Zo brachten we de export van surveillanceproducten in kaart
Maandenlang hebben we met ons consortium Security for Sale data verzameld en verwerkt over de Europese export van surveillanceproducten. Hoe hebben we dit internationale onderzoek aangepakt en wat hebben we geleerd? Een verantwoording.
Als je over surveillanceproducten gaat schrijven, stuit je al snel op een groot probleem: het gebruik ervan is omgeven met geheimzinnigheid. De inzet ervan ligt nogal gevoelig, want surveillanceproducten zijn onder andere:
- Camerasystemen, al dan niet voorzien van nummerplaat-, gezichts- of patroonherkenning.
- Afluisterapparatuur, zoals richtmicrofoons, maar ook computers die internetverkeer kunnen onderscheppen en analyseren.
- Toegangssystemen die mensen bij gebouwen en aan grenzen controleren door bijvoorbeeld hun vingerafdrukken, irissen, of gezicht te scannen.
- Zogenoemde systems of systems, master-surveillancesystemen die heel veel verschillende datastromen aan elkaar knopen om situational awareness te verkrijgen, een zeer gedetailleerd overzicht van een gebied.
- Intrusion software, malware waarmee inlichtingendiensten computers van verdachten kunnen binnendringen.
Dit soort producten worden afgenomen door politie- en inlichtingendiensten, grote vervoersmaatschappijen en nutsbedrijven, belastingdiensten, douanes, et cetera. Die willen hun kunsten en mogelijkheden niet met Jan en alleman delen.
Maar meer kennis over het gebruik van dit soort technologie is wel nodig, zoals we de afgelopen dagen hebben laten zien. Ze maken namelijk haast altijd inbreuk op burgerrechten en zeker in landen met een zwakke rechtsbescherming is dat problematisch.
We deden een verzoek aan 29 landen
Voor onze verhalen over surveillance-export hebben we van verschillende bronnen gebruik gemaakt. Als eerste hebben de aangesloten media bij ons project geholpen met het vergaren van cijfers over exportvergunningen van surveillanceapparatuur in alle EU-landen, plus Noorwegen. Deze inspanning is vooral geleverd door onze collega’s Sebastian Gjerding en Lasse Skou Anderson van de Deense krant Information.
Achttien landen gaven gehoor aan ons verzoek. De data bestrijken, een paar uitzonderingen daargelaten, de periode 31 december 2014 tot en met 21 december 2016. We hebben voor die begindatum gekozen omdat toen nieuwe Europese wetgeving van kracht werd, die landen verplicht om beter te controleren wat er buiten Europa wordt geëxporteerd.
Zeven landen weigerden informatie te geven, te weten Cyprus, Tsjechië, Frankrijk, Griekenland, Hongarije, Italië en Slovenië. Dat is jammer, want met name Italië en Frankrijk zijn belangrijke exporteurs. Zij weigerden omdat het bedrijfsgevoelige of, in het geval van Italië, militaire informatie zou zijn en daarom niet openbaar toegankelijk.
Eén land, Zweden, zei dat het niet in staat was om de informatie te leveren, omdat die niet bijgehouden werd.
En drie landen, Polen, Portugal en Luxemburg, reageerden helemaal niet op onze herhaaldelijke verzoeken. In het geval van Polen en Portugal ook niet toen we ze contacteerden via journalisten in die landen.
Een paar slagen om de arm
Uit al die data konden we een aantal conclusies trekken, zoals te lezen in de artikelen van ons Security for Sale Consortium. Daarbij moeten we wel de volgende slagen om de arm houden:
- Het onderzoek kijkt alleen naar die soorten cybersurveillancetechnologie die onder de EU-exportregels vallen. Er is veel kritiek op die regels omdat heleboel andere invasieve surveillancetechnologieën er niet onder onder vallen (in een nieuw voorstel van de Europese Commissie dat nu in behandeling is, worden de categorieën verruimd).
- Uit de data blijkt niet wie de klant is in het ontvangende land, noch waar de producten voor worden ingezet. In sommige gevallen kan surveillanceapparatuur of -software puur defensief worden gebruikt, bijvoorbeeld als bescherming tegen cyberaanvallen.
- Een bedrijf mag onder één exportvergunning een wisselende hoeveelheid surveillancetechnologie exporteren. De hoeveelheid vergunningen is dus geen indicatie van de exportwaarde in euro’s.
- Volgens de Duitse autoriteiten trekken sommige bedrijven hun exportaanvraag in als tijdens de eerste gesprekken al blijkt dat de autoriteiten de vergunning waarschijnlijk gaan weigeren. Deze gevallen zijn niet opgenomen in de data; volgens de Duitse regering is lastig vast te stellen hoe vaak dit voorkomt.
- In de statistieken zijn alle soorten exportvergunningen opgenomen - ook kortlopende, bijvoorbeeld bedoeld om materiaal te demonstreren aan potentiële klanten.
Om welke bedrijven gaat het?
De informatie laat zien vanuit welke landen surveillanceproducten worden geëxporteerd, maar nog niet om welke bedrijven en producten het gaat.
Gelukkig houden activisten al jarenlang bij wat er zoal wordt geproduceerd aan surveillancetechnologie, wie dat doet en waar die producten naartoe gaan. Voor een deel hebben wij die bronnen kunnen gebruiken.
De belangrijkste bron is ongetwijfeld de Surveillance Industry Index van Privacy International. Deze Britse burgerrechtenorganisatie heeft een indrukwekkende staat van dienst op het gebied van het monitoren van de productie en export van surveillanceapparatuur. Medewerkers gaan naar beurzen waar dit soort producten worden tentoongesteld, verzamelen brochures van bedrijven en houden die informatie gestructureerd bij.
Het probleem van de Surveillance Industry Index is dat die nogal verouderd is, want de meeste informatie is rond 2011 verzameld. Sommige bedrijven bestaan niet meer. Andere zijn inmiddels veel groter. Ook ontbreekt soms het bewijs dat een bedrijf surveillanceapparatuur levert. Er zitten bijvoorbeeld enkele bedrijven in de database die Deep Packet Inspection leveren, een techniek die het mogelijk maakt om de inhoud van internetverkeer te zien. Die technologie wordt echter ook gebruikt om het verkeer efficiënter over netwerken te leiden: dat is geen surveillance zoals wij, maar eerlijk gezegd ook Privacy International, bedoelen.
Een tweede bron is Buggedplanet.info, een database die is gebouwd door de Duitse hacker Andy Müller-Maguhn. Jarenlang noteerde hij incidenten waarbij surveillancebedrijven in het nieuws kwamen. Ook deze database is echter verouderd, want hij wordt al een tijdje niet meer actief bijgehouden.
We hebben een boek aangeschaft, TheBig Black Book of Surveillance, een commerciële gids met daarin zo’n tweehonderd bedrijven die surveillancetechnologie verkopen. Deze gids is zeer actueel, maar wel incompleet.
Tot slot zijn er nog de vele nieuwsberichten over bedrijven waarvan producten gevonden worden in Egypte, Bahrein, de Verenigde Arabische Emiraten, Ethiopië en veel andere landen. Vaak gaan deze berichten over mensenrechtenschendingen.
De eigen database van Security for Sale
Om een completer beeld te krijgen, hebben we maar een boude stap genomen, en zijn we onze eigen database gaan samenstellen. We hebben uit bovenstaande bronnen alle namen van surveillancebedrijven gehaald (bijna 600 stuks). De websites van die bedrijven hebben we stuk voor stuk bezocht en we hebben er informatie opgezocht en genoteerd over:
- De naam van het bedrijf
- Het soort product dat ze leveren
- Waar het hoofdkantoor van het bedrijf gevestigd is
- Waar het bedrijf nog meer kantoren heeft
- Wie hun distributeurs zijn
- Nieuwsberichten over waar de producten van deze bedrijven gevonden zijn
- Wie de eigenaars zijn
- En nog een aantal zaken
Dit is bijzonder veel werk. Per site ben je algauw tien minuten bezig om de informatie te vergaren en in te voeren. Daarom plaatsten we een oproep op De Correspondent. Daar hebben meer dan dertig lezers op gereageerd. Gezamenlijk hebben we in drie weken tijd deze database gevuld. We vonden ook telkens bedrijven die nog niet in de database stonden. Die hebben we toegevoegd.
Vervolgens hebben we de database opgeschoond. We hebben alle Europese bedrijven gefilterd - althans bedrijven die onder de Europese exportregelgeving vallen. Uiteindelijk hebben we 384 bedrijven overgehouden.
Uit deze lijst kunnen we een aantal conclusies trekken. Maar voordat ik de tabellen presenteer, is het volgende goed om te weten:
- De aanwezigheid van een kantoor van een Europees bedrijf in een ander land betekent niet dat het ook lokaal surveillanceproducten verkoopt. Siemens verkoopt bijvoorbeeld surveillanceproducten en heeft kantoren in China. Maar het zou heel goed kunnen dat het daar alleen maar wasmachines verkoopt. Als een bedrijf alleen maar surveillanceproducten verkoopt, dan kunnen we er wel vanuit gaan dat die producten in alle kantoren in het buitenland worden verkocht. Het is ondoenlijk om voor alle kantoren van alle bedrijven uit te zoeken wat precies waar wordt verkocht: daar zouden we jaren aan kwijt zijn.
- We hebben ook gekeken naar incidenten die door media zijn gemeld waarbij er producten zijn aangetroffen in landen waar dat niet zo fijn is. Een recent voorbeeld is de vondst van malware van het Italiaanse Hacking Team die is aangetroffen in Ethiopië en Bahrein. Maar zo’n incident betekent niet automatisch dat sprake is van een mensenrechtenschending, of zelfs dat sprake is van een wetsovertreding. Het betekent wel dat die producten blijkbaar in die landen beschikbaar zijn. Als het aan de Europese Unie ligt, wordt het verplicht om de export naar dit soort landen zeer streng te controleren. Sommige landen, zoals Nederland, doen dat al. Landen als Italië en het Verenigd Koninkrijk niet.
- Veel bedrijven maken niet publiekelijk bekend wie hun distributeurs zijn. Ik denk daarom dat de cijfers in onderstaande tabel aan de conservatieve kant zijn.
Waar we hier dus naar kijken is het volgende: hoeveel Europese bedrijven hun producten in het betreffende land verkopen, of mogelijk zouden kunnen verkopen omdat ze daar een kantoor hebben.
We kunnen ook zien vanuit welke Europese landen er producten worden verkocht, uitgesplitst naar land.
We kunnen dat ook omdraaien, dus in welke landen hoeveel Europese bedrijven actief zijn:
Wil je zelf met de data aan de slag?
Dat kan. We maken de data publiekelijk beschikbaar. Mocht je fouten ontdekken, of aanvullingen hebben, laat het ons vooral weten. En als je gaat publiceren, vergeet ons dan niet te noemen: Security for Sale Consortium. Uiteraard horen we graag van je als je met de data aan de slag gaat.
Bedankt!
Tot slot willen we de vele vrijwilligers bedanken die aan dit project hebben bijgedragen.