Client-side scanning is genadeslag voor privacy

Client-side scanning is genadeslag voor privacy

In haar nobele streven om de mensheid te beschermen tegen misinformatie, haatzaaien, en allerlei andere 'strafbare' vormen van digitale content, heeft de Europese Commissie het plan geopperd om client-side scanning toe te passen.

Client-side scanning is een handige manier om berichten die versleuteld zijn met end-to-end encryptie tóch te kunnen inzien. Aan de kant van de zender wordt de content gescand vóórdat deze versleuteld is. Aan de kant van de ontvanger vindt het scannen plaats nádat de encryptie ongedaan gemaakt is. Deze vorm van scannen zou gerechtvaardigd zijn om akeligheden als kindermisbruik te herkennen en voorkomen.

False Positives

Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren, leidt tot een disproportionele beperking van verschillende grondrechten en kan voor 'false positives' zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.

Gisteren vond in de Tweede Kamer een rondetafelgesprek plaats waarbij experts Kamerleden over client-side scanning en de gevolgen hiervan informeerden. Het gaat om Jaap-Henk Hoepman, universitair hoofddocent privacy en technologie aan de Radboud Universiteit, Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit, Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft en Bert Hubert, beveiligingsexpert en voormalig lid van de Toetsingscommissie Inzet Bevoegdheden (TIB).

Client-side scanning vindt plaats in het besturingssysteem, of in obscure software zoals 'virusscanners'. Onze telefoons, laptops en PC's zijn voorzien van een Open Source besturingssysteem en software die geen bijdrage leveren aan deze inbreuk op je privacy.

Neem nú afscheid van Google, Windows en Apple. Er zijn alternatieven die je privacy wél respecteren en client-side scanning onmogelijk maken.

Het paper van Hoepman, Hubert en Borgesius, waarin ze hun standpunt kenbaar maken, is openbaar. Alle drie de experts wijzen op de gevaarlijke gevolgen die client-side scanning kan hebben. "Misschien helpt een vergelijking met bestaande technologie duidelijk te maken dat het voorstel van de commissie een gevaarlijk precedent schept", stelt Hoepman.

De universitair hoofddocent maakt de vergelijking tussen client-side scanning en het verplicht installeren van een beveiligingscamera in iedere woning, die enkel geactiveerd wordt zodra er sprake lijkt te zijn van huiselijk geweld. "Hoe belangrijk we ook de bestrijding van huiselijk geweld vinden, een dergelijke maatregel zou (hoop ik) duidelijk veel te ver voeren. Toch is dat in essentie wat client-side scanning behelst; er gaat op ons ‘digitale huis’ automatisch een rood lampje branden als uitnodiging om een digitale huiszoeking te doen."

Onterechte meldingen

De experts waarschuwen ook voor de vergaande gevolgen die een onterechte melding kan hebben. Brussel wil door een algoritme zowel onbekende als bekende misbruikafbeeldingen detecteren. "Stel dat een moeder een foto van een kind in bad stuurt aan oma. Een AI-systeem kan zo’n foto aanzien voor CSAM-materiaal. In de praktijk komt het nu al voor dat communicatiediensten zoals Microsoft en Google ten onrechte het account van een gebruiker afsluiten, omdat hun AI-systemen onschuldige beelden aanzien voor CSAM-materiaal", merkt Borgesius op.

Volgens Hubert zijn onterechte meldingen niet zonder gevolgen. "Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was."

De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. "Betrokken mensen kunnen de schijn tegen zich hebben, of al meer problemen hebben waarbij dit de druppel is." Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. "Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren."

Grondrechten

Borgesius noemt in zijn position paper ook de aantasting van grondrechten van burgers. "Ik concludeer dat het voorstel, en de daarmee samenhangende client-side scanning, leiden tot een disproportionele beperking op grondrechten waaronder het recht op vertrouwelijkheid van communicatie, de moderne versie van het briefgeheim." Ook beperkt het plan van Brussel de rechten op privacy, op de bescherming van persoonsgegevens, en op de vrijheid van meningsuiting.

Client-side scanning vindt plaats in het besturingssysteem, of in obscure software zoals 'virusscanners'. Onze telefoons, laptops en PC's zijn voorzien van een Open Source besturingssysteem en software die geen bijdrage leveren aan deze inbreuk op je privacy.

Neem nú afscheid van Google, Windows en Apple. Er zijn alternatieven die je privacy wél respecteren en client-side scanning onmogelijk maken.

Deze blog is deels overgenomen van een artikel op Security.nl

Zurück zum Blog