Privacy voor de machtigen, bewaking voor de rest: De voorgestelde technologieverordening van de EU gaat te ver
Vorige maand betreurden we de Californische Frontier AI Act van 2025. De wet verkiest naleving boven risicobeheer en schermt bureaucraten en wetgevers af van verantwoordelijkheid. De wet legt vooral van bovenaf regelgevende normen op, in plaats van het maatschappelijk middenveld en deskundigen uit de sector te laten experimenteren en van onderaf ethische normen te laten ontwikkelen.
Misschien kunnen we de wet afdoen als het zoveelste voorbeeld van de interventionistische neiging van Californië. Maar sommige Amerikaanse politici en regelgevers roepen al dat de wet een "sjabloon is voor het harmoniseren van federaal en staatstoezicht" De andere bron voor dat sjabloon zou de Europese Unie (EU) zijn, dus het is de moeite waard om de regelgeving die uit Brussel komt in de gaten te houden.
De EU is Californië al ver voor met het opleggen van verontrustende, top-down regelgeving. De EU Artificial Intelligence Act van 2024 volgt het algemene voorzorgsprincipe van de EU. Zoals de interne denktank van het EU-parlement uitlegt, "stelt het voorzorgsbeginsel besluitvormers in staat om voorzorgsmaatregelen te nemen wanneer wetenschappelijk bewijs over een gevaar voor het milieu of de menselijke gezondheid onzeker is en er veel op het spel staat." Het voorzorgsprincipe geeft de EU een enorme macht bij het reguleren in het licht van onzekerheid - in plaats van experimenten toe te staan met het hekwerk van boetes en wetgeving inzake onrechtmatige daad (zoals in de VS). Het verstikt ethisch leren en innovatie. Door het voorzorgsbeginsel en de bijbehorende regelgeving lijdt de economie van de EU onder een grotere marktconcentratie, hogere nalevingskosten en verminderde innovatie - in vergelijking met een omgeving die ruimte biedt voor experimenten en verstandig risicobeheer. Het is dan ook geen wonder dat slechts vier van de 50 beste technologiebedrijven ter wereld Europees zijn.
Van verstikte innovatie naar verstikte privacy
Samen met het voorzorgsprincipe is de tweede drijvende kracht achter de EU-regelgeving de bevordering van rechten - maar het plukken uit het EU-Handvest van de Grondrechten van rechten die vaak in strijd zijn met andere. De Algemene Verordening Gegevensbescherming (GDPR) van de EU uit 2016 werd bijvoorbeeld opgelegd met het idee om een fundamenteel recht op bescherming van persoonsgegevens te beschermen (dit staat technisch los van het recht op privacy, en geeft de EU veel meer macht om in te grijpen - maar dat is het onderwerp van academische tijdschriften). De GDPR heeft uiteindelijk het recht op economische vrijheid ingeperkt.
Deze keer worden de grondrechten gebruikt om de strijd van de EU tegen seksueel misbruik van kinderen te rechtvaardigen. We houden allemaal van grondrechten, en we hebben allemaal een hekel aan kindermisbruik. Maar door de jaren heen zijn grondrechten ingezet als een bot en krachtig wapen om de regelgevende bevoegdheden van de EU uit te breiden. De voorgestelde verordening inzake seksueel misbruik van kinderen (CSA) is geen uitzondering. Wat wel uitzonderlijk is, is de omvang van de inbreuk: de EU stelt voor om de communicatie tussen Europese burgers te controleren, waarbij ze allemaal op één hoop worden gegooid als potentiële bedreigingen in plaats van als beschermde uitingen die op het eerste gezicht recht op privacy hebben.
Vanaf 26 november 2025 onderhandelt de bureaucratische machine van de EU over de details van de CSA. In het laatste ontwerp is het verplichte scannen van privécommunicatie gelukkig geschrapt, althans formeel. Maar er zit een addertje onder het gras. Aanbieders van hosting- en interpersoonlijke communicatiediensten moeten vaststellen, analyseren en beoordelen hoe hun diensten gebruikt kunnen worden voor online seksueel misbruik van kinderen, en vervolgens "alle redelijke maatregelen nemen om de gevolgen te beperken" Geconfronteerd met zo'n open mandaat en de dreiging van aansprakelijkheid, zouden veel providers kunnen concluderen dat de veiligste - en juridisch meest voorzichtige - manier om aan te tonen dat ze aan de EU-richtlijn hebben voldaan, het op grote schaal scannen van privécommunicatie is.
De ontwerp-CSA dringt erop aan dat beperkende maatregelen, waar mogelijk, beperkt moeten blijven tot specifieke delen van de dienst of specifieke groepen gebruikers. Maar de stimulansstructuur wijst in één richting. Wijdverspreide controle kan uiteindelijk de enige haalbare optie worden voor naleving van de regelgeving. Wat vandaag als vrijwillig wordt voorgesteld, dreigt morgen een feitelijke verplichting te worden.
In de woorden van Peter Hummelgaard, de Deense minister van Justitie: "Elk jaar worden er miljoenen bestanden gedeeld waarop seksueel misbruik van kinderen te zien is. En achter elke afbeelding en video schuilt een kind dat onderworpen is aan het meest afschuwelijke en verschrikkelijke misbruik. Dit is volstrekt onaanvaardbaar." Niemand betwist de ernst van het probleem. En toch wordt er in dit verhaal van de telecommunicatie-industrie en de Europese burgers verwacht dat ze gevaarlijke risicobeperkende maatregelen nemen die waarschijnlijk gepaard zullen gaan met verlies van privacy voor de burgers en wijdverspreide controlebevoegdheden voor de staat.
De kosten, zo wordt ons verteld, wegen niet op tegen de baten.
Want wie wil er nu niet strijden tegen seksueel misbruik van kinderen? Het is hoog tijd om eens diep adem te halen. Kindermisbruikers moeten streng gestraft worden. Dit ontslaat een vrije samenleving niet van het respecteren van andere kernwaarden.
Maar, wacht. Er is meer..
Wijdverspreide controle? Nou, niet helemaal wijdverspreid
Ondanks de morele verplichting om kinderen te beschermen - een morele verplichting die zo dwingend is dat de EU bereid is om andere kernwaarden te schenden om deze te bevorderen - introduceert de voorgestelde CSA-wet een handige uitzondering. Alles wat onder nationale veiligheid valt, en elke elektronische communicatiedienst die niet publiekelijk beschikbaar is(d.w.z. alleen beschikbaar voor gekozen ambtenaren en bureaucraten), zou volledig ongemoeid blijven. Privégesprekken tussen burgers moeten gecontroleerd worden - maar de gesprekken van degenen die beweren ons te beschermen, zijn verboden terrein.
Zoals de goede minister zei: "Achter elk beeld en elke video schuilt een kind dat het slachtoffer is geweest van het meest afschuwelijke en verschrikkelijke misbruik Als dat inderdaad waar is voor elke "enkele foto en video", waarom zou dat dan niet ook waar zijn voor de berichten die afgeschermd worden door de nationale veiligheid en niet-openbare uitzonderingen van de CSA? Wordt de afschuw op de een of andere manier minder als de gebruikers politici of bureaucraten zijn? Wordt het onacceptabele opeens acceptabel als het gaat om degenen die de regels schrijven?
In de EU-hiërarchie van rechten is de bescherming van kinderen belangrijker dan privacy. Maar de bescherming van Eurocraten overtroeft de bescherming van kinderen. Uiteindelijk geeft de moderne technologie politici ongekende mogelijkheden om burgers in de gaten te houden, terwijl ze zichzelf vrijstellen van controle.
Er wordt nog niet gepraat - voor zover wij weten - over het opleggen van soortgelijke maatregelen in de VS. Maar, van de vermogensbelasting tot AI-regulering - en de oorsprong van de Amerikaanse administratieve staat zelf - slechte ideeën uit Europa hebben de vervelende gewoonte om hun weg te vinden naar de andere kant van de oceaan.
