CSA-regelgeving is goed, maar de voorgestelde oplossing van client-side scanning is ineffectief en schadelijk voor de privacy van burgers. We roepen beleidsmakers op om deze technologie te heroverwegen en te kiezen voor oplossingen die zowel de veiligheid van kinderen waarborgen als de fundamentele rechten van burgers respecteren. Preventie en educatie moeten centraal staan in deze strijd.