Londen is het epicentrum geworden van een wereldwijde strijd om de toekomst van digitale privacy. Met de aanname van de Online Safety Act 2023 (OSA) and recente voorstellen tot herziening van de Investigatory Powers Act (IPA) — door critici de “Snoopers’ Charter” genoemd —, eigent de Britse regering zich het recht toe om bewakingsverplichtingen op te leggen in het hart van privécommunicatie. Het breekpunt is de bevoegdheid die aan toezichthouder OFCOM is verleend om te eisen dat platforms “geaccrediteerde technologie” inzetten om materiaal van seksueel kindermisbruik (CSEA) of terrorisme te detecteren, inclusief binnen end-to-end versleutelde communicatie.
Voor grote digitale platforms is de boodschap uit Westminster ondubbelzinnig: of ze faciliteren toegang voor de staat tot hun infrastructuren, of ze riskeren boetes die kunnen oplopen tot 10% van hun wereldwijde omzet. De reactie was onmiddellijk: diensten als Signal en WhatsApp hebben publiekelijk gedreigd zich terug te trekken uit de Britse markt, omdat ze weigeren de veiligheid van hun gebruikers in gevaar te brengen om aan één enkele jurisdictie te voldoen. Het technische argument is onweerlegbaar: er bestaat geen loper of moedersleutel die exclusief is voorbehouden aan legitieme actoren. Een open deur voor wetshandhavers is, per definitie, een open deur voor cybercriminelen en buitenlandse inlichtingendiensten.
Het verdienmodel van grote platforms: een structurele hindernis voor Zero-Knowledge
De weerstand van grote platforms tegen de adoptie van Zero-Knowledge-encryptie wordt niet verklaard door technische onbekwaamheid, aleen door een fundamentele economische onverenigbaarheid. Bedrijven als Alphabet en Meta leunen op verdienmodellen die zijn gebaseerd op de systematische verzameling van gedragsgegevens. Dit model wordt overigens impliciet erkend door de Digital Markets Act (DMA) van de Europese Unie, die deze “poortwachters” (gatekeepers) aanmerkt als entiteiten wiens dominante positie juist wordt gevoed door de accumulatie van gegevens op een ongeëvenaarde schaal. Voor deze actoren zou het adopteren van een Zero-Knowledge-architectuur betekenen dat hun advertentiesystemen worden beroofd van de continue identificatie van gebruikers die de brandstof ervan vormt. Het is dan ook geen technische keuze, maar een afweging tussen de privacy van de gebruiker en de levensvatbaarheid van hun bedrijfsmodel.
Het strategische risico: de “Harvest Now, Decrypt Later” dreiging
Voorbij het debat over privacy werpt de verzwakking van encryptie een nationale veiligheidskwestie op van een heel andere omvang. De strategie die bekendstaat als Harvest Now, Decrypt Later (HNDL) houdt in dat statelijke tegenstanders vandaag massale hoeveelheden versleutelde communicatie onderscheppen en opslaan, in afwachting van toekomstige kwantum-decryptiecapaciteiten. Door de huidige encryptiestandaarden te verzwakken, faciliteert het Britse wettelijke kader objectief dit soort operaties tegen regerings-, diplomatieke of industriële communicatie.
Het is precies in deze context van een vertrouwenstekort dat ecosystemen zoals dat van Arpokrat operationele relevantie verkrijgen. Door te opereren onder het regime van de Zwitserse Federale Wet op de Gegevensbescherming (WGB/FADP), met een architectuur die geen civiele identificatiemiddelen verzamelt, biedt Arpokrat een technische breuk met infrastructuren die onderworpen zijn aan de Britse jurisdictie — wat garandeert dat het systeem doof blijft voor de bevelen die door de OSA zijn voorzien.
Het conflict van normen: OSA en IPA versus Europees recht
De juridische analyse van de nieuwe Britse staatsprerogatieven onthult een directe botsing met de fundamenten van het Europees recht inzake gegevensbescherming en de vertrouwelijkheid van communicatie.
OSA versus het verbod op algemeen toezicht
Artikel 121 van de OSA introduceert de mogelijkheid voor OFCOM om bevelen uit te vaardigen die platforms verplichten tot het implementeren van client-side scanning (client-side scanning). Deze maatregel druist rechtstreeks in tegen het principe, ontleend aan het Europees recht en verankerd in de jurisprudentie van het HvJ-EU, dat algemene toezichtsverplichtingen verbiedt. Door een “kwetsbaarheid door ontwerp” op te leggen, brengt het bedrijven tevens in een spagaat: door hun beveiliging te verzwakken om aan een staatsmandaat te voldoen, schieten ze tekort in hun verplichting om een passend beveiligingsniveau voor de verwerking te waarborgen, zoals vastgelegd in artikel 32 van de GDPR.
De ePrivacy-richtlijn en de vertrouwelijkheid van communicatie
Het scannen van privéberichten is in directe strijd met artikel 5, lid 1, van Richtlijn 2002/58/EG (ePrivacy), dat lidstaten verplicht de vertrouwelijkheid van elektronische communicatie te waarborgen en elke vorm van interceptie of surveillance verbiedt zonder de uitdrukkelijke toestemming van de betrokken gebruikers.
Technical Capability Notices en het blokkeren van beveiligingsupdates
Onder het regime van de IPA 2016 is de Britse regering nu van plan om Technical Capability Notices (TCN) te gebruiken om zich te verzetten tegen beveiligingsupdates voordat ze worden uitgerold. Dit mechanisme creëert een onoplosbaar conflict met de verplichting, gesteld door artikel 32 van de GDPR, om de continue beveiliging van verwerkingssystemen te garanderen — een verplichting die juist de capaciteit vereist om patches toe te passen zonder uitstel of externe inmenging.
Compliance-risico’s voor bedrijven die actief zijn in Europa
De herzieningen van de IPA zijn erop gericht bedrijven te verplichten de Britse regering op de hoogte te stellen van elke technische wijziging die de beveiliging beïnvloedt, voorafgaand aan de implementatie ervan, waardoor zij effectief een vetorecht krijgt over de productontwikkeling. Deze inmenging veroorzaakt aanzienlijke rechtsonzekerheid voor leveranciers die actief zijn op de Europese markt: de Britse adequaatheid voor Europees recht — die al broos is — zou ter discussie kunnen worden gesteld als het VK niet langer een bescherming garandeert die substantieel gelijkwaardig is aan die van de GDPR. Datatransfers naar het VK onder dit nieuwe kader zouden bedrijven bijgevolg blootstellen aan sancties op grond van de GDPR.
Verdediging door technische onmogelijkheid: het Zero-Knowledge-principe als juridisch schild
De internationale jurisprudentie, geconsolideerd door de arresten Schrems I en Schrems II van het HvJ-EU, heeft een doorslaggevend principe vastgesteld: de enige robuuste waarborg tegen buitensporige surveillance is de technische onmogelijkheid om er toegang toe te krijgen. Zero-Knowledge-architecturen vertalen dit principe in drie beschermingslagen:
- Afwezigheid van bewaring: aangezien het platform niet beschikt over de decryptiesleutels, is elk bevel om berichten te scannen technisch onuitvoerbaar;
- Soevereiniteit van het besturingssysteem: de controle over ArpokratOS elimineert de telemetrie die inlichtingengaarring op apparaatniveau voedt;
- Zwitserse jurisdictionele verankering: door zijn infrastructuur in Zwitserland te hosten, opereert Arpokrat onder een wettelijk regime dat geïndividualiseerde en gemotiveerde verzoeken om wederzijdse rechtshulp vereist, wat de geautomatiseerde uitvoering van de massale scans zoals voorzien door de OSA neutraliseert.
Conclusie
De bepalingen van de OSA en de herzieningen van de IPA vormen niet alleen een bedreiging voor de privacy van individuen: ze vertegenwoordigen een inbreuk op de rechtszekerheid voor alle Europese gegevens die passeren via infrastructuren die onderworpen zijn aan de Britse jurisdictie. Door de verzwakking van encryptie te legitimeren in het belang van de openbare veiligheid, stelt Londen zijn bondgenoten en handelspartners paradoxaal genoeg bloot aan risico’s op industriële en statelijke spionage die Zero-Knowledge-architecturen juist ontworpen zijn te voorkomen.
De integriteit van professionele en institutionele communicatie vereist nu een structureel antwoord: de migratie naar gedecentraliseerde ecosystemen die digitale soeveriniteit garanderen, vanaf het codeniveau tot aan de jurisdictionele verankering.