Geheime lijst : Hoe het beveiligingsapparaat chatcontrole vormgeeft

Uit een lijst die voorheen geheim werd gehouden door de Europese Commissie en die wij publiceren, blijkt hoe vertegenwoordigers van de geheime dienst en de politie uit verschillende landen al in een vroeg stadium bij de chatcontroleregeling betrokken waren. Ook de startup-achtige organisatie Thorn speelde een grote rol.

Bij de ontwikkeling van de chatcontroleverordening heeft de Europese Commissie niet alleen nauw samengewerkt met de controversiële organisatie Thorn, maar ook met vertegenwoordigers van Europol, de Australische en Spaanse politie en vertegenwoordigers van de Britse geheime dienst GCHQ.

De eerder bewaarde geheime lijst van de Europese Commissie, die we publiceren , geeft informatie over welke “experts” de Europese Commissie heeft uitgenodigd om de chatcontroleverordening te ontwikkelen. Ze werden gehoord als onderdeel van het EU-internetforum voor de technische effectbeoordeling van chatcontrole , dat in mei 2022 werd gepubliceerd.

Volgens deze lijst heeft de Europese Commissie vooraf 32 mensen geraadpleegd. Vier hiervan kwamen uit academische omgevingen, negen uit niet-gouvernementele organisaties en negen uit overheidsdepartementen. Tien andere mensen kwamen uit de industrie, waar Microsoft en Google domineren.

Volgens onderzoek van indignatie.nl zijn de experts vooral voorstander van het zonder reden uitbreiden van massasurveillance. In sommige gevallen worden zij uitgeroepen tot tegenstanders van end-to-end-encryptie. De Europese Commissie heeft uiteraard geen rekening gehouden met vertegenwoordigers van het maatschappelijk middenveld die zich inzetten voor de bescherming van fundamentele digitale rechten.

“Toezichtautoriteit-industrieel complex”

Elina Eickstädt, werkzaam op chatcontrole bij de Chaos Computer Club, heeft scherpe kritiek op de selectie: “Uit de nu openbaar gemaakte lijst blijkt dat de commissie slechts een zeer eenzijdige expertise heeft verkregen over de chatcontroleregulering. Dit bevestigt eens te meer dat het doel meer was om end-to-end gecodeerde communicatie te ondermijnen dan om echt effectieve kinderbescherming.”

EU-parlementslid Patrick Breyer ziet de lijst als een bevestiging dat chatcontrole uiteindelijk een “product is van de lobby van een internationaal toezichthoudend industrieel complex”. “Big Sister Johansson” negeerde de wetenschap en het maatschappelijk middenveld in de EU bijna volledig om een ​​“unieke destructieve aanval op digitale correspondentie en veilige encryptie” voor te bereiden.

Britse inlichtingendienst erbij betrokken

De Britse geheime dienst GCHQ zat tijdens de beraadslagingen met twee vertegenwoordigers aan tafel. Enerzijds rechtstreeks via GCHQ en anderzijds via een vertegenwoordiger van het Nationaal Cyber ​​Security Centrum (NCSC), een suborganisatie van de geheime dienst.

Namens GCHQ hoorde de Europese Commissie van Crispin Robinson, de technisch directeur van de geheime dienst voor cryptanalyse. Het NCSC werd vertegenwoordigd door de toenmalige technisch directeur Ian Levy. De twee kennen elkaar goed: ze publiceerden in juli 2022 onder meer samen een paper waarin ze pleiten voor automatische verzorgingsdetectie en client-side scanning , de technologie achter chatcontrole. In het verleden hebben beiden herhaaldelijk voorstellen gepresenteerd over hoe gecodeerde communicatie kan worden verzwakt. In 2019 stelden ze voor om zogenaamde spookgebruikers in Messenger te introduceren .

Een vertegenwoordiger van Europol en twee van de Spaanse politie, de Guardia Civil, waren uitgenodigd door Europese overheidskantoren en autoriteiten. Er zaten twee vertegenwoordigers van de Europese Commissie zelf aan tafel: Laurent Beslay heeft in zijn academische carrière uitgebreid gewerkt aan geautomatiseerde inhoudsherkenning en de “kansen en risico’s van digitale surveillance” ; Hij werkt nu voor het Gemeenschappelijk Centrum voor Onderzoek van de Commissie. Iwen Coisel , die ongeveer twee jaar voor Europol werkt , heeft ook expertise op het gebied van IT-beveiliging bijgedragen .

Opvallend is dat van de negen regeringsvertegenwoordigers de Europese Commissie er ook twee van de Australische federale politie heeft uitgenodigd. De achtergrond hier zou kunnen zijn dat Australië sinds 2019 een wet tegen veilige encryptie toepast . Net als het Verenigd Koninkrijk, de VS, Nieuw-Zeeland en Canada maakt Australië deel uit van het Five Eyes-inlichtingennetwerk .

Eenzijdige burgermaatschappij

Van de slechts negen vertegenwoordigers van het maatschappelijk middenveld is ruim de helft afkomstig van de controversiële organisatie Thorn. Bijna een op de vijf experts behoorde tot de startup-achtige organisatie rond Hollywood-acteur Ashton Kutcher . Een van de vijf vertegenwoordigers van Thorn werkte vroeger ook voor de FBI, zoals blijkt uit zijn LinkedIn-profiel . Thorn profileert zich officieel als een non-profit organisatie, maar ontwikkelt en verkoopt ook software om bestanden op te sporen die afbeeldingen van seksueel geweld vertonen.

Zoals uit documenten en onderzoek blijkt, heeft de organisatie een zeer goede toegang tot de EU-commissaris voor Binnenlandse Zaken en maakt ze deel uit van een lobbynetwerk ter waarde van miljoenen . In een brief gepubliceerd door netzpolitik.org schreef ze dat Thorn en de Commissie “partners waren bij het ontwikkelen van dit sterke voorstel” over de chatcontroleverordening.

De andere vier vertegenwoordigers van niet-gouvernementele organisaties die werden gehoord, zijn afkomstig van het Amerikaanse National Center for Missing & Exploited Children (NCMEC) en het Canadian Center for Child Protection.

Luisterde naar weinig wetenschap

Slechts vier van de gehoorde deskundigen behoorden tot het wetenschapsgebied. Eén van hen, Hany Farid, is een uitgesproken voorstander van automatische beeldherkenning die veel verder gaat dan de bestrijding van seksueel geweld tegen kinderen. Farid heeft in 2018 een onderzoek voorbereid voor het Counter Extremism Project (CEP) . De CEP is een organisatie met tal van persoonlijke connecties met westerse veiligheidsautoriteiten en geheime diensten, waaronder voormalig BND-chef August Hanning in de adviesraad .

Er zijn ook overlappingen met andere delen van de expertgroep: Farid ontwikkelde samen met Microsoft de software PhotoDNA , die wordt beschouwd als de industriestandaard voor het opsporen van afbeeldingen van kindermisbruik. De digitale vingerafdrukdatabase wordt nu beheerd door NCMEC en wordt door vrijwel alle grote onlinediensten gebruikt om afbeeldingen van geweld tegen kinderen te zoeken.

Farid werkt ook als senior adviseur bij het bedrijf “Truepic” , dat gespecialiseerd is in digitaal beeldforensisch onderzoek. Hij lanceerde ook een media-forensisch project voor het Defense Advanced Research Projects Agency (DARPA) van het Amerikaanse leger .

Tot de andere experts behoorden onder meer voormalig Facebook-beveiligingshoofd Alex Stamos.

De Europese Commissie was slechts marginaal geïnteresseerd in kritische stemmen. Toonaangevende beveiligingsonderzoekers en cryptografen hadden al vroeg gewaarschuwd voor chatcontroles in 2021 . In een latere brief spraken ruim 450 wetenschappers zich uit tegen het project . Hun protest is tot nu toe grotendeels ongehoord gebleven.

Zo werd de lijst openbaar

De Ierse Raad voor Burgerlijke Vrijheden heeft de lijst van deskundigen opgevraagd bij de Europese Commissie . De Europese Commissie ontkende aanvankelijk het bestaan ​​ervan. De organisatie diende vervolgens in december 2022 een klacht in bij de Europese Ombudsman. De ombudsman besloot eind oktober dat de lijst bestond en dat de Europese Commissie deze had moeten publiceren – wat zij tot op de dag van vandaag heeft geweigerd.

Volgens Euractiv rechtvaardigde de Commissie haar besluit op grond van ‘privacy- en openbare veiligheidsredenen, gezien de aard van de besproken kwesties’. Onafhankelijk van de ombudsman publiceerde Europarlementariër Patrick Breyer de lijst gisteren op Mastodon . De Ierse Raad voor Burgerlijke Vrijheden (ICCL) heeft de lijst nog niet ontvangen en kon dus niet officieel worden bevestigd.

Kris Shrishak van ICCL vindt de lijst op twee manieren verbijsterend: “Aan de ene kant bevat de lijst zeer weinig experts op het gebied van encryptie en geen experts op het gebied van digitale rechten, ondanks het feit dat ze er in de EU in overvloed zijn. Ook vertegenwoordigers van de Europese kinderbescherming ontbreken. Aan de andere kant bevat het leden van de Australische federale politie en NCMEC – en Thorn die een gevestigd belang hebben.”

Shrishak vindt het hele proces ondoorzichtig. Hij vertelt netzpolitik.org: “Het hele proces van raadpleging en participatie van deskundigen moet openbaar zijn. De wijze waarop de deskundigen worden geselecteerd moet openbaar zijn, evenals de agenda van de vergaderingen en de notulen. Een belangrijke rechtshandeling zonder transparant proces, waarbij wordt vertrouwd op een geheime groep deskundigen, is onaanvaardbaar.”

Update 8 november: Het volledige document circuleert inmiddels en publiceren wij in full-text .

De lijst met deskundigen

• Lijst, XLS

Chatcontrole: Je privéberichten gaan gescand worden

De Europese Commissie heeft een nieuw wetsvoorstel ingediend om bepaalde vormen van criminaliteit tegen te gaan. Dit wetsvoorstel staat bekend als ‘chatcontrole’.

Criminaliteit bestrijden is op zich uiteraard prima, maar de voorgestelde wet is erg slecht. De wet zou regeringen namelijk in staat stellen om alle digitale berichten van alle burgers in de EU te scannen—ook die van ons in Nederland.

Het scannen van al onze digitale communicatie zou een grove inbreuk vormen op de fundamentele rechten van Nederlandse burgers.