Chat Control: waarom de EU dreigt te ontsporen in massale surveillance

Chat Control: waarom de EU dreigt te ontsporen in massale surveillance

 

De Europese Unie staat op het punt een nieuwe wet aan te nemen die bekendstaat als de Chat Control-regeling (officieel: Regulation to Prevent and Combat Child Sexual Abuse). Het doel is legitiem: het bestrijden van online kindermisbruikmateriaal (CSAM). Het middel is echter buitengewoon omstreden: aanbieders van communicatiediensten zouden verplicht worden om berichten, afbeeldingen en bestanden van hun gebruikers te scannen en verdachte inhoud te rapporteren aan autoriteiten.

 

Achter dit nobele doel gaat een ingrijpende juridische werkelijkheid schuil: een dreigende structurele aantasting van het fundamentele recht op privacy, communicatievrijheid en gegevensbescherming voor alle burgers in de EU.

 

Een strijd met grondrechten

 

De EU-Grondrechtenhandvest waarborgt in artikel 7 en 8 het recht op privéleven, vertrouwelijkheid van communicatie en bescherming van persoonsgegevens. Ook het Europees Verdrag voor de Rechten van de Mens (artikel 8 EVRM) beschermt deze kernrechten. Iedere beperking daarvan moet voldoen aan drie zware eisen: een duidelijke wettelijke basis, noodzakelijkheid en proportionaliteit.

 

Het huidige voorstel balanceert op de rand van deze criteria. Immers, door berichten preventief en automatisch te scannen, ook zonder concrete verdenking, gaat de EU feitelijk richting algemene surveillance van alle burgers. Het Hof van Justitie van de EU (CJEU) heeft in meerdere arresten over bewaarplicht en bulkdataopslag geoordeeld dat ongerichte, algemene maatregelen nauwelijks te verenigen zijn met grondrechten.[*1]

 

Proportionaliteit onder druk

 

De proportionaliteitstoets dwingt de vraag: is deze maatregel echt noodzakelijk en is er geen minder ingrijpend alternatief?

Critici, waaronder de Europese Toezichthouder voor Gegevensbescherming (EDPS) en de Europese Raad voor Gegevensbescherming (EDPB), betogen dat dit niet het geval is. Zij stellen dat het voorstel niet alleen disproportioneel is, maar ook onverenigbaar met de beginselen van de GDPR en de e-Privacyrichtlijn, die juist dataminimalisatie en doelbinding eisen.[*2]

 

Client-side scanning: een juridisch mijnenveld

 

Een van de meest besproken opties is client-side scanning: het automatisch controleren van berichten en afbeeldingen op de telefoon of computer van de gebruiker zelf vóórdat deze worden versleuteld en verstuurd. Juridisch gezien betekent dit dat de staat zich toegang verschaft tot de meest intieme communicatiemiddelen, zonder rechterlijke toetsing of individuele verdenking.

 

De risico’s zijn evident:

 

  • Foutpositieven kunnen leiden tot onterechte onderzoeken en reputatieschade.
  • Verzwakking van encryptie treft niet alleen criminelen, maar ook journalisten, advocaten, artsen en burgers die hun communicatie veilig moeten houden.
  • Function creep ligt op de loer: wat nu voor CSAM wordt gebouwd, kan later worden ingezet tegen terrorisme, fraude of zelfs politieke dissidentie.

 

Detection orders: een sluipende machtsverschuiving

 

Het voorstel introduceert het instrument van zogeheten detection orders, waarmee nationale autoriteiten aanbieders kunnen verplichten tot het inzetten van detectiemechanismen. Hoewel in theorie alleen in “specifieke gevallen” opgelegd, vrezen juristen dat de praktijk dit zal verbreden tot structurele verplichtingen.

 

Belangrijk detail: de rol van de rechterlijke macht bij het afgeven en controleren van dergelijke bevelen is vaag omschreven. Daarmee dreigt een verschuiving van macht naar de uitvoerende autoriteiten, zonder de noodzakelijke checks and balances die de rechtsstaat vereisen.[*3]

 

Encryptie als mensenrechtenkwestie

 

Encryptie is niet slechts een technisch detail, maar een voorwaarde voor de uitoefening van fundamentele rechten. Van online bankieren tot medische communicatie en politieke organisatie: encryptie beschermt burgers tegen cybercriminaliteit én overheidsmisbruik.

 

Een maatregel die encryptie structureel ondermijnt, kan daarom niet zomaar gelegitimeerd worden met het argument van kinderbescherming. Het CJEU en ook de VN hebben meermaals benadrukt dat beperkingen op beveiligingsmaatregelen alleen geoorloofd zijn als zij strikt noodzakelijk, proportioneel en effectief zijn.[*4]

 

Scope creep: van uitzondering naar regel

 

De geschiedenis leert dat surveillance-instrumenten zelden beperkt blijven tot hun oorspronkelijke doel. Denk aan antiterrorismewetgeving die later ook bij belastingfraude of georganiseerde misdaad werd ingezet. Ook bij Chat Control is het gevaar groot dat een infrastructuur voor massasurveillance eenmaal ingevoerd, nooit meer verdwijnt. En wat gebeurd er met vertrouwelijke chats tussen een advocaat en zijn client?

 

Juridisch gezien zouden daarom harde waarborgen moeten worden ingebouwd:

 

  • Sunset-clausules (automatisch verval na een beperkte looptijd).
  • Strikte evaluatieplicht door onafhankelijke toezichthouders.
  • Transparantie en rapportage over het aantal opgelegde detection orders.

 

Deze mechanismen ontbreken grotendeels in het huidige voorstel.[*5]

 

Zijn er juridische alternatieven?

 

Het bestrijden van online kindermisbruik vereist daadkracht, maar er zijn ook privacy vriendelijke alternatieven:

 

  • Gericht opsporingsonderzoek op basis van rechterlijke bevelen.
  • Internationale samenwerking en investering in opsporingscapaciteit.
  • Detectie van bekend CSAM-materiaal via hash-databanken, mits strikt gereguleerd en transparant.
  • Verplichte privacy impact assessments en onafhankelijke audits bij elke nieuwe technologie.

 

Deze instrumenten kunnen bijdragen aan de bestrijding van kindermisbruik zonder dat de EU in één klap de vertrouwelijkheid van alle digitale communicatie opoffert.

 

Conclusie: rechtsstaat vóór paniekwetgeving

 

Niemand betwist het belang van de strijd tegen kindermisbruik. Maar de rechtsstaat mag geen slachtoffer worden van politieke haast en morele paniek. Chat Control in de huidige vorm is een juridisch hellend vlak richting algemene surveillance, in strijd met bestaande EU-jurisprudentie en fundamentele rechten.

 

Het is aan het Europees Parlement en de Raad om deze wet ofwel drastisch aan te passen, ofwel in de huidige vorm resoluut te verwerpen. De bescherming van kinderen vereist krachtige maatregelen — maar niet ten koste van de bescherming van álle burgers.

 

Bronnen

 

[*1]: HvJ EU, Digital Rights Ireland (C-293/12), Tele2 Sverige (C-203/15).

[*2]: Gezamenlijke opinie EDPB/EDPS inzake het voorstel voor een verordening ter bestrijding van seksueel kindermisbruik (2022).

[*3]: Zie analyse van de Europese Raad (Raadsdocumenten Chat Control, 2023).

[*4]: VN-Rapporteur voor vrijheid van meningsuiting, Encryption and Human Rights (2015).

[*5]: Statewatch & EDRi, Analysis of the CSA Regulation (2023).