EU: spyware bedreigt de essentie van mensenrechten
Dunja Mijatovic , de commissaris voor de mensenrechten van de Raad van Europa, is verontrust over de impact van krachtige hacktools die volledige en onbeperkte toegang verlenen tot iemands privéleven.
Er zijn meer dan 18 maanden verstreken sinds een internationale coalitie van dappere onderzoeksjournalisten het Pegasus-project heeft vrijgegeven . De onthulling van het lekken van meer dan 50.000 telefoonnummers, waaronder die van vele mensenrechtenverdedigers, journalisten, academici en oppositieleiders, die waren geïdentificeerd als potentiële doelwitten voor surveillance via de Pegasus-spyware, schokte de wereld. Langdurige partners van mijn bureau, zoals de Azerbeidzjaanse mensenrechtenverdediger Khadija Ismayilova, behoorden tot degenen van wie de telefoons waren geïnfecteerd.
Pegasus is geavanceerde en zeer opdringerige bewakingssoftware, waarvan eerdere versies al enkele jaren bekend zijn. Het geeft de gebruiker toegang tot het volledige apparaat van het doelwit en alle gegevens die erop zijn aangesloten zonder dat ze iets doen of zelfs maar beseffen dat ze worden aangevallen. De geïnfecteerde smartphone kan worden omgezet in een externe microfoon en camera om de eigenaar of de omgeving van de eigenaar te bespioneren, en hij heeft zelfs toegang tot de cloudaccounts van de eigenaar. Er zijn weinig of geen acties beschikbaar voor gebruikers om zichzelf te beschermen tegen dergelijke zero-click-exploits.
Overheden hebben de plicht om de veiligheid binnen hun grenzen te waarborgen en het gebruik van geavanceerde bewakingstechnologie kan in een democratische samenleving noodzakelijk zijn voor de bescherming van de nationale veiligheid of om de rechten en vrijheden van anderen te waarborgen. De jurisprudentie van het Europees Hof voor de Rechten van de Mens bepaalt echter dat alle surveillance moet plaatsvinden in overeenstemming met de wet, een legitiem doel moet dienen en noodzakelijk en proportioneel moet zijn. Bovendien moet het rechtskader precieze, effectieve en uitgebreide waarborgen bieden voor het bevelen, uitvoeren en mogelijke verhaalsmogelijkheden tegen toezichtmaatregelen, die onderworpen moeten zijn aan adequate rechterlijke toetsing en effectief toezicht.
Toch is er voldoende bewijs dat Pegasus-spyware illegaal is gebruikt en voor binnenlandse en internationale spionagedoeleinden in plaats van legitieme bezorgdheid over de openbare veiligheid. Meerdere onderzoeken die op nationaal en regionaal niveau zijn gestart, waarvan de meeste nog steeds lopen, hebben getuigenissen verzameld over het illegale gebruik, de aankoop, de verkoop en de export van commerciële spyware door de lidstaten van de Raad van Europa. Ondertussen blijven er nieuwe onthullingen komen over het aanvallen van journalisten met spyware, wat suggereert dat wat we tot nu toe weten slechts het topje van de ijsberg is.
Als commissaris voor de mensenrechten van de Raad van Europa ben ik verontrust over de impact van krachtige hacktools die volledige en onbeperkte toegang tot iemands privéleven verlenen. Het is niet alleen het recht op privacy en de bescherming van persoonsgegevens, zoals verankerd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens en beschermd door het gemoderniseerde Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, dat staat op het spel. Het gebruik van spyware heeft een afschrikkend effect op andere mensenrechten en fundamentele vrijheden, waaronder de vrijheid van meningsuiting en inspraak. Het creëert een klimaat van zelfcensuur en angst waarin alle individuen als verdachten kunnen worden behandeld en waar mensenrechtenverdedigers en actieve leden van het politieke leven bijzonder worden bedreigd. Het bestoken van journalisten met spyware brengt de vertrouwelijkheid van hun bronnen in gevaar en daarmee de werking en geloofwaardigheid van een van de meest cruciale pijlers van onze democratische samenlevingen: vrije toegang tot informatie voor iedereen en de bevordering van een pluralistische mediaomgeving.
Om ernstige mensenrechtenschendingen als gevolg van het gebruik van commerciële spyware zoals Pegasus te voorkomen, moeten de lidstaten van de Raad van Europa voldoen aan hun verplichtingen uit hoofde van het Europees Verdrag, zoals geïnterpreteerd door het Hof, en de wettigheid, legitimiteit en noodzakelijkheid en evenredigheid van elk dergelijk gebruik waarborgen .
Onvervulde wettigheidseisen
Elke wet die bewakingsactiviteiten toestaat, moet nauwkeurig en duidelijk zijn over de overtredingen, activiteiten en mensen die aan bewaking worden onderworpen. Bovendien moet het strikte limieten stellen aan de duur, evenals regels voor de openbaarmaking en vernietiging van de via de surveillance verkregen gegevens. Er moeten ook rigoureuze procedures zijn om het onderzoek, het gebruik en de opslag van de verkregen informatie te gelasten, en doelwitten moeten de kans krijgen om hun recht op een doeltreffende voorziening in rechte uit te oefenen. Ten slotte moeten de organen die toezicht houden op het toezicht onafhankelijk zijn en verantwoording afleggen aan het parlement in plaats van aan de uitvoerende macht.
Met spyware die zo krachtig en opdringerig is als Pegasus, blijft het de vraag of het gebruik ervan ooit duidelijk kan maken welke doelen, overtredingen en activiteiten moeten worden gecontroleerd. Als de Europese Toezichthouder voor gegevensbeschermingheeft opgemerkt, vormen spywaretools zoals Pegasus een doorbraak op het gebied van digitale bewaking. Dit zijn hacktools die bedoeld zijn om beveiligingsmechanismen te doorbreken en bestaande kwetsbaarheden uit te buiten. Als zodanig beïnvloeden ze de hele omgeving van het doelwit en bereiken ze een mate van opdringerigheid die nooit nauwkeurig kan zijn of beperkt tot een specifieke persoon of tijdspanne. Dit maakt zinvol toezicht vooraf en achteraf praktisch onmogelijk, ook al zijn de bestaande wettelijke kaders nauwkeurig en omvattend genoeg om aan de strikte voorwaarden van het Hof te voldoen. Bovendien, aangezien infectie met dergelijke geavanceerde spyware erg moeilijk te detecteren en te bewijzen is, kan het recht van het slachtoffer op een effectief rechtsmiddel ongrijpbaar worden.
Als gevolg hiervan is het vrijwel ondenkbaar dat het gebruik van Pegasus of gelijkwaardige spyware ooit zou kunnen worden overwogen in overeenstemming met de wet en de noodzakelijke waarborgen zoals geschetst door het Hof.
Onzekerheid over de legitimiteit van het doel
Bovendien blijkt uit de tot nu toe verzamelde informatie dat commerciële spyware vaak wordt gebruikt buiten de bevoegdheid van gerechtelijke bevelen en democratische controle, en niet om een ernstige en onmiddellijke bedreiging voor de nationale veiligheid of voor de bescherming van de rechten en vrijheden van anderen af te wenden. Met weinig bewijs van de misdaden die werden voorkomen, maar talrijke tekenen van het bespioneren van gewone burgers voor politieke doeleinden, lijkt spyware een integraal instrument te zijn geworden van staatsrepressie tegen mensenrechtenwerk, in de meeste gevallen met nationale veiligheidsoverwegingen als voorwendsel. Het feit dat het onderzoek naar de omstandigheden rond het gebruik van Pegasus en andere spyware is belemmerd door het gebrek aan transparantie en samenwerkingvan de kant van de betrokken regeringen helpt niet om deze claim weg te nemen, vooral gezien de lange lijst van mensenrechtenverdedigers, journalisten en oppositieleiders van wie we weten dat ze het doelwit zijn.
Onbeperkt geheim toezicht is niet nodig en ook niet proportioneel in een democratische samenleving
Hoewel het Hof de verdragsluitende staten een zekere beoordelingsvrijheid geeft met betrekking tot de voorwaarden waaronder het bewakingssysteem moet worden toegepast, betekent dit niet dat zij onbeperkte toestemming hebben om personen binnen hun rechtsgebied aan geheime bewaking te onderwerpen. Zij mogen in naam van de strijd tegen spionage en terrorisme niet de maatregelen nemen die zij passend achten. Het Hof heeft veeleer benadrukt dat het van het allergrootste belang is ervoor te zorgen dat geheime inlichtingenapparatuur alleen wordt gebruikt in geval van een grotere dreiging en wanneer traditionele onderzoeksmiddelen en -apparatuur in het specifieke geval inefficiënt zijn gebleken .
Er is onvoldoende informatie gedeeld over de specifieke gevaren die Pegasus moest afwenden. Gezien de enorme inmenging in de privacyrechten van zowel het doelwit als een onbepaald aantal personen in de omgeving van het doelwit, is het echter moeilijk een scenario voor te stellen waarin het gebruik van zulke krachtige en invasieve spyware ooit in verhouding zou staan tot het doel. en dus in overeenstemming met de mensenrechten.
Een exponentiële markt voor de spyware-industrie
Ernstige zorgen over de mensenrechten in Europa komen niet alleen voort uit het gebruik van spyware door overheidsinstanties. De spyware-industrie floreert al tientallen jaren onverminderd. Pegasus, Candiru, Predator en soortgelijke hacktools zijn geëxporteerd en verkocht aan de hoogste bieder, vaak zonder de juiste exportvergunning of andere screeningprocessen. De recente onthulling van de Europese Predator-spyware die aan een Soedanese militie is geleverd, is daarom niet alleen schokkend, maar helaas ook niet verrassend.
De voormalige speciale VN-rapporteur voor de bevordering en bescherming van het recht op vrijheid van mening en meningsuiting, David Kaye, waarschuwde in 2019 dat toezicht via het hacken van mobiele apparaten, dat toen al in ten minste 45 landen werd gebruikt, floreerde te midden van zwakke controles op uitvoer en overdracht van dergelijke technologie. Hij benadrukte dat de mensenrechtenverplichtingen van staten ook de plicht omvatten om mensenrechtenschendingen door derden te voorkomen, te onderzoeken, te bestraffen en te herstellen, en verwees naar de UN Guiding Principles on Business and Human Rights . Ze dringen er bij staten op aan om adequaat toezicht uit te oefenen wanneer ze bedrijven contracteren om diensten te verlenen die van invloed kunnen zijn op de mensenrechten en die dus zeer relevant zijn voor de betrekkingen van de staat met de particuliere bewakingsindustrie.
Toch blijft het toezicht op de transacties van particuliere bedrijven ontoereikend en sporadisch in een omgeving die een wijdverspreide cultuur van niet-naleving van de bestaande privacybeschermingswaarborgen in Europa wordt genoemd. Spywaretools zijn in wezen gratis te koop, terwijl het gebruik ervan op individuele telefoonnummers wordt vergemakkelijkt door het feit dat persoonlijke gegevens (waaronder telefoonnummers, biometrische gegevens en locatiegegevens) nog steeds op ongekende schaal worden verzameld, verwerkt en verkocht aan bedrijven over de hele wereld. globe, vaak zonder toestemming van de gebruiker . In een dergelijke omgeving staat de bescherming en handhaving van het fundamentele recht op privacy voor enorme uitdagingen, tot het punt dat het dreigt te worden vernietigd.
De behoefte aan bijgewerkte en sterkere regelgevingskaders
Zoals ik al eerder heb gezegd , bestaat er geen enkel land met een volledig bevredigend juridisch kader met betrekking tot de werking van zijn nationale veiligheidsdiensten. In 2015, na de onthullingen van Snowden, heeft mijn Bureau de lidstaten van de Raad van Europa advies gegeven over hoe de nationale toezichtsystemen effectiever kunnen worden gemaakten de veiligheidsdiensten meer verantwoordelijk en in overeenstemming met de mensenrechtennormen. Sindsdien heeft de spyware-industrie zich sneller ontwikkeld dan de wettelijke kaders die van toepassing zijn op bewakingstechnologie. Zelfs als ze bestaan, zijn ze vaak vaag wat betreft de specifieke onderzoekstechnieken die kunnen worden toegepast, laten ze te veel beoordelingsvrijheid over aan de uitvoerende macht of bieden ze onvoldoende niveau van gerechtelijke controle. Bovendien vinden de aanschaf, verkoop en export van spywaretools meestal plaats in zulke ondoorzichtige omstandigheden dat toezicht uiterst moeilijk wordt.
Het wordt hoog tijd dat de lidstaten van de Raad van Europa erkennen dat het Pegasus-spywareschandaal meer is dan alleen een gênante episode. Het ontbreken van bijgewerkte en adequate regelgevende kaders in combinatie met vaak zwakke toezichtstructuren heeft de weg geëffend voor ernstige inbreuken op de privacy die het concept van individuele rechten op de proef stellen en de essentie van democratische samenlevingen, inclusief de integriteit van verkiezingen , in gevaar brengen . Zonder beperkingen wordt surveillance alomtegenwoordig en steeds opdringeriger, tot het punt dat elke actor een potentieel doelwit van surveillance is en burgers hun gedrag in die wetenschap afremmen.
Hoewel de lopende onderzoeken naar het gebruik van Pegasus en vergelijkbare spyware lovenswaardig zijn en ongetwijfeld zullen bijdragen tot een beter begrip van wat er is gebeurd, waarom en hoe, blijven mensenrechtenactivisten, journalisten en politici van de oppositie het doelwit. Er moet nu actie worden ondernomen om verder misbruik te voorkomen en het vertrouwen van het publiek in veiligheidsdiensten te herstellen. Gezien de complexiteit en de omvang van de uitdaging zijn uitgebreide en strikte regelgeving en nauwgezette handhaving onontbeerlijk.
De weg vooruit
Ik roep de lidstaten van de Raad van Europa op om een strikt moratorium in te stellen op de export, verkoop, overdracht en het gebruik van zeer opdringerige zero-click spywaretools zoals Pegasus, en om een nauwkeurig, met de mensenrechten in overeenstemming zijnd wetgevingskader in te stellen voor de gebruik van moderne bewakingstechnologie. Dit kader moet voorzien in zinvolle procedurele waarborgen, robuuste systemen van ex-ante en ex-post toezicht door rechterlijke toetsing en parlementair toezicht, en effectieve verhaalmechanismen voor slachtoffers. Als dit kader eenmaal is ingevoerd, moet het strikt worden gehandhaafd.
De lidstaten moeten verder meer aandacht besteden aan het feit dat de spyware-industrie voortdurend nieuwe tools ontwikkelt die, zonder waarborgen en toezicht, kunnen worden gebruikt voor misdadige doeleinden en mensenrechtenschendingen kunnen vergemakkelijken. Het is ook absoluut noodzakelijk dat regeringen transparant zijn over hun inspanningen om de mensenrechtenconforme werking van hun nationale veiligheidsdiensten te garanderen en dat ze volledig meewerken aan alle relevante onderzoeken. Ten slotte moeten we het publiek bewust blijven maken van de ongebreidelde bedreiging van de rechten op privacy, vrijheid van meningsuiting en publieke participatie als gevolg van een ongecontroleerde spyware-industrie en de ondoorzichtige operaties van nationale veiligheidsdiensten. We waren afhankelijk van de moed en vastberadenheid van journalisten en maatschappelijke groeperingen om te leren over het gevaar waarin we ons bevinden.
Door: Dunja Mijatovic
