© Max Sarychau

Export surveillancetools: EU moet daad bij het woord voegen

Op 20 maart, vlak voor zonsopgang, vielen een stuk of tien veiligheidsbeambten een huis binnen in Ajman, in de Verenigde Arabische Emiraten. Het was het huis van Ahmed Mansoor, waar hij met zijn vrouw en vier jonge kinderen woonde. De veiligheidsbeambten namen alle laptops en mobiele apparaten mee. Ook Ahmed werd meegenomen. Het duurde twee weken voordat er een teken van leven van hem was.

Bijna twee maanden later zit hij nog steeds vast. Zijn vrouw heeft hem tot nu toe pas één keer heel kort mogen bezoeken.

Volgens nieuwsberichten wordt Ahmed ervan verdacht dat hij zijn accounts op sociale media onder andere heeft gebruikt om onjuiste informatie te publiceren en op te roepen tot sektarisme. Maar Amnesty International, andere mensenrechtenorganisaties en mensenrechtenexperts van de Verenigde Naties denken dat zijn arrestatie een aanval is op zijn werk als mensenrechtenverdediger en een schending van zijn mensenrechten. Amnesty International roept op tot de onmiddellijke en onvoorwaardelijke vrijlating van Ahmed Mansoor.

De arrestatie van Ahmed Mansoor vormt een verontrustend nieuw hoofdstuk in een slepende geschiedenis waarin hij te maken heeft gehad met willekeurige hechtenis, lichamelijke mishandeling, reisverboden en andere pesterijen.

In deze campagne tegen Ahmed is herhaaldelijk gebruikgemaakt van geavanceerde spyware in een poging toegang te krijgen tot zijn persoonlijke gegevens en zijn contacten met anderen te volgen. In ten minste twee gevallen hebben onderzoekers van The Citizen Lab in Canada ontdekt dat hiervoor gebruik is gemaakt van software die wordt verkocht door een producent uit de EU, namelijk de Duits-Britse Gamma Group en het Italiaanse Hacking Team.

Problematische Europese export

Dit is nog maar één voorbeeld van problematische verkoop en gebruik van Europese surveillancetools in de wereld. De exportmarkt voor Europese surveillancetechnologie is groot, maar we weten er maar weinig vanaf. Met uitzondering van een paar landen wordt er over het algemeen erg geheimzinnig gedaan over informatie over export of exportlicenties (de meest elementaire informatie over wie wat aan wie verkoopt).

Wat we wel weten is afkomstig uit bronnen zoals onderzoek door journalisten. Uit een zo’n onderzoek bleek dat EU-landen de afgelopen drie jaar 317 exportlicenties voor digitale surveillancetechnologie hebben goedgekeurd. Veel van deze licenties komen terecht in landen met een slechte reputatie op het gebied van mensenrechten, zoals de Verenigde Arabische Emiraten. Slecht veertien exportlicenties werden afgewezen.

Andere informatie is afkomstig van datalekken na aanvallen op Europese bedrijven waarbij hun interne communicatie online is gezet. Dit overkwam het Italiaanse bedrijf Hacking Team in juli 2015. Hoewel het bedrijf dit lang had ontkend (en volhield dat het legaal handelde), leken de gelekte documenten aan te tonen dat Hacking Team wel degelijk producten had verkocht aan talloze overheden met een slechte mensenrechtenreputatie, waaronder Oezbekistan, Bahrein en Ethiopië.

Phineas Fisher zegt verantwoordelijk te zijn voor het hacken van Hacking Team en Gamma International

Een andere Europese producent van surveillancesoftware, het Duits-Britse Gamma International, werd gehackt in 2014, vermoedelijk door dezelfde hacker. In dit geval leken de gelekte documenten talloze problematische verkooptransacties met onderdrukkende overheden aan te tonen. Dit ondermijnde de claims van het bedrijf dat zijn software niet werd gebruikt om dissidenten in Bahrein aan te vallen.

Vernietigend effect op mensenrechtenverdedigers

Surveillance vormt een groot risico voor mensenrechtenverdedigers. Amnesty heeft gedocumenteerde voorbeelden van het vernietigende effect dat misbruik van surveillancetechnologie kan hebben op activisten in landen over de hele wereld.

In Wit-Rusland vertelden activisten, onafhankelijke journalisten en anderen aan Amnesty dat activisten niet alleen in hun werk worden belemmerd door wetgeving die basisvrijheden strafbaar maakt, zoals het houden van een onrechtmatig protest, maar ook door de wijdverbreide angst voor surveillance. Alledaagse  activiteiten als een e-mail versturen, een telefoontje plegen, een bijeenkomst of protest organiseren of geld inzamelen voor hun organisatie zijn vrijwel onmogelijk. Hierdoor kunnen ze nauwelijks meer gebruikmaken van hun mensenrechten en deelnemen aan het politieke leven in hun land.

Misbruik van surveillance buiten de EU kan ook van invloed zijn op de rechten van mensen binnen de EU, en omgekeerd.

Oezbeekse vluchtelingen in Europa zijn om het contact met hun familie in Oezbekistan te verbreken, omdat ze bang zijn dat surveillance van hun telefoontjes of e-mails uit het buitenland kan leiden tot vervolging van hun familieleden door de veiligheidsdienst.

De onafhankelijke journalisten Gulasal Kamolova en Vasiliy Markov moesten uit Oezbekistan vluchten toen hun geheime werk voor buitenlandse, onafhankelijke nieuwsdiensten aan het licht kwam nadat het e-mailaccount van hun redacteur in Berlijn was gehackt en hun mailwisselingen met haar op een website in Oezbekistan waren gepubliceerd.

Transparantie nodig

De nogal voor de hand liggende vraag is: als de Europese export van surveillancetools zo groot is en als misbruik van surveillancetechnologie zo’n duidelijk risico vormt voor mensenrechten over de hele wereld, waarom horen we dan alleen iets over deze problematische verkooptransacties via onderzoeksjournalistiek of zelfs datalekken?

Het antwoord is duidelijk: dit zou niet zo moeten zijn.

Er is dringend behoefte aan meer transparantie en een betere regulering om parlementen, journalisten, burgermaatschappelijke groepen en het publiek te helpen begrijpen wat de gevolgen zijn voor de mensenrechten van de Europese export van surveillancetools en om ervoor te zorgen dat exporttransacties die een risico vormen voor de mensenrechten worden verboden.

Verbeterde regelgeving EU

Daarom waren Amnesty International en andere leden van de Coalition Against Unlawful Surveillance Exports (CAUSE) in september 2016 blij met het nieuws dat de Europese Commissie een voorstel heeft gedaan om de EU-controle op de handel in zogenaamde ‘goederen voor tweeërlei gebruik’ te actualiseren. Deze kunnen zowel voor militaire als niet-militaire doeleinden worden gebruikt en hier kunnen ook bepaalde categorieën surveillancetechnologie onder vallen.

Dit voorstel bevat veel welkome verbeteringen. Zo wordt het aantal categorieën surveillancetechnologie uitgebreid waarvoor een exportvergunning moeten worden aangevraagd en moet bij deze aanvraag expliciet rekening worden gehouden met mensenrechtenrisico’s.

Controles op export zijn natuurlijk geen wondermiddel. Ze kunnen niet alle vormen van misbruik van surveillance voorkomen. Daarnaast betogen critici terecht dat vage of te ruime formuleringen een ontmoedigend effect kunnen hebben op belangrijk veiligheidsonderzoek als onderzoekers niet zeker weten of ze voor hun activiteiten een vergunning nodig hebben.

Bovendien moet het voorstel op verschillende punten worden verbeterd Lees Amnesty's positie over het Dual Use Proposal :

  • De mensenrechtenrisico’s in het voorstel bevatten restrictieve beperkingen: ze hebben alleen betrekking op exporttransacties met specifieke functionarissen met een bewezen historie van mensenrechtenschendingen, of met landen waar een gewapend conflict speelt. De controle zou moeten gelden voor elke exporttransactie die een substantieel risico vormt voor de mensenrechten.
  • Een voorgestelde uitbreiding van de ‘catch-all’-clausule is zwak en kan in de huidige versie eenvoudig worden omzeild. De clausule moet garanderen dat voor nieuwe en nog te ontwikkelen technologie die een risico vormt voor de mensenrechten een licentie moet worden aangevraagd. Maar daarvoor moet de formulering worden verbeterd zodat alle exporttransacties van relevante technologie nauwkeurig worden gecontroleerd op risico’s voor de mensenrechten.
  • Het voorstel bevat zeer weinig eisen op het gebied van grotere transparantie van zowel bedrijven als landen. Landen moeten proactief informatie beschikbaar stellen, zoals goedgekeurde en afgewezen exportlicenties, het soort apparatuur, de productcategorie, een omschrijving, de waarde, het land van bestemming, het uiteindelijk gebruik/de uiteindelijke gebruiker en de reden waarom de licentie is goedgekeurd dan wel afgewezen.
  • Het voorstel moet definities verduidelijken of verbeteren voor een betere bescherming van veiligheidsonderzoek. Zo kan ervoor worden gezorgd dat onderzoekers die zich bezighouden met zaken als penetratietesten of het opsporen en verhelpen van kwetsbaarheden in software niet onverhoopt in hun werk worden belemmerd door de regels. Dit zou moeten worden bereikt door een inclusief overleg waarbij rekening wordt gehouden met gespecialiseerde expertise op dit gebied.
  • Het meest opvallende is dat het voorstel niet vereist dat landen exporttransacties verbieden, zelfs niet als is gebleken dat deze transacties een serieus risico vormen voor de mensenrechten. In het voorstel zou moeten worden opgenomen dat exporttransacties die een substantieel risico vormen voor de mensenrechten worden afgewezen.

Het voorstel, dat momenteel wordt bekeken door het Europese Parlement en de Europese Raad, is een kans om mensenrechten centraal te stellen in het handelsbeleid van de EU op dit gebied. Als het juist wordt geformuleerd en geïmplementeerd zou het een belangrijke eerste stap kunnen zijn om te voorkomen dat Europese surveillancetechnologie risico’s creëert voor de mensenrechten.

Oproep aan EU-leiders

EU-leiders moeten ervoor zorgen dat het voorstel van de Commissie wordt verbeterd, zodat er een zinvolle controle komt op exporttransacties van surveillancetechnologie die een bedreiging vormt voor de mensenrechten.

Als ze dit niet doen, dan bewijst dit voorstel slechts lippendienst aan het belang van mensenrechten en kunnen gewetenloze bedrijven geld blijven verdienen aan de handel in tools die worden gebruikt om mensenrechtenverdedigers over de hele wereld, mensen zoals Ahmed Mansoor, te onderdrukken.

Deze blog werd eerder gepubliceerd op Medium.com