← Cuadernos Lacre

Analyse · 20 mei 2026

Kill switch en institutionele inbeslagname

Een belofte van bescherming die de mogelijkheid behoudt om deze in te trekken. Wanneer de schakelaar bestaat, zal iemand er uiteindelijk op drukken.

De belofte die rust op de mogelijkheid om deze in te trekken

In 2017, tijdens orkaan Irma, ontdekten verschillende Tesla-eigenaren in Florida dat hun auto, na het ontvangen van een externe update van de fabrikant, plotseling extra kilometers aan actieradius kreeg. Ze hadden er niet voor betaald. De batterij was altijd in staat geweest om deze te leveren; de fabrikant had besloten, om de markt te segmenteren, de klant dit niet toe te staan. Tijdens de noodsituatie activeerde Tesla tijdelijk de volledige capaciteit. Zodra de noodsituatie voorbij was, deactiveerde hij deze weer.

Wat het nieuws beschreef als een gebaar van vrijgevigheid, was bij nader inzien iets anders. De eigenaar was nooit eigenaar geweest van het hele product waarvoor hij betaald had. De fabrikant behield een technische capaciteit — het op afstand uitbreiden of beperken van functies — en koos ervoor om deze in dit specifieke geval in het voordeel van de klant uit te oefenen. Hij had ook het tegenovergestelde kunnen kiezen. Het verhaal vertelt niet over een daad van vriendelijkheid; het vertelt over een machtsarchitectuur.

Dit artikel gaat over die architectuur. We noemen het, volgens de brancheconventie, kill switch: de afstandsschakelaar waarmee de operator functies van een product, dienst of apparaat dat de gebruiker al als zijn eigendom beschouwde, kan deactiveren, wijzigen of intrekken. De vraag is niet of de operator eerlijk is. De vraag is wat er gebeurt als hij dat niet meer is, of wanneer iemand hem dwingt de schakelaar in een andere richting te gebruiken.

Wat is een kill switch precies

De term komt uit het Engels en is moeilijk te vertalen: interruptor de muerte klinkt dramatisch; interruptor remoto klinkt te neutraal. Wat de kill switch definieert is niet het drama, maar een eenvoudige eigenschap: de technische mogelijkheid om iets op afstand te deactiveren, in handen van iemand anders dan de gebruiker die het product gebruikt. Het kan gaan om een volledige uitschakeling —de auto die niet start, het bestand dat wordt gewist, het account dat wordt geschorst— of een gedeeltelijke uitschakeling —de functie die verdwijnt, de batterij die bereik verliest, het abonnement dat wordt onderbroken.

Niet elke afstandsbediening is een kill switch. Een routinematige beveiligingsupdate, waarvoor de gebruiker bij de installatie van het product toestemming heeft gegeven, is dat niet. Dat geldt ook voor een antidiefstalsysteem dat door de eigenaar zelf kan worden geactiveerd als zijn telefoon wordt gestolen. De kill switch heeft, in eigenlijke zin, drie kenmerken: het gebruik ervan is een beslissing van de operator, niet van de gebruiker; er is geen specifieke toestemming van de betrokkene nodig voor activering; en het wordt uitgeoefend op un product of dienst die de gebruiker al volledig als de zijne beschouwde.

De Europese galerij van actieve schakelaars

Tesla herhaalt dit patroon regelmatig, in hun geval op gedocumenteerde wijze: contractuele verminderingen van het bereik bij tweedehands voertuigen die van eigenaar zijn veranderd, het intrekken van geassisteerde rijfuncties na intrekking van de licentie, eenzijdige wijzigingen van het gedrag van het product tussen firmwareversies. John Deere staat al jaren in het centrum van het Europese en Amerikaanse debat over het recht op reparatie: de aankoop van een tractor omvat een softwarelaag waarvan de service afhankelijk is van het officiële netwerk van de fabrikant; wanneer dat netwerk registratie weigert, beperkt de tractor essentiële functies. BMW bood in 2022 een maandelijks abonnement aan om de stoelverwarming te activeren in auto's waarin deze al fysiek was geïnstalleerd; publieke druk dwong hen het model in te trekken, maar de technische capaciteit blijft bestaan.

Op softwaregebied is het patroon structureel. Adobe Creative Cloud trekt maandelijkse licenties in wanneer het abonnement niet wordt verlengd, waardoor bestanden die de gebruiker met die tools heeft gemaakt onbruikbaar worden. Microsoft kan kopieën van Windows die het als niet-origineel beschouwt deactiveren, zonder praktisch rechtsmiddel. Google verwijdert applicaties uit de Play Store om te voldoen aan gerechtelijke bevelen of interne beslissingen; de verwijderde applicatie wordt ook verwijderd van de telefoons waarop deze stond. Apple Pay werd in maart 2022 in Rusland gedeactiveerd omdat Apple voldeed aan internationale sancties: legitiem in de context, maar de procedure was altijd beschikbaar.

Het legitieme argument van de kant van de fabrikant

Wie een van deze systemen ontwerpt, voert meestal volkomen geldige argumenten aan:

  1. Diefstalpreventie. Als mijn auto of telefoon wordt gestolen, waardeer ik het dat de fabrikant deze op afstand onbruikbaar kan maken.
  2. Fraudepreventie. Onbetaalde abonnementen vereisen een afsluitmechanisme; zonder dat mechanisme stort het verdienmodel in.
  3. Voorkomen van misbruik. Een gevaarlijk instrument in de verkeerde handen kan er baat bij hebben dat het ingetrokken kan worden.
  4. Naleving van regelgeving. Bepaalde juridische bevelen dwingen de operator om inhoud te verwijderen, functies uit te schakelen of accounts op te schorten, en een systeem zonder schakelaar is een systeem dat hier niet aan kan voldoen.

De vier argumenten zijn waar. Geen ervan verandert de aard van de zaak. Het is waar dat een kill switch diefstalpreventie vergemakkelijkt; het is ook waar dat ditzelfde vermogen dient om de levende klant te dwingen, en niet alleen om de dief te schaden. Het is waar dat het abonnementmodel een uitschakeling nodig heeft; het is ook waar dat de uitschakeling morgen uitgevoerd kan worden bij een huidige klant om een andere reden dan voorzien in het contract. De vraag is niet of de kill switch legitieme toepassingen heeft. De vraag is dat, zodra deze bestaat, de toepassingen niet beperkt zijn tot de toepassingen die in de oorspronkelijke documentatie waren voorzien.

Institutionele vangst

Hier komt het concept om de hoek kijken dat het artikel zijn titel geeft. Institutionele vangst (institutional capture) is de situatie waarin een actor — een privébedrijf, een administratie, een regelgevende instantie — uiteindelijk capaciteiten uitoefent die hij heeft verworven of die hem zijn toegekend voor beperkte doeleinden voor bredere, andere of ronduit tegenovergestelde doeleinden dan de oorspronkelijke. De politieke economie kent het fenomeen al decennia in de financiële regelgeving. De technologie-industrie ontdekt het nu aan den lijve.

Het mechanisme is als volgt. Het bedrijf ontwerpt de kill switch voor legitieme doeleinden: diefstalpreventie, abonnementsbeheer, naleving. Het bedrijf documenteert deze doeleinden in zijn gebruiksvoorwaarden, in zijn privacybeleid, in zijn openbare berichten. De jaren gaan voorbij. Een overheid vaardigt een bevel uit onder nieuwe wetgeving; het bedrijf ziet zich gedwongen de schakelaar te gebruiken in een richting die niet in de oorspronkelijke documentatie is beschreven. Een activistische aandeelhouder treedt toe tot de raad van bestuur en wijzigt het commerciële beleid; de schakelaars bestaan en worden toegepast volgens het nieuwe beleid. Het bedrijf wordt overgenomen door een groter bedrijf; de servicevoorwaarden worden eenzijdig herschreven met een kennisgeving van dertig dagen. In elk geval merkt de klant die de schakelaar vertrouwde voor de gedocumenteerde doeleinden, dat de schakelaar er nog steeds is, maar reageert op andere belangen.

Het paradigmatische geval voor de Europese lezer: de zaak Apple tegen de FBI in San Bernardino, in 2016. Na een aanslag in Californië eiste de FBI dat Apple een iPhone van de dader zou ontgrendelen. Apple weigerde, deels op basis van principiële argumenten en deels op basis van een technisch argument: het systeem was zo ontworpen dat het bedrijf zelf het apparaat niet kon ontgrendelen zonder de basissoftware te herschrijven. De meest solide verdediging was niet moreel, maar architecturaal. Apple steunde niet op de belofte de schakelaar niet in te drukken; het steunde op de afwezigheid van de schakelaar. Andere bedrijven, met schakelaars in hun architectuur, hebben niet dezelfde positie kunnen handhaven onder gelijkwaardige druk.

Het Europese regelgevingstraject

Het Europese recht heeft in de laatste zittingsperiode aangedrongen op meer mogelijkheden voor afstandsbediening, niet minder. De Digital Services Act (DSA), die sinds februari 2024 volledig van toepassing is, verplicht platforms om snelle mechanismen voor de verwijdering van inhoud mogelijk te maken op bevel van een bevoegde autoriteit; mechanismen die niet zouden bestaan zonder de onderliggende technische capaciteit. De Artificial Intelligence Act (AI Act), die sinds augustus 2024 stapsgewijs van kracht is, vereist dat aanbieders van bepaalde AI-systemen met een hoog risico over maatregelen beschikken die de deactivering of aanzienlijk menselijk toezicht mogelijk maken: een normatieve vorm van een verplichte kill switch. De Digital Markets Act (DMA) voert daarentegen interoperabiliteitsverplichtingen in: een tegengestelde stroming die de effecten van uitsluiting beperkt.

Voor de Europese professional is de eerlijke lezing als volgt: de vraag "kan de operator deze dienst voor mij deactiveren?" krijgt elk jaar meer bevestigende antwoorden vanwege wettelijke vereisten, niet minder. Dit stelt de legitimiteit van de regelgeving niet ter discussie —de DSA beantwoordt aan reële problemen—, maar het versterkt wel één ding: vertrouwen dat de operator de schakelaar niet zal gebruiken, vereist bovendien vertrouwen dat geen enkele toekomstige wettelijke verplichting hen zal dwingen deze te gebruiken in een richting die vandaag niet wordt overwogen. Het is een vertrouwen dat niet alleen op het bedrijf rust; het rust op de gehele regelgevende omgeving.

De ontwerpvraag die zelden wordt gesteld

Het meeste hedendaagse technische ontwerp gaat ervan uit dat de schakelaar zal bestaan und belooft vervolgens er geen misbruik van te maken. Er is een alternatief, veeleisender maar perfect haalbaar: ontwerpen in de veronderstelling dat de schakelaar niet mag bestaan. Het is geen slogan. Het impliceert concrete beslissingen: gedistribueerde versus gecentraliseerde architectuur, rechten op het apparaat van de gebruiker versus van het account afgeleide rechten, inhoud versleuteld met sleutels die de operator niet heeft versus inhoud versleuteld met sleutels die de operator bewaart, cryptografische identiteit van de gebruiker versus door de operator beheerde identiteit. Elk van deze beslissingen heeft reële technische kosten en reële commerciële gevolgen. Maar ze delen allemaal één eigenschap: eenmaal genomen, elimineren ze bepaalde juridische bevelen als mogelijk object. Wat niet kan worden uitgevoerd, kan niet worden bevolen om te worden uitgevoerd.

Voor de professionele lezer

Vijf vragen die men aan de leverancier van elke kritieke professionele dienst moet stellen voordat men deze adopteert, geformuleerd in de volgorde waarin een business continuity inspecteur ze zou stellen:

  1. Bestaat de technische capaciteit van de provider om mijn dienst, gegevens of product op afstand op te schorten, te blokkeren, te verwijderen of te degraderen?
  2. Onder welke contractueel vastgelegde veronderstellingen kan de provider die capaciteit uitoefenen?
  3. Onder welke niet-vastgelegde veronderstellingen —gerechtelijk bevel, internationale sanctie, eenzijdige beleidswijziging, bedrijfsovername— kunnen zij deze ook uitoefenen?
  4. Indien uitgeoefend, welke tijd van continuïteit van professionele activiteit heb ik, und welk exitplan is beschikbaar?
  5. Bestaat er een architecturaal alternatief waarbij het antwoord op vraag één "nee" is door de constructie, niet door een belofte?

Het antwoord op vraag vijf is niet altijd beschikbaar of proportioneel. Een persoonlijke spreadsheet verdient die eis waarschijnlijk niet. Een actief juridisch dossier, de medische geschiedenis van een patiënt, een belastingboekhouding, een deontologisch beschermd gesprek, ja. Proportionaliteit is een professionele beslissing; de eerlijke lezing van vraag één is dat niet: of de schakelaar bestaat, of hij bestaat niet.

Bescherming die de mogelijkheid tot terugtrekking behoudt, is geen structurele bescherming; het is hernoemd vertrouwen. Vertrouwen is, zoals we in een ander Cahier zeiden, een valide sociale oplossing wanneer het wordt verleend aan wie het verdient, maar fragiel bij de eerste verandering van eigenaar. De zuiverste structurele verdediging is die welke niet kan worden teruggetrokken omdat deze in de eerste plaats niet bestaat. Zoals met alles in architectuur: een ontwerpkeuze, geen marketingbeslissing.

Bronnen und verdere lectuur

  • Tesla — update van september 2017 die tijdelijk de autonomie van de batterijen van de modellen S en X in Florida uitbreidde tijdens orkaan Irma. Geval breed gedocumenteerd in de gespecialiseerde pers en latere rapporten over contractuele intrekkingen van autonomie.
  • Verordening (EU) 2022/2065 betreffende digitale diensten (DSA) — volledig van toepassing sinds 17 februari 2024. Artikelen 16 en 9, over melding- en actiemechanismen en bevelen van bevoegde autoriteiten.
  • Verordening (EU) 2024/1689 betreffende kunstmatige intelligentie (AI Act) — van kracht sinds 1 augustus 2024, gefaseerde toepassing tot augustus 2026. Artikelen over menselijk toezicht en verplichte mitigatiemaatregelen voor systemen met een hoog risico.
  • United States District Court — Apple, Inc. (16 februari 2016). Documentatie van de zaak bekend als San Bernardino over toegang tot de iPhone in een strafrechtelijk onderzoek.
  • U.S. Federal Trade Commission — memoranda over het recht op reparatie (2021-2024) met specifieke verwijzingen naar John Deere en de landbouwsector; aangevuld met Richtlijn (EU) 2024/1799 over de bevordering van de reparatie van goederen.

Recente artikelen