Vandaag is de CSAM verordening, de omstreden EU-wet tegen verspreiding van kinderpornografisch materiaal, weer veel in het nieuws. Het gaat om zogenaamd "client side scanning". Dat staat voor het checken van elk bericht dat je met je telefoon verstuurt op strafbaar materiaal. Nu.nl bijvoorbeeld schrijft:

Nederland blokkeert al jaren een Europese wet tegen online kindermisbruik. Niet omdat Den Haag tegen de aanpak van misbruik is, maar omdat het volgens experts een slecht wetsvoorstel is. Onder druk van het ministerie van Justitie dreigt die blokkade nu te vervallen.

Eerder schreef ik zelf al dat ik buikpijn kreeg van het voorstel. In veel artikelen wordt dit "client side scannen" op verboden materiaal vergeleken met het scannen op virussen (zie bijvoorbeeld deze of deze).

Dat scannen op virussen doen we toch ook? Dus waarom zou het scannen op bekend kinderpornografisch materiaal erger zijn? Dat is een logische gedachte, want in beide gevallen wordt een “vingerafdruk” gemaakt van een ongewenst bestand en vergeleken met wat er wordt ontvangen of verstuurd. Tegelijkertijd is het heel erg verschillend. Zo verschillend dat het de voorgestelde EU-wet, wat mij betreft, heel erg onwenselijk maakt. Een paar verschillen uitgelegd:

  • Zelf geïnstalleerd of stiekem
    Een virusscanner installeer je zelf, de voorgestelde scanner voor kinderporno is altijd aanwezig als je iets wilt versturen. Zonder dat je er zelf voor kiest.
  • Niet jij scant, maar techbedrijven scannen op jouw telefoon
    Dat scannen wordt uitgevoerd door de techbedrijven die Whatsapp of andere berichtendiensten leveren. Bedrijven die, als het gaat om ethiek of gegevensbescherming, niet de beste reputatie hebben. En wel alles dat jij verstuurt vergelijken met vingerafdrukken in een online database.
  • Met signaal naar opsporingsdiensten
    Een virusscanner geeft jou zelf het signaal dat er iets is aangetroffen. Je kunt zelf kiezen wat je daarmee doet. In het voorstel van de EU-wet wordt juist de lokale politie ingelicht, op basis van je locatie en wordt in een database opgeslagen wat jij verstuurde. En jij zelf wordt daarover niet ingelicht. Het gaat stiekem. Met alle mogelijke gevolgen van dien. Hoeveel vertrouwen heb jij dat een dergelijke overheidsdatabase blijvend ethisch gebruikt blijft?
  • Vals positieve meldingen hebben grotere gevolgen
    Een vergelijking met virusscanners die wel opgaat: er zullen heel veel vals positieve signalen worden gegeven. Dat kan bewust (het is niet super ingewikkeld om een onschuldig plaatje te maken met de vingerafdruk van een wel fout plaatje) of onbewust gebeuren. Elke virusscanner heeft daarom de mogelijkheid om te melden dat een onschuldig bestand toch als virus wordt herkend. Zie bijvoorbeeld bij Avira of Microsoft Defender. En ja, het komt vaker voor dan je denkt en leidt regelmatig tot ongewenste gevolgen. Maar bij de voorgestelde EU-wet is het nog riskanter. Want de politie krijgt een melding, en jouw bericht wordt opgeslagen in een database. Heel erg veel mensen zullen onterecht aangemerkt worden als verzender van kinderpornografisch materiaal en in een database worden opgenomen.
  • Een strafbaar plaatje aanpassen is eenvoudig, een virus niet
    Het is eenvoudig om een strafbaar plaatje aan te passen zodat de vingerafdruk anders wordt en het plaatje door kwaadwillenden toch verzonden kan worden. Een andere uitsnede, iets toevoegen (dat kan handig met al die AI tools tegenwoordig): het leidt tot een vingerafdruk die anders is. Waar het voor de meeste mensen heel lastig is om een virus aan te passen is het heel eenvoudig om te zorgen dat een strafbaar plaatje niet herkend wordt. Het voorstel is daarmee niet eens effectief.

Kortom: de vergelijking met virusscanners is niet onlogisch, maar gaat niet op. Dat "client side scanning" blijft iets om buikpijn van te krijgen.