Dilan Yeşilgöz-Zegerius diende bijna een jaar geleden als minister J&V een wet in die moet leiden tot de oprichting van een Autoriteit Online Terroristisch en Kinderpornografisch Materiaal. Hierin is wat betreft het blokkeren van toegang tot kinderpornografisch materiaal nog heel veel mis. In het voorstel staan maatregelen die doen voorkomen alsof internet sinds 2009 geen wezenlijke verandering heeft ondergaan.
Voorjaar 2021 werd door minister Grapperhaus een consultatie uitgezet, die toen al kritische reacties losmaakte. Het voorstel van de wet uit juni 2023 werd in september van dat jaar niet-controversieel verklaard en is daarna alleen schriftelijk behandeld. Er zijn geen commissievergaderingen of hoorzittingen geweest. Nu is het echter wel direct voor plenaire behandeling in mei in de Tweede Kamer op de rol gezet.
Gehost
Voor het detecteren en verwijderen van kinderporno op websites die in Nederland gehost worden, bestaat al jaren een effectieve samenwerking tussen het ministerie van Justitie en Veiligheid, de Nationale Politie en de hostingbranche. Maar omdat Nederland als internetknooppunt verhoudingsgewijs veel kinderpornografisch materiaal op haar grondgebied heeft (en de overheid moeite heeft om een paar moedwillige hosters van kinderporno te bestrijden), werd de Tweede Kamer al op 7 februari 2018 geïnformeerd over initiatieven voor de aanpak van online seksueel kindermisbruik. Een van deze initiatieven was een onderzoek naar de mogelijkheden om middels het bestuursrecht op te treden tegen aanbieders van hostingdiensten die al dan niet ongewild betrokken zijn bij de opslag of doorgifte van online kinderpornografisch materiaal, maar daar niet (tijdig) tegen optreden.
In de hoofdlijnen voor het huidige wetsvoorstel zijn het niet alleen de bedrijven waar het kinderpornografisch materiaal op servers beschikbaar wordt gemaakt, die onder de nieuwe regelgeving gaan vallen. De memorie van toelichting begint nu met de observatie dat er voor het opslaan en verspreiden van gegevens ook vaak gebruik gemaakt wordt van aanbieders van communicatiediensten. Ook die zijn aan te spreken op een verantwoordelijkheid om maatregelen te treffen tegen doorgifte of opslag van onwettige informatie, conform een Europese richtlijn uit 2000 inzake met name de elektronische handel in de interne EU-markt. En dus gaat dit wetsvoorstel niet alleen mogelijk maken dat er een bindende aanwijzing is te geven aan hosters, maar ook aan Nederlandse internettoegangsproviders. Een derde type aanbieder zijn de cachingbedrijven, zo blijkt uit de memorie van toelichting.
Verplichten
Terwijl onze regering zich zorgen maakt over de manier waarop de Europese Commissie bedrijven wil verplichten om maatregelen te treffen ter voorkoming dat hun diensten worden misbruikt voor terroristisch en kinderpornografisch materiaal, gaat ze nu bij deze nationale wetgeving zelf in de fout. Niet alleen loopt ze te ver voorop, ze dreigt ook de Nederlandse toegangsproviders eenzijdig en disproportioneel op zadelen met hoge kosten voor een nu al niet-effectieve maatregel als geautomatiseerde dns-blokkade. Dat met name de bewuste ontvangers en verspreiders van terroristisch en kinderpornografisch materiaal een dns-blokkade ook makkelijk kunnen omzeilen, ligt voor de hand.
Zelf heb ik ooit eens thuis de dns-instelling van mijn glasvezelrouter gewijzigd om niet meer de dns-servers van de internetwerkprovider te gebruiken, maar die van Cloudflare en Google. En die gaan niet automatisch per land blokkades doorvoeren. De dns-servers van toegangsproviders zijn non-authoritief en bevatten slechts een recente update van de officiële vertaaltabel van naam naar ip-adres. Ik bepaal zelf wel of ik in mijn woning de website van Russia Today in mijn webbrowser kan aanroepen, ook zonder een vpn of web-proxy te moeten gebruiken.
Fenomeen
We zien nog een fenomeen. In hoog tempo vindt dns-resolving plaats via upd en quic, waarbij apps als Instagram en een browser als Firefox gebruikmaken van dns-over-https, tls of quic. Al in 2020 kondigde Cloudflare de overgang naar oblivious dns over https (doh) aan. Apple springt met Private Relay op de iPhone dat nu wordt ingevoerd ook over de systemen van de toegangsprovider heen voor dns-resolving. Deze geoptimaliseerde tweetrapsraket maakt dat netwerproviders, maar ook Apple zelf, niet meer kunnen zien wie welke websites bezoekt. Ook de ooit door KPN als wondermiddel tegen Whatsapp gepresenteerde Deep Packet Inspection (DPI), wat tot felle protesten en versterken van het begrip ‘netneutraliteit’ in Nederland heeft geleid, is hiermee een achterhaald middel geworden.
Maar als ze de waarschuwingen zoals in de consultatie geuit – en hier herhaald – niet serieus nemen, gaan onze Tweede Kamerleden op 15 mei een gevaarlijk precedent scheppen. En bovendien de Nederlandse toegangsproviders eenzijdig opzadelen met een binnenkort volkomen achterhaalde en gevaarlijke verplichting om zonder toestemming van een rechter-commissaris geautomatiseerd de naam-nummer-omzetting te kunnen blokkeren op privacy-onvriendelijke dns-servers die binnenkort voor de meeste internetgebruikers toch verleden tijd zijn.
