Je zou denken: daar is iemand desperately seeking attention. Maar eerlijk gezegd denken we niet dat er heel ver naast zitten. Het lijkt er écht op dat de Europese Commissie van encryptie af wil.

Doe het onmogelijke

Nee, het staat er niet letterlijk. Met het voorstel dat de Europese Commissie vandaag presenteertWaar we al sinds 2021 over schrijven en dat nu realiteit blijkt te zijn worden bedrijven gedwongen om mee te kijken met wat internetgebruikers bijvoorbeeld via een chat-app als WhatsApp of een platform als Instagram met elkaar delen. Zo nodig moeten platformen zelfs informatie verwijderen of rapporteren aan autoriteiten. Internetproviders kunnen bovendien bevolen worden het internetverkeer van hun gebruikers in de gaten te houden. Maar hoe ze dat precies moeten doen, laat de Commissie, heel slim, in het midden. Zegt tegen bedrijven in feite: "Doe het onmogelijke, en je mag zelf bepalen hoe je dat doet."

Een soort van snuffelsoftware

Zo kan een instant messaging platform het bevel krijgen om materiaal van seksuele exploitatie van kinderen detecteren. Bekend materiaal. Of nog onbekend materiaal. Of grooming. En laten we even voor het gemak aannemen dat deze opdracht wordt gegeven aan Meta, het moederbedrijf van Facebook en het instant messaging platform Whatsapp. Een platform dat, zoals je ongetwijfeld weet, beschermd is met end-to-end encryptieClient side device scanning ondermijnt de essentie van end to end encryptie. WhatsApp ziet wel wie met wie communiceert, maar kan niet meelezen met de inhoud van de chats. De enige manier om dat wél te doen, is om een soort van overheidswege opgelegde spyware te installeren op de telefoons van haar gebruikers. Want dat is de enige plek waar de inhoud van de chats te zien is. Die beslissing laat de Commissie gemakshalve aan het platform.

Wat fout kan gaan, zal fout gaan

En ja, in het gelekte voorstel zijn een paar waarborgen ingebouwd. En misschien zijn we te pessimistisch. Want zo'n bevel kan bijvoorbeeld alleen gegeven worden als de reasonable risk mitigation measures onvoldoende blijken. En alleen als de redenen voor het geven van zo'n bevel 'zwaarder wegen dan de negatieve consequenties voor de rechten en gerechtvaardigde belangen van alle betrokkenen'. Je zou kunnen beargumenteren dat die spyware het algemene belang van gebruikers op zo'n manier schaadt, dat dat zwaarder moet wegen dan het belang om bepaalde informatie op te sporen en te verwijderen. Maar het voorstel zegt ook: 'de keuze voor de technologie is aan het bedrijf, zolang maar voldaan wordt aan de vereisten uit deze wet.' Op basis van het gelekte voorstel is dat koffiedik kijken. Maar onze jarenlange ervaring leert helaas dat je wetsvoorstellen op hun slechtste lezing moet uitleggen. Wat fout kan gaan, zal vroeg of laat ook fout gaan.

Technisch onmogelijk

Maar zelfs als je het voorstel met je minst negatieve bril leest, is het moeilijk positief te zijn. Zo kunnen de autoriteiten straks aanbieders van internettoegang, zoals KPN en Ziggo, dwingen om de toegang tot bepaalde URL's te blokkeren. Dat kunnen dus specifieke webpagina's zijn, of specifieke plaatjes op zo'n pagina, zoals 'https://www.bitsoffreedom.nl/doneren'. Tegenwoordig zijn vrijwel alle websites alleen toegankelijk via een beveiligde TLS-verbinding (de "s" in "https://"). Als je dus die pagina bij ons op de website bezoekt, is de verbinding tussen jouw browser en onze server versleuteld. Jouw provider kan door de versleuteling alleen zien dát je onze website bezoekt, maar niet welke pagina of wat de inhoud van die pagina is. Jouw provider kan de volledige URL dus niet zien. En dat betekent dat technisch onmogelijk is om die verbinding te filteren zoals de Europese Commissie wel denkt te kunnen afdwingen. (Nou ja, tenzij we domweg stoppen met encryptie of van providers verwachten dat ze jouw internetverkeer gaan manipuleren.)

Meest emotionele politieke debat ooit

Het definitieve wetsvoorstelHet voorstel is te vinden op de website van de Europese Commissie werd vandaag met een persconferentie gelanceerd. En dat betekent dat we ons kunnen opmaken voor een van de meest emotionele politieke debatten in de Europese politiek. Ooit. Want het voorstel is schadelijke voor de vertrouwelijkheid van onze digitale communicatie online én dat gekoppeld aan het meest gevoelige haakje: de bescherming van kinderen tegen seksueel misbruik. Het gaat het debat worden waarbij rationele argumenten, nog meer dan anders het onderspit zullen delven, ten gunste van de onderbuik.

Nu al rampzalig

En zelfs als de soep niet zo heet gegeten wordt als die wordt opgediend, is het voorstel al schadelijk. De Europese Commissie ontneemt bedrijven elke stimulans om hun dienst beter te beveiligen. Dat zou in het huidige politieke debat namelijk kunnen worden uitgelegd als een stap tegen het doel van deze wet. Als een stap die niet tegen het seksueel misbruik van kinderen is. Geen enkel bedrijf wil zo in de schijnwerpers komen te staan. Als een bedrijf van plan was om end-to-end encryptie te gaan implementeren voor een bestaande dienst, dan gaan die plannen nu ongetwijfeld de koelkast in. En daarmee is het voorstel van de Europese Commissie, ook als het uiteindelijk zou worden afgeschoten, nu al rampzalig.

Onmisbaar voor iedereen

Oh, en voor alle duidelijkheid: iedereen, ook wij, vinden de bestrijding van seksueel misbruik van kinderen belangrijk. Daarom is het cruciaal om juist in te zetten op effectieve en duurzame maatregelen. Dat zijn deze plannen niet. De vertrouwelijkheid van communicatie is onmisbaar voor iedereen, óók voor kinderen en slachtoffers van seksueel misbruik. Je kunt alleen veilig communiceren met een vertrouweling of een hulpverlener, als je zeker weet dat niemand over je schouders meekijkt. De Europese wetgever moet daarom inzetten op andere maatregelen. Bijvoorbeeld het stroomlijnen van grensoverschrijdende strafrechtelijke onderzoeken, het versterken van de samenwerking tussen verschillende diensten en het wegwerken van de enorme achterstanden bij de zedenpolitie.