De nieuwe dienst “Take It Down” moet voorkomen dat intieme opnames van minderjarigen zich verspreiden op internet. Meta, Pornhub en OnlyFans doen mee. Het project brengt risico’s met zich mee, maar toont ook een alternatief voor de geplande massasurveillance van de Europese Commissie.
“Naaktfoto’s op internet hebben is eng”, stelt de website van Take It Down . De nieuwe dienst is gericht op mensen van wie geseksualiseerde afbeeldingen op internet circuleren – namelijk afbeeldingen waarop ze nog niet de wettelijke leeftijd hebben bereikt. Hierachter zit een Amerikaanse ngo genaamd het National Center for Missing and Exploited Children ( NCMEC ). De organisatie strijdt wereldwijd tegen de illegale verspreiding van intieme opnames van minderjarigen.
“We hebben dit systeem ontwikkeld omdat veel kinderen zich in deze wanhopige situatie bevinden”, zei Michelle DeLaune, president en CEO van NCMEC, maandag in een verklaring. “We hopen dat de kinderen deze dienst leren kennen en een gevoel van opluchting voelen, want er zijn tools waarmee ze de foto’s offline kunnen halen.” Het aanbod is ook gericht op mensen die geen ex-partners willen: verspreid intieme foto’s van ze binnen. Dergelijke afbeeldingen worden in eerste instantie vaak in onderling overleg gemaakt, maar zijn niet bedoeld voor de ogen van anderen.
Tot nu toe gebruiken slechts vijf platforms “Take It Down”: naast de twee sociale netwerken van de Meta-groep, Facebook en Instagram, zijn dit Pornhub , een van ’s werelds grootste pornosites, en OnlyFans , een platform voor betaalde inhoud dat is het best bekend voor pornografie. De vijfde aanbieder is Yubo uit Frankrijk, een inleidende app die in Duitsland minder bekend is. NCMEC zegt dat er nog meer zullen komen , en ze hebben alle ongeveer 200 leveranciers uitgenodigd die al met de organisatie werken. Meta heeft de dienst ook medegefinancierd .
Hoe Take It Down werkt
“Take It Down” werkt als een filter. Eerst moeten de getroffenen of hun ouders de intieme beelden vinden die mogelijk op internet terecht zijn gekomen. “Take It Down” kan vervolgens hashes berekenen van deze opnames, zoiets als de digitale vingerafdruk van een afbeelding. “Take It Down” slaat de opnames zelf niet op, ze moeten op het apparaat van de getroffenen blijven staan. Alleen de hashes komen in de database terecht. De NCMEC deelt deze hashes met online platformen zoals Instagram. De online platforms berekenen op hun beurt zelf hashes uit alle foto’s die mensen daar uploaden. Als een van deze hashes ook in de NCMEC-database wordt gevonden, gaat er een alarm af. Dan kan het online platform de verdachte afbeelding direct checken of offline halen.
“Take It Down” vult een gat in een wereldwijd ensemble van hash-databases voor intieme opnames. Alleen het NCMEC verzorgt opnames van minderjarigen. Tot nu toe heeft het centrum alleen hashes verzameld van opnames die al online staan. NCMEC ontvangt elk jaar miljoenen meldingen van mogelijk illegaal materiaal van online platforms. Particulieren konden ook opnames melden – maar tot nu toe alleen wat al online stond. Met “Take It Down” kunt u nu ook opnames melden waarvan u alleen maar vermoedde dat ze op internet zouden kunnen belanden. Voorkomen in plaats van schadebeperking. De persdienst van NCMEC schrijft dat “Take It Down” de eerste service in zijn soort is die wereldwijd beschikbaar is.
Ouderen moeten andere diensten gebruiken
Iedereen ouder dan 18 jaar moet contact opnemen met andere organisaties. Een van die internationale bronnen voor volwassenen is de Britse Revenge Porn Helpline . Hier kunnen volwassenen – vergelijkbaar met “Take It Down” – hashes laten genereren uit hun opnames. De dienst hiervoor heet StopNCII en bestaat sinds 2021. Facebook en Instagram maken er al gebruik van, net als de dating-app Bumble en het korte videoplatform TikTok. De term “Revenge Porn” die door de organisatie wordt gebruikt, is echter informeel. Deskundigen gebruiken liever de term beeldgeweld.
Het kan irritant zijn dat de getroffenen afhankelijk van hun leeftijd contact opnemen met verschillende hulporganisaties. Want het fenomeen – niet-consensueel gedeelde intieme beelden – is in eerste instantie hetzelfde. De onderliggende technologie van hash-databases verschilt ook niet significant. Zelfs de invoermaskers van “Take It Down” en StopNCII zijn bijna identiek. De redenen hiervoor zijn waarschijnlijk legaal: er zijn andere wetten voor naaktheid van minderjarigen dan voor niet-consensuele naaktheid van volwassenen. Beeldgebaseerd geweld tegen volwassenen staat pas een paar jaar op de politieke agenda – en is tot nu toe slechts in een paar landen strafbaar .
De bescherming van minderjarigen daarentegen staat centraal in de internationale wetgeving. Overeenkomstige regelgeving wordt momenteel gecreëerd in de EU, de VS en Groot-Brittannië . In het Duitse recht is er sprake van kinder- en jeugdporno. Een Engelse technische term is “materiaal over seksueel misbruik van kinderen” (CSAM), vrij vertaald: afbeeldingen van kindermisbruik. Veel van de getroffenen verwerpen deze termen omdat ze ze bagatelliseren en spreken liever van seksueel geweld tegen kinderen.
Nieuwe manier van omgaan met afbeeldingen van misbruik
In de strijd hiertegen is het NCMEC al jaren een belangrijke interface tussen online platformen en wetshandhavingsinstanties. Het geld van de non-profitorganisatie komt deels van het Amerikaanse ministerie van Justitie en deels van donoren . Elk jaar komen miljoenen en miljoenen meldingen van verdachte activiteiten, verzameld door online platforms zoals Facebook en Instagram, terecht bij het NCMEC. Dit zijn opnames die door de algoritmen van de platforms zijn geclassificeerd als mogelijke afbeeldingen van kindermisbruik. De verdachte rapporten zijn afkomstig van openbare berichten en privéchats die niet end-to-end versleuteld zijn. Facebook zoekt bijvoorbeeld al jaren naar deze berichten.
Bij het NCMEC worden deze rapporten gesorteerd: opnames die rechercheurs kunnen helpen bij wetshandhavingsinstanties te komen. Nieuw ontdekte opnames worden toegevoegd aan de hash-database.
Deze hash-database is het resultaat van zorgvuldige menselijke screening. De opnames waarop het is gebaseerd, zijn “driemaal gecontroleerd” – dit wordt ook gebruikt om reclame te maken voor providers zoals Google die de NCMEC-database gebruiken voor hun diensten .
Met de nieuwe database “Take It Down” slaat het NCMEC nieuwe wegen in. Omdat de centrale in dit geval de nieuwe opnames niet kan controleren. Gebruikers maken de hashes op hun apparaten, de NCMEC kan de afbeeldingen niet zien. Het invoermasker vraagt gebruikers om alleen foto’s van zichzelf te melden en alleen vanaf de tijd onder de 18, of ze dat doen is niet duidelijk. Aan de ene kant beschermt dit de privacy van de getroffenen, die hun intieme foto’s niet aan vreemden willen presenteren. Anderzijds roept het de vraag op in hoeverre misbruik gemaakt kan worden van de dienst “Take It Down”.
In theorie kan “Take It Down” ook worden gebruikt om legale opnames de hash-database in te smokkelen. Deze opnames zouden dan een alarm activeren op de online platforms en hun moderatieteams zouden deze fout eerst moeten opmerken. Dit moet vooral spannend zijn voor actoren die alle middelen inzetten om ongewenste online-inhoud te bestrijden.
Waarom niet-geverifieerde hash-databases een gevaar vormen
Op sociale media is het allang een wapen geworden om toegestane content massaal te melden. Zo komen ze steeds op de schermen van contentmoderators terecht. Zelfs als deze inhoud geen regels overtreedt, kan een van de vele rapporten vroeg of laat succesvol zijn en wordt de inhoud in ieder geval tijdelijk geblokkeerd. Moderators moeten immers vaak onder grote tijdsdruk veel meldingen tegelijk verwerken .
Hoe gemakkelijk ongecontroleerde hash-databases kunnen worden misbruikt, hangt in grote mate af van hoe zorgvuldig online platforms omgaan met meldingen van verdachte activiteiten. De NCMEC schreef ook in reactie op ons personderzoek: Aanbieders kunnen “een ontdekte afbeelding controleren voordat ze deze verwijderen”. Maar doen ze dat? We hebben het gecontroleerd met Meta, Pornhub, OnlyFans en Yubo.
Meta meldt dat meldingen van verdachte activiteiten eerst door mensen worden gecontroleerd voordat er verdere actie wordt ondernomen. OnlyFans legt daarentegen op een infopagina uit dat verdachte inhoud ter beoordeling offline zal worden gehaald. Yubo’s persdienst zei dat verdachte inhoud onmiddellijk zou worden geblokkeerd. Pornhub gaat niet in op de volgorde waarin moderatie plaatsvindt. Een woordvoerder legt echter uit dat mensen de treffers controleren. Als de overeenkomst correct is, gaat er een bericht terug naar de NCMEC. De NCMEC kan dan de afbeelding beoordelen.
Dit betekent waarschijnlijk ook dat ongecontroleerde hashes van “Take It Down” op deze manier in de database met aangevinkte hashes kunnen komen. Ook legt Pornhub uit dat kleinere aanbiedingen van het moederbedrijf Mindgeek ook gebruik maken van de hash-database, zoals de Youporn-pornosite.
Waarom hash-databases mislukken
Het risico van misbruik van “Take It Down” is tot nu toe meer een theoretisch probleem. Er zijn feedbackmechanismen, zoals de NCMEC meldt, en tot nu toe zijn er geen foutieve treffers gehoord. In principe hebben hash-databases ook technische zwakheden: kleine wijzigingen aan een afbeelding kunnen al genoeg zijn om de filters te omzeilen. Zoals de NCMEC op verzoek uitlegt, zou het voldoende zijn om een afbeelding anders bij te snijden of een emoji op de afbeelding te zetten.
Met hash-databases kunnen getroffenen de massale verspreiding van hun afbeeldingen alleen effectief tegengaan volgens het copy-and-paste-principe. Als een afbeelding herhaaldelijk gericht wordt bewerkt, helpen hash-databases niet. Een verdere complicatie voor de getroffenen is dat lang niet alle online providers met dergelijke hash-databases werken. Vooral kleinere pornosites waar gebruikers massa’s afbeeldingen kunnen uploaden zonder dat er toestemming wordt gecontroleerd.
Rapportage in plaats van massasurveillance
Bij nadere beschouwing blijkt dat technische oplossingen tegen beeldgeweld altijd beperkt zijn. Ze lopen het risico dat verboden opnamen per ongeluk over het hoofd worden gezien – en dat legale opnamen per ongeluk worden verwijderd. De Europese Commissie heeft ook een wetsontwerp ingediend om CSAM in te dammen, dat voornamelijk voorziet in technische oplossingen.
Providers moeten onder meer worden opgedragen om e-mails, cloudopslag en zelfs privé, versleutelde berichten massaal te doorzoeken op verdachte opnames. De focus ligt niet alleen op bekende opnames die in hash-databases staan, maar ook op voorheen onbekende voorstellingen. Het zou een niet-uitgelokte massasurveillance zijn van de communicatie en bestanden van miljoenen en miljoenen mensen. Dit gaat gepaard met het risico dat onschuldige mensen het doelwit worden van de autoriteiten vanwege misplaatste treffers . Er is brede kritiek op deze zogenaamde chatcontrole van onder meer kinderbeschermingsverenigingen , het digitale maatschappelijk middenveld, gegevensbeschermingsautoriteiten en EU- lidstaten .
Tegen deze achtergrond lijken diensten als “Take It Down” een veel minder invasieve manier om de verspreiding van CSAM te voorkomen. Het wetsontwerp van de Europese Commissie bepaalt dat aanbieders de opdracht moeten krijgen om inhoud te screenen en verdachte gevallen door te sturen naar een EU-centrum voor menselijke verificatie. Het ontwerp suggereert ook dat vrijwel elke afbeelding van naaktheid en mogelijk minderjarigen zo’n verdachte zou kunnen zijn. Dat zou betekenen dat massa’s legale naaktfoto’s ook op de schermen van officiële screeners terecht zouden komen. Middelen als “Take It Down” werken daarentegen gericht en verwijzen alleen naar opnames die door de betrokkenen als vertrouwelijk zijn geclassificeerd.
Een ander twistpunt is dat Instagram en Facebook momenteel ook privéchats screenen met behulp van hash-databases. Dit werkt alleen omdat Facebook Messenger en directe berichten op Instagram niet over de hele linie end-to-end versleuteld zijn. Dergelijke end-to-end-codering is echter belangrijk en wordt beschouwd als de standaard voor het beschermen van privacy op internet. Voor Facebook en Instagram zou dit betekenen dat diensten als “Take It Down” dan alleen voor openbare berichten worden gebruikt.