Er is sterk bewijs dat in meerdere Europese landen spionagesoftware is misbruikt om journalisten, politieke tegenstanders en activisten te bespioneren.
Wat is er gebeurd?
In de Europese Unie gebruiken lidstaten op grote schaal commerciële spionagesoftware, concludeerde de PEGA-enquêtecommissie van het Europees Parlement dinsdag. Volgens de onderzoekers is dit zorgwekkend, omdat landen nauwelijks verantwoording afleggen over de inzet van deze spyware. Hierdoor is moeilijk na te gaan of de inzet legaal is.
Uit het onderzoeksrapport blijkt dat er sterke aanwijzingen zijn dat in ieder geval in Polen, Hongarije, Spanje en Griekenland spionagesoftware is misbruikt om telefoons van journalisten, politieke tegenstanders en activisten te hacken.
Jeroen Lenaers, voorzitter van de PEGA-enquêtecommissie en Europarlementariër voor het CDA, noemt het fenomeen zelfs een politiek schandaal. „Het opmerkelijke is de omvang en het feit dat meerdere Europese landen bij het schandaal betrokken zijn. Er blijft nieuwe informatie bovenkomen.”
Wat doet de onderzoekscommissie?
De eerste berichten van het misbruik dateren uit de zomer van 2021. Internationale media vonden een lijst met telefoonnummers van zo’n 50.000 mensen die mogelijk met spyware waren bespioneerd. Er stonden ook een aantal Europese landen op de lijst, waaronder Polen en Hongarije. Toen nieuwe feiten bleven opduiken, is in maart de PEGA-commissie opgericht om het fenomeen verder te onderzoeken.
Wat is spyware?
Spyware is moeilijk op te sporen spionagesoftware dat digitale apparaten totaal kan overnemen. Bekende spyware is het zogeheten Pegasus; spionagesoftware van het Israëlische bedrijf NSO Group. De spyware gebruikt onbekende kwetsbaarheden in de beveiliging van besturingssystemen als iOS en Android. Het unieke aan Pegasus is dat de software ongemerkt op telefoons van doelwitten wordt geïnstalleerd. Vervolgens is zo’n smartphone volledig lek: alle bestanden en foto’s kunnen worden doorgegeven, de locatie is bekend en de microfoon en camera kunnen constant worden afgeluisterd.
Hoe breed wordt er binnen de EU van Pegasus gebruikgemaakt?
Volgens de onderzoekscommissie gebruikt vrijwel elke EU-lidstaat de commerciële spionagesoftware, zeker is het van twaalf lidstaten. Ook de Nederlandse overheid gebruikte spionagesoftware. De Volkskrant berichtte in juni dat de AIVD Pegasus gebruikte om de bekende crimineel Ridouan Taghi op te sporen.
Hoe wordt spyware in sommige EU-landen misbruikt?
Naast legaal gebruik maken in ieder geval Polen en Hongarije zich schuldig aan ernstig misbruik van de spyware. Lenaers: „Als je het zou gebruiken om terroristen aan te pakken, is dat prima. Maar in Polen is het gebruikt tegen de leider van de oppositiecampagne, tegen advocaten, journalisten en activisten. Dat heeft allemaal weinig te maken met terrorisme of zware criminaliteit.”
Ook in andere landen lijkt de spionagesoftware misbruikt. Zo zouden Spaanse regeringsleden doelwit zijn geweest van spionagepraktijken. Andersom zou de Spaanse geheime dienst een aantal Catalaanse politici en activisten hebben gevolgd. Ook uit Griekenland komen verschillende geluiden van misbruik van de software.
Volgens Lenaers kan dit oneigenlijk gebruik van spionagesoftware verwoestende gevolgen hebben voor de slachtoffers. „Bij de Poolse oppositiepoliticus Krzysztof Brejza is privé-informatie van zijn telefoon in nationale media, staatstelevisie en kranten misbruikt om hem te besmeuren, om kwaad over hem te spreken.”
Aanbieders van de spionagesoftware nemen geen verantwoordelijkheid voor het misbruik van spyware. Zij geven aan de technologie te leveren om zware criminelen en terroristen op te pakken. Vervolgens is het aan landen zelf wat ze ermee doen.
Wat nu te doen voor EU?
De PEGA-commissie vindt het hoog tijd dat Brussel actie gaat ondernemen. Lenaers: „Momenteel zijn deze technologieën nog nauwelijks gereguleerd. Het is daarom belangrijk dat je goede normen opstelt over de vraag wanneer je de spyware legaal inzet.”
Op dit moment zijn de aanbevelingen van de PEGA-commissie echter nog niet erg concreet. „Daar gaan we de komende maanden aan werken”, zegt Lenaers. „Zo zullen we hoorzittingen houden met experts en op basis van die informatie hopen we tot concretere aanbevelingen te komen.”
De PEGA-onderzoekscommissie heeft al wel een aantal ideeën voor Europese regelgeving. „We moeten kijken of we import- en exportregels kunnen invoeren voor de aankoop van spionagesoftware. Ook is het belangrijk ervoor te zorgen dat autoriteiten die kwetsbaarheden in software signaleren dit verplicht vroegtijdig aangeven bij de fabrikanten, zodat de lekken niet gebruikt worden voor spyware. Voor de slachtoffers van afluisteroperaties is het belangrijk dat Europa het recht op transparantie vastlegt, zodat een doelwit achteraf zijn recht kan halen mocht spyware onterecht zijn ingezet.”
Spywaregebruik is een gevoelig thema. Wilden overheden wel meewerken aan het onderzoek?
Slechts vier landen werkten mee. Sommige lidstaten werkten de onderzoekers actief tegen. Lenaers: „In Polen wilde niemand van de primair verantwoordelijken ons te woord staan. Om toch aan informatie te komen, hebben we contact gehad met de onderzoekscommissie van de Poolse senaat en alle oppositiefracties van het Poolse Lagerhuis. Maar hier was de regeringspartij niet bij betrokken.”