Meerderheid van de EU-lidstaten willen encryptie schrappen
Een gelekt EU-document rond een wet om kinderporno te beperken, toont aan dat heel wat lidstaten er geen probleem in zien om encryptie te omzeilen of af te schaffen. Vooral Spanje is een grote voorstander, al lijken ook Nederland en België niet tegen het plan te zijn.
Het gelekt document belandde op de redactie van Wired en bevat de standpunten van zo’n twintig EU-landen rond een wet die CSAM (child sexual abuse material) moet helpen bestrijden. Daarbij wordt gepleit om techbedrijven te verplichten om de inhoud op hun platformen te scannen.
Het gaat daarbij niet alleen om openbare posts, maar ook om privéberichten die versleuteld zijn (end-to-end encryptie of E2EE). In praktijk wil dat zeggen dat wie een beeld van seksueel kindermisbruik privé in een versleuteld gesprek deelt, riskeert te worden gedetecteerd en mogelijk ook kan worden vervolgd.
Impact op veiligheid van alle communicatie
Maar encryptie schrappen, verzwakken of er een achterpoortje in verwerken heeft ook andere gevolgen. Het maakt immers alle communicatie kwetsbaar. Een bewust ingebouwde methode kan daarbij ook gebruikt worden door criminelen of spionnen. Een bewust zwakker encryptieniveau hanteren maakt de heel dienst voor alle gebruikers makkelijker te kraken en encryptie afschaffen maakt berichten de facto afluisterbaar. Zo kon een groot deel van de spionage door de NSA, het schandaal dat Edward Snowden onthulde, gebeuren omdat veel communicatie nog niet standaard geëncrypteerd was.
Wired benoemt de standpunten van een aantal landen, maar in het algemeen zijn 15 van de 20 landen voorstander om het scannen van geëncrypteerde berichten toe te staan in de strijd tegen CSAM. Spanje wil daar het verst in gaan en wil zelfs wettelijk voorkomen dat dienstverleners in de EU encryptie implementeren. Slovenië wil dat geëncrypteerde berichten niet worden uitgesloten van detectiemechanismen en ook Roemenië merkt op dat E2EE geen veilige haven mag zijn voor malafide spelers.
Nederland: scan op het toestel
Nederland is ook niet tegen het plan, en stelt voor om ‘on-device scanning’ toe te passen, waarbij inhoud wordt gescand voor het wordt geëncrypteerd en verzonden. Polen wil een mechanisme waar het gerecht kan bevelen om encryptie op te heffen, maar het pleit ook voor een systeem waarbij ouders versleutelde berichten van hun kinderen kunnen bekijken.
Het standpunt van België wordt in het document omschreven als ‘security door encryptie, ondanks encryptie’. Wired nam daarover contact op met het Belgische ministerie van Buitenlandse Zaken, en kreeg zo een standpunt van de Federale Politie. Die stelde eerst dat het standpunt intussen is gewijzigd en dat ons land wel degelijk encryptie wil verzwakken.
Opmerkelijk genoeg zegt Wired dat dat standpunt later, voor publicatie, werd ingetrokken en dat de politie zich tegenover wired beperkt tot ‘geen commentaar.’
Tegenstanders
Tussen de 20 landen zitten ook lidstaten die vlakaf tegen het opheffen van encryptie zijn. Zo noemt Italië de plannen disproportioneel omdat ze neerkomen op een controle op alle geëncrypteerde correspondentie via het internet. Estland waarschuwt dan weer dat bedrijven met E2E encryptie hierdoor hun toepassing zullen herontwerpen of gewoon niet langer aanbieden in de EU.
Finland zegt tot slot dat het meer informatie wil over de technische mogelijkheden. Het wil het verspreiden van kinderporno wel bekampen, maar zonder dat de online veiligheid in gevaar komt. Het merkt daarbij op dat zo’n plan mogelijk ook in strijd is met hun grondwet. Duitsland, dat historisch gezien gevoelig is voor privacyverstorende maatregelen, zegt vlakaf dat het geen technologie wil gebruiken die encryptie zal verstoren, omzeilen of aanpassen.
In samenwerking met Data News
