Het plan van het zogeheten Clean IT Project stelt uiteenlopende maatregelen voor die de deelnemende organisaties kunnen doorvoeren. Deelnemers zijn overheden, opsporingsdiensten, non-gouvernementele organisaties, internetbedrijven en belangenverenigingen. Het uitgelekte document bevat best practices die het project tot op heden heeft geformuleerd ter bestrijding van online-extremisme, zoals terroristische recrutering.

Hyperlinks illegaal verklaren

Implementatie van die anti-extremismemaatregelen is niet formeel verplicht. Het zogeheten Clean IT Project stelt juist een samenwerking na te streven van overheden en bedrijven. Het opleggen van wettelijke maatregelen is daarbij officieel niet het doel. Toch bevat het 'Detailed recommendations document for best practices and permanent dialogue' enkele punten die wel wettelijke veranderingen met zich meebrengen.

Daaronder het voorgestelde, intern nog niet aangenomen, punt om hyperlinks naar websites met terroristische content illegaal te verklaren, “net zoals de terroristische content zelf", omschrijft het document. Dit geldt dan voor partijen die bewust hyperlinks aanbieden naar content die als terroristisch valt te definiëren.

Meldingsplicht

Onder de al wel aangenomen punten staat dat internetbedrijven, waaronder hosters en access-providers, een meldingsplicht moeten krijgen voor terroristisch internetgebruik in hun infrastructuur. Die plicht moet wettelijk zijn en geldt zodra het bedrijf bewust wordt van dergelijke activiteit. Dat bewust worden kan door eigen onderzoek en detectie of juist door melding van gebruikers of externe organisaties. Het uitgelekte document stelt ook verplichte meldingsmechanismen voor die internetbedrijven moeten implementeren.

Daarnaast staat het voorstel voor een wettelijke plicht voor internetbedrijven om alle klantinformatie over te dragen die een opsporingsinstantie nodig heeft voor onderzoeken naar terroristisch gebruik van internet. Verder is er nog de maatregel om surveillance van sociale media door politie-agenten te legaliseren. Dat omvat dan het hebben van complete profielen op sociale netwerken, met alle mogelijkheden die reguliere gebruikers ook hebben.

Einde anonimiteit?

Onder de punten die nog ter discussie staan, bevindt zich onder meer een legalisatievoorstel voor internetbedrijven om hun gebruikers zich te laten identificeren. Dit dient dan als basis om een beleid voor echte identiteiten te kunnen doorvoeren.

Ook stelt het uitgelekte Clean IT-document wetgeving voor om internetbedrijven te verplichten 'redelijke detectie' op te zetten voor terroristisch gebruik van hun infrastructuur. Het 'redelijke' is afhankelijk van kosten en beschikbaarheid van technische middelen. Indien hier niet aan voldaan is, zal het internetbedrijf echter aansprakelijk te stellen zijn voor de bewuste content.

Geen 'notice en takedown'

Een ander 'to be discussed'-item is het inrichten van een makkelijke, legale manier om omstreden content te laten verwijderen. “Zonder het volgen van de meer arbeidsintensieve en formele procedures voor 'notice and take action'." Het document verwijst met dat laatste naar de 'notice en takedown', wat een vorm van zelfregulering is voor de internetindustrie. Hostingproviders kunnen daarbij aansprakelijk zijn voor mogelijk onrechtmatige content, maar hebben daarbij wel zelf de keuze of zij gehoor geven aan zo'n notice om die content offline te halen.

EU-wetten afstemmen

Deze voorgestelde maatregelen zijn vergezeld van het advies dat EU-lidstaten hun uiteenlopende wetgeving op dit gebied moeten analyseren en laten samengaan. Uitzonderingen op deze convergentie zijn alleen indien er specifieke nationale belangen of omstandigheden zijn die dergelijke verschillen rechtvaardigen. Minister Ivo Opstelten van Justitie en Veiligheid heeft in april dit jaar al zijn EU-collega's een steunverzoek gestuurd voor het Clean IT Project.

Dit alles blijkt uit een vertrouwelijk PDF-document van het Clean IT Project dat is opgezet door het Nederlandse ministerie van Justitie en Veiligheid. Het bestand dat Webwereld in handen heeft gekregen, is alleen bedoeld voor organisaties die al meedoen aan het EU-project, en dan alleen voor bepaalde mensen. “De ontvanger mag dit document alleen delen met anderen in hun organisatie op een 'need-to-know'-basis", staat bovenaan elk van de 23 pagina's.

Update 12.06: Het plan is inmiddels ook door EDRI online gezet.

Update 14.58: Clean IT vindt dat organisaties als EDRI en andere privacywaakhonden te vroeg tot de conclusie komen dat er werkelijk over maatregelen wordt gesproken. "Het document is bedoeld om de discussie richting te geven en vat samen wat mogelijk oplossingen en ideeën zijn die nog geëvalueerd moeten worden door alle partners, in het openbaar en achter gesloten deuren", schrijft Clean IT. "We willen benadrukken dat de meeste maatregelen geen effect hebben op online vrijheden en de voor- en nadelen van de mogelijke maatregelen worden nog bediscussieerd." Clean IT meldt dat begin volgend jaar de uiteindelijke vaststelling van het document is en dat dan "alle documenten die hiermee een relatie hebben, worden vrijgegeven."