Illustraties: Erwin Kho (voor De Correspondent)

Op 10 en 11 augustus 2016 ontvangt Ahmed Mansoor een aantal sms’jes op zijn iPhone. Het onderwerp is spannend: nieuwe geheimen over het martelen van gevangenen in de Verenigde Arabische Emiraten, waar hij vandaan komt. Mansoor is een internationaal gelauwerde mensenrechtenactivist die in 2011, na een oproep tot democratische hervormingen in de Golfstaat, gevangen werd gezet.

Mansoor stuurt het bericht door naar onderzoekers van Citizen Lab van de Universiteit van Toronto, Canada. Die ontdekken dat de NSO Group, een bedrijf uit Israël, Malware is kwaadaardige software die gebruikt wordt om computersystemen te verstoren of binnen te dringen, of gevoelige informatie te verzamelen. op Mansoors telefoon probeert te krijgen. Er is het bewind van de Golfstaat blijkbaar veel aan gelegen om Mansoors telefoon binnen te dringen: dit soort malware is Zerodium, een bedrijf dat veiligheidslekken opspoort en verkoopt, keerde vorig jaar 1 miljoen dollar uit aan een hacker die een nog onbekend lek in de iPhone heeft gevonden. Uit verschillende gelekte documenten weten we dat een licentie voor de verspreiding van dit soort ‘intrusion software’ algauw meer dan een ton kost.

Het is niet de eerste keer dat Mansoor malware krijgt toegestuurd. Eerder al probeerden twee Europese bedrijven, Gamma International uit het Gamma International zat ook in Duitsland. en Hacking Team uit Italië, op zijn computers en telefoon in te breken. Ook deze hackpogingen brengt Citizen Lab aan het licht.

Beide bedrijven ontkennen aanvankelijk, maar worden op hun beurt gehackt door een activist die zich Vermoedelijk is Phineas Fisher een Spaanse hacker die begin februari is opgepakt. Bron: The Register: Reports claim Spanish police have arrested hacker Phineas Fisher noemt. Hij openbaart onder meer alle interne correspondentie waaruit blijkt dat deze bedrijven met veel autocratische regimes Uit de gelekte documenten blijkt dat Hacking Team zaken doet of deed in Azerbeidzjan, Bahrein, Brazilië, Chili, Colombia, Ecuador, Egypte, Ethiopië, Honduras, Kazachstan, Libanon, Maleisië, Mexico, Mongolië, Marokko, Nigeria, Oman, Panama, Rusland, Saoedi Arabië, Singapore, Zuid-Korea, Soedan, Thailand, Turkije, Verenigde Arabische Emiraten, Oeganda. Verenigde Staten, Oezbekistan en Vietnam. Gamma International doet of deed zaken in Bahrein, Bangladesh, Egypte, Ethiopië, Duitsland, Mongolië, Pakistan, Qatar, Oeganda en Vietnam. Beide bedrijven zijn nog steeds actief.

Een op de drie exports ging naar onvrije landen

Het zijn dit soort incidenten die de Europese Unie in 2014 tot actie aanzetten. Dan legt ze, tot grote vreugde van mensenrechtenactivisten, de export van surveillanceproducten aan banden.

Maar van de vreugde is inmiddels weinig over. De nieuwe regels hebben niet het gehoopte resultaat. Uit onderzoek van ons internationale consortium Security for Sale blijkt dat EU-lidstaten de afgelopen twee jaar zeker 317 keer de export van cybersurveillance-technologie hebben toegestaan. Slechts 14 aanvragen werden geweigerd.

De laatste twee jaar ging Om precies te zijn: 29,7 procent van de exportvergunningen naar landen die van denktank Freedom House is een gerespecteerde onafhankelijke denktank uit Amerika die zich inzet voor het bevorderen van mensenrechten en democratische veranderingen, met een focus op de politieke rechten en burgerlijke vrijheden. De organisatie publiceert regelmatig rapporten over bijvoorbeeld pers- en internetvrijheid. Ook publiceert het elk jaar ‘Freedom in the World,’ een rapport waarin landen worden beoordeeld op hun omgang met burgerlijke vrijheden. het stempel ‘onvrij’ krijgen. Zoals de Verenigde Arabische Emiraten, waarnaar bedrijven uit Denemarken en het Verenigd Koninkrijk in de afgelopen jaren systemen voor het massaal monitoren van internetverkeer exporteerden - ondanks de affaires rond Ahmed Mansoor.

We ontdekten ook dat Finland vergunningen verleende aan de Finse dochter van het Canadese bedrijf EXFO om apparatuur naar onder andere de Emiraten te exporteren. Met die apparatuur kan het Het gaat hier om een zogenoemde IMSI-catcher. Een IMSI-Catcher werkt als een zendmast die een sterk signaal uitzendt. Telefoons in de omgeving zullen proberen via deze mast het telefoonnetwerk op te komen. Wanneer dat gebeurt, worden communicatie en locatiegegevens via die telefoon afgetapt. Met sterke IMSI-catchers kan het telefoonverkeer op grote schaal worden afgetapt, bij bijvoorbeeld een demonstratie. in de gaten gehouden worden.

De Verenigde Arabische Emiraten is niet het enige land dat surveillancemiddelen uit de EU kreeg. Ook Egypte, dat sinds 2013 onder het repressieve bewind van generaal Onder het bewind van Al-Sisi wordt de burgermaatschappij zwaar onderdrukt. Demonstraties worden verboden, en talloze oppositieleden en critici zijn gearresteerd. Mensen die geld vanuit het buitenland krijgen voor ‘activiteiten die schadelijk zijn voor de nationale belangen’ lopen het risico op levenslange gevangenisstraf. Andere misdaden zijn bijvoorbeeld ‘het beledigen van de godsdienst’ of ‘de publieke zeden.’ Er worden steeds vaker mensen uit de LGBT-gemeenschap vervolgd. zucht en volgens Freedom House ‘onvrij’ is, kreeg technologie uit Europa - wederom uit het Verenigd Koninkrijk.

Een ander land waarnaar de Britse regering de export van surveillanceapparatuur toestond: Vietnam. Dat land is een communistische eenpartijstaat en ook ‘onvrij.’ Volgens Reporters Without Borders of Reporters Sans Frontières (RSF) is een internationale niet-gouvernementele organisatie (ngo) die onderzoek doet naar persvrijheid, en deze wil bevorderen. De organisatie is ontstaan en gehuisvest in Frankrijk. is Vietnam ‘een vijand van internet’ en zitten er, op China en Iran na, de meeste online dissidenten en bloggers ter wereld in de gevangenis. Ook een Deens bedrijf kreeg toestemming van zijn regering om in Vietnam een systeem te demonstreren voor het monitoren van internetverkeer.

Slechts 17 procent van de vergunningen was voor landen die Freedom House beschouwt als ‘vrij’

Om precies te zijn: 52,2 procent van de vergunningen die we boven water kregen, draaide om export naar landen die van Freedom House het stempel ‘deels vrij’ krijgen, zoals Turkije, waar de regering van president Recep Tayyip Erdogan sinds de mislukte coup van vorig jaar hard optreedt tegen de politieke oppositie.

Slechts 17 procent van de vergunningen werd verleend aan landen die Freedom House beschouwt als ‘vrij.’

Nederland heeft in vergelijking met Finland en het VK weinig geëxporteerd. Het ministerie van Buitenlandse Zaken, dat de stempels zet, heeft een vergunning verleend voor de export van software naar Montenegro, volgens Freedom House ‘deels vrij.’ Maar het heeft ook een vergunning voor export naar de Emiraten geweigerd. Vanwege de mensenrechten, blijkt uit gesprekken met het ministerie.

Waarom veel meer aanvragen moeten worden geweigerd

‘De huidige regels schieten tekort, dat laten de data duidelijk zien,’ zegt Edin Omanovic, onderzoeker bij de non-profitinstelling Privacy International. ‘Het is zorgelijk dat maar zo weinig aanvragen worden geweigerd. Veel van de landen waarnaar wordt geëxporteerd hebben een slechte reputatie op mensenrechtengebied en hebben nauwelijks wetten voor het gebruik van surveillancetechnologie. Daarom zouden veel meer aanvragen geweigerd moeten worden.’

Dat beaamt Collin Anderson, een Amerikaanse veiligheidsonderzoeker die voor de ngo Access Now is een internationale stichting die zich inzet voor mensenrechten, en dan met name internetvrijheid. een rapport schreef over de regulering van cybersurveillance. Ook sprak hij over dit onderwerp in het Europees Parlement. ‘De paar gevallen waarin de aanvragen werden geweigerd, zijn succesverhalen. Maar het algemene beeld is dat de goede intenties van de wetgeving in de praktijk niet worden opgevolgd,’ zegt hij.

Het is de eerste keer dat dit onderwerp zo uitgebreid en systematisch is Lees hier de verantwoording van ons onderzoek. onderzocht. Toch zouden de cijfers in werkelijkheid nog veel hoger kunnen zijn. Van de 28 EU-lidstaten weigerden elf landen de gevraagde informatie te geven, waaronder Frankrijk en Italië, waar sommige van de grootste bedrijven in surveillancetechnologie ter wereld zijn gevestigd.

‘Er zijn getallen die je nooit zult vangen,’ zegt Marietje Schaake van D66 en de Partij van de Alliantie van Liberalen en Democraten voor Europa (ALDE) in het Europees Parlement. Ze staat al jaren op de barricade voor strengere wetgeving voor de export van digitale wapens. ‘We hebben het over een donkergrijze, intransparante en duistere industrie.’

‘We hebben het over een donkergrijze, intransparante en duistere industrie’

Hoe werken de huidige EU-regels precies? In de EU bepalen de nationale autoriteiten of ze een exportvergunning verlenen voor surveillanceproducten of zogenoemde dual-use-goederen - apparaten en technologie die zowel militair als civiel kunnen worden gebruikt. Volgens de EU-regels moeten overheden ‘alle relevante overwegingen’ meenemen in hun besluit, inclusief het risico dat de technologie kan worden ingezet om mensenrechten te schenden.

Deze dual-use-goederen werden in 2014 toegevoegd aan de exportrichtlijnen van de EU. De Europese Commissie deed dat omdat er ‘toenemende zorgen zijn rond de inzet van surveillancetechnologie en cybertools die misbruikt kunnen worden om mensenrechten te schenden of de veiligheid van de EU in gevaar te brengen.’

Daarmee doelde de Commissie op een reeks gevallen waarbij autocratische regimes de oppositie aanpakten met behulp van Europese technologie. In 2011 ontdekte Bloomberg bijvoorbeeld dat activisten in Bahrein waren gemarteld en ondervraagd over privéberichten die de autoriteiten hadden onderschept met technologie van het Fins-Duitse conglomeraat Nokia Siemens Networks. En zo zijn er meer In Marokko werden journalisten van Mamfakinch - een kritisch mediaplatform - gehackt met inbraaksoftware van het Italiaanse bedrijf Hacking Team. In Libië kwamen activisten er na de val van Khadaffi achter dat het Franse bedrijf Amesys technologie had geleverd waarmee de dictator het internet kon monitoren. En het Franse bedrijf Qosmos moet zich voor de rechter verantwoorden omdat het surveillance-apparatuur aan Syrië zou hebben geleverd.

Mensenrechten? Economische belangen gaan voor

Tijd om die Europese export aan banden te leggen, vond de EU dus. Maar de wet blijkt zwak. Waar de regels voor gewone wapens bepalen dat landen verplicht zijn een exportvergunning te weigeren als er een ‘duidelijk risico’ is dat die wapens worden ingezet voor binnenlandse repressie, geldt die verplichting niet voor dual-use-technologie - waar veel surveillanceproducten onder vallen. De autoriteiten mogen andere belangen voorrang geven, zoals economische groei of de goede verstandhouding met het land in kwestie.

Dat betekent dus dat EU-landen zelf mogen bepalen of zij mensenrechten een doorslaggevend criterium vinden. ‘De regeling is dus vooral gericht op veiligheid en houdt geen rekening met het risico op mensenrechtenschendingen,’ zegt professor Quentin Michel van de Universiteit van Luik, een expert op het gebied van exportwetgeving.

De Europese Commissie erkent het ‘hiaat in de regelgeving’ en is met een voorstel gekomen om de wetten aan te scherpen. In dat nieuwe voorstel zijn lidstaten nog altijd niet verplicht een exportvergunning te weigeren als er een risico is op mensenrechtenschendingen. Wel is er in de tekst van het voorstel meer aandacht voor mensenrechten en wordt het aantal categorieën van cybersurveillancemiddelen uitgebreid (het zijn er nu nog Op dit moment vallen drie soorten cybersurveillance-technologie onder de EU-regels voor dual use-producten. Dat zijn: (1) Internetsurveillance-apparatuur om Internet Protocol (IP)-communicatie te monitoren, of de onderdelen die specifiek voor dit soort apparatuur ontworpen zijn; (2) Mobiele surveillance, apparatuur of onderdelen om mobiele telecommunicatie af te luisteren of te verstoren en (3) Inbraaksoftware, speciaal ontworpen of zo aangepast om niet ontdekt te worden, en die in staat is de beveiliging van een computer of netwerk te omzeilen met als doel a) data of informatie te onttrekken aan een computer of netwerk, en/of deze data of systemen aan te passen of b) de standaardwerking van computerprogramma’s of -processen zodanig aan te passen dat deze instructies van buitenaf kunnen uitvoeren.

Klaus Buchner, die over dit onderwerp aan het Hoe het werkt: de Europese Commissie (EC) heeft een eerste voorstel gedaan. Dat wordt nu door het Europese Parlement (EP) besproken en herzien. Klaus Buchner is door het Parlement gekozen als rapporteur. Hij wordt daarbij gesteund door nog zes andere schaduwrapporteurs, ook Europarlementariërs: Christofer Fjellner (Zweden), Bernd Lange (Duitsland), Sander Loones (België), Marietje Schaake (Nederland), Anne-Marie Mineur (Nederland) en Tiziana Beghin (Italië). Naast het Europees Parlement werkt ook de Europese Raad aan haar eigen positie. De Europese Raad (ER) bestaat uit de regeringsleiders van de 28 lidstaten van de Europese Unie, een voorzitter en de voorzitter van de Europese Commissie. Uit deze drie voorstellen van de EC, het EP en de ER komt dus uiteindelijk één wetswijziging. rapporteert, vindt dat ons onderzoek aantoont dat de regels verder moeten worden aangepast. ‘De 14 gevallen dat de vergunning werd geweigerd versterken de mensenrechten en de positie van de EU als handelspartner. Het is nu zaak dat de nieuwe aanpak in heel Europa op dezelfde manier navolging vindt. Zo krijgen interne meningsverschillen en halfslachtige implementaties geen kans,’ zegt hij.

Maar: het is nog onduidelijk of het commissievoorstel zal worden aangenomen. Volgens een memo van de Deense regering ‘zijn lidstaten sceptisch’ over de voorgestelde wetten. Die druisen namelijk in tegen internationale exportverdragen, zoals het Wassenaar Agreement - een vrijwillig, maar politiek bindend verdrag tussen 41 staten dat de export reguleert van munitie en tanks, raketten, geweren en dual use-goederen. De Europese exportregels zijn deels gebaseerd op het De Europese exportregels zijn buiten het Wassenaar Arrangement ook gebaseerd op andere niet-officiële verdragen tussen landen, namelijk die van de Nuclear Suppliers Group (in het kader van nucleaire profilatie), het Missile Technology Control Regime (proliferatie van drones en raketten) en de Australia Group (biologische oorlogvoering).

Lidstaten zijn ook bang dat de nieuwe focus op mensenrechten ‘onzekerheid over de interpretatie en implementatie creëert, wat tot grote administratieve druk voor zowel bedrijven als de lidstaten kan leiden.’ Het Europees Parlement bespreekt het voorstel op 28 februari.

De Europese Commissie laat in een reactie op dit verhaal weten dat ‘het duidelijk is dat de bestaande regels efficiënter, consistenter en effectiever’ moeten.

Dimitri Tokmetzis en Maaike Goslinga van De Correspondent hebben meegewerkt aan dit verhaal.

Dit onderzoek kwam tot stand in het kader van Security for Sale, een internationaal onderzoeksproject over de Europese veiligheidsindustrie onder leiding van De Correspondent. Voor dit project werkten wij samen met meer dan twintig Europese journalisten. Het consortium kreeg een werkbeurs van Journalismfund.eu.

Met dank aan Hans Pieter van Stein Callenfels voor vertaalwerk vanuit het Engels.

Lees meer verhalen van ons consortium Security for Sale:

Zo verdwijnen miljarden in het zwarte gat van de veiligheidsindustrie De Europese Unie geeft miljarden euro’s uit aan onderzoek naar technologische snufjes die de samenleving veiliger moeten maken. Uit ons onderzoek met 22 journalisten uit tien landen blijkt dat die subsidies vooral goed zijn voor één ding: zelfverrijking van de veiligheidsindustrie. Lees het verhaal van Dimitri hier terug Als de wapenlobby het vraagt, komt de Eurocommissaris opdraven Vandaag laten we zien dat de EU twee miljard euro aan veiligheidsonderzoek heeft uitgegeven en dat vooral bedrijven hiervan profiteren. De verklaring daarvoor ligt in de sterke lobby van die bedrijven. Hoe probeert de veiligheidsindustrie het beleid en de geldstromen te beïnvloeden? Lees het verhaal van Maaike hier terug Security for Sale. The price we pay to protect Europeans Het afgelopen jaar onderzochten wij met meer dan twintig Europese journalisten om de Europese veiligheidsmarkt. In dit Engelstalige thema Security for Sale verzamelen we al onze verhalen. En we praten je helemaal bij over het dominante denken over veiligheid door de Europese beleidsmakers en industriebonzen. Het Nederlandse thema komt over twee weken online. Hier vind je alle internationale publicaties van Security for Sale

Facebook
Twitter
LinkedIn
Whatsapp
E-mail