Natuurlijk staat er niet letterlijk “we gaan al je chatberichten ontsleutelen en lezen”. Dat is veel mooier verpakt. In COM (2022)209 staat dat aanbieders van chatdiensten, zodra zij een detection order (opsporingsbevel) ontvangen, alle communicatie op hun dienst moeten scannen op materiaal van seksueel misbruik van kinderen of grooming. Encryptie, zoals end to end encryption, is toegestaan maar vormt geen vrijstelling. Er moet dus vooraf of achteraf alsnog toegang zijn tot de inhoud om die te kunnen controleren.
De drempel voor zo’n bevel enorm ligt laag! Een aanbieder moet een risicobeoordeling maken en zodra de toezichthouder vindt dat de risico’s onvoldoende zijn beperkt kan er al een bevel volgen, wat in mijn ogen heel snel gaat gebeuren als het in de huidige vorm er door komt. En een bevel geldt niet voor een individuele gebruiker maar voor het hele platform waardoor dan ook meteen alle berichten op de dienst moeten dan worden gescand.
Dit volgt ook rechtstreeks uit de wettekst. In Article 7(1) staat:
Where the Coordinating Authority finds that the provider has failed to adequately mitigate the significant risk identified in the risk assessment, it shall request the competent judicial authority or independent administrative authority to issue a detection order requiring the provider to take the necessary measures.
Met andere woorden: zodra de toezichthouder vindt dat een aanbieder onvoldoende maatregelen neemt, kan er al een bevel worden aangevraagd. De drempel ligt dus laag en is afhankelijk van de beoordeling van de autoriteit.
En in Article 10(1) staat:
Providers shall execute detection orders by scanning all relevant communications on their services using indicators supplied by the EU Centre.
Daarmee is duidelijk dat zo’n bevel niet individueel is, maar platformbreed: alle relevante communicatie op de dienst valt eronder.
Dat blijkt expliciet uit consideration 26:
The measures taken by providers of hosting services and providers of publicly available interpersonal communications services to execute detection orders addressed to them should remain strictly limited to what is specified in this Regulation and in the detection orders issued in accordance with this Regulation … That includes the use of end to end encryption technology, which is an important tool to guarantee the security and confidentiality of the communications of users, including those of children. When executing the detection order, providers should take all available safeguard measures to ensure that the technologies employed by them cannot be used by them or their employees for purposes other than compliance with this Regulation, nor by third parties, and thus to avoid undermining the security and confidentiality of the communications of users.
En verder, vanuit Article 10, dat de reikwijdte van scanning verduidelijkt:
Providers shall execute detection orders by scanning all relevant communications on their services using indicators supplied by the EU Centre. The technologies used must not process other data than strictly necessary for detection.
De EU zegt dus niet letterlijk dat zij zelf je chats gaat meelezen. Het voorstel verplicht aanbieders wel om alle communicatie systematisch te controleren zodra er een bevel ligt. En de eisen daarvoor zijn dus schrikbarend laag, en het middel treft daarna iedereen.
"The technologies used must not process other data than strictly necessary for detection." klinkt als een waarborg, maar is in feite een dooddoener. Zodra de technologie verplicht toegang heeft tot al je berichten, is de vertrouwelijkheid al doorbroken. De beperking dat er alleen naar “strictly necessary data” gekeken mag worden verandert daar niets aan. De infrastructuur voor volledige toegang ligt er dan al, omdat je ergens bij moet kunnen om te bepalen of het bekeken moet worden of niet.
De bron als geheel is hier terug te vinden:
https://eur-lex.europa.eu...ri=COM%3A2022%3A209%3AFIN
[Reactie gewijzigd door jdh009 op 19 augustus 2025 13:32]