Democratie onder cybervuur

Democratie onder cybervuur

Blog

Het Pegasus project onthulde dat spyware van het Israëlisch surveillancebedrijf NSO Group door overheden – ook door de EU-lidstaat Hongarije – gebruikt wordt om activisten, journalisten en critici te bespioneren.

Het project is het resultaat van een baanbrekende samenwerking met meer dan tachtig journalisten in twintig landen, gecoördineerd door Forbidden Stories, een in Parijs gevestigde non-profitorganisatie. Amnesty International zorgde voor de technische ondersteuning door geavanceerde forensische tests uit te voeren op mobiele telefoons om sporen van de spyware te identificeren.

Joshua Franco, Amnesty Tech Deputy Director, werd in 2018 zelf doelwit van de Pegasus-software. Wij gaan met hem in gesprek over de bedreiging die deze spyware vormt voor de wereldwijde democratie en hoe we dit kunnen stoppen.  

 

 

 

 

Waarom is het belangrijk dat mensenrechtenorganisaties zoals Amnesty zich bezig houden met dit soort zaken? 

Zodat we het recht op privacy kunnen beschermen en schendingen gelinkt aan staatsurveillance kunnen tegengaan. Er is een groot verschil waarop toezicht wordt gehouden de afgelopen jaren. Als je denkt aan het stereotype spion die je, pakweg 40 jaar geleden, afluisterde dan was er een echt persoon bij betrokken die waarschijnlijk je gesprekken afluisterde, of je nu in een openbare ruimte was of via je telefoon. Dat is een enorme uitgave van middelen en energie. Een regering die elke mensenrechtenactivist in het land wil bespioneren? Het zou een enorme Waarom is het belangrijk dat mensenrechtenorganisaties zoals Amnesty zich bezig houden met dit soort zaken? Zodat we het recht op privacy kunnen beschermen en schendingen gelinkt aan staatsurveillance kunnen tegengaan. Er is een groot verschil tussen zaken waarop toezicht wordt gehouden de afgelopen jaren. Als je denkt aan de stereotype spion die je, pakweg 40 jaar geleden, afluisterde dan was er een echt persoon bij betrokken die waarschijnlijk je gesprekken afluisterde, of je nu in een openbare ruimte was of via je telefoon. Dat is een enorme uitgave van middelen en energie. Een regering die elke mensenrechtenactivist in het land wil bespioneren? Het zou een enorme operatie zijn geweest. Er waren regeringen die dat deden maar nu zijn de kosten zo ver gedaald dat er nog maar weinig is om een regering tegen te houden om met één druk op de knop, op een ongelofelijke invasieve manier, mensen te bespioneren. 

Amnesty noemt de geheime cybersurveillance een wereldwijde mensenrechtencrisis. Is dat het echt? Of is het gewoon een nieuw topic op vlak van mensenrechtenschendingen?

Het Pegasusproject is ontstaan als reactie op de onthullingen van Edward Snowden rond massasurveillance. De schade gaat hier verder dan enkel de schending van privacy. Ik denk dat dat wel duidelijk wordt uit gevallen waarbij journalisten worden getroffen bijvoorbeeld. Dit zal niet enkel gevolgen hebben voor de vrije meningsuiting van journalisten maar ook op de samenleving en het recht op vrije meningsuiting en informatie van burgers. Een van de eerste aspecten van surveillance die we onderzochten was het chilling effect ervan. Er is een algemene misvatting dat als mensen bang zijn van toezicht door de overheid en ze aan zelfcensuur doen, dat dit een persoonlijke keuze is en niet de schuld is van de overheid. Dat is fout want het chilling effect is een logische en wettelijke erkende reactie op de onzichtbaarheid van deze surveillance.

En ja, toezicht is bedoeld om geheim te zijn maar het moet gebeuren binnen legitieme omstandigheden die het proportioneel maken en waarbij onze rechten beschermd worden. Dat is wat we hier missen: er is geen echte manier om te weten wanneer we onder toezicht staan, wat voor activisten aanleiding kan geven tot zo’n toezicht en wat er met je gegevens gebeurt.

Eén van de bevindingen van het rapport is dat er een duidelijk gebrek is aan verantwoording, waarbij bedrijven kunnen doen en laten wat ze willen. Zijn er geen internationale normen of wetgeving die dat reguleren?

Het is een industrie die door de mazen van het juridisch net valt. En ik denk dat daar een paar redenen voor zijn. Eén daarvan is dat dit een gebied is waar de staat het gewoon is om dingen geheim te houden, ten nadele van de mensenrechten. Ook is de industrie zelf onvoldoende gereguleerd. De meeste landen hebben een soort van privacykader maar als je je eenmaal in de details verdiept, zijn het bedrijven zoals deze die echt door de mazen van het net vallen. Er zijn een aantal manieren waarop dit kan worden geregeld: ten eerste heb je transparantie en gerechtelijk toezicht nodig. Dit is nodig om het een beetje veiliger te maken, maar bij bedrijven wordt er nauwelijks aandacht besteed aan de mensenrechtenaspecten van surveillance instrumenten.

Exportregels worden momenteel per land anders ingevuld. De laatste jaren werd er op EU-niveau een poging gedaan om de zogeheten dual use export regulation te herzien, waarbij staten naar de implicaties van spionagesoftware moeten kijken voordat ze een vergunning verlenen aan bedrijven om te exporteren. Maar helaas vertoonde dit erg veel hiaten. De meest in het oog springende was dat je niet hoeft na te gaan of de mensenrechten überhaupt in acht worden genomen en exportvergunningen die de mensenrechten kunnen schaden, moet afwijzen. Er is enkel een vereiste dat je dit zou overwegen.

Dit is absoluut geen goede manier om regelgeving te structureren. Een van de dingen die herhaaldelijk naar voren kwam, waren de bezwaren van de Tech-industrie die zeitijdens dit proces “luister, we zijn een verantwoordelijk bedrijf. We hebben dit soort bureaucratie niet nodig. We hebben twintig advocaten die werken aan maatschappelijkondernemen etc..”. Gefeliciteerd en blij dat jullie verantwoordelijke bedrijven zijn maar dit Pegasus project toont aan dat we veiligheidsmaatregelen moeten treffen die de verantwoordelijke actoren aan banden kunnen leggen. En dat is waar het hier echt aan ontbreekt.

NSO beweert dat ze enkel verkopen aan doorgelichte regeringen, ze enkel het product ontwikkelen en voor de rest geen zicht hebben waarvoor het gebruikt wordt. In principe kunnen ze dan ook niet weten of het voor een legitiem of niet legitiem doel wordt gebruikt?

Het is een erg overtuigend argument hé. Het is alsof je zegt: “hey, het enige wat ik deed was een geladen pistool overhandigen aan een peuter. Ik ben niet verantwoordelijk voor wie werd neergeschoten hé?”. Ik denk dat dit een opzettelijke blindheid is langs hun kant. Er zijn technische beperkingen die je kan opleggen aan klanten. Als we kijken naar deskundigheidsrapporten van mensen zoals de VN-rapporteur voor de vrije meningsuiting dan zien we dat er een aantal voorzorgsmaatregelen zijn die bedrijven kunnen nemen door een beperking van gegevensextractie of Geofencing, waarbij je het gebruik van apparaten kunt beperken tot een specifiek gebied. Er zijn dus technische maatregelen die bedrijven kunnen nemen om de risico’s op misbruik te beperken.

Elk bedrijf heeft inzake bedrijfsleven en mensenrechten de verantwoordelijkheid om onze rechten te respecteren en te eerbiedingen en er geen gebruik van te maken door hun services. Dat plaatsen we normaal onder de noemer van due dilligence. Bedrijven moeten voordat ze een nieuwe activiteit starten, of gedurende het contract ervan, nadenken over welke mensenrechtenrisico’s eraan verbonden zijn. Hoe kunnen we dit beperken? Wat gaan we doen om het probleem op te lossen indien het zich voordoet? En wat voor compensaties gaan we slachtoffers geven? Dit soort vragen moet gesteld worden en het is duidelijk dat het in de zaak van NSO Group niet op een effectieve manier is gebeurd. Hieruit blijkt dat het bedrijf niet alleen faalt in hun verantwoordelijkheid om de nodige zorgvuldigheid te bekomen  maar ook een soort van medeplichtigheid heeft aan mensenrechtenschendingen die plaatsvinden.

Ondanks herhaalde waarschuwingen dat producten van NSO Group worden misbruikt tegen mensenrechtenverdedigers, kiest het bedrijf voor een afwachtende houding als het aankomt op de doeleinden van hun producten. Dit idee dat als NSO Group geen manier kan vinden om het misbruik te voorkomen, ze gewoon de deur daarvoor sluiten en zeggen: “we hebben er geen zicht op”, kan niet door de beugel. Als je zoveel bewijs hebt dat je bedrijf of je producten bijdragen aan schendingen van mensenrechten of die mogelijk maken, moet je meer doen dan dat.