Is een identificatieplicht op social media een goed idee?

De afgelopen tijd is het publieke debat gestart over een eventuele identificatieplicht voor socialmediaplatforms. Daar heb ik een aantal vragen over.

Er loopt natuurlijk al langer een discussie over dit onderwerp. Zo startte Gordon Heuckeroth een vrij succesvolle petitie die hij aanbod bij toenmalig minister Dekker voor Rechtsbescherming. Later kreeg hij steun van D66-leider Sigrid Kaag, die inmiddels aangeeft te overwegen te stoppen met haar politieke carriere voor de veiligheid van haar en haar gezin.

Daar kwam de afgelopen maand ook de open brief van Vera Bergkamp bij, voorzitter van de Tweede Kamer. Deze was gericht aan Twitter, en bevatte een oproep om strenger op te gaan treden tegen haatdragende berichten op sociale media. Op zichzelf lijkt dit niet heel relevant, ware het niet dat haar partijgenoot Hind Dekker-Abdulaziz het plan nog eens op tafel gooide in een vergadering op 14 juni van de vaste commissie voor Digitale Zaken en de vaste commissie voor Binnenlandse Zaken.

En daarmee is de discussie gestart. Hierbij een aantal vragen die mij mij opkomen, samen met de informatie die ik erover heb kunnen vinden.

Voor welke platforms zou dit dan gelden?

Er zijn een aantal platforms die direct bij mij opkomen: de grotere platforms als Twitter, Facebook, Instagram, YouTube, TikTok, LinkedIn en gelijke partijen. Sinds deze week zou hier bijvoorbeeld ook de nieuwe Twitter-concurrent Threads onder kunnen vallen.

Voor deze partijen zou het wellicht technisch nog haalbaar zijn om dit uit te voeren. Heel simpel gezegd zouden zij de identiteit van hun gebruikers moeten bevestigen via een systeem als eIDAS, eHerkenning, DigiD of welke term je toevallig ook bekend voorkomt. Dat maakt me nog niet eens zoveel uit.

De identiteit zou dan bekend zijn voor de socialmediaplatforms, maar niet per se voor andere gebruikers van het platform. Zo zou een gebruiker nog steeds kunnen kiezen om online een andere naam te hanteren, die enkel achter de schermen is gekoppeld aan de daadwerkelijke identiteit van de gebruiker.

Tot zover gaat het allemaal nog goed. Dan even terug naar de originele vraag: wie moeten zich hier allemaal aan gaan houden? Er zijn een aantal grote platforms, maar als je gaat kijken naar het aantal platforms waar men reacties kan achterlaten, kom je op duizenden websites uit. Moet NU.nl haar reactiemogelijkheid dan ook gaan koppelen aan de echte identiteit van gebruikers?

Een mogelijkheid zou zijn om enkel platforms met een minimumaantal gebruikers te verplichten dit te doen. Vanwege de technische haalbaarheid, maar ook omdat hun bereik nou eenmaal veel groter is dan dat van andere platforms. Zo zou je bijvoorbeeld kunnen kiezen voor elk platform met minimaal 1 miljoen gebruikers in Nederland. Dat zijn er acht, als je de reactiemogelijkheid van websites niet meetelt.

En daar ontstaat weer een probleem: er zijn tegenwoordig ook gedecentraliseerde socialmediaplatforms, zoals Mastodon of Nostr. Dit zijn servers die aan elkaar worden gekoppeld, waardoor elke individuele server een veel kleiner aantal gebruikers heeft dan het totale netwerk. Hierdoor zou geen enkele server boven de grens uit hoeven komen.

Gebruikers die kwaadwillend zijn, zouden ook nog hun eigen server kunnen opzetten en aansluiten op het netwerk, waardoor ze direct de regelgeving omzeilen. Je controleert dan effectief enkel de mensen die juist wel goede intenties hebben. Vrij zinloos, zo lijkt me.

Wie krijgt toegang tot de identiteit van gebruikers?

De socialmediaplatforms zelf hebben deze gegevens niet nodig om te kunnen modereren. Het is prima mogelijk om te beoordelen of een bericht of reactie voldoet aan de guidelines van een platform of aan de geldende wet- en regelgeving, zonder te weten wie deze geschreven heeft.

Deze gegevens zouden mijns inziens alleen relevant kunnen zijn bij eventuele strafvervolging. Waarschijnlijk zou de politie of het Openbaar Ministerie de bevoegdheid krijgen om deze gegevens op te vragen bij socialmediaplatforms. Even afgezien van de gebruikelijke privacybezwaren, heb ik daar in de basis niet zoveel moeite mee. Het is echter niet nuttig, om een ander punt dat privacy-expert Floor Terra eerder al aankaartte:

Je kunt de platforms in kwestie redelijkerwijs enkel dwingen om de gegevens van mensen binnen Nederland of binnen de Europese Unie op te slaan en op verzoek af te geven. Hiervoor heb je dus een manier nodig om te weten uit welke regio een gebruiker komt. Daar gebruik je normaliter een IP-adres voor. Als je deze hebt, kun je echter al via de internetprovider de identiteit (of in ieder geval een woonadres) afdwingen. Dit gebeurt ook al.

Het probleem ontstaat ook hier: een gebruiker die de identificatieplicht zou willen omzeilen, hoeft enkel een VPN in te schakelen, en zijn of haar locatie aan te passen naar een locatie buiten de Europese Unie. Vanaf dat moment is de gebruiker niet meer via de internetprovider te achterhalen. De identificatieplicht biedt hier echter geen oplossing, omdat de gebruiker hier ook niet meer onder valt. Je bent dus niets opgeschoten.

Wat nu?

Er zit een flink aantal aannames in dit verhaal. Er is namelijk nog maar heel weinig bekend over het voorstel van D66, zoals ze dat in de commissie hebben geslingerd. Voor zover ik weet, is er nog geen officieel voorstel ingediend met een technische uitwerking. Ik vermoed echter dat dat er nooit gaat komen, en dat dit een loze discussie is. Als iemand namelijk echt aan de slag gaat met het schrijven van een conceptuitwerking, komt diegene er als het goed is ook achter dat dit plan niet gaat werken.

Alle energie die er al in gestoken is, had bespaard kunnen zijn, als er meer mensen met verstand van digitale zaken in de Tweede Kamer zouden zitten. Voorlopig ziet dat er bijzonder triest uit, maar er is hoop: er komen nieuwe verkiezingen aan! Vraag aan je partij wie de IT-experts op hun lijst zijn, en durf door te vragen op hun ervaring.