Komende evenementen

Vertrouwen in de EU om uw privacy te beschermen?

 

door Herman Michiel
13 november 2023

 

Binnen de EU-instellingen is er momenteel wetgeving in de maak over diverse digitale dossiers die ons zorgen moeten baren. Het gaat ogenschijnlijk om technische aangelegenheden die best aan experts worden overgelaten. Nochtans kunnen ze grote implicaties hebben op het gebied van privacy en burgerlijke vrijheden. Controle op de communicatie, massabewaking met camera’s en gezichtsherkenning, opvolgen van de digitale ‘voetafdruk’ op basis van elektronische betaling en gsm-signalen, profilering via artificiĂ«le intelligentie (AI), het zijn de gedroomde instrumenten van een bewakingsstaat. Maar ook voor de kapitalistische bedrijfswereld openen deze middelen nieuwe paden voor winstmaximalisatie, zowel in de productiesfeer (bv. gerobotiseerde AI-redacties in de media) als in de commercialisatie (gepersonaliseerde reclame, consumentenprofilering, toe-eigenen van data, bv. over gezondheid of financiĂ«le toestand, enz.). Zo ontstaat een bepaalde convergentie tussen de belangen van de bewakingsstaat en die van de bedrijfswereld, die beiden de burger moeten overtuigen dat dit alles gebeurt in zijn eigen belang.

Over de risico’s en twijfelachtige Europese regulering van AI hebben we het al een paar keer gehad [1] [2].Hier bespreken we drie andere actuele dossiers. Er is de ‘Europese elektronische portemonnee‘, officieel eIDAS 2.0, de herziening van de ‘Europese elektronische identiteit’, waarvoor de plannen misschien nog voor het eind van het jaar goedgekeurd worden. En er is de CSAM-verordening, die officieel het nobele doel dient om seksueel kindermisbruik tegen te gaan, maar waarover tal van deskundigen al gewaarschuwd hebben dat de voorgestelde aanpak tot massa-surveillance kan of zal leiden. En er is een nieuwe episode van het betwiste akkoord tussen de EU en de Verenigde Staten over de twijfelachtige bescherming van de privacy van de Europese burger.

 

De ‘Europese elektronische portemonnee’

eIDAS staat voor electronic Identification and trust services (elektronische identificatie- en vertrouwensdiensten).Men spreekt van ‘portemonnee’ of ‘identiteitskaart’, maar het gaat in feite om een EU-wijd platform dat elektronisch verkeer mogelijk maakt tussen een persoon en overheidsinstanties (belasting, pensioenen, sociale zekerheid 
) zowel als met private bedrijven (banken, winkels, verzekeringen [3] 
). Het gaat om de herziening van een reeds bestaande wetgeving, die daarom als eIDAS 2.0 wordt aangeduid.-De praktische uitvoering kan bijvoorbeeld bestaan uit een app op een smartphone. Vraagt de politie naar uw rijbewijs of identiteitskaart dan neemt u eenvoudigweg uw GSM, in eigen land of in een van de andere 26 lidstaten. Hebt u tijdens uw vakantie in ItaliĂ« een medicament nodig op voorschrift van uw huisdokter, dan kan de apotheker in Firenze dit eenvoudig checken en u verder helpen. Rechtsgeldig een contract tekenen met een makelaar in Spanje? Het kan vanuit uw zetel met uw elektronische handtekening. Handig toch? Nog niet overtuigd? Bekijk dan eens het leuke argumentarium dat de Europese Commissie voor u opstelde.

Maar
 Uw ‘elektronische identificatie’ zal dus toegang bieden tot allerlei persoonlijke informatie. De Commissie verzekert u dan wel dat de eIDAS-communicatie volledig veilig is, en dat gebruikers zullen weten welke informatie er beschikbaar is, maar is dat geloofwaardig? Eenmaal het systeem in voege, kan het zich naar alle richtingen uitbreiden. In de huidige plannen is de ‘elektronische ID’ niet verplicht, maar hoelang blijft dat zo? Het zijn vragen van technische, juridische en politieke aard waar een leek moeilijk uitspraken kan over doen. Gelukkig bestaan er nog altijd niet-gouvernementele instanties die het publiek belang nastreven op een veel betrouwbaardere manier dan de gouvernementele en de bedrijfslobbys die steevast in het ontstaan van Europese wetgeving betrokken zijn. Begin deze maand schreven meer dan 500 onderzoekers en niet-gouvernementele organisaties een brief naar de leden van het Europees Parlement en van de Europese Ministerraad waarin ze hun grote bezorgdheid uitdrukken over de geplande eIDAS-verordening. Zo schrijven ze:

“Het huidige voorstel breidt de mogelijkheden van regeringen uit om zowel hun eigen burgers als ingezetenen in de hele EU te controleren, door aan deze regeringen de technische middelen te geven om versleuteld webverkeer te onderscheppen, en het ondermijnt de bestaande toezichtmechanismen waarin Europese burgers vertrouwen stellen.”

Verder over  artikel 45 van het voorstel:

“Dit betekent dat elke EU-lidstaat of erkend derde land in zijn eentje in staat is om het webverkeer van elke EU-burger te onderscheppen zonder dat er een effectieve beroepsmogelijkheid is.”

De ondertekenaars van de brief gaan ook niet akkoord met de manier waarop dergelijke wetgeving in de EU tot stand komt. Zoals bekend moeten zowel het Parlement als de Ministerraad akkoord gaan met de (eventueel geamendeerde) voorstellen van de Commissie. Als Parlement en Raad het niet eens zijn, beginnen er geheime gesprekken, de zogenoemde trilogen, tussen kleine delegaties van de twee instellingen. Welke deals daar beklonken worden is onbekend, want er bestaan geen notulen van deze ‘informele’ gesprekken. Daarover staat in de brief:

“Tot slot willen we onze frustratie benadrukken over het feit dat beslissingen die cruciaal zijn voor de veiligheid en privacy van burgers, bedrijven en overheden, achter gesloten deuren worden genomen in triloogonderhandelingen zonder openbare raadpleging van experts over de mogelijke gevolgen van de voorgestelde regels.”

Maar nu die triloog tot een overeenkomst leidde, is het zeer onwaarschijnlijk dat het voorstel van de eIDAS 2.0 verordening nog zou verworpen worden.

 

Privacy en dataverkeer EU-USA, episode 3

 De privacy van de Europese burger garanderen in het internationaal dataverkeer is een taak van de Europese Commissie , maar haar deals daarover met de Verenigde Staten beginnen echte saga-allures aan te nemen. Natuurlijk, de VS heeft meer dan 30.000 man in dienst voor elektronische spionage (de NSA) en Washington koestert zijn grote bedrijven, en IT-kampioenen in het bijzonder. Men kan zich de ijver voorstellen waarmee de VS alle beperkingen bestrijdt van haar greep op het mondiaal dataverkeer. En men kan zich ook het gebrek aan ijver voorstellen van de EU om dat tegen te gaan, want het zou een rel betekenen met onze belangrijkste bondgenoot in het Vrije Westen. Gevolg: een jarenlange reeks pseudo-akkoorden die de schijn moeten redden.

Het ‘Safe Harbor’-akkoord dat de Commissie in 2000 met de VS afsloot werd in 2015 door het Europees Hof van Justitie beoordeeld als onverenigbaar met het Europees recht. Dat gebeurde pas nadat de Oostenrijkse privacy-activist Max Schrems met zijn Noyb-ploeg een zaak had aangespannen nadat gebleken was dat het Ierse Facebook persoonsgegevens had doorgespeeld aan de Amerikaanse moedermaatschappij. Daarop sloot de Commissie een nieuwe deal met de Amerikanen. Het kreeg een nieuwe naam, Privacy Shield, maar bood even flinterdunne garanties als het vorige. Met een eenvoudige verklaring kon elk Amerikaans bedrijf zich in orde stellen.

Opnieuw gingen privacy-verdedigers in de aanval, en op 20 juli 2020 werd ook Privacy Shield ongeldig verklaard door het Europees Hof van Justitie.

Nieuwe poging: in maart 2022 was er een transatlantisch princiepsakkoord over het EU-US Data Privacy Framework, dat in mei 2023 door het Europees parlement met een zwakke meerderheid werd goedgekeurd. Ook nu ontbrak de lof niet die de Commissie zichzelf toezwaaide: “Dit is opnieuw een bewijs van de kracht van de relatie tussen de VS en de EU, in die zin dat we ons partnerschap als gemeenschap van democratieĂ«n blijven verdiepen om zowel veiligheid als respect voor privacy te garanderen en economische kansen voor onze bedrijven en burgers mogelijk te maken.”  Toch lijkt het erop dat achter dat partnerschap als gemeenschap van democratieĂ«n iets meer zit dan fraseologie. Het meestal goed ingelichte Politico vermoedt dat Washington een snelle deal bedongen had met het argument dat zoiets essentieel is voor veiligheidsredenen; dat was in de weken na de inval van Rusland in OekraĂŻne


 Helaas voor Ursula von der Leyen en haar Commissie –  u kunt het ondertussen wel raden – privacyverdedigers betwisten opnieuw de deugdelijkheid van de deal. Schrem’s NOYB bestempelt het als “grotendeels een kopie van het vorige akkoord”. Deze keer was het niet vanuit ngo-hoek dat het Europees Hof van Justitie met een onderzoek werd gelast, maar door het Frans parlementslid Philippe Latombe (MoDem). Het kan wel jaren duren vooraleer dat Hof van Justitie tot een uitspraak komt (en er een vierde deal komt?). Ondertussen kunnen er nog vĂ©Ă©l private bytes over de Atlantische Oceaan stromen!

 

CSAM: massabewaking onder het mom van kinderbescherming

In mei 2022 lanceerde Europees commissaris voor binnenlandse zaken Ylva Johansson een voorstel voor een verordening ter bestrijding van online seksueel kindermisbruik: CSAM, wat staat voor Child Sexual Abuse Material.  Het voorziet onder andere in de verplichting voor aanbieders van online-communicatiediensten (e-mail, Whatsapp, Signal, Instagram enz.) om materiaal dat verband houdt met kindermisbruik op te sporen, te melden en te verwijderen. Het probleem daarbij werd in deze kolommen al duidelijk geschetst in een artikel van Rejo Zenger: de serviceproviders moeten zelf beslissen hoe ze dit doen, wat onvermijdelijk impliceert dat ze de inhoud van communicaties controleren. Dit impliceert op zijn beurt dat versleutelde communicatie (zoals bijvoorbeeld bij het gebruik van een populaire app als Whatsapp) op de helling komt. Het is onmogelijk om dergelijke communicatie te checken zonder de encryptie op een of andere manier te doorbreken. Apple bv. ontwikkelde een systeem om de inhoud van iPhones te controleren op CSAM (en trok die plannen in na hevig protest).

Kindermisbruik is natuurlijk een afschuwelijk iets, en zowat iedereen is het erover eens dat daartegen van overheidswege drastisch moet opgetreden worden. Maar juist daarom is het de ideale dekmantel om een drastische maatregel als het doorbreken van de privacy in het elektronisch verkeer door te voeren. Het minste dat men zou verwachten is vooreerst een grondige voorafgaande bevraging bij organisaties die, in tegenstelling tot de Berlaymont-bureaucratie, echte ervaring hebben met de strijd tegen online kindermisbruik. En ten tweede zou op het technische vlak moeten aangetoond worden hoe serviceproviders hun controleopdracht kunnen uitvoeren zonder dat de privacy van de 99,999
 % van de niet misdadige gebruikers in het gedrang komt. Voor beide kwesties kan de Commissie bijzonder weinig geloofwaardig materiaal voorleggen.

Wat het betrekken van echte deskundigen op het gebied van online kindermisbruik betreft is de ervaring van Offlimits zeer relevant. Offlimits, voorheen Expertisebureau Online Kindermisbruik, is in Amsterdam gevestigd en een van de langstbestaande organisaties in de strijd tegen online kindermisbruik. Haar voormalige directeur Arda Gerkens verklaarde :“Ik nodigde commissaris Johansson uit, maar ze kwam nooit. Zij en haar staf bezochten wel Silicon Valley en bedrijven die zichzelf voorstellen als NGO’s, maar eerder handelen als de grote tech bedrijven.”  Over het doorbreken van versleuteling in online communicatie zegt Gerkens: “Versleuteling is essentieel voor de bescherming van kinderen, want misdadigers hacken accounts op zoek naar beelden.” De nieuwe directeur van Offlimits, Robbert Hoving, denkt er hetzelfde over. In Het kind krijgt de rekening schrijft hij : “Het is goed dat de Europese Unie zich momenteel buigt over nieuwe regels ter voorkoming en bestrijding van seksueel misbruik van kinderen. Het huidige voorstel tast echter de privacy van internetgebruikers aan, lijkt niet proportioneel en maakt het internet juist onveiliger voor alle internetgebruikers en kinderen in het bijzonder.”

Gelijkaardige geluiden bij de Duitse Kinderschutzbund: “Vertrouwen op puur technische oplossingen om kinderen te beschermen tegen geseksualiseerd geweld online is een fatale fout met verwoestende gevolgen voor de fundamentele democratische rechten van alle mensen, vooral kinderen. Experts uit verschillende vakgebieden (IT, gegevensbescherming, mensenrechten, advocaten, etc.) hebben herhaaldelijk aangetoond dat een dergelijk vertrouwen in technologie die het potentieel voor massasurveillance inhoudt, naïef is en simpelweg voorbijgaat aan de bescherming van de fundamentele rechten van alle mensen.”

We willen zeker niet beweren dat er geen kinderrechtenorganisaties zijn die vanuit een ware bekommernis de Commissievoorstellen steunen, en de eventuele gevolgen op het gebied van privacy als het mindere kwaad beschouwen. De vraag naar de proportionaliteit stelt zich hier, maar men moet ook zeer kritisch nagaan wat allerlei ‘kinderrechtenorganisaties’ precies voorstellen. De Commissie kan zich bijvoorbeeld sterk maken dat een grote koepel met 200 aangesloten organisaties als Eurochild achter haar CSAM-plannen staat. Maar de meeste van de aangesloten organisaties hebben niets te maken met het specifieke probleem van online kindermisbruik, en vele ervan zijn sterk verweven met Europese instellingen en politieke overheden. Of bekijk eens het legertje van Big Tech firma’s aangesloten bij WeProtect Global Alliance,

Ook wat de technische kant van de zaak betreft werden er door deskundigen grote bezwaren geuit. Een indrukwekkende lijst academici uit de hele wereld sprak zich in een gemeenschappelijke verklaring uit tegen het voorgestelde CSAM. “Als wetenschappers bevelen wij aan een dergelijk voorstel niet te laten doorgaan. Het is niet haalbaar of houdbaar om van particuliere bedrijven te eisen dat ze technologieĂ«n gebruiken op een manier waarvan we al weten dat het niet veilig kan – of zelfs helemaal niet kan.” Ze waarschuwen ook dat de geplande inzet van ArtificiĂ«le Intelligentie bij het scannen van informatie door een gebrek aan context en gezond mensenverstand tot foute conclusies zal leiden. Een Franse academische studie wijst eveneens de voorgestelde CSAM-aanpak af.

Wie werd door de Commissie dan wél geraadpleegd? Onderzoeksjournalisten van Balkan Insight deden daarover een veelzeggend boekje open [4], waarover ook Le Monde [5] bericht. De Commissie had een zeer intense samenwerking met het Amerikaanse Thorn, officieel een stichting zonder winstoogmerk. Thorn commercialiseert wel software gebaseerd op Artificiële Intelligentie om te scannen naar kindermisbruikmateriaal.

Pas na maandenlang aandringen via de Europese ombudsman gaf commissaris Johansson een aantal e-mails vrij over haar contacten met Thorn. Ze bewijzen de zeer nauwe samenwerking, waardoor Thorn geprivilegieerde contacten kreeg met vertegenwoordigers van de EU-lidstaten. Thorn betaalde minstens 600.000 euro aan een lobbyfirma ter ondersteuning van de Europese CSAM-voorstellen. Maar welke experts daaraan meewerkten wou de Commissie niet vrijgegeven. Dat gebeurde uiteindelijk toch half oktober dankzij de Europese ombudsman (in feite een vrouw). De lijst maakt begrijpelijk waarom de Commissie deze liever niet publiek maakte. Ze bevat onder andere vijf vertegenwoordigers van producenten van CSAM-scantools, technologen van Google en Microsoft, vertegenwoordigers van de Australische federale politie, van de Spaanse Guardia Civil en Europol. Wat deze laatste organisatie betreft wijst EDRI erop dat de Europese politieorganisatie suggereerde dat het geplande CSAM centrum voor meer zou kunnen gebruikt worden dan alleen maar het opsporen van kindermisbruik, en dat de Commissie het idee niet afgewezen heeft.

Is het ook niet bedenkelijk dat de officiĂ«le EU-toezichthouder op gegevensbescherming WiewiĂłrowski vanaf het begin van het CSAM-initiatief de Commissie waarschuwde voor de verregaande gevolgen van haar voorstellen, die tot massa-surveillance kunnen leiden, blijkbaar zonder enig gevolg. “De voorstanders van privacy klinken erg luid,” zei de commissaris, “maar iemand moet ook voor de kinderen spreken.” Nog maar een paar dagen geleden organiseerde WiewiĂłrowski een seminarie voor het Europees Parlement, waarbij hij herhaalde dat het CSAM-voorstel de fundamenten van een democratische samenleving in vraag stelt, en dat, eenmaal gelanceerd, zou kunnen leiden tot onomkeerbare gevolgen. Ja, er zijn structuren en mensen (zoals ook de ombudsvrouw Emily O’Reilly) in de EU-instellingen die een meer democratisch beleid zouden kunnen ondersteunen, maar wat helpt het als er geen rekening mee wordt gehouden?

Het valt af te wachten of de Commissie haar wens ziet in vervulling gaan om de CSAM- verordening nog voor het eind van haar mandaat goedgekeurd te zien door Parlement en Raad. Van parlementaire zijde is in ieder geval weinig tegenstand te vrezen. Bij sommige lidstaten (Ministerraad) is dit minder zeker. In dat verband blijkt de Commissie een gerichte advertentiecampagne (‘micro targeting’) opgezet te hebben, die met dramatische enscenering haar voorstellen moet kracht bijzetten.

 

Besluit

De drie dossiers die we besproken hebben vertonen een gemeenschappelijke kentrek: de EU is steeds bedrevener in haar methodes om de democratische besluitvorming buitenspel te zetten bij het bereiken van haar doelstellingen. In het geval van de gegevensbescherming in het dataverkeer met de Verenigde Staten rekent ze op de onbekendheid bij het grote publiek van wat zich afspeelt in obscure deals. Ze incalculeert blijkbaar ook de jarenlange procedures waardoor illegale constructies voor jaren hun gang kunnen gaan vooraleer ze door een andere – alleen nominatief nieuwe –  deal kunnen vervangen worden.

In het geval van de CSAM-verordening is niet geheimhouding, maar integendeel het bespelen van de publieke opinie de geprefereerde tactiek. Iedereen vindt kindermisbruik afschuwelijk; wie zal het dan aandurven om maatregelen in vraag te stellen die voorgesteld worden als de oplossing van het probleem? Ondertussen wordt wel een enorme aanval gelanceerd op de privacywaarborgen van de burgers, die van massale surveillance niet langer een orwelliaanse distopie maakt.

De invoering van een ‘digitale portemonnee’ wordt met gelijkaardige argumenten gepromoveerd. Waarom de bureaucratie niet vereenvoudigen door gebruik van de nieuwe technische middelen die ons ter beschikking staan? Wilt u soms liever een dure aangetekende brief sturen met uw handtekening in plaats van een paar klikken op het toetsenbord? De tactieken zitten ingenieus in elkaar. Men kan erover redetwisten in welke mate de vrijheidsbedreigende aspecten van de voorstellen intentioneel zijn, maar dat ze fundamentele rechten bedreigen lijdt geen twijfel.

 

 

[1] Ander Europa,14.1.2021, De artificiële intelligentie van de Europese Commissie

[2]Ander Europa, 25.11.21,  Ai, ai, ai, de toekomst van Europa?

[3] Toevallig tijdens het schrijven van dit artikel een bericht in de Guardian: In Groot-BrittanniĂ« werden persoonlijke gezondheidsgegevens van een half miljoen personen bestemd voor medisch onderzoek gedeeld met verzekeringsmaatschappijen en techfirma’s.

[4] Ook in Nederlandse vertaling te vinden in de Groene Amsterdammer.

[5] Le Monde, 25.3.23, PĂ©dopornographie en ligne : bataille d’influence autour d’un texte europĂ©en controversĂ©, ook in Engelse versie The EU fight against child pornography stokes fears of widespread online surveillance

 


 

 

Laat een reactie achter

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *