Minister Grapperhaus (Justitie en Veiligheid) plaatst de internet service provider NForce op een zwarte lijst. De organisatie uit Roosendaal doet te weinig in de strijd tegen kinderpornografisch beeldmateriaal. Het bedrijf reageert furieus op het naming & shaming-beleid. ‘Wanneer wij een fout maken, geven we dat toe.’ De aanpak lijkt wel te werken: het aan de schandpaal genagelde bedrijf voert gesprekken voor verbetering.
‘Wij zijn geschokt om via de pers op de hoogte te zijn gebracht over de Kamerbrief van Grapperhaus. Wij hebben geen enkele melding ontvangen of enige vorm van communicatie vanuit de overheid om de kwestie te bespreken. Ook hebben we nooit het rapport gezien waar de minister naar verwijst.’ Aldus de officiële reactie van NForce-directeur Simon Shlomi Elimeleh naar klanten, leveranciers en media-relaties. Aanleiding is het NForce onwelgevallige onderzoeksrapport van de TU Delft dat Grapperhaus op 8 oktober publiceerde.
Terug in de tijd. De TU Delft ontwikkelt, in opdracht van Grapperhaus, een monitor die toont waar en hoeveel kinderporno op een server van een bedrijf staat. Tijdens de eerste meting in juni dit jaar werd bij zeventien hostingbedrijven afbeeldingen van seksueel kindermisbruik op hun Nederlandse servers aangetroffen. De minister stuurt hen een brief en laat weten dat de TU Delft gaat meten hoelang bedrijven er over doen om de content te verwijderen na het ontvangen van een melding en dat deze resultaten per bedrijf in het kader van een naming & shaming-beleid gepubliceerd worden. In oktober verschijnt het rapport, waarna NForce, samen met IP Volume (zie onderstaand kader), op de zwarte lijst belandt.
Onwetendheid
Zacht uitgedrukt is NForce niet te spreken over het schandpaalbeleid van de minister. ‘Op 5 juni hebben wij een brief van Grapperhaus ontvangen waarin hij schrijft dat hij samen met de ict-sector heeft gesproken om kinderpornografisch beeldmateriaal uit te bannen. NForce is nooit door de overheid benaderd om de krachten te bundelen om gezamenlijk de problematiek aan te pakken. Ik vraag me dan af met wie Grapperhaus om de tafel heeft gezeten die de ict-sector vertegenwoordigd’, verklaart Elimeleh.
Hij is van mening dat een minister niet voldoende communiceert door enkel een brief te sturen. ‘In 2018 hadden al gesprekken met ons moeten plaatsvinden om te kijken hoe we dit probleem kunnen oplossen. Dat was efficiënter geweest. Bovendien hebben we na die brief niks meer gehoord en hebben we het rapport nooit ontvangen, daar hebben onze relaties ons op gewezen.’
Niet om de tafel
Michiel Steltman, directeur van de branchevereniging DINL verklaart waarom NForce geen uitnodiging heeft ontvangen. ‘De overheid staat niet in direct contact met bedrijven, dat doet het via overkoepelende brancheorganisaties.’ In het geval van de terugdringen van kinderpornografisch beeldmateriaal zijn dit ISPConnect en DHPA, beide aangesloten bij DINL. ‘Zij hebben samen met het Expertisebureau Online Kindermisbruik (EOKM) en politie aan de tafel gezeten om de aanpak hiervan te bespreken. NForce is niet aangesloten bij een branchevereniging en dan is het voor hen lastig om te onderhandelen met de overheid.’
De directeur van de koepel vindt de onwetendheid van NForce lariekoek. ‘De brief die hen in juni is toegestuurd, heeft hen geïnformeerd en gewaarschuwd. De vervolgstappen, zoals naming and shaming, zijn daarin duidelijk gecommuniceerd. NForce had veel eerder kunnen en moeten acteren. In de brief is de justitie opgegeven als aanspreekpunt om vragen te stellen, die mogelijkheid hebben ze niet benut. Of anders konden ze een gefundeerde klacht indienen via ons als branchevereniging.’
Onterechte beschuldiging
Voor het rapport heeft TU Delft in augustus 2020 een steekproef onder 2114 url’s, afkomstig van vijftien hostingbedrijven en zeventig domeinen, gehouden. De meldingen naar vijftien hostingbedrijven en zeventig domeinen verzonden. Van de 33 domeinen van NForce is in 28 verwerpelijke content aangetroffen. Na de melding vanuit het EOKM is 86 procent binnen 24 uur offline gehaald, nog eens elf procent tussen de 24 en 48 uur. De overige drie procent werd na 48 uur offline gehaald.
NForce vindt het onterecht dat het nu aan de schandpaal wordt genageld. Elimeleh: ‘Wanneer wij een fout maken, geven we dat toe. En in dit geval kan ik niet zeggen dat we te weinig hebben gedaan om het beeldmateriaal tijdig te verwijderen. We werken samen met het EOKM en het Meldpunt Kinderporno om de problematiek te bestrijden. Klanten die niet wilde meewerken, hebben we afgesloten.’
Welwillend
Arda Gerkens, directeur EOKM, bevestigt de welwillendheid van Nforce. ‘Nforce geeft goed gehoor aan onze meldingen en is een meewerkende partij. Over het algemeen halen hun klanten het ongewenste beeldmateriaal vrij snel weg. Ook zijn in de afgelopen tijd klanten afgesloten die niet wilde meewerken aan de notice and takedown-procedure. Ze doen dus echt wel wat in de strijd tegen kinderporno. Het probleem zit hem vooral in het volume van het beeldmateriaal dat op de servers van hun klanten wordt aangetroffen.’
Nu de conclusies op straat liggen, staat Nforce meer in contact met het EOKM om te kijken welke verbeteringen ze kunnen doorvoeren, vervolgt Gerkens. Een van die punten is om klanten te verplichten om de HasCheckService te gebruiken. ‘Nforce heeft een aantal image-hosters als klanten’, legt Gerkens uit. ‘Deze partijen zijn kwetsbaar voor het plaatsen van dit beeldmateriaal. Wij hebben in samenwerking met de politie de HasCheckService gebouwd. Deze gratis dienst scant servers en detecteert onrechtmatig beeldmateriaal. Nforce informeert zijn klanten van deze dienst, maar verplicht hen niet om deze in gebruik te nemen. Zij kunnen een proactieve houding aannemen en consequenties verbinden aan image-hosters die geen gebruik maken van deze service. Denk aan deze klanten per direct afsluiten. Daar valt zeker nog winst te halen.’
24 uur
Nforce werkte een flink deel (86 procent) van de meldingen binnen 24 uur weg. Volgens Elimeleh is het zelfs niet haalbaar om hier een honderd-procentscore op te behalen. ‘Relevant in dit kader is ook dat Nforce ruim negentig procent van alle image-based content host’, legt hij uit. ‘Wij hebben dus veruit de meeste meldingen te verwerken en scoren bovengemiddeld in het wegwerken van meldingen binnen 24 uur. We bedienen internationale klanten en hebben daardoor te maken met verschillende tijdzones. En soms bedienen onze klanten weer hun eigen klanten. Dan moeten we dus doordringen tot de derde rang. En soms komen meldingen op vrijdagmiddag binnen, waardoor er een weekend overheen gaat voor het materiaal is verwijderd.’
Een ander belangrijk punt waarom de 24-uursnorm niet wordt gehaald, is doordat Nforce het verzoek van overheidsinstanties krijgt om de content te laten staan. ‘In sommige gevallen wordt er vanuit instanties onderzoek gedaan naar de uploaders van deze content. Wanneer zij dit op een server hosten, krijgen wij het verzoek om dit niet te verwijderen omdat het onderdeel uitmaakt van het lopende onderzoek’, aldus Elimeleh.
De conclusie van Grapperhaus dat NForce te weinig doet om het beeldmateriaal te verwijderen, is volgens de directeur een verkeerde perceptie. ‘Ja, de absolute cijfers zijn echt te veel. Daar ben ik helemaal mee eens. Dit komt omdat wij ruim negentig procent van alle url’s hosten. Zeker als je kijkt naar het percentages van meldingen die wij binnen 24 uur wegwerken, dan mogen we niet op een zwarte lijst worden gezet worden.’ Hij vraagt zich af waarop gebaseerd wordt dat iemand niet meewerkt en hoe dat wordt gemeten.
Steltman (DINL) geeft toe dat het bij NForce een lastige kwestie is. ‘Het is een co-locatieprovider die ook webhosting biedt. Het bedrijf heeft zeker geen verkeerde houding, maar doet te weinig en heeft te laat gehandeld.’ In zijn ogen is de 24-uursnorm wel haalbaar, zeker met de geboden middelen zoals de HasCheckService en Abuse.io, een opensourcesysteem waarmee dit soort meldingen van kinderporno snel en effectief zijn te verwerken.
Tijdrovende klus
Uiteindelijk zijn alle partijen het met elkaar eens: kinderporno moet van internet verdwijnen. Elimeleh erkent dat Nforce in absolute aantallen de meeste url’s host en daarmee ook de meeste kinderporno gerelateerde url’s. ‘We hebben nog steeds het grootste aandeel en elk bestand is er één te veel. Kinderporno moet verdwijnen, net als elke andere vorm van misbruik. Denk aan spam, ransomware of inbreuk op het intellectueel eigendom. We zien het als onze taak om al deze vormen van criminaliteit weg te werken, waarbij kinderporno bovenaan de prioriteitenlijst staat.’
Volgens Steltman is Nederland goed bezig met de bestrijding van kinderporno. Dit kan wanneer alle betrokken partijen, zoals de overheid, de politie en het bedrijfsleven de krachten bundelen. ‘Het EOKM maakt een melding wanneer er foute content wordt aangetroffen, zo hebben we dat afgesproken met elkaar. Vervolgens moeten bedrijven een werkproces inrichten om deze content zo snel mogelijk te verwijderen. Met deze formule loopt Nederland voorop in Europa.’
Aanpak Grapperhaus
Minister Grapperhaus wil daarnaast dat de monitor van TU Delft een structureel karakter krijgt met periodieke rapportages. Daarnaast laat hij weten dat er wetgeving voor een bestuursrechtelijke handhaving met een toezichthouder in de maak is, zodat foute en lakse internetbedrijven straks een boete of een dwangsom riskeren als zij niet snel genoeg opvolging geven aan een melding van beeldmateriaal van kinderporno door deze te verwijderen van het openbare web. Ook wordt gekeken of de toezichthouder kan zo ook preventieve maatregelen kan gaan afdwingen bij bedrijven om vervuiling van het internet te voorkomen.
Na de eerste alinea haak ik in principe af, er valt m.i. weinig aan “de kwestie te bespreken”. Het gaat hier immers over kinderporno?
Joost,
Verder lezen is aan te raden omdat een ‘naming & shaming’ middels een onterechte framing op de loer ligt als je niet verder komt dan gebruikelijke ‘agitprop’ van een politieke agenda. Hoewel kinderporno verwerpelijke content is zijn de netwerken die deze content maken en verspreiden nog veel verwerpelijker en een onderzoek daarnaar kan niet als je direct elk spoor verwiijderd.