Nederlandse Europarlementariërs strijden tegen misbruik spionagesoftware in EU
Op dinsdag 8 november publiceerde de enquêtecommissie Pegasus van het Europees Parlement een eerste rapport over het gebruik van spionagesoftware door lidstaten. Wat betekent dit voor EU-burgers en wat kan de EU ertegen doen? Een analyse op basis van interviews met CDA-Europarlementariër Jeroen Lenaers en met Stefan de Koning, persmedewerker van D66-Europarlementariër Sophie in 't Veld.
In de hele EU zetten nationale overheden op grote schaal spionagesoftware in tegen hun eigen burgers. Dat is één van de schokkende bevindingen van de Pegasus-enquêtecommissie (PEGA) van het Europees Parlement. Op 8 november publiceerde de rapporteur van de enquêtecommissie, Sophie in 't Veld (D66), haar conceptrapport over het gebruik van spyware door lidstaten en de schending van EU-wetgeving die daarmee gepaard gaat. Met het rapport werd een eerste politieke stap gezet in het aankaarten van dit probleem.
Twee Nederlandse Europarlementariërs, Jeroen Lenaers (CDA) als voorzitter en In ’t Veld als rapporteur, vervullen een centrale rol in het onderzoek. Ook PvdA-Europarlementariër Thijs Reuten is als plaatsvervangend lid van de commissie betrokken. Als enige auteur van het conceptrapport heeft In ’t Veld de afgelopen maanden hard gewerkt aan het rapport, dat zoveel mogelijk details over het gebruik en de werking van spionagesoftware opsomt, in de hoop het probleem breder onder de aandacht te brengen van beleidsmakers, én burgers.
Erger dan ‘Europees Watergate’: oneerlijke verkiezingen
Naar de Pegasus-affaire wordt vaak verwezen als ‘een Europees Watergate-schandaal’, maar dat label is volgens het team van In ’t Veld nog te onschuldig. Het gaat namelijk veel verder dan afluisteroperaties: met spionagesoftware zoals Pegasus kunnen mobiele telefoons van op verre afstand overgenomen worden, camera en microfoon aangezet worden en kunnen alle berichten, foto’s en contacten worden ingezien. Wat echt problematisch is, is dat deze spyware niet alleen gebruikt wordt voor het opsporen van criminelen en terroristen – de Nederlandse AIVD zou met behulp van Pegasus Ridouan Taghi op het spoor zijn gekomen – maar ook voor overheidsoptreden tegen gewone burgers, journalisten, politieke tegenstanders, rechters en activisten.
Dat laatste gebeurde in Polen, Hongarije, Griekenland en Spanje. Het Poolse en Hongaarse misbruik van Pegasus past in het plaatje van de ondermijning van democratie en rechtsstaat dat al jaren aan de gang is in deze landen. In Griekenland ontketende zich de afgelopen maanden een heus afluisterschandaal nadat aan het licht kwam dat de regering met behulp van de spionagesoftware Predator een journalist, een Europarlementariër en een politicus, beide van de oppositie, in de gaten hield om te vermijden dat corruptiezaken aan het licht zouden komen. De Spaanse overheid gebruikt spyware in de strijd tegen Catalaanse separatisten, maar rechtvaardigt dat omdat onafhankelijkheidsstreven volgens de Grondwet verboden is.
Toen bleek dat de Poolse regering de spionagesoftware had ingezet als politiek wapen tegen de oppositie bij de verkiezingen in 2019, nam de druk toe om een Europese onderzoekscommissie in te stellen. Ook Europese politici, zoals voorzitter van de Europese Raad Charles Michel en Eurocommissaris Didier Reynders, Europarlementariërs en medewerkers van de Europese Commissie werden doelwit van de spyware. In ’t Veld ziet het als een regelrechte aanval op EU-instellingen en op democratische processen. En het betekent dat er momenteel twee leden - Polen en Hongarije - in de Europese Raad zitten die niet onomstotelijk eerlijk verkozen werden.
Burgers alert maken
Onder leiding van Lenaers reisde vorige week een delegatie van de onderzoekscommissie, waaronder ook In ’t Veld en Reuten, naar de twee lidstaten om het gebruik van spionagesoftware er ter plaatse te onderzoeken. Het doel van zo’n buitenlandse missie is vooral informatiewinning. Door te praten met onder meer ngo’s, journalisten en slachtoffers van de spionagepraktijken hoopt In ’t Veld alle details boven tafel te krijgen en vervolgens te verwerken in het commissierapport. Dit zijn de enige bronnen waarop ze zich kan beroepen, want de autoriteiten werken niet mee aan het onderzoek.
Daarnaast willen de Europarlementariërs het gevaar van en het risico op misbruik van spionagesoftware onder de aandacht van de bevolking brengen. Want dat het Europees Parlement voor een onderzoek in hun land aanwezig is, moet toch een alarmbel doen afgaan, stelt de persmedewerker van In ’t Veld. Het Griekse kabinet zou wel eens op een regeringscrisis kunnen afstevenen, nu de Griekse krant Documento afgelopen weekend onthulde dat de premier ook zijn eigen ministers zou hebben afgeluisterd. Toch liggen de Grieken niet meteen wakker van hun eigen ‘Watergate’. Het vertrouwen en de interesse in de politiek is al laag en de enorme inflatie in hun land baart hen meer zorgen.
Het kostte de Europarlementariërs enige tijd om hun collega’s bij de Europese Commissie ervan te overtuigen dat het om een Europees probleem gaat, en niet om een kwestie van “nationale veiligheid”. Een medewerker van In ’t Veld plaatst de terughoudendheid in een trend van een Europese Commissie die sinds 2004 alsmaar minder gaan handhaven is naar de lidstaten toe. Lenaers wil met het onderzoek aantonen dat het om een rechtsstaatprobleem gaat, en bijgevolg onder de bevoegdheid van Eurocommissaris voor Justitie Didier Reynders valt. In het rapport doet In ‘t Veld beleidsaanbevelingen om Europese burgers beter te beschermen in hun relatie met de overheid.
Elke lidstaat heeft spionagesoftware, maar er is geen controle
Op basis van het onderzoek kan geconcludeerd worden dat elke lidstaat spionagesoftware in handen heeft, al dient het verschillende doeleinden, van legitiem tot illegitiem gebruik. De EU is een soort ‘Wilde Westen’ op vlak van de regulering van deze geavanceerde software. Bijgevolg is er geen enkele controle op het gebruik ervan, en nationale handhaving is volgens de medewerker hetzelfde als géén handhaving. Dat laatste mag volgens Lenaers niet verbazen, aangezien overheden die er zelf baat bij hebben zichzelf geen regels opleggen. Bovendien kan Europol bij cybermisdrijven in de EU enkel ingrijpen als de lidstaat – in dit geval degene die zelf de misdaad pleegt - daar toestemming voor geeft. Wat de zaak verder bemoeilijkt is het fiscaal kluwen en de criminaliteitscircuits waarin de bedrijven, die achter de spyware zitten, zich vaak bevinden.
Ook in de PEGA-commissie stuit het onderzoek op nationale gevoeligheden. Alle lidstaten en alle politieke fracties zijn er vertegenwoordigd, waardoor zowel doelwitten als ex-bewindslieden die de spyware zelf inzetten, zoals de Spaanse schaduwrapporteur als oud-minister van Binnenlandse Zaken, moeten samenwerken. In deze fase schrijft In 't Veld alleen aan het rapport, enkel haar medewerkers krijgen inzage. Ze streeft ernaar om een zo compleet mogelijk rapport op te stellen voor het wordt blootgesteld aan politieke koehandel.
Geen verbod, wel regulering
Wat hopen de Europarlementariërs te bereiken met het rapport? Veel meer dan enkel media-aandacht, benadrukt Lenaers. Hij noemt drie beleidsmaatregelen: Europese regulering van de sector, Europese import- en exportregels voor de aankoop van deze technologieën en Europese transparantieregels en minimumnormen omtrent de aankoop en het gebruik van spyware door overheden, maar ook transparantie richting doelwitten. Na afloop van de commissiebezoeken aan Cyprus en Griekenland toont Lenaers zich voorzichtig optimistisch: “Cyprus en Griekenland beloofden snel met regelgeving te komen voor enerzijds de import en export van spyware en anderzijds de privémarkt. Die regels moeten een soort blauwdruk vormen voor Europese wetgeving, anders verplaatst het probleem zich gewoon naar een andere lidstaat zonder regulering.”
In ’t Veld pleit voor Europese handhaving, wet- en regelgeving voor legitiem gebruik van spionagesoftware en het aan banden leggen van illegitiem gebruik. Op zich pleit geen van beiden voor een spyware-vrije Unie. Wel willen ze strenger toezien op derde landen die de spyware aanleveren, zoals Israël. Niets garandeert immers dat de Israëlische overheid geen toegang heeft tot de data van gehackte Europeanen, en bovendien houdt het een bepaald businessmodel in stand. Derde landen kunnen de persoonsgegevens bovendien ook weer verder verkopen aan andere landen.
Hoewel het rapport vanaf 8 november al in te kijken is door het grote publiek, gaat het om een ontwerpverslag dat in eerste instantie voorgelegd wordt aan de betrokken commissie. De onderzoekscommissie heeft in principe een looptijd van een jaar, maar zal met drie maanden verlengd worden. Voor voorzitter Lenaers vormt eind juli 2023 de ultieme deadline voor afronding van de werkzaamheden, zodat de instanties nog voldoende tijd hebben om aan de slag te gaan met de aanbevelingen, voor de Europese Verkiezingen in 2024. In het voorjaar van 2023 staat nog een bezoek aan Hongarije op het programma van de commissie.
Fauke Deceuninck is eindredacteur bij PDC, partner van het Montesquieu Instituut, en in die hoedanigheid actief voor de website Europa-Nu.nl.