EU's "Chatcontrole" verschuift opnieuw: Deens compromis gaat door naar ambassadeurs, critici waarschuwen voor "achterdeur" scannen via risicoregels

Nationale ambtenaren in de werkgroep Rechtshandhaving van de Raad kwamen op 12 november bijeen en hebben, volgens meerdere beleidsbriefings en berichtgeving in de media, brede steun betuigd aan een herzien compromis onder leiding van Denemarken over de EU-verordening inzake seksueel misbruik van kinderen (vaak "Chat Control" genoemd). Het ontwerp schrapt expliciete, verplichte opsporingsbevelen, maar voegt artikel 4 verplichtingen voor "risicobeperkende maatregelen" toe. Deze wijziging zal nu naar verwachting ter overweging worden voorgelegd aan COREPER (de ambassadeurs van de EU-landen, oftewel het Comité van Permanente Vertegenwoordigers)

De Deense tekst schrapt het eerdere, harde mandaat om privécommunicatie te scannen en stelt detectie voor als "vrijwillig", terwijl diensten met een hoog risico verplicht worden om "alle passende risicobeperkende maatregelen" te implementeren onder Artikel 4; critici zeggen dat dit gebruikt kan worden om scannen in de praktijk verplicht te stellen, inclusief bij end-to-end versleutelde diensten. Beleidsuitleg wijst ook op evaluatiemechanismen en handhavingsinstrumenten die sterke stimulansen kunnen creëren om scantools te gebruiken, ondanks het "vrijwillige" label

End-to-end versleuteling is zo ontworpen dat alleen de verzender en ontvanger berichten kunnen lezen; scannen betekent meestal het controleren van inhoud voordat deze op gebruikersapparaten wordt versleuteld, wat volgens voorstanders van beveiliging de privacy en systeemveiligheid verzwakt. Het eerdere standpunt van het Parlement verwerpt algemeen, willekeurig scannen en wil encryptie beschermen. Dit zou tot een potentieel conflict kunnen leiden, als de lijn van de Raad gebaseerd is op artikel 4 om aanbieders aan te zetten tot client-side scannen. Bovendien bleek in april 2024 uit een uitgelekt ontwerp , waarover Contexte berichtte, dat de ministeries van Binnenlandse Zaken van de EU van plan waren om het scannen aan de client-side aan te pakken dat de ministeries van Binnenlandse Zaken van de EU uitzonderingen wensten voor professionele accounts en "vertrouwelijke informatie" van elke regeling voor bulkscanning, wat kritiek opleverde van Europarlementariër Patrick Breyer en rechtengroeperingen over een vermeende dubbele standaard.

De Commissie stelde CSAR in mei 2022 voor om een permanent kader te creëren voor het opsporen, rapporteren en verwijderen van kindermisbruikmateriaal, met inbegrip van een EU-centrum; de controverse concentreerde zich vanaf het begin op de risico's van massale scanning en versleuteling. In 2023 en 2024 slaagden meerdere debatten in de Raad en het Parlement er niet in om de standpunten met elkaar te verzoenen, en een hardere push voor mandaten strandde in oktober 2025 toen er geen gekwalificeerde meerderheid kon worden gevonden, wat Denemarken ertoe aanzette om over te gaan tot het huidige compromis

Analyses van het nieuwe ontwerp zeggen dat artikel 4 aanbieders die als risicovol worden beschouwd, verplicht om "alle passende risicobeperkende maatregelen" te implementeren, waaronder het scannen van apparaten op bekend en nieuw materiaal; campagnevoerders beweren dat dit neerkomt op "de facto" detectie zonder het te benoemen. In commentaren wordt ook de bezorgdheid geuit dat haken voor identiteits-/leeftijdsverificatie de anonimiteit volledig zouden kunnen uithollen. Dit zou ergere gevolgen kunnen hebben voor journalisten, activisten en klokkenluiders.

Als het Coreper de tekst goedkeurt, zouden de ministers een standpunt van de Raad kunnen innemen en trialooggesprekken met het Europees Parlement kunnen beginnen om tot een definitieve overeenkomst te komen; de timing is nogal krap, aangezien het voorzitterschap van Denemarken in december afloopt en Polen het in januari zal overnemen. Waarnemers verwachten dat encryptiebeschermingen, de reikwijdte van een eventuele scan en de rol van het EU-centrum centrale onderhandelingspunten zullen zijn als de onderhandelingen beginnen.

Privacy- en digitale-rechtengroeperingen waarschuwen dat "vrijwilligheid plus risicobeperking" platforms onder druk zou kunnen zetten om te scannen als veilige haven voor naleving, waardoor encryptie zelfs zonder expliciete mandaten zou kunnen worden aangetast. Volgens meer neutrale sprekers zal er geen automatische EU-brede scanning van ieders berichten plaatsvinden, tenzij er formeel één enkele overeengekomen wet wordt aangenomen, en volgens de aanpak van het Parlement zou scanning alleen plaatsvinden via specifieke, in de tijd beperkte bevelen die per geval door een rechtbank of onafhankelijke autoriteit worden goedgekeurd. In elk geval zal elk toekomstig scanregime (idealiter) te maken krijgen met rechten uit het EU-Handvestmet name artikel 7 over privéleven en communicatie en artikel 8 over persoonsgegevens en onafhankelijk toezicht.