Die einde van privaatheid? Agterdeure, die Online Safety Act en die reaksie van soewereine ekosisteme

Wed, 10 Jun 2026 00:00:00 +0000

Londen het die episentrum geword van ’n wêreldwye stryd om die toekoms van digitale privaatheid. Met die aanvaarding van die Online Safety Act 2023 (OSA) en onlangse voorgestelde hersienings aan die Investigatory Powers Act (IPA) — deur sy kritici die “Spioene se Handves” genoem —, eis die Britse regering die reg op om toesigverpligtinge in die hartjie van private kommunikasie af te dwing. Die breekpunt is die mag wat aan die reguleerder OFCOM verleen is om te vereis dat platforms “geakkrediteerde tegnologie” ontplooi om materiaal oor seksuele misbruik van kinders (CSEA) of terrorisme op te spoor, selfs binne einde-tot-einde geënkripteerde kommunikasie.

Vir die groot digitale platforms is Westminster se boodskap ondubbelsinnig: óf hulle fasiliteer staatstoegang tot hul infrastruktuur, óf hulle staar boetes van tot 10% van hul wêreldwye inkomste in die gesig. Die reaksie was onmiddellik: dienste soos Signal en WhatsApp het in die openbaar gedreig om aan die Britse mark te onttrek, en weier om hul gebruikers se sekuriteit in gevaar te stel om ’n enkele jurisdiksie tevrede te stel. Die tegniese argument is moeilik om te betwis: daar is geen meestersleutel wat slegs vir wettige akteurs gereserveer is nie. ’n Oop deur vir wetstoepassing is, by ontwerp, ’n oop deur vir kubermisdadigers en buitelandse intelligensiedienste.

Die sakemodel van groot platforms: ’n strukturele hindernis vir Zero-Knowledge

Die weerstand van groot platforms teen die aanvaarding van Zero-Knowledge enkripsie word nie verklaar deur ’n tegniese onvermoë nie, maar deur ’n fundamentele ekonomiese onversoenbaarheid. Maatskappye soos Alphabet en Meta maak staat op monetiseringsmodelle wat gebaseer is op die sistematiese insameling van gedragsdata. Hierdie model word terloops implisiet erken deur die Europese Unie se Wet op Digitale Markte (DMA), wat hierdie “poortwagters” (gatekeepers) klassifiseer as entiteite wie se dominante posisie juis gevoed word deur die versameling van data op ’n ongeëwenaarde skaal. Vir hierdie akteurs sou die aanvaarding van ’n Zero-Knowledge-argitektuur beteken dat hul advertensiestelsels ontneem word van die deurlopende identifikasie van gebruikers wat die brandstof daarvan uitmaak. Dit is dus nie ’n tegniese keuse nie, maar ’n afweging tussen gebruikersprivaatheid en die lewensvatbaarheid van hul sakemodel.

Die strategiese risiko: die “Harvest Now, Decrypt Later” bedreiging

Buiten die debat oor privaatheid, opper die verswakking van enkripsie ’n nasionale veiligheidskwessie van ’n heel ander omvang. Die strategie bekend as Harvest Now, Decrypt Later (HNDL) behels dat staats-teenstanders vandag massiewe volumes geënkripteerde kommunikasie onderskep en stoor, in afwagting van toekomstige kwantum-dekripsievermoëns. Deur huidige enkripsiestandaarde te verswak, fasiliteer die Britse wetgewende raamwerk objektief hierdie tipe operasies teen regerings-, diplomatieke of industriële kommunikasie.

Dit is presies in hierdie konteks van ’n trusttekort dat ekosisteme soos dié van Arpokrat operasionele relevansie verkry. Deur te werk onder die regime van die Switserse Federale Wet op Databeskerming (FADP), met ’n argitektuur wat geen siviele identifiseerders insamel nie, bied Arpokrat ’n tegniese breuk met infrastrukture wat onderhewig is aan Britse jurisdiksie — wat waarborg dat die stelsel ondoordringbaar bly teen die bevele wat deur die OSA voorsien word.

Die botsing van norme: OSA en IPA teen Europese reg

Die regsanalyse van die nuwe Britse staatsvoorregte onthul ’n direkte botsing met die fondamente van die Europese reg rakende databeskerming en die vertroulikheid van kommunikasie.

OSA teen die verbod op algemene toesig

Artikel 121 van die OSA stel die moontlikheid vir OFCOM in om bevele uit te reik wat platforms dwing om kliëntkant-skandering (client-side scanning) te implementeer. Hierdie maatreël is in direkte stryd met die beginsel, afkomstig uit Europese reg en opgeneem in die regspraak van die HvJE (Hof van Justisie van die EU), wat algemene toesigverpligtinge verbied. Deur ’n “kwesbaarheid deur ontwerp” af te dwing, plaas dit maatskappye ook in ’n situasie van ’n dubbele binding: deur hul sekuriteit te verswak om aan ’n staatsmandaat te voldoen, versuim hulle hul verpligting om ’n vlak van sekuriteit te waarborg wat gepas is vir die verwerking, soos vasgelê in Artikel 32 van die GDPR.

Die ePrivacy-richtlijn en die vertroulikheid van kommunikasie

Die skandering van private boodskappe is in direkte teenstrydigheid met Artikel 5, paragraaf 1, van Richtlijn 2002/58/EG (ePrivacy), wat lidlande verplig om die vertroulikheid van elektroniese kommunikasie te waarborg en enige vorm van onderskepping of toesig sonder die uitdruklike toestemming van die betrokke gebruikers verbied.

Technical Capability Notices en die blokkering van sekuriteitsopdaterings

Onder die bepalings van die IPA 2016 beoog die Britse regering nou om Technical Capability Notices (TCN) te gebruik om sekuriteitsopdaterings teë te staan voordat dit ontplooi word. Hierdie meganisme skep ’n onoplosbare konflik met die verpligting, gestel deur Artikel 32 van die GDPR, om die deurlopende sekuriteit van verwerkingstelsels te verseker — ’n verpligting wat juis die vermoë vereis om pleisters sonder versuim of eksterne inmenging toe te pas.

Voldoeningsrisiko’s vir maatskappye wat in Europa werksaam is

Die hersienings van die IPA is daarop gemik om maatskappye te dwing om die Britse regering in kennis te stel van enige tegniese wysiging wat sekuriteit raak, voor die implementering daarvan, en gee hulle sodoende ’n vetoreg oor produkontwikkeling. Hierdie inmenging skep aansienlike regsonsekerheid vir verskaffers wat in die Europese mark werksaam is: die Britse voldoening aan Europese reg — wat reeds broos is — kan bevraagteken word as die VK nie meer beskerming waarborg wat wesenlik gelykwaardig is aan dié van die GDPR nie. Data-oordragte na die VK onder hierdie nuwe raamwerk sou maatskappye dus waarskynlik blootstel aan sanksies onder die GDPR.

Verdediging deur tegniese onmoontlikheid: die Zero-Knowledge beginsel as ’n wettige skild

Internasionale regspraak, gekonsolideer deur die Schrems I en Schrems II uitsprake van die HvJE, het ’n bepalende beginsel gevestig: die enigste robuuste beskerming teen disproporsionele toesig is die tegniese onmoontlikheid van toegang daartoe. Zero-Knowledge argitekture pas hierdie beginsel toe in drie lae van beskerming:

Afwesigheid van bewaring: aangesien die platform nie die dekripsiesleutels hou nie, is enige bevel om boodskappe te skandeer tegnies onuitvoerbaar;
Soewereiniteit van die bedryfstelsel: die beheer van ArpokratOS skakel telemetrie uit wat intelligensie-insameling op toestelvlak voed;
Switserse jurisdiksionele anker: deur sy infrastruktuur in Switserland te huisves, werk Arpokrat onder ’n wettige regime wat geïndividualiseerde en gemotiveerde versoeke vir wedersydse regshulp vereis, wat die outomatiese uitvoering van massa-skanderings wat deur die OSA voorsien word, neutraliseer.

Gevolgtrekking

Die bepalings van die OSA en die hersienings van die IPA is nie net ’n bedreiging vir die privaatheid van individue nie: dit verteenwoordig ’n breuk in regsekerheid vir alle Europese data wat deur infrastrukture beweeg wat onderhewig is aan Britse jurisdiksie. Deur die verswakking van enkripsie in die naam van openbare veiligheid te legitimeer, stel Londen sy bondgenote en handelsvennote paradoksaal bloot aan risiko’s van industriële en staatsspioenasie wat Zero-Knowledge argitekture juis ontwerp is om te voorkom.

Die integriteit van professionele en institusionele kommunikasie vereis nou ’n strukturele reaksie: die migrasie na gedesentraliseerde ekosisteme wat digitale soewereiniteit waarborg, van die kodevlak tot by die jurisdiksionele anker.

GDPR on Arpokrat