EU-landen nog niet eens over controle op versleutelde apps en emails

In de EU smeeult al maandenlang een nieuw conflict over burgerrechten en vrijheden op het internet. De 27 ministers van Binnenlandse Zaken zouden het op 14 oktober proberen eens te worden over extra bevoegdheden om versleutelde communicatie vooraf te kunnen laten controleren. Maar dat wordt alsnog uitgesteld.

Voorstanders wijzen op de bestrijding van de verspreiding van kinderpornografie, tegenstanders waarschuwen voor een glijdende schaal richting Big Brother, massa-surveillance en aantasting van fundamentele rechten.

De kern van het voorstel is dat providers en platforms (zoals Twitter, Facebook, Telegram) berichten- en emaildiensten van hun gebruikers vóór verzending controleren op de inhoud. Schendingen van EU-gedragsregels zouden door de providers bij Europol moeten worden gemeld, die dat vervolgens aan politie en justitie kan doorgeven.

Omdat diensten als WhatsApp en Signal eind-tot-eindversleuteling (encryptie) gebruiken, verschuift de opsporing technisch gezien naar de telefoon of computer van gebruikers: de zogenoemde ‘client-side scanning’ (csa). Dat principe vormt nu de inzet van het hooglopende Europese debat: de EU doorbreekt niet zelf de geheimhouding/encryptie, maar laat dit door de providers doen, voorafgaand aan verzending.

De huidige EU-voorzitter Denemarken presenteerde in juli een compromis dat stelt dat encryptie niet mag worden “verzwakt of omzeild” en dat alleen ‘gecertificeerde’ (lees: toegestane) detectietechnologie mag worden ingezet. Critici noemen dit semantiek: als scannen vóór versleuteling plaatsvindt, is dat feitelijk een achterdeur. Dit spanningsveld bepaalt mede de komende stemming.

Verscheidene EU-landen steunen het Deense voorstel, maar er is nog steeds een blok van tegenstanders en twijfelaars. Nederland heeft vorige week expliciet bezwaar kenbaar gemaakt tegen de ‘detectie-bevelen’ en waarschuwt voor preventieve monitoring van onschuldige burgers. Ook landen als Polen, Oostenrijk en België worden als kritisch of afwijzend genoemd in het nog aanhoudende diplomatieke touwtrekken.

Duitsland geldt als doorslaggevend: als Berlijn zou instemmen, komt een blokkerende minderheid waarschijnlijk te vervallen en kan het plan doorgaan— niet alleen vanwege de politieke zwaartekracht van Duitsland, maar ook vanwege het aandeel in de EU-bevolking. Maar Duitsland stemt nog niet in.

Naar verluidt wordt nu al in ongeveer de helft van alle gevallen van veroordelingen van zware criminaliteit in de EU gebruik gemaakt van elektronisch bewijsmateriaal. Meer dan 500 cryptografen en veiligheidsexperts waarschuwen dat grootschalige client-side scanning technisch onveilig is en tot onhaalbare verwachtingen leidt.

Encryptie-diensten hebben vergelijkbare zorgen geuit; sommige aanbieders zeggen liever uit de EU-markten te vertrekken dan scherpere beveiligingseisen te accepteren. Dat is een van de redenen die Duitsland tot nu toe aanvoert.

Intussen schuurt het voorstel ook met een bredere machtsstrijd tussen Brussel en Big Tech. Amerikaanse techbedrijven bekritiseren al langer de strikte Europese lijn (DMA/DSA) die marktmacht en datagebruik aan banden legt, en waarschuwen voor schade aan innovatie en dienstverlening. De Europese toezichthouders houden echter vast aan hun koers en wijzen op de noodzaak van effectieve handhaving.