Spionagesoftware tegen terrorisme?

Om criminelen en terroristen op tijd te vinden, biedt de wet vergaande mogelijkheden voor toegang tot het privé leven van mogelijke verdachten. In het belang van de nationale veiligheid kunnen profielen worden gecreëerd van personen die een extreem risico vormen voor de samenleving. Natuurlijk gaat het daarbij over het volgen van verdachten, niet van bewezen schuldigen. Het is daarom niet verrassend dat er regelmatig rechtszaken zijn over inbreuken in het privé leven van onschuldige mensen die onterecht werden verdacht van terrorisme. Een wel heel opvallende misslag is de spionagesoftware Pegasus die onder meer te vinden is op telefoons van journalisten, activisten en advocaten. In dit blog zal ik uitleggen wat Pegasus is, hoe het op telefoons terecht komt en of dit juridisch in lijn is met de opsporing van criminelen en terroristen.

Wat is Pegasus?

Pegasus is een spionagesoftware ontwikkeld door het Israëlische bedrijf NSO Group. Wanneer de software op een telefoon staat, kan het alle data van die telefoon verzamelen. Zo kan het de telefoonnummers verzamelen die een activist in zijn contacten heeft staan en kunnen die nieuwe nummers getarget worden en in de gaten worden gehouden. De software is ook in staat de microfoon aan te zetten waardoor mee kan worden geluisterd met gesprekken, en natuurlijk kunnen telefoongesprekken getapt worden.

De spionagesoftware wordt gebruikt door overheden om personen in de gaten te houden die verdacht worden van terrorisme of ernstige criminele activiteiten. Afgelopen maand werd door een lek bekend dat een lijst van 50.000 telefoonnummers werd bijgehouden door Pegasus. Het gaat om nummers van honderden zakenlieden, academici, religieuze mensen, werkers van NGO’s en van overheden… Kortom, een groot overzicht van invloedrijke mensen. Zonder het specifiek onderzoeken van telefoons is het niet mogelijk te achterhalen welk van deze telefoonnummers daadwerkelijk werd gevolgd door Pegasus. Het is echter vrijwel zeker dat de eigenaren van de nummers als mogelijk onderzoeks-target werden gezien.

Hoe komt het op je telefoon?

Oorspronkelijk werkte Pegasus niet anders dan een typisch phishing bericht. Om de spyware op je telefoon te krijgen, moest je op een link klikken. Inmiddels is het veel moeilijker geworden om door te krijgen wanneer zo’n infectie plaatsvindt. De software maakt gebruik van zogenaamde zero-day zwakheden. Dat zijn gaten in het besturingssysteem die nog niet ontdekt zijn door de fabrikant. De software kan die gaten ongemerkt penetreren. Dit gebeurt bijvoorbeeld door het getargete nummer te bellen. Het maakt daarbij niet eens uit of er wordt opgenomen.

Er is bij een aantal onderzochte telefoons ontdekt, dat de spyware er op stond of erop heeft gestaan, mede doordat het Pegasus nummer in de oproepgeschiedenis staat. Als er activiteit van de software heeft plaatsgevonden op de telefoon, dan kunnen forensisch onderzoekers dit achterhalen. In ieder geval blijkt van een groot aantal onderzochte telefoonnummers van de gelekte lijst een Pegasus aanval te hebben plaatsgevonden, seconden nadat het nummer op de lijst verscheen.

Wat is wel en niet toegestaan bij bestrijding van terrorisme?

De wetgeving rondom de mogelijkheden voor de overheid om terrorisme te bestrijden is in de afgelopen 20 jaar een stuk uitgebreider geworden. Eén van de belangrijkste kenmerken is dat in de gaten wordt gehouden wanneer mensen in bepaalde groeperingen radicaliseren. Personen in hun omgeving die dit merken kunnen de overheid daarvoor waarschuwen. Natuurlijk rekent de overheid niet alleen op waarschuwingen van burgers. Er zijn nog allerlei andere monitoring vormen, zoals het bijhouden van reisgedrag van mensen in vliegtuigen of het in de gaten houden en verwijderen van websites die oproepen tot haat en geweld. Wanneer iemand vervolgens enige connecties lijkt te hebben met een terroristische organisatie, dan kunnen zijn/haar persoonsgegevens worden verzameld om een duidelijk profiel te krijgen. De privacy inbreuk wordt wettelijk pas toegestaan nadat iemand wordt verdacht van de link met terrorisme. Dan pas weegt de nationale veiligheid zwaarder.

In het geval van Pegasus is het duidelijk dat een groot deel van de gemonitorde mensen geen link hebben met terrorisme of zware criminaliteit. Wel zijn het mensen die allerlei unieke posities innemen in de samenleving en die om andere redenen door overheden worden gemonitord. Een voorbeeld uit de lijst van gelekte telefoonnummers is de onderzoeksjournalist Khadija Ismayilova, uit Azerbaijan. Zij kwam op voor de rechten van politieke gevangenen en deed onderzoek naar corruptie in het land. Niet alleen is zij jarenlang tegengewerkt door de overheid, ze is zelfs gevangen gezet. Hoewel landen natuurlijk verschillen in hun wettelijke aanpak van criminaliteit, geldt naar mijn idee voor iedereen die zonder link met terrorisme op de gelekte lijst staat dat hier sprake is van een inbreuk op privacy.

Conclusie

Het is onduidelijk of Nederland ook gebruik heeft gemaakt van Pegasus, maar recent is de software ook op telefoons van Franse journalisten ontdekt. In ieder geval is bekend dat Nederland regelmatig gebruik maakt van dit soort spyware, maar welke dat precies is, is onbekend. Het is in ieder geval duidelijk dat deze software makkelijk en in het geheim op telefoons kan worden geplaatst zonder dat hier een duidelijk afgebakende juridische reden voor bestaat. Het kan puur uit nieuwsgierigheid naar het gedrag van prominente mensen in de samenleving worden toegepast. Gelukkig bestaan er organisaties die hier constant onderzoek naar doen, en daarmee transparantie proberen te waarborgen. Uiteindelijk is privacy nog steeds een mensenrecht dat zo veel mogelijk moet worden beschermd!