Tweede Kamer kritisch over steun kabinet voor client-side scanning
In de Tweede Kamer is er de nodige kritiek op de steun van het kabinet voor de plannen van de Europese Commissie om client-side scanning in te voeren, waarbij de chatberichten van burgers worden gecontroleerd. Volgens minister Yesilgöz is er bij de aanpak van kinderporno geen ruimte voor absolute privacy. Daarnaast stelt de bewindsvrouw dat er end-to-end encryptie is en het idee achter end-to-end encryptie. Ook zijn er volgens Yesilgöz experts die stellen dat client-side scanning wel een goed idee is. Bij D66 en de PVV zijn zorgen over de gevolgen van het scanplan.
Vorig jaar mei kwam de Europese Commissie met een voorstel dat chatdiensten en andere techbedrijven verplicht om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. De Tweede Kamer had de regering via een aangenomen motie verzocht om niet met client-side scanning zoals Brussel het wil in te stemmen. Vorig jaar liet het kabinet weten een andere motie, die oproept tot het in stand houden van end-to-end encryptie en Europese voorstellen die end-to-end encryptie onmogelijk maken niet te steunen, wel uit te voeren.
"Hoe proportioneel is het om vijftien miljoen Nederlanders af te tappen"
Afgelopen donderdag vond er overleg plaats tussen de vaste commissie voor Digitale Zaken en minister Yesilgöz over online veiligheid en cybersecurity. Een groot deel van het overleg ging over client-side scanning, de beslissing van het kabinet om de aangenomen motie uit te voeren en de gevolgen van het scanplan.
"Er zijn miljoenen Nederlanders die WhatsApp gebruiken. Als er een significante verdenking is dat er via WhatsApp, Signal of welke chatapplicatie dan ook in chatgroepen foto's worden gedeeld, dan gaat dus eigenlijk heel die chatapplicatie eraan. Ik wil wel een reactie van de minister op de vraag hoe proportioneel het is om dan vijftien miljoen Nederlanders af te tappen. Sorry, ik kan er gewoon even niet bij", stelde D66-Kamerlid Dekker-Abdulaziz.
"Dan moeten we niet vergeten waar dit over gaat. Dit is niet omdat iemand wil weten wat al die Nederlanders aan het appen zijn, dit is om kinderpornografisch materiaal tegen te gaan en om te voorkomen dat dat online wordt verspreid", reageerde de minister. Volgens Dekker-Abdulaziz wordt aan nut en noodzaak van het scanplan nogal getwijfeld. "Het is niet proportioneel en niet bewezen effectief. D66 wil meer waarborgen", liet ze verderop in het overleg weten.
Ook stelde het D66-Kamerlid dat met het Brusselse scanplan "de veiligheid van het gehele internet op het spel" staat. Ze vroeg de minister dan ook om een behandelvoorbehoud. Hiermee kan de Tweede Kamer de inzet van de regering in de Europese onderhandelingen extra controleren. "Dat gaat niet zomaar. Wij kunnen niet eigenstandig een proces stilleggen", reageerde Yesilgöz.
Absolute privacy
Net als minister Weerwind voor Rechtsbescherming stelde ook minister Yesilgöz dat bij client-side scanning end-to-end encryptie niet wordt aangetast. "Je moet twee dingen uit elkaar houden. Je hebt end-to-end encryptie en het idee achter end-to-end encryptie. Dat hebben we de afgelopen jaren vaker met elkaar gedeeld. End-to-end encryptie is een manier om je berichten te versleutelen nadat je op verzenden drukt. Dat heeft dus niets te maken met alles wat je daarvoor op je toestel doet."
Nederland is volgens Yesilgöz voorstander om alleen "bekend" en "bestaand" materiaal via client-side scanning te detecteren en geen nieuw materiaal. Iets waar ze eerder al om werd bekritiseerd. "Ze heeft het over het detecteren van "bestaand" materiaal. Maar met de huidige technologie kan op z'n best "reeds bekend" materiaal gevonden worden. Dat lijkt niets, maar deze nuances maken een wereld van verschil", stelde Rejo Zenger van burgerrechtenbeweging Bits of Freedom vorige week.
Volgens de minister heeft Nederland aangegeven geen nieuw materiaal te willen detecteren. "Maar ik geef wel mee dat er vanuit die kant ook een risico is. Ik weet dat de Kamer dat weet, maar die balans is de andere kant uit gevallen. Dan moet je kijken: wil je altijd absolute privacy? Dat is een ding. "Absoluut" bestaat niet als je op zoek bent naar een balans, als je kinderporno wil aanpakken."
Experts
Tijdens het overleg werd Yesilgöz door PVV-Kamerlid Van Weerdenburg gevraagd naar de onderbouwing van het scanplan, aangezien zoveel experts, bedrijven en wetenschappers juist tegen adviseerden. Het Kamerlid liet zelfs twee verschillende foto's zien waarvoor dezelfde hash was gegenereerd. Bij client-side scanning wordt gebruikgemaakt van hashes om niet toegestaan materiaal te detecteren. "Over de effectiviteit valt dus nog wel wat te zeggen", merkte het Kamerlid op.
Van Weerdenburg vroeg de minister ook hoe ze kan zeggen dat end-to-end encryptie in stand blijft en dat er wel een beetje privacy is, dat die dan niet absoluut is, terwijl de experts en WhatsApp zelf zeggen dat dit niet kan. "Client-side scanning toestaan is einde encryptie. Hoe kunnen de minister en EU-officials het beter weten dan de experts zelf?", wilde ze verder weten.
"Er zijn experts die zeggen dat client-side scanning goed kan. Diezelfde experts geven de waarborgen en de kaders aan waarmee dat goed kan. Grondrechten zijn nooit absoluut", antwoordde Yesilgöz. De bewindsvrouw heeft toegezegd om in een volgende update over het scanplan met verwijzingen naar onderzoeksrapporten en bronvermelding te komen.
Gewoon spyware, komen zat alternatieven waarbij dit niet kan want Big-tech moet meedoen anders is dit sowieso een dikke fail
Wat is de volgende stap, waterboarding? Want immers is voor de bestrijding van kinderporno alles toegestaan. Waarom draaien we de bewijslast ook niet gelijk om, laat iedereen maar eens bewijzen dat ze geen pedofiel zijn! Dan kunnen we de Paedofinder General sketch van Monkey Dust omdopen van satire naar documentaire.
Je hele bevolking kunnen volgen en precies weten wat ze zeggen tegen elkaar.
Privacy organisaties waren hier al jaren bang voor dat het ooit zo ver zou kunnen komen, en nu lijkt de overheid een dikke middel vinger te geven naar de bevolking met een lul verhaal over kinderporno en noem maar op, dat sowieso al links en rechts ontdekt wordt zonder deze rigoureuze aanpak.
Wat een totale malloten die client side scannen prima vinden, snappen totaal de ballen van dat dit soort scans nog steeds omzeilt kan worden, vooral client-sided... "De expers"... Nee, als het experts waren, hadden ze gezegd dat dit totaal niet handhaafbaar is.
Helaas helpt dat weinig tegen spionerende apps, want de telemetrie (chats) wordt aangemaakt op de apps zelf, maar met een goede PGP middleman kan er veel versleuteld worden voordat deze tekst in de desbetreffende app terechtkomt, vaak is deze methode erg omslachtig.
Ook is er de mogelijkheid om de broncode van een bestaande chat app zelf te compileren of zelf een chat app of protocol te ontwikkelen vanaf de grond.
Chatten via sites kan ook nog steeds, daar is geen app voor nodig.
Daarnaast zijn er andere methoden om er omheen te werken, die wet is mogelijk alleen bedoeld om metadata van gebruikers te verkopen opdat de staat (of enkele individuen) er miljarden aan kunnen verdienen, want al die metadata (en dat geld wat er aan vast zit) zal heus niet zomaar in de prullenbak worden gegooit, het wordt "geanonimiseerd" (uniek ID) alvorens deze te verkopen. (Nog steeds identificeerbaar aangezien de naam of telefoonnummer/identiteit van een persoon in een uniek nummer wordt omgezet.)
Maar inderdaad, het kan nooit kwaad om een "degoogled" smartphone in te stellen aangezien GSF (Google Services Framework) eigenlijk gewoon een rootkit van Google is.
Niettemin kreeg Apple veel forse kritiek te verduren van deskundigen uit de industrie. Het probleem is dat er 'n begin wordt gemaakt met inbreuk op de privacy van burgers, ondanks hoe voorzichtig en beperkt. Wie zegt namelijk dat deze database met hashes later niet wordt uitgebreid met non-kindermisbruik materiaal? Er zijn genoeg voorbeelden te geven waar overheden begonnen met 'n proportionele en beperkte inbreuk, maar deze bevoegdheden later verruimden om nieuwe dreigingen of ontwikkelingen te accommoderen. De welbekende glijdende schaal of hellend vlak. Daarnaast kunnen inderdaad de bestaande hashes worden omzeild door 't bewuste materiaal aan te passen, zoals Kamerlid van Weerdenburg terecht opmerkte. Hoe effectief is client-side scanning dan nog?
Bovendien kunnen kindermisbruikers (of criminelen in 't algemeen) gewoon overstappen op andere apps, waar deze verplichte client-side scanning niet inzit. Er zijn inmiddels verschillende (open source) E2E versleutelde communicatie apps die werken met Onion routing of andere decentralisatie technieken, geen metadata bewaren, zodat gedeeld materiaal vrijwel onzichtbaar en ontraceerbaar is. Het lijkt me logisch dat misdadigers simpelweg overstappen naar beter beveiligde alternatieven, zodra zij weten dat reguliere apps zoals WhatsApp, Signal of iMessage voorzien zijn van client-side scanning. Daarnaast kunnen professionele criminele organisaties altijd gewoon een groep (black hat) ontwikkelaars inhuren om zelfstandig 'n robuust beveiligd systeem te laten bouwen. Waarom? Omdat cryptografie in feite wiskunde is; men kan wiskunde niet uitbannen.
Kortom, kabinet (en EU) functionarissen werken aan 'n rampzalig plan dat de rechtmatige privacy van miljoenen Nederlandse (en EU) burgers kan opofferen in de hoop een relatief (zeer) klein aantal kindermisbruikers te ontdekken. De kindermisbruikers die überhaupt nog gebruikmaakten van WhatsApp zullen al gauw overstappen naar alternatieve, vrijwel ontraceerbare apps buiten EU jurisdictie. Deze mensen zullen zich dus nog dieper gaan verbergen en desnoods de meest clandestiene software benutten om onopgemerkt te blijven.
Kindermisbruik is 'n verschrikkelijk probleem, maar zal toch op slimmere manieren aangepakt moeten worden. Het blijven namelijk mensen; ze maken fouten, begaan vergissingen en laten onbewust allerhande sporen na. Deze mensen zijn dus op te sporen, zonder de digitale beveiliging en privacy van alle burgers te hoeven aantasten.
En het is tevens een bedreiging voor encryptie.
Ondanks alle haken en ogen er toch mee doorgaan, betekent dat we op dit moment een 'rogue' overheid hebben,
die niet meer optreedt namens de burgers maar kennelijk voor externe krachten (internationalistische groot-commercie)
actief is, althans zo lijkt het steeds meer te zijn.
Het is niet proportioneel, mogelijke verdachten scannen, is beter te verdedigen als iedereen onder het vergootglas.
We gaan in deze wereld leven in constante angst voortdurend te worden geobserveerd bij al ons doen en laten
via een staatspanopticum. Je ziet de schoudersurfers niet, maar je weet contant dat ze mee kunnen kijken.
Hoe verwerven ze toch het electoraat uit wienst naam ze dit menen te moeten en mogen doen?
Iemand?
luntrus
Dus het pakken van pedofielen met oud materiaal heeft prioriteit boven het stoppen van de makers van nieuw materiaal? Wat is daar de gedachte achter?
Ik zou juist alles op alles willen zetten om nieuwe slachtoffers van misbruik te voorkomen. Wat gebeurd is is gebeurd, dat maak je nooit meer goed met hoeveel regels en wetten dan ook.
Misschien heeft het ermee te maken dat je AI nodig hebt voor het detecteren van nieuw materiaal en dat je dan heel veel false positives krijgt (op een populatie van 17 miljoen). Wat ook een soort onrecht inhoudt als je leven overhoop wordt gegooid door een foute detectie.
Helaas helpt dat weinig tegen spionerende apps, want de telemetrie (chats) wordt aangemaakt op de apps zelf, maar met een goede PGP middleman kan er veel versleuteld worden voordat deze tekst in de desbetreffende app terechtkomt, vaak is deze methode erg omslachtig.
Ook is er de mogelijkheid om de broncode van een bestaande chat app zelf te compileren of zelf een chat app of protocol te ontwikkelen vanaf de grond.
Chatten via sites kan ook nog steeds, daar is geen app voor nodig.
Daarnaast zijn er andere methoden om er omheen te werken, die wet is mogelijk alleen bedoeld om metadata van gebruikers te verkopen opdat de staat (of enkele individuen) er miljarden aan kunnen verdienen, want al die metadata (en dat geld wat er aan vast zit) zal heus niet zomaar in de prullenbak worden gegooit, het wordt "geanonimiseerd" (uniek ID) alvorens deze te verkopen. (Nog steeds identificeerbaar aangezien de naam of telefoonnummer/identiteit van een persoon in een uniek nummer wordt omgezet.)
Maar inderdaad, het kan nooit kwaad om een "degoogled" smartphone in te stellen aangezien GSF (Google Services Framework) eigenlijk gewoon een rootkit van Google is.
Inderdaad ja, de enkele kwaadwilligen doen een stap opzij en zetten hun eigen ding op en uiteindelijk zitten de Nederlandse burgers die zich gedragen aan spionage vast... Doet me denken aan de sleepwet waar op dit moment van alles fout mee gaat.
Pinephone
Okay, trut. Letterlijk gesproken heb je gelijk. Maar owee als ik aan jouw deur zit te luisteren om te horen wat voor onzin je uitkraamt voor je het überhaupt op het nieuws laat zetten... Dat mag niet... Dus mag Nederland ook niet mijn telefoon al snuffelen terwijl het nog op het apparaat staat en nog niet verzonden is. Dat heet heel simpel aftappen. Bovendien maak je daarmee je burgers al verdacht voordat er ook maar iets is verspreid, ongeacht of dit nu een chatberichtje is, een leuke foto van je kleinkind of je belastingaangifte.
Okay, trut. JA DE NEDERLANDSE BURGER WIL ALTIJD ABSOLUTE PRIVACY EN HEEFT DAAR OOK RECHT OP! (sorry voor het schreeuwen). Ook al ben je op jacht naar KP, ook al wil je de onderste steen boven hebben voordat die opgeblazen wordt als vorm van terrorisme: BLIJF VAN PRIVACY VAN DE BURGER AF. Het is de afgelopen jaren al duidelijk gebleken dat de recherche uitstekend in staat is om zaken op te kunnen sporen ook al is het via het beste encryptiesleutel verstuurd. Dan moeten ze dat ook maar doen.
Eerlijk waar, dit stelletje alleenheersers, complotdenkers en controlefreaks moet echt een halt worden toegeroepen. Dat had eigenlijk 10 jaar geleden al gemoeten maar duidelijker bewijs dan dit is er niet. Deze regering is er niet voor de Nederlander. Deze regering wil de Nederlander in de ban doen en controleren. Het boek 1984 wordt akelig waarheid...
Helemaal klaar mee. Is er dan niemand die dit soort mensen in de ban doet? Haar grondrechten zijn in haar land van herkomst misschien niet absoluut, hier in Nederland echt wel. En recht op privacy hoort daar onder. Vrijheid van meningsuiting ook. Mensen hun rechten afnemen niet.
Het traditionele briefgeheim gaat over het transport van de brief. De envelop mag onderweg niet open worden gemaakt om te kijken wat er in de brief staat. Wat men nu wil komt erop neer dat men dat inderdaad respecteert, maar ondertussen wel elke brief bekijkt voordat de envelop wordt dichtgeplakt. Sinds wanneer is dat in orde? Ook dat botst met een grondrecht, namelijk het recht op een persoonlijke levenssfeer, en dat is net als het briefgeheim in de grondwet vastgelegd.
Wauw.... glijdende schaal? Zeg maar rustig een afgrond met het tempo waarmee het nu escaleert.
https://en.wikipedia.org/wiki/List_of_open-source_mobile_phones
Overigens zijn ze al jaren aan het steggelen over CSS. En steeds werd het de grond in geboord.
Kennelijk vinden ze het nu een goed moment om het er door te drukken.
Geeft te denken wat de EU nog meer aan plannen op de plank heeft liggen.
Overigens is het kul om te denken dat ze alleen de hashes scannen van bekende foute communicatie (video's, foto's, plaatjes, geluidsopnames en teksten), want zoveel is er niet nodig om de hash van iets te veranderen. Dus dat wordt binnen harken van van alles en nog wat en dan dat laten beoordelen door de censureerders. Pardon, de nobele mensen die ver boven alle politieke en commerciële invloeden staan.
want er was ruimte voor gelaten.
Daarna werd je aangeduid als een dissident en nu ben je iemand met vreemde wanen, een wap of erger.
Je moet zo denken als de kritiekloze massa of een, die onwetend wil blijven wegkijken.
Dat tot het moment dat een kritische massa drie achtereenvolgende maaltijden gaat missen,
dan komen er pas meer 'snappies'.
#"laat-hen-cake-eten" (een apocrief toegedichte uitspraak over de franse brioce).
Donkere wolken pakken zich samen boven Nederigland. Een digitale storm op til?
luntrus
Wauw.... glijdende schaal? Zeg maar rustig een afgrond met het tempo waarmee het nu escaleert.
Ik vind dit een zorgwekkende stap, zeker als je ziet hoe makkelijk onze overheid recentelijk nog de rechten van demonstranten overboord gooide. Dit geeft al aan dat de overheid dus niet blindelings te vertrouwen is en we er niet zonder meer vanuit mogen gaan dat clientside scanning ook echt alleen maar beperkt zou blijven tot kinderporno.
Bovendien gaat dit weer vooral de gewone burger treffen, wie echt kwaad in de zin heeft installeert een app die hier een weg omheen weet vinden,l.
Signal en WhatsApp hebben al laten weten hier niet in mee te gaan. En Signal is open source, als zoiets ingebouwd wordt is een fork waar het uitgesloopt is zo gemaakt. Gehackte versies van whatsApp zijn er nu ook al waar extra functioneliteit in zit.
Een speciale omzijl app is juist niet zo handig omdat die meteen slachtoffer word van gerichte aanvallen: zie EncroChat, SkyECC en voorgangers.
Wauw.... glijdende schaal? Zeg maar rustig een afgrond met het tempo waarmee het nu escaleert.
Ik vind dit een zorgwekkende stap, zeker als je ziet hoe makkelijk onze overheid recentelijk nog de rechten van demonstranten overboord gooide. Dit geeft al aan dat de overheid dus niet blindelings te vertrouwen is en we er niet zonder meer vanuit mogen gaan dat clientside scanning ook echt alleen maar beperkt zou blijven tot kinderporno.
Bovendien gaat dit weer vooral de gewone burger treffen, wie echt kwaad in de zin heeft installeert een app die hier een weg omheen weet vinden,l.
Tja, als men eens zou stoppen met stemmen op de VVD. Daar hebben we nu met zijn allen al 20+ jaar last van. Elke keer weer nieuwe privacy schendende maatregelen (steeds weer ietsjes meer) door hun ministers van justitie(en veilgheid).
Alleen voel ik me met deze groep poltici niet meer veilig.
Die V van vrijheid kunnen ze wel schappen in hun naam. Daar doen ze al heel lang niets meer aan. (ergens sinds Bolkestein)
Niet iedere Nederlander zal zich kunnen onttrekken aan EU-chat-control,
willen we dit met z'n allen of hebben we na toetreding tot de EU hier ook niets meer over te zeggen?
U bent schuldig tot wij vaststellen dat u dit eventueel niet bent.
We komen als EU burgers te leven in een digitaal panopticon,
waar je niet weet op welk moment je door wie in de gaten zult worden gehouden.
Rare denkbeelden hebben die EU-custodians.
Kan het niet opgelost als in de US, notify and it will be taken down and punished?
Nu blijven hier in de EU de overheidsschoudersurfers buiten beeld.
De gevolgen kunnen desastreus blijken te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
