EU voorstel voor CSAM-verordening blijft controversieel

Vrijdag 28 september had een belangrijke dag kunnen zijn voor de toekomst van de privacy van Europese burgers in elektronische communicatie. De Justitie en Binnenlandse Zaken groep van de Raad van Ministers ("de Raad"), de medewetgever van de EU, had oorspronkelijk de discussie op de agenda staan over een van de meest controversiële wetsvoorstellen ooit ingevoerd door de Europese Commissie: de "Verordening ter voorkoming en bestrijding van seksueel misbruik van kinderen".

De Raad, momenteel onder leiding van het Spaanse voorzitterschap, zou zijn institutionele standpunt over het voorstel aannemen, en dat later met het Europees Parlement bespreken. PONT Data & Privacy heeft van interne bronnen binnen de Raad vernomen dat het voorstel van de agenda van de komende vrijdag is verwijderd (1). Deze beslissing zou zijn genomen vanwege de controversiële aard van sommige bepalingen van het wetsvoorstel. De vertegenwoordigende ministers besloten daarom extra tijd te nemen om aanpassingen aan de tekst te overwegen. Duitse nieuwsorganisaties netzpolitik.org en heise.de hebben dit inmiddels ook gemeld (2). Het is niet duidelijk of de Raad het debat zal hervatten tijdens de volgende vergadering rond 20 oktober.

Een zorgenkind vanaf dag 1

De aarzeling van de Raad is geen verrassing. De voorgestelde verordening heeft in de hele Unie geleid tot debat vanwege de delicate belangen die op het spel staan. Het voorstel beoogt een juridisch kader te creëren voor de bestrijding van (online) seksueel misbruik van kinderen op basis van twee pijlers. Ten eerste door verschillende verplichtingen op te leggen aan online dienstverleners om kinderpornografisch materiaal (CSAM) en "grooming" (kinderlokken) op hun diensten te detecteren, te melden, te verwijderen en te blokkeren. Ten tweede door een EU-centrum voor seksueel misbruik van kinderen op te richten dat handhavingsinstanties zou ondersteunen bij het beoordelen van de door de dienstverleners gemelde inhoud. Die eerste pijler is de afgelopen maanden onder vuur komen te liggen vanwege de mogelijke zware inbreuk op de privacy van burgers.

De wet in het kort

Volgens de ontwerptekst zijn beoogde dienstverleners, waaronder intercommunicatiedienstverleners (zoals WhatsApp, Telegram, Signal, enz.), verplicht redelijke maatregelen te nemen om het risico te beoordelen, te beperken en aan bevoegde autoriteiten te melden dat hun diensten mogelijk worden gebruikt voor online seksueel misbruik van kinderen. Anderzijds kunnen bevoegde autoriteiten een verzoek indienen bij een rechter of en administratieve instantie om bewakingstechnologieën te laten installeren en te bedienen voor de detectie van CSAM op hun diensten. Dergelijke detectiebevelen zijn legitiem wanneer er een "aanzienlijk risico" bestaat dat de dienst wordt gebruikt voor de verspreiding van CSAM. Bovendien moeten de belangen die een besluit probeert te beschermen opwegen tegen de negatieve gevolgen voor de rechten en belangen van de betrokken partijen. Het voorstel voorziet in een aantal waarborgen om ervoor te zorgen dat de eventuele privacyinbreuk beperkt blijft tot wat "strikt noodzakelijk" is, in het kader van getroffen maatregelen, reikwijdte van het risico en duur. Beoogde aanbieders zijn ook verplicht dergelijke waarborgen in hun interne procedures op te nemen, bijvoorbeeld door te zorgen voor de aanwezigheid van een persoon in de detectieactiviteiten.

Wijdverbreide verontwaardiging

De EU-commissaris voor binnenlandse zaken heeft het voorstel geïntroduceerd als een dringende stap om kindermisbruik te voorkomen en te bestrijden, maar die nog steeds rekening houdt met de privacy van Europese burgers, inclusief kinderen. Daarentegen heeft het voorstel van de Europese Commissie kritiek van alle kanten opgeroepen vanwege de mogelijke privacy-implicaties die aan het detectiekader zijn verbonden. De Europese Toezichthouder voor Gegevensbescherming ("EDPS") waarschuwt bijvoorbeeld dat de verordening "de basis zou kunnen worden voor de facto gegeneraliseerde en willekeurige scannen van de inhoud van vrijwel alle soorten elektronische communicatie van alle gebruikers in de EU/EEA" (3). De LIBE-commissie van het Europees Parlement heeft vanuit principe de effectiviteit van het voorstel in twijfel getrokken, vanwege de inherente zwakheden in de probleemstelling en de (technologische) benadering die wordt voorgesteld voor de vervolging van daders. Volgens de LIBE-commissie zouden alle algemene verplichtingen voor gegevensbewaring of bewaking (momenteel verboden onder EU-wetgeving) onrechtmatig zijn in het licht van de nagestreefde doelstellingen (4).

De rapporteur van het Europees Parlement voor deze wetgeving heeft een rapport opgesteld met bijna tweeduizend amendementen. Toch wordt hier alleen maar een "beperking" aan de monitoring van CSAM in versleutelde gesprekken gesteld. Een onderzoek van het Instituut voor Informatierecht (IViR) in Amsterdam stelt dat de voorgestelde maatregelen niet evenredig zijn en te weinig verband houden met het verklaarde doel. Dit is in strijd met de bepalingen van het EU-Handvest van de Grondrechten (5). Verscheidene andere kritieken zijn afkomstig van een breed scala van belanghebbenden, waaronder de burgermaatschappij, deskundigen op het gebied van kinderbescherming, technologen, nationale autoriteiten en de technologiesector (6).

Eerdere ervaringen en toekomstperspectieven

Het is niet de eerste keer dat een wetsvoorstel van de Europese Commissie breed wordt bekritiseerd vanwege massasurveillance. De beruchte Richtlijn inzake de bewaring van verkeersgegevens die in 2006 werd goedgekeurd, stuitte op soortgelijke weerstand. Later verklaarde het Hof van Justitie van de Europese Unie de wet nietig (7). De goedkeuring van de “Verordening inzake het tegengaan van de verspreiding van terroristische online-inhoud”, die hostingproviders verplicht om binnen één uur te voldoen aan verwijderingsverzoeken voor terroristische online-inhoud, was ook reden tot zorg, hoewel in mindere mate. Echter, geen van deze wetten richtte zich ooit op zo'n onbepaald spectrum van burgers in hun gehele privécommunicatie, en op basis van zo'n lage drempel, als de voorgestelde verordening.

Daarom zijn de controverses binnen de Raad van Ministers wel te verwachten. Na de laatste onderhandelingen in juli heeft het Spaanse voorzitterschap van de Raad een compromistekst opgesteld, die steun kreeg van negen lidstaten. Andere vertegenwoordigers, uit Duitsland, Oostenrijk en Polen, maken zich nog steeds te veel zorgen over de grondrechten die zijn verbonden aan voorzien maatregelen zoals de scanning van versleutelde communicatie (8). Een veto van vier staten die samen 35 procent van de EU-bevolking vertegenwoordigen, zou voldoende zijn om de goedkeuring van de Raad van het voorstel te blokkeren. De onderhandelingen zullen worden voortgezet.

Intussen zal het parlement in het Verenigd Koninkrijk waarschijnlijk op korte termijn een soortgelijke wet goedkeuren, hoewel deze voornamelijk gericht is op online platforms, ondanks de internationale kritiek (9). De EU wetgever is nu aan de beurt.

Bronnen

(1) https://www.consilium.europa.eu/en/meetings/jha/2023/09/28/

(2) https://www.heise.de/news/Widerstand-aus-Deutschland-Abstimmung-im-EU-Rat-zur-Chatkontrolle-geplatzt-9310335.html ; https://netzpolitik.org/2023/internes-protokoll-eu-rat-verschiebt-abstimmung-ueber-chatkontrolle/;

(3) The maximum duration of a detection order is 24 months in case of known CSAM, and 12 months for grooming;

(4) https://edpb.europa.eu/system/files/2022-07/edpb_edps_jointopinion_202204_csam_en_0.pdf

(5) https://www.europarl.europa.eu/RegData/etudes/STUD/2023/740248/EPRS_STU(2023)740248_EN.pdf

(6) https://www.ivir.nl/publicaties/download/CSAMreport.pdf

(7) https://edri.org/our-work/most-criticised-eu-law-of-all-time/

(8) http://www.vorratsdatenspeicherung.de/images/DRletter_Malmstroem.pdf;

(9) https://netzpolitik.org/2023/internes-protokoll-eu-staaten-starten-endspurt-zur-chatkontrolle/;

(10) https://www.gov.uk/government/news/britain-makes-internet-safer-as-online-safety-bill-finished-and-ready-to-become-law