Wetshandhavingsexperts en beleidsmakers zullen op 12 september bijeenkomen om te beraadslagen over voorstellen die technologiebedrijven, waaronder platforms als Signal en WhatsApp, zouden verplichten gecodeerde berichten te scannen voordat ze worden verzonden. Deze bijeenkomst gaat vooraf aan een geplande stemming over de voorstellen, bekend als “Chat Control”, op 14 oktober, een initiatief onder leiding van het Deense voorzitterschap van de EU-Raad.
De “Chat Control”-voorstellen pleiten voor het massaal scannen van mobiele telefoons en computers om potentieel kindermisbruikmateriaal binnen gecodeerde communicatiediensten te identificeren. Dit initiatief heeft echter geleid tot aanzienlijke tegenstand van beveiligingsexperts en voorstanders van privacy.
Op 9 september publiceerden meer dan 500 cryptografen en veiligheidsonderzoekers een open brief waarin ze waarschuwden dat de voorstellen technisch onhaalbaar zijn en de veiligheid en privacy van de Europese burgers “volledig zouden ondermijnen”. Ze beweren dat dergelijke maatregelen kwetsbaarheden zouden creëren die kunnen worden uitgebuit door hackers en vijandige natiestaten.
WhatsApp, een veelgebruikte gecodeerde berichtendienst, heeft ook zijn zorgen geuit over de ontwerpvoorstellen van de EU. Een woordvoerder van WhatsApp verklaarde dat de voorstellen de end-to-end-encryptie in gevaar zouden brengen, waardoor de privacy, vrijheid en digitale veiligheid van gebruikers in gevaar zouden komen.
De Europese Commissie stelde aanvankelijk voor om technologiebedrijven te verplichten om in 2022 e-mails en berichten te scannen op mogelijke inhoud van kindermisbruik. Deze plannen liepen echter vast vanwege tegenstand van een minderheid van lidstaten die vreesden dat de voorstellen de veiligheid en privacy van EU-burgers in gevaar zouden brengen.
In juli 2025 introduceerde het Deense voorzitterschap een compromis dat erop gericht was de veiligheid van gecodeerde communicatie in evenwicht te brengen met de noodzaak om potentieel illegale inhoud te identificeren. Dit compromis houdt in dat de voorgestelde regelgeving niet mag worden geïnterpreteerd als het verbieden, verzwakken of omzeilen van encryptie, en het staat technologiebedrijven toe om end-to-end gecodeerde diensten te blijven aanbieden.
Het compromis vereist echter ook dat technologiebedrijven ‘doorgelichte technologieën’ op apparaten implementeren om berichten te scannen op afbeeldingen, video’s of URL’s die mogelijk verband houden met bekende inhoud van kindermisbruik voordat ze worden gecodeerd en verzonden. Deze bedrijven zouden ook kunstmatige intelligentie (AI) en machine learning-algoritmen moeten inzetten om voorheen onbekende misbruikbeelden te detecteren.
Op 10 september steunden vijftien lidstaten de Deense voorstellen, terwijl er zes onbeslist bleven en zes tegen waren. Tegengestelde staten, waaronder België, Polen, Finland en Tsjechië, hebben hun bezorgdheid geuit over het massale toezicht op de communicatie van burgers. Supporters zijn onder meer Frankrijk, Italië, Spanje en Zweden, terwijl Duitsland nog steeds onbeslist is. Het stemrecht van elke lidstaat is evenredig aan het aantal vertegenwoordigers.
Het Deense compromisakkoord schetst specifieke vereisten met betrekking tot encryptie:
- Openbaar beschikbare berichtenservices die end-to-end-codering gebruiken, zouden nodig zijn om misbruikmateriaal vóór verzending te detecteren.
- Aanbieders moeten de vrijheid behouden om diensten aan te bieden met behulp van end-to-end-versleuteling en mogen niet worden verplicht om gegevens te ontsleutelen of toegang te creëren tot end-to-end-versleutelde gegevens.
- Gebruikers van gecodeerde services zouden worden gevraagd toestemming te geven voor het monitoren van afbeeldingen, video’s en URL’s die ze verzenden.
- Gebruikers die geen toestemming geven, kunnen mogelijk berichten sturen zonder afbeeldingen, video’s of URL’s.
- Detectietechnologieën voor end-to-end gecodeerde services zouden worden gecertificeerd en getest door een EU-centrum om te verifiëren dat het gebruik ervan de codering niet verzwakt.
- De Europese Commissie zou de macht hebben om detectietechnologieën goed te keuren.
- Aanbieders van detectiediensten moeten onder menselijk toezicht staan om het aantal valse positieven en valse negatieven te verminderen.
- Detectietechnologieën mogen “geen cyberveiligheidsrisico’s introduceren waarvoor het niet mogelijk is om effectieve maatregelen te nemen om dergelijke risico’s te beperken”.
Tegenstanders van de voorstellen beweren dat “Chat Control” in feite “verdachte” massale surveillance voor honderden miljoenen Europeanen introduceert. De open brief van cryptografen en beveiligingsonderzoekers waarschuwt dat detectie op het apparaat, ook wel bekend als scannen aan de clientzijde, inherent de bescherming van end-to-end-encryptie ondermijnt zonder een betere bescherming voor kinderen te garanderen.
Ze beweren dat het detectiemechanisme een belangrijk doelwit zou worden voor hackers en vijandige natiestaten, die het zouden kunnen herconfigureren om zich op andere soorten gegevens te richten, zoals financiële of politieke belangen. Dit zou de veiligheid ondermijnen van gecodeerde berichten-apps die worden gebruikt door politici, journalisten, mensenrechtenwerkers, EU-ambtenaren, wetshandhavers en gewone burgers.
De voorstellen schenden op ondubbelzinnige wijze de principes van end-to-end-encryptie en verzwakken de bescherming ervan, waardoor het recht van het publiek op privacy wordt bedreigd. De wetenschappers waarschuwen voor mogelijk ernstige gevolgen voor de democratie en de nationale veiligheid. Ze beweren ook dat scantechnologie door minder democratische regimes kan worden gebruikt om dissidenten en tegenstanders te monitoren of om communicatie te censureren, waardoor ongekende mogelijkheden voor toezicht, controle en censuur worden gecreëerd.
De Deense voorstellen zouden ertoe kunnen leiden dat grote aantallen onschuldige mensen ten onrechte worden onderzocht wegens het verzenden van afbeeldingen die ten onrechte als verdacht zijn aangemerkt. De onderzoekers waarschuwen dat bestaande detectoren onaanvaardbaar hoge fout-positieve en fout-negatieve cijfers zouden opleveren, waardoor ze ongeschikt zouden worden voor grootschalige detectiecampagnes. Ze beweren ook dat er geen machine-learning-algoritme bekend is dat illegale afbeeldingen op betrouwbare wijze kan identificeren zonder grote aantallen fouten te maken.
De Duitse gecodeerde e-mailprovider Tuta Mail heeft verklaard dat het juridische stappen tegen de EU zou ondernemen in plaats van de privacy van zijn gebruikers in gevaar te brengen door achterdeurtjes in zijn gecodeerde berichtendienst te introduceren. CEO Matthias Pfau is van mening dat de voorstellen het vertrouwen in de Europese technologie zouden ondermijnen en gebruikers naar buitenlandse technologiegiganten zouden drijven.
Alexander Linton, voorzitter van de Session Technology Foundation, stelt dat het onmogelijk is om scannen te introduceren zonder nieuwe veiligheidsrisico’s te creëren. Hij stelt dat geen van de beschikbare technologieën voldoet aan de norm om geen onoverkomelijke risico’s met zich mee te brengen.
Matthew Hodgson, CEO van Element, een beveiligd communicatieplatform dat door Europese overheden wordt gebruikt, is van mening dat de voorgestelde ‘Chat Control’-regelgeving fundamenteel gebrekkig is en de privacy en gegevens van 450 miljoen burgers in gevaar zou brengen. Hij stelt dat het ondermijnen van de encryptie door het introduceren van een achterdeur voor legaal onderscheppen opzettelijk een kwetsbaarheid introduceert die zal worden uitgebuit.
Hodgson verwees naar een jarenlange Chinese hackoperatie, genaamd Salt Typhoon, die achterdeurtjes van wetshandhavers in het Amerikaanse openbare telefoonnetwerk gebruikte om toegang te krijgen tot gespreksgegevens en niet-gecodeerde communicatie van Amerikaanse burgers. Hij merkte op dat de VS als gevolg daarvan nog steeds bij zijn burgers aandringt op end-to-end gecodeerde systemen.
Signal waarschuwde vorig jaar dat het zijn berichtendienst uit de Europese Unie zou terugtrekken in plaats van zijn privacygaranties te ondermijnen. Callum Voge, directeur overheidszaken en belangenbehartiging bij de Internet Society, zegt dat scannen aan de clientzijde kansen creëert voor slechte actoren om scandatabases op apparaten te reverse-engineeren en te corrumperen. Hij vergeleek het scannen aan de clientzijde met iemand die over je schouder meeleest terwijl je een brief schrijft, in tegenstelling tot het verbreken van de codering, wat lijkt op het openscheuren van de envelop.
Voge verklaarde dat zelfs als AI-scanning voor 99,5% effectief zou zijn in het identificeren van misbruik, dit elke dag zou leiden tot miljarden verkeerde identificaties, waardoor het systeem potentieel zou worden overweldigd en ertoe zou worden geleid dat onschuldige mensen ten onrechte zouden worden bestempeld als het delen van illegaal kindermisbruikmateriaal.
De wetenschappers beweren dat overheden, in plaats van te vertrouwen op een ‘technische oplossing’, moeten investeren in onderwijs, meldpunten en andere bewezen technieken om misbruik aan te pakken. Voge suggereert dat beleidsmakers prioriteit moeten geven aan benaderingen die kinderen beschermen en tegelijkertijd een open en vertrouwd internet bevorderen. Dit omvat meer middelen voor gerichte benaderingen, zoals door de rechtbank geautoriseerde onderzoeken, analyse van metagegevens, grensoverschrijdende samenwerking, steun voor slachtoffers, preventie en training in mediageletterdheid.
Apple liet eerder al zijn plannen varen om client-side scanning te introduceren om kindermisbruik op de iPhone op te sporen, nadat vooraanstaande wetenschappers een artikel hadden gepubliceerd waarin werd vastgesteld dat de pogingen van de leverancier niet effectief zouden zijn tegen misdaad of bescherming tegen toezicht.
