Op sociale media zijn allerlei mensen te vinden die uit frustratie, met kwaadaardgie bedoelingen, of anderszins allerlei misinformatie en haat verspreiden. Omdat dat behoorlijk ernstige vormen kan aannemen door zowel de ernst van indivuduele berichten als de soms constante stroom aan berichten kan de impact enorm zijn. Het is dan ook volkomen begrijpelijk dat mensen hier iets aan willen doen. Daarbij komt opvallend vaak de gedachte langs dat omdat mensen denken dat mensen anoniem zijn op sociale media ze daarom ander gedrag tonen en misdragingen niet aangepakt kunnen worden. Met die gedachte is het ook niet vreemd dat de oplossing ook in die anonimiteit wordt gezocht.

Vandaag kwam Hind Dekker-Abdulaziz met een voorstel dat ook in deze lijn ligt. Dat bericht heeft mij overgehaald om een stuk te schrijven. Ik snap namelijk niet zo goed wat zo’n voorstel in de praktijk betekent. Maar ik zie wel een aantal vrij fundamentele vragen die ik niet beantwoord krijg.

Wie moet de identiteitsgegevens gebruiken?

Voorstellen zijn zelden specifiek over wie toegang moet krijgen tot de identiteitsgegevens. Op het moment dat alle gebruikers van een platform toegang moeten krijgen tot elkaars echte identiteit brengt dat allerlei ernstige risico’s met zich mee. Ik kan mij bijvoorbeeld voorstellen dat activistische clubjes die mensen met een voor hun ongewenste mening lastig vallen in de fysieke wereld die gegevens kunnen gebruiken om nog meer mensen lastig te vallen. Als lastig gevallen worden op sociale media al niet vervelends genoeg is moet het waarschijnlijk nog meer impact hebben als je opeens een sticker op je voordeur hebt zitten met de mededeling dat je in de gaten gehouden wordt. En op die sticker zit geen identificatieplicht.

Als de identificerende gegevens voor het platform zijn vraag ik me af wat die met de gegevens gaan doen. Moderatie op schaal is lastig genoeg, maar kan grotendeels zonder de gebruikers ook echt te identificeren. Bij moderatie lijkt identificatie van mensen niet de grootste bottleneck te zijn.

Voor strafrechtelijke vervolging bij bijvoorbeeld doodsbedreigingen of anderszins strafbare uitingen kan ik me voorstellen dat het fijn is om de identiteit van degene die de uitingen heeft gedaan te achterhalen. Ik ben alleen niet bekend met berichten dat de identificatie van de personen achter accounts een significante bottleneck is. Dergelijke delicten zijn op zichzelf best tijdrovend om te vervolgen. Over het algemeel zijn gebruikers prima te identificeren als de Politie bij het platform gegevens zoals het IP adres, e-mail adres of telefoonnummer kan vorderen. Een uitzondering zijn misschien de gebruikers die dit bewust proberen te voorkomen door altijd een VPN, anonieme e-mailproviders en dergelijke methoden toepassen. Maar zo eenvoudig is het niet blijkt uit de volgende vraag.

Op wie is de identificatieplicht van toepassing?

Als platformen worden gedwongen door Europese regelgeving om elke gebruiker te identificeren raakt dat potentieel enorm veel gebruikers. Er zijn bijvoorbeeld enorm veel landen die geen goede digitale identificatie infrastructuur hebben. Er zijn ook grote doelgroepen die om andere redenen zichzelf niet kunnen identificeren zoals ouderen die minder digitaal vaardig zijn maar wel in contact willen blijven met hun kleinkinderen of juist die kleinkinderen die nog te jong zijn om in hun land aan digitiale identificatiemiddelen te komen. Ook zijn er landen waar het verbergen van identiteit levens kan redden. Denk daarbij bijvoorbeeld aan dissidenten in een dictatuur of mensen in een oorlogsgebied die vrezen voor hun eigen leven of dat van hun fammilie als bekend wordt wie er verslag doet van oorlogsmisdaden.

Als de identificatieplicht niet op iedereen van toepasssing is, op wie dan wel? En misschien nog belangrijker: hoe bepaald je op wie wel zonder alsnog iedereen te identificeren?

Een voor de hand liggende oplossing lijkt om de verplichting bijvoorbeeld alleen voor Nederland of de EU te laten gelden. Dat kan je bepalen aan de hand van het IP-adres van de gebruiker zonder verdere identificatie. Behalve als de gebruiker bewust een VPN of andere middelen gebruikt om de lokatie te maskeren. Dan heb je dus eigenlijk een identificatieplicht die alleen van toepassing is op de gebruikers die de Politie toch al kon identificeren en niet van toepassing is op de gebruikers die hun identiteit al bewust verbergen. Dan schiet je nog heel weinig op.

Wie kan de gegevens opvragen?

Deze lijkt makkelijk: als mensen strafbaar bezig zijn kan de politie de gegevens vorderen en de overtreders in de kraag vatten. Daar is de Politie voor. Maar welke Politie? Krijgt Rusland toegang tot de identificatiegegevens van mensen die in de Krim rondlopen? Mag Saoedi-Arabië identiteitsgegevens van cartoonisten die spotprenten opvragen? Ook als je regels bedenkt voor wat wel toegestaan zou moeten zijn moet je nadenken over de risico’s wanneer het dan toch fout gaat. Wat als identiteitsgegevens lekken door een hack? Wat als een overheid een medewerker van een sociaal netwerk onder druk zet om gegevens te verstrekken?

Ik heb nog geen voorstel gezien dat concreet genoeg is om degelijk te kunnen analyseren op nut en risico’s. Voorlopig blijf ik zeer sceptisch.