Hoe onze spionagetechnologie in verkeerde handen valt

Illustraties: Erwin Kho (voor De Correspondent)

Sinds 2014 probeert de EU de export van surveillancetechnologie naar autocratische landen aan banden te leggen. Maar in de praktijk exporteren Europese bedrijven nog volop kennis en materiaal naar probleemlanden, blijkt uit onderzoek van ons consortium Security for Sale.

Op 10 en 11 augustus 2016 ontvangt Ahmed Mansoor een aantal sms’jes op zijn iPhone. Het onderwerp is spannend: nieuwe geheimen over het martelen van gevangenen in de Verenigde Arabische Emiraten, waar hij vandaan komt. Mansoor is een internationaal gelauwerde mensenrechtenactivist die in 2011, na een oproep tot democratische hervormingen in de Golfstaat, gevangen werd gezet.

Mansoor stuurt het bericht door naar onderzoekers van Citizen Lab van de Universiteit van Toronto, Canada. Die ontdekken dat de NSO Group, een bedrijf uit Israël, op Mansoors telefoon probeert te krijgen. Er is het bewind van de Golfstaat blijkbaar veel aan gelegen om Mansoors telefoon binnen te dringen: dit soort malware is

Het is niet de eerste keer dat Mansoor malware krijgt toegestuurd. Eerder al probeerden twee Europese bedrijven, Gamma International uit het en Hacking Team uit Italië, op zijn computers en telefoon in te breken. Ook deze hackpogingen brengt Citizen Lab aan het licht.

Beide bedrijven ontkennen aanvankelijk, maar worden op hun beurt gehackt door een activist die zich noemt. Hij openbaart onder meer alle interne correspondentie waaruit blijkt dat deze bedrijven met veel autocratische regimes Beide bedrijven zijn nog steeds actief.

Een op de drie exports ging naar onvrije landen

Het zijn dit soort incidenten die de Europese Unie in 2014 tot actie aanzetten. Dan legt ze, tot grote vreugde van mensenrechtenactivisten, de export van surveillanceproducten aan banden.

Maar van de vreugde is inmiddels weinig over. De nieuwe regels hebben niet het gehoopte resultaat. Uit onderzoek van ons internationale consortium Security for Sale blijkt dat EU-lidstaten de afgelopen twee jaar zeker 317 keer de export van cybersurveillance-technologie hebben toegestaan. Slechts 14 aanvragen werden geweigerd.

De laatste twee jaar ging van de exportvergunningen naar landen die van denktank het stempel ‘onvrij’ krijgen. Zoals de Verenigde Arabische Emiraten, waarnaar bedrijven uit Denemarken en het Verenigd Koninkrijk in de afgelopen jaren systemen voor het massaal monitoren van internetverkeer exporteerden - ondanks de affaires rond Ahmed Mansoor.

We ontdekten ook dat Finland vergunningen verleende aan de Finse dochter van het Canadese bedrijf EXFO om apparatuur naar onder andere de Emiraten te exporteren. Met die apparatuur kan het in de gaten gehouden worden.

De Verenigde Arabische Emiraten is niet het enige land dat surveillancemiddelen uit de EU kreeg. Ook Egypte, dat sinds 2013 onder het repressieve bewind van generaal zucht en volgens Freedom House ‘onvrij’ is, kreeg technologie uit Europa - wederom uit het Verenigd Koninkrijk.

Een ander land waarnaar de Britse regering de export van surveillanceapparatuur toestond: Vietnam. Dat land is een communistische eenpartijstaat en ook ‘onvrij.’ Volgens is Vietnam ‘een vijand van internet’ en zitten er, op China en Iran na, de meeste online dissidenten en bloggers ter wereld in de gevangenis. Ook een Deens bedrijf kreeg toestemming van zijn regering om in Vietnam een systeem te demonstreren voor het monitoren van internetverkeer.

Slechts 17 procent van de vergunningen was voor landen die Freedom House beschouwt als ‘vrij’

van de vergunningen die we boven water kregen, draaide om export naar landen die van Freedom House het stempel ‘deels vrij’ krijgen, zoals Turkije, waar de regering van president Recep Tayyip Erdogan sinds de mislukte coup van vorig jaar hard optreedt tegen de politieke oppositie.

Slechts 17 procent van de vergunningen werd verleend aan landen die Freedom House beschouwt als ‘vrij.’

Nederland heeft in vergelijking met Finland en het VK weinig geëxporteerd. Het ministerie van Buitenlandse Zaken, dat de stempels zet, heeft een vergunning verleend voor de export van software naar Montenegro, volgens Freedom House ‘deels vrij.’ Maar het heeft ook een vergunning voor export naar de Emiraten geweigerd. Vanwege de mensenrechten, blijkt uit gesprekken met het ministerie.

Waarom veel meer aanvragen moeten worden geweigerd

‘De huidige regels schieten tekort, dat laten de data duidelijk zien,’ zegt Edin Omanovic, onderzoeker bij de non-profitinstelling Privacy International. ‘Het is zorgelijk dat maar zo weinig aanvragen worden geweigerd. Veel van de landen waarnaar wordt geëxporteerd hebben een slechte reputatie op mensenrechtengebied en hebben nauwelijks wetten voor het gebruik van surveillancetechnologie. Daarom zouden veel meer aanvragen geweigerd moeten worden.’

Dat beaamt Collin Anderson, een Amerikaanse veiligheidsonderzoeker die voor de ngo een rapport schreef over de regulering van cybersurveillance. Ook sprak hij over dit onderwerp in het Europees Parlement. ‘De paar gevallen waarin de aanvragen werden geweigerd, zijn succesverhalen. Maar het algemene beeld is dat de goede intenties van de wetgeving in de praktijk niet worden opgevolgd,’ zegt hij.

Het is de eerste keer dat dit onderwerp zo uitgebreid en systematisch is Toch zouden de cijfers in werkelijkheid nog veel hoger kunnen zijn. Van de 28 EU-lidstaten weigerden elf landen de gevraagde informatie te geven, waaronder Frankrijk en Italië, waar sommige van de grootste bedrijven in surveillancetechnologie ter wereld zijn gevestigd.

‘Er zijn getallen die je nooit zult vangen,’ zegt Marietje Schaake van D66 en de Partij van de Alliantie van Liberalen en Democraten voor Europa (ALDE) in het Europees Parlement. Ze staat al jaren op de barricade voor strengere wetgeving voor de export van digitale wapens. ‘We hebben het over een donkergrijze, intransparante en duistere industrie.’

We hebben het over een donkergrijze, intransparante en duistere industrie

Hoe werken de huidige EU-regels precies? In de EU bepalen de nationale autoriteiten of ze een exportvergunning verlenen voor surveillanceproducten of zogenoemde dual-use-goederen - apparaten en technologie die zowel militair als civiel kunnen worden gebruikt. Volgens de EU-regels moeten overheden ‘alle relevante overwegingen’ meenemen in hun besluit, inclusief het risico dat de technologie kan worden ingezet om mensenrechten te schenden.

Deze dual-use-goederen werden in 2014 toegevoegd aan de exportrichtlijnen van de EU. De Europese Commissie deed dat omdat er ‘toenemende zorgen zijn rond de inzet van surveillancetechnologie en cybertools die misbruikt kunnen worden om mensenrechten te schenden of de veiligheid van de EU in gevaar te brengen.’

Daarmee doelde de Commissie op een reeks gevallen waarbij autocratische regimes de oppositie aanpakten met behulp van Europese technologie. In 2011 ontdekte Bloomberg bijvoorbeeld dat activisten in Bahrein waren gemarteld en ondervraagd over privéberichten die de autoriteiten hadden onderschept met technologie van het Fins-Duitse conglomeraat Nokia Siemens Networks. En zo zijn er meer

Mensenrechten? Economische belangen gaan voor

Tijd om die Europese export aan banden te leggen, vond de EU dus. Maar de wet blijkt zwak. Waar de regels voor gewone wapens bepalen dat landen verplicht zijn een exportvergunning te weigeren als er een ‘duidelijk risico’ is dat die wapens worden ingezet voor binnenlandse repressie, geldt die verplichting niet voor dual-use-technologie - waar veel surveillanceproducten onder vallen. De autoriteiten mogen andere belangen voorrang geven, zoals economische groei of de goede verstandhouding met het land in kwestie.

Dat betekent dus dat EU-landen zelf mogen bepalen of zij mensenrechten een doorslaggevend criterium vinden. ‘De regeling is dus vooral gericht op veiligheid en houdt geen rekening met het risico op mensenrechtenschendingen,’ zegt professor Quentin Michel van de Universiteit van Luik, een expert op het gebied van exportwetgeving.

De Europese Commissie erkent het ‘hiaat in de regelgeving’ en is met een voorstel gekomen om de wetten aan te scherpen. In dat nieuwe voorstel zijn lidstaten nog altijd niet verplicht een exportvergunning te weigeren als er een risico is op mensenrechtenschendingen. Wel is er in de tekst van het voorstel meer aandacht voor mensenrechten en wordt het aantal categorieën van cybersurveillancemiddelen uitgebreid (het zijn er nu nog

Klaus Buchner, die over dit onderwerp aan het rapporteert, vindt dat ons onderzoek aantoont dat de regels verder moeten worden aangepast. ‘De 14 gevallen dat de vergunning werd geweigerd versterken de mensenrechten en de positie van de EU als handelspartner. Het is nu zaak dat de nieuwe aanpak in heel Europa op dezelfde manier navolging vindt. Zo krijgen interne meningsverschillen en halfslachtige implementaties geen kans,’ zegt hij.

Maar: het is nog onduidelijk of het commissievoorstel zal worden aangenomen. Volgens een memo van de Deense regering ‘zijn lidstaten sceptisch’ over de voorgestelde wetten. Die druisen namelijk in tegen internationale exportverdragen, zoals het Wassenaar Agreement - een vrijwillig, maar politiek bindend verdrag tussen 41 staten dat de export reguleert van munitie en tanks, raketten, geweren en dual use-goederen. De Europese exportregels zijn deels gebaseerd op het

Lidstaten zijn ook bang dat de nieuwe focus op mensenrechten ‘onzekerheid over de interpretatie en implementatie creëert, wat tot grote administratieve druk voor zowel bedrijven als de lidstaten kan leiden.’ Het Europees Parlement bespreekt het voorstel op 28 februari.

De Europese Commissie laat in een reactie op dit verhaal weten dat ‘het duidelijk is dat de bestaande regels efficiënter, consistenter en effectiever’ moeten.

Dimitri Tokmetzis en Maaike Goslinga van De Correspondent hebben meegewerkt aan dit verhaal.

Dit onderzoek kwam tot stand in het kader van Security for Sale, een internationaal onderzoeksproject over de Europese veiligheidsindustrie onder leiding van De Correspondent. Voor dit project werkten wij samen met meer dan twintig Europese journalisten. Het consortium kreeg een werkbeurs van Journalismfund.eu.

Met dank aan Hans Pieter van Stein Callenfels voor vertaalwerk vanuit het Engels.

Lees meer verhalen van ons consortium Security for Sale: