Bijna 50 landen gebruiken de staatstrojan Pegasus om zo’n 12.000 tot 13.000 keer per jaar smartphones te hacken. Dat zegt fabrikant NSO in de onderzoekscommissie van het Europees Parlement. We publiceren de notulen van de hoorzitting. NSO wil geen individuele landen noemen, dat mogen alleen de overheden.
Sinds april onderzoekt een onderzoekscommissie in het Europees Parlement het gebruik van “surveillance- en spionagesoftware” zoals Pegasus. In juni nodigde de commissie het bedrijf NSO uit, dat de staatstrojan Pegasus produceert en verkoopt. Chaim Gelfand , de General Counsel en Chief Compliance Officer van het bedrijf , sprak namens NSO uit Israël.
Helaas is er alleen een video-opname van de hoorzitting , downloaden is omslachtig. Er is een schriftelijk verslag van, maar het is niet openbaar. We geven nu het videobestand en het officiële woordlogboek vrij .
Ongeveer 12.000 tot 13.000 bestemmingen per jaar
De Tweede Kamer schrijft in een persbericht dat Kamerleden de NSO-vertegenwoordiger ‘grillen’. We bestempelden de uitspraken als een “litanie van niet-antwoorden ” . Chaim Gelfand zei zelfs twee onthullende dingen die weinig aandacht hebben gekregen.
NSO gaf toe dat ze in het verleden “ongeveer 60 klanten in 45 landen” hadden, waaronder 14 EU-lidstaten. NSO heeft momenteel “minder dan 50 klanten”, waaronder 12 EU-landen . Deze klanten vallen “ongeveer 12.000 tot 13.000 doelen” per jaar aan met de staatstrojan Pegasus. Dat betekent dat politie en geheime diensten Pegasus elke 40 minuten gebruiken om smartphones te hacken en te monitoren.
Landen mogen over Pegasus praten
NSO wil niet zeggen welke landen Pegasus gebruiken. Volgens Gelfand mag NSO deze vragen niet beantwoorden. Hij zei echter dat de “regeringen van individuele EU-lidstaten” informatie over Pegasus mogen verstrekken: “Het gaat om hun veiligheid en ze kunnen beslissen of ze deze kwestie willen bespreken of niet.”
Hiermee spreekt NSO de Duitse federale regering tegen. Het ministerie van Binnenlandse Zaken had in de Bondsdag het tegenovergestelde beweerd : “De bedrijven willen niet dat het voor de hand ligt dat ze samenwerken met de federale overheid of met de federale veiligheidsautoriteiten. Als dat het geval is, beëindigen ze hun zakelijke relatie met ons.” NSO heeft deze ingrijpende verklaring nu officieel weerlegd.
Hoewel het al lang algemeen bekend is dat de Federale Recherche en de Federale Inlichtingendienst Pegasus gebruiken, heeft de verkeerslichtregering geweigerd om verdere informatie te verstrekken . Minister van Binnenlandse Zaken Faeser wil niet eens zeggen of de gegevens die met Pegasus worden gecontroleerd beschermd zijn tegen toegang door derden of dat de federale overheid met Pegasus is gehackt .
Leden van de Bondsdag van de regeringspartijen FDP en Groenen eisen : “De federale regering moet het parlement informeren over het gebruik van Pegasus.” Met toestemming van NSO heeft ze een excuus minder. Wij hebben het contract tussen BKA en NSO aangevraagd . Als we het antwoord niet krijgen, zullen we opnieuw een rechtszaak aanspannen – zoals met de staatstrojan FinFisher .
Update (17:15): Door een serverfout was het log niet compleet, nu is het weer compleet. Als bonus hebben we de niet-Engelse delen (machinaal) vertaald, die bij mouseover (met behulp van JavaScript) direct in de tekst verschijnen.
- Datum: 21-06-2022
- Plaats: Brussel
- Instelling: Europees Parlement
- Commissie: Onderzoekscommissie om het gebruik van Pegasus en gelijkwaardige surveillance-spyware te onderzoeken
- Chair: Jeroen Lenaers
Uitwisseling met NSO
- Chaim Gelfand , General Counsel en Chief Compliance Officer, NSO
- Nicola Bonucci , Partner, Wereldwijde handel en onderzoeken & witteboordenverdedigingspraktijken, advocatenkantoor Paul Hastings (Parijs)
De gedachtewisseling wordt om 15.06 uur geopend.
Voorzitter: Geachte collega’s, van harte welkom bij de hoorzitting van vandaag met onze onderzoekscommissie over het gebruik van Pegasus en soortgelijke spyware. We hebben tegenwoordig vertolking in de volgende talen: Duits, Engels, Frans, Italiaans, Nederlands, Grieks, Spaans, Hongaars, Pools, Slowaaks, Sloveens, Bulgaars en Roemeens.
Ons eerste punt op de agenda is de aanneming van de agenda, en als er geen opmerkingen zijn, beschouw ik deze als aangenomen.
Dan gaan we naar het eerste deel van deze vergadering, een uitwisseling met NSO, het bedrijf dat Pegasus produceert, en NSO wordt hier vertegenwoordigd door de heer Chaim Gelfand, de General Counsel en Chief Compliance Officer, en de heer Nicola Bonucci van de Paul Hastings advocatenkantoor in Parijs. Het is een genoegen u hier vandaag te mogen verwelkomen.
Zoals u weet is onze onderzoekscommissie ingesteld om het misbruik van Pegasus en vergelijkbare spyware in de lidstaten van de Europese Unie te onderzoeken. Onze commissie zal zich dus niet uitsluitend richten op de spyware die je bij NSO Group produceert, maar zoals je waarschijnlijk al kunt afleiden uit de afkorting van onze onderzoekscommissie, staat Pegasus centraal in ons werk. En ik las met grote belangstelling ook het eerste rapport over transparantie en verantwoordelijkheid van de NSO-groep van juni vorig jaar, omdat ik denk dat transparantie en verantwoordelijkheid ook precies zijn wat we vandaag nodig hebben om deze hoorzitting tot een succes te maken.
Ik wil misschien een zin uit het voorwoord van dit rapport benadrukken, waarin staat: “we moeten onszelf aan een hogere norm houden en handelen met rentmeesterschap en transparantie, rekening houdend met de noodzaak van het gevoelige evenwicht tussen de verplichtingen van staten om de openbare veiligheid en bezorgdheid te waarborgen voor mensenrechten en privacy’.
Nu denk ik dat een hogere standaard precies ook is waar deze commissie vandaag naar op zoek zal zijn, en ik reken erop dat u die inzet ook zult tonen, ook bij het beantwoorden van de vragen van onze leden vandaag.
Nu, wat praktische zaken betreft, wil ik u, beste collega’s, vragen voordat we ingaan op de inhoud van de vergadering van vandaag, dat alle leden die in dit eerste deel van de vergadering het woord willen voeren, dit aangeven tijdens de bijdrage van de heer Gelfand zodat we de sprekerslijst compleet kunnen maken en ook de klok in de gaten kunnen houden. We zullen het pingpongformaat gebruiken, zodat we onmiddellijk antwoord krijgen op onze vragen. Wat ik u echt vraag, is u ook aan de spreektijd te houden om ervoor te zorgen dat alle leden die dat willen het woord kunnen nemen.
Tot slot wil ik de collega’s en iedereen die deze hoorzitting vandaag volgt, herinneren aan de klokkenluidersfunctionaliteit van de PEGA-commissie. Als u relevante informatie heeft voor het werk van onze commissie die u zou willen delen, doe dat dan en stuur deze naar het speciale e-mailadres dat u kunt vinden op de website van onze commissie.
Nu, zonder verder oponthoud, en met het oog op de klok, geef ik met veel plezier het woord aan de heer Gelfand gedurende 10 minuten.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Namens NSO wil ik de leden van de onderzoekscommissie bedanken voor hun aanwezigheid vandaag. We stellen het zeer op prijs dat we u rechtstreeks kunnen spreken en willen deze tijd graag gebruiken om drie hoofdgebieden te bespreken. Eerst zullen we de commissie informatie verstrekken over NSO als bedrijf, onze technologieën, doelen en werkwijzen. Ten tweede willen we bepaalde geruchten en misvattingen over ons bedrijf en zijn technologieën uit de weg ruimen die prominent aanwezig zijn geweest in de pers en in het publieke debat. Ten derde willen we onze doelen en toezeggingen delen om de commissie te helpen bij haar lopende werkzaamheden.
Voordat we beginnen, moeten we er rekening mee houden dat er grenzen zijn aan de informatie die we kunnen delen met de commissie en anderen. Zoals u weet, is NSO een particulier bedrijf dat alleen en uitsluitend exportgecontroleerde cyberinlichtingentechnologieën levert aan overheidsinstanties met als doel terrorisme en andere ernstige misdaden te voorkomen en te onderzoeken. Als gevolg hiervan kunnen we geen details over onze klanten delen, evenals de misdaden die zijn voorkomen en criminelen die zijn gevolgd en aangehouden met behulp van onze technologieën, of handelsgeheimen van de technologie. Deze praktijk is absoluut noodzakelijk om de legitieme wettelijke en operationele behoeften aan geheimhouding van cyberinlichtingen- en wetshandhavingsinstanties te beschermen. We streven er echter naar om op transparante wijze nauwkeurige informatie over ons bedrijf en onze technologieën met u te delen.
We willen beginnen met de simpele waarheid te zeggen dat deze technologie is bedacht en ontworpen om wereldwijd levens te redden. NSO is opgericht in 2010 en is ontwikkeld om tegemoet te komen aan de behoeften en verzoeken van verschillende wetshandhavingsinstanties, waaronder enkele uit EU-landen, om een technologische oplossing te vinden voor het verzamelen van informatie van versleutelde mobiele apparaten. NSO is opgericht met de ambitie om de wereld veiliger te maken en doet dat al vanaf dag één.
Sinds de oprichting heeft NSO vier principes opgesteld die leidend zijn voor de manier waarop het werkt. Eén: NSO verkoopt alleen aan overheden. Nummer twee: NSO verkoopt niet zomaar aan elke overheid. Nummer drie: NSO beheert de systemen niet. En nummer vier: de wens om gereguleerd te worden door regelgevers van de overheid.
De producten van NSO zijn in licentie gegeven voor verkoop met de goedkeuring van de Israëlische Export Control Authority en worden uitsluitend geleverd aan overheids-, inlichtingen- en wetshandhavingsinstanties. De snelle ontwikkeling en het wijdverbreide gebruik van technologie door terroristen en criminelen heeft het vermogen van staten om terrorisme en andere ernstige misdaden te voorkomen en te onderzoeken ingrijpend veranderd. Onze producten helpen overheidsinstanties bij het aanpakken van het ‘going dark’-probleem, dat wil zeggen het toenemende misbruik van end-to-end encryptie van applicaties door terroristen en criminelen om berichten en complotten te verbergen bij communicatie via mobiele apparaten. De enige andere optie om in de wereld van vandaag onderzoek te doen, is door middel van massasurveillance of achterdeurtjes naar de apparaten van alle gebruikers, wat veel indringender technologie zou zijn.
De technologie zoals die ontwikkeld door NSO is het enige bekende type target-centric oplossing. NSO is het meest bekend vanwege Pegasus, een cyberinlichtingenprogramma dat wordt gebruikt door wetshandhavings- en inlichtingendiensten van de staat om gegevens te verzamelen van specifieke mobiele apparaten tijdens onderzoeken.
Door het gebruik van Pegasus hebben de staatsautoriteiten tal van terroristische aanslagen, zoals zelfmoordaanslagen, verijdeld en blijven ze dit doen, en het heeft een belangrijke rol gespeeld bij het arresteren van pedofielen en andere ernstige criminelen. NSO is zich volledig bewust van en toegewijd aan haar eigen verantwoordelijkheden op het gebied van mensenrechten en de plichten van haar klanten, en is vastbesloten om haar producten correct en rechtmatig te gebruiken. In het licht hiervan heeft NSO een fundamentele toezegging gedaan om vrijwillig stappen te ondernemen om deze zorgen weg te nemen, onder meer door de benaderingen te volgen die worden beschreven in de United Nations Guiding Principles on Business and Human Rights (UNGP’s).
NSO is er trots op het eerste en, voor zover wij weten, het enige bedrijf in de cyberindustrie te zijn dat effectief beleid implementeert om volledig in overeenstemming te zijn met de UNGP’s. Dit omvat het aannemen en implementeren van beleid, procedures en interne mensenrechtenprogramma’s, inclusief due diligence-procedures op het gebied van mensenrechten, het beoordelen van elke geloofwaardige beschuldiging van misbruik die wordt geuit, het uitvoeren van internationale onderzoeken en het betrekken van alle belanghebbenden.
Helaas zijn niet alle beschuldigingen tegen NSO geloofwaardig. We hebben bijvoorbeeld veel beschuldigingen geïdentificeerd die onjuist of contractueel en technologisch onmogelijk zijn. Deze beschuldigingen zijn vaak gebaseerd op bewijs en gegevens die niet aan NSO zijn verstrekt, waardoor we dergelijke beweringen niet kunnen verifiëren of weerleggen, en zo verwarring creëren die schadelijk is voor het behoud van het vertrouwen van het publiek in deze technologieën.
Ik wil nu graag een aantal misvattingen uit de weg ruimen die in de pers en in het publieke debat zijn opgedoken met betrekking tot de activiteiten en technologieën van ons bedrijf. Er is al veel informatie aan de commissie gepresenteerd en er zijn tal van beschuldigingen die gewoon niet waar zijn. Gezien de toegewezen tijd kan ik ze niet allemaal doornemen, dus zal ik me concentreren op de belangrijkste of meest voorkomende misleidende en/of onjuiste beschuldigingen.
Het is niet waar dat NSO Group Pegasus exploiteert en informatie over individuen verzamelt. Het is niet waar dat Pegasus meer technologische mogelijkheden heeft in zijn ontwerp. Het is niet waar dat NSO Group zijn technologie verkoopt aan particuliere bedrijven. Het is niet waar dat alle sporen van Pegasus-software op apparaten verdwijnen. Het is niet waar dat NSO Group gegevens bewaart en dat Pegasus een permanent en sterk risico creëert op massale inbreuken op de beveiliging, vergelijkbaar met encryptie-backdoors. En het is niet waar dat de zogenaamde lijst met 50.000 telefoonnummers een lijst is met doelwitten van Pegasus. Ik zal elk van deze misvattingen één voor één behandelen.
Laat me ondubbelzinnig stellen dat NSO Pegasus niet beheert, geen inzicht heeft in het gebruik ervan en geen informatie verzamelt over klanten of wie ze controleren. De NSO verleent Pegasus uitsluitend licenties aan wetshandhavings- en inlichtingendiensten van soevereine staten en overheidsinstanties, na zowel een zorgvuldig en sectorleidend due diligence-proces van tevoren als na goedkeuring door de Israëlische regering.
Licenties zijn beperkt in aantal en contracten zijn zorgvuldig samengesteld om alleen legitiem gebruik toe te staan. NSO heeft geen kennis van de personen die staten mogelijk onderzoeken, noch van de complotten die ze proberen te verstoren. Om voor de hand liggende redenen delen soevereine staten deze buitengewoon gevoelige informatie normaal gesproken niet met NSO of enige andere leverancier van vergelijkbare technologie.
Wat betreft de tweede misvatting, ten eerste: Pegasus is geen instrument voor massatoezicht. De gegevens worden alleen verzameld van de mobiele apparaten van vooraf geïdentificeerde specifieke personen die ervan verdacht worden betrokken te zijn bij terrorisme en andere ernstige misdrijven die onderworpen zijn aan gerechtelijk of ander passend toezicht. Pegasus wordt één voor één gebruikt met specifieke vooraf geïdentificeerde telefoonnummers en is qua concept vergelijkbaar met traditioneel afluisteren.
Ten tweede verwijdert of bewerkt Pegasus geen gegevens op een gericht apparaat en staat dergelijke verwijdering of bewerking niet toe. Pegasus is ontworpen met capaciteiten voor het verzamelen van inlichtingen en het verzamelen van gegevens en kan zich niet voordoen als een slachtoffer. Het kan niet voor andere doeleinden worden gebruikt.
En ten derde kan Pegasus niet worden gebruikt om op grote schaal informatie te verzamelen en dringt het niet door in computernetwerken, desktop- of laptopbesturingssystemen of datanetwerken. Wat betreft de derde misvatting: NSO Group verkoopt zijn technologieën strikt en uitsluitend aan de overheid en overheidsinstanties met als doel terroristische activiteiten en misdaad te bestrijden.
Wat betreft de vierde misvatting: hoewel Pegasus inderdaad moeilijk te detecteren is op de telefoon van een doelwit, heeft het een ingebouwde onderzoeksfunctie voor het geval misbruik wordt vermoed. Dit is onmogelijk te wissen of te manipuleren. Die mogelijkheden kunnen niet volledig worden verwijderd en er bestaat permanent een audittraillogboek met de mogelijkheid om met terugwerkende kracht te controleren of een bepaald telefoonnummer al dan niet is binnengedrongen. NSO heeft in het verleden vaak toegang gekregen van haar klanten om dit soort onderzoek uit te voeren wanneer er een beschuldiging van misbruik ontstond, wat ertoe heeft geleid dat NSO systemen heeft afgesloten en een aantal contracten heeft beëindigd.
Wat betreft de vijfde misvatting: de gegevens die door klanten worden verzameld, worden niet in een cloud opgeslagen en er zijn geen achterdeurtjes naar het systeem. Er is geen gedeelde database van NSO-klanten en de logboeken bestaan veilig alleen op de servers van de klanten.
Wat betreft de vermeende lijst met 50.000 telefoonnummers: dit kan gewoon niet. Het aantal vermeende doelen is inderdaad volkomen ongeloofwaardig op basis van het aantal licenties dat daadwerkelijk door NSO is verleend. De zogenaamde lijst met doelen, waarvoor geen details of bron openbaar zijn gemaakt, is geen lijst met Pegasus-doelen en is ook niet overgenomen uit het Pegasus-systeem. Dit wordt zelfs erkend door verschillende organisaties die naar de lijst verwijzen. Van prominente namen die als voorbeelden uit die lijst zijn gegeven, is geverifieerd dat ze nooit een doelwit zijn geweest dat is onderworpen aan onze technologie.
Ik zou mijn opmerkingen willen beëindigen door nogmaals te herhalen dat NSO vastbesloten is de commissie bij te staan bij haar lopende werkzaamheden. NSO is van mening dat de samenwerking tussen ons bedrijf en de commissie vruchtbaar kan zijn bij het zoeken naar concrete oplossingen om de mensenrechten in onze branche aan te pakken. Zoals eerder vermeld, evenals veel wetshandhavingsinstanties, zijn wij er vast van overtuigd dat cyberinlichtingentechnologieën nodig zijn om dreigingen van terrorisme en andere ernstige misdaden aan te pakken.
Er is geen ander alternatief dat zich beter richt op even legitieme publieke zorgen over veiligheid en privacy. Daarom wijzen wij alle oproepen om deze technologieën te verbieden of om een moratorium in te stellen ten stelligste af. Dat gezegd hebbende, heeft NSO opgeroepen en blijft het pleiten voor de totstandkoming van een passend internationaal wettelijk kader, sectorspecifieke normen voor staten en bedrijven, en richtlijnen om criteria voor legitieme eindgebruikers van cruciale inlichtingensystemen beter te bepalen.
NSO staat open voor overleg met alle regeringen en andere belanghebbenden, waaronder maatschappelijke organisaties, internationale organisaties en de speciale procedures van de Verenigde Naties, en om een zinvolle dialoog aan te gaan met het oog op het vinden van concrete oplossingen om de eerbiediging van de mensenrechten door iedereen te bevorderen.
Tot slot, aan het einde van de vergadering van vandaag, en als de voorzitter het toestaat, is NSO voornemens de commissie een standpuntnota te geven waarin veel van de punten die we vandaag naar voren hebben gebracht, worden uiteengezet. We danken u nogmaals voor uw uitnodiging om vandaag deel uit te maken van de commissie en kijken uit naar het beantwoorden van uw vragen.
Sophia in ’t Veld (Renew): Dank u wel, meneer Gelfand, we zijn zeer geïnteresseerd in uw position paper en ook in uw speechnotes voor vandaag. En ik kijk ook uit naar het antwoord op de schriftelijke vragen die ik u heb gestuurd, want het is duidelijk dat er vandaag niet genoeg tijd is om alle vragen te stellen en schriftelijke vragen zullen zeer nuttig zijn. Ik zal heel snel een handvol vragen doornemen.
U zegt dat het enige doel waarvoor Pegasus kan worden gebruikt en wordt verkocht, het bestrijden van terrorisme en zware criminaliteit is. In dat geval zou ik graag willen weten welke gevallen van terrorisme en zware criminaliteit op het spel stonden toen u bijvoorbeeld Pegasus aan de Hongaarse en Poolse regering verkocht? En aan wie heb je Pegasus verkocht toen het werd gebruikt om de Europese Commissie af te luisteren? En hoe voorkwam dat precies dat terroristische aanslagen of ernstige misdrijven werden gepleegd?
Dan zou ik het ook graag willen begrijpen – u zegt dat u exportvergunningen heeft gekregen van Bulgarije en Cyprus. Ze lijken te ontkennen dat ze je ooit een exportvergunning hebben gegeven. Kun je het verschil uitleggen? En kunt u ook uitleggen waarom u Bulgarije en Cyprus gebruikt om exportvergunningen te verkrijgen in plaats van alleen vergunningen of exportvergunningen van Israël te krijgen?
Dan is er continu onduidelijkheid of je wel of geen toegang hebt tot de informatie. NSO blijft maar zeggen, nee, we hebben geen toegang tot de informatie – hoewel ik dacht dat ik je iets hoorde zeggen over wanneer je onderzoek doet naar beschuldigingen van misbruik, dan krijg je met toestemming van de klant wel toegang. Daar hoor ik graag wat meer over. Maar een oud-medewerker van u vermeldde in een artikel in The New Yorker dat NSO wel toegang heeft tot alle gegevens van haar klanten. Dus kunt u deze discrepantie verduidelijken? Heeft die persoon gelogen of vertel je niet de hele waarheid?
Dan, wat betreft de structuur en de activiteiten van het bedrijf, begrijp ik dat de gevolgen van de zwarte lijst van de VS zeer ernstig zijn geweest voor NSO, tot het punt dat u in financiële problemen kwam. Dus wat zegt dat over het belang van uw zaken met de Verenigde Staten en uw Pegasus-activiteiten, het feit dat uw bedrijf zo hard wordt getroffen door op de zwarte lijst te staan met betrekking tot één product? En dan hebben we in de media gelezen over de mogelijke verkoop van Pegasus-bewakingstechnologie of de codes, of delen van het bedrijf, zelfs aan L3Harris of Thiel Capital – Thiel, meneer Peter Thiel, vriend van Donald Trump en ook eigenaar van Palantir . Overweegt u inderdaad uw technologie of delen van uw bedrijf aan een van deze twee bedrijven te verkopen? En kun je iets meer zeggen over de redenen daarvoor en welke impact dat zal hebben op de zwarte lijst?
Daar laat ik het voorlopig bij.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ja, ik weet dat u het schriftelijke verzoek om schriftelijk antwoord in het weekend hebt verzonden. Ik heb het gisteravond gezien en we zullen dat bekijken en proberen te zien waar we op terug kunnen komen.
Zoals ik al zei, kan ik niet ingaan op kwesties van specifieke klanten waarover in de pers of anderszins is geschreven. Maar ik kan zeggen dat wanneer we het systeem aan de klant verkopen – en dit is wat we zeggen, dit is de reden waarom we het systeem aan de klant verkopen – de klant zich aan die reden houdt, zowel contractueel als in het eindgebruik licentie die het moet ondertekenen en aan de Israëlische regering wordt verstrekt, dat de enige en enige reden dat het systeem wordt gekocht, de strijd tegen misdaad en terreur is. Als een klant het gebruikt om redenen die niets te maken hebben met de strijd tegen misdaad en terreur, dan nemen we het buitengewoon serieus en onderzoeken we het, zoals we al zeiden. En als we erachter komen of een klant dit op een systematische manier heeft geschonden,
Sophia in ’t Veld (Renew): Hebt u dat gedaan met de Poolse en Hongaarse regeringen en degene die Pegasus heeft gekocht om de Commissie te bespioneren? Kunt u bevestigen dat die licenties zijn beëindigd?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, kan ik bevestigen dat wanneer we een klant definiëren die de gebruiksvoorwaarden heeft geschonden, deze wordt beëindigd. Ik kan geen specifieke klanten bespreken, en dat heb ik in het begin gezegd. En ik denk dat als we kwesties bespreken die verband houden met deze onderzoeken, wat ik kan zeggen is dat deze onderzoeken zeer complex zijn en een zeer goed begrip van de klant vereisen van de reden die hij had om een misdrijf te vermoeden. Als ze ons niet kunnen laten zien dat er daadwerkelijk sprake was van een vermoedelijk misdrijf, dat dingen niet in overeenstemming met de wetten zijn gedaan of dat er een internationale vaststelling is dat de wetten van een bepaald land niet toereikend waren, dan gaan we akkoord en sluiten we onze deuren. het systeem. Dat is een schending van het gebruik van het systeem.
Wat betreft de vraag over exportvergunningen in Cyprus en Bulgarije, zoals u al zei, hebben we bedrijven die ook in Cyprus en Bulgarije zijn gevestigd en zich bezighouden met andere technologieën. Ze gaan niet om met Pegasus. Licenties voor de export van Pegasus worden alleen van Israël ontvangen en ik denk dat de reactie van de Bulgaarse en Cypriotische autoriteiten betrekking had op Pegasus. Er zijn andere inlichtingenitems die andere dingen doen, zoals locatiebepaling en dergelijke, die daar worden ontwikkeld en waarvoor ook exportvergunningen nodig zijn om te worden verkocht. En dat zijn de relevante bedrijven daar als ze exporteren en vergunningen krijgen van de autoriteiten in die landen. Maar dat is niet gerelateerd aan Pegasus. Ik ga meteen over op de andere vraag – daar kom ik zo op terug omdat dit verband houdt – de structuur van het bedrijf wordt soms als verwarrend beschouwd. In het verleden – ik denk anderhalf jaar geleden – hebben we heel breed gereageerd op Amnesty en dat is openbaar. We hebben de hele structuur uitgelegd – de structuur als gevolg van verschillende overnames die in de loop der jaren hebben plaatsgevonden en de manier waarop die bedrijven vooraf waren opgezet. We proberen niets te verbergen. We zijn volledig transparant wat betreft de structuur en iedereen die wil kan kijken en zien. We hebben daar een zeer uitgebreide uitleg gegeven over de structuur van het bedrijf. We zijn volledig transparant wat betreft de structuur en iedereen die wil kan kijken en zien. We hebben daar een zeer uitgebreide uitleg gegeven over de structuur van het bedrijf. We zijn volledig transparant wat betreft de structuur en iedereen die wil kan kijken en zien. We hebben daar een zeer uitgebreide uitleg gegeven over de structuur van het bedrijf.
Wat betreft de toegang tot informatie, we hebben geen toegang tot de informatie. Het wordt alleen opgeslagen op de sites van de klant. Zoals ik al zei, op hun server, op de server van de klant die zich op het terrein bevindt, op de site van de klant. Er is ook een auditlogboek dat wordt bewaard in een gedeelte van de server waar de klant geen toegang toe heeft om daar informatie te verwijderen. In het geval dat het als onderdeel van een onderzoek vereist is om te verifiëren of een bepaald telefoonnummer al dan niet het doelwit was, vragen we de klant toegang tot dat deel van het systeem waar we vervolgens verbinding kunnen maken en kunnen verifiëren of een bepaald telefoonnummer het doelwit was of niet. Dit wordt gedaan in het kader van een onderzoek. Nogmaals, zoals ik al zei, hebben we een uniek proces voor wanneer er een beschuldiging naar voren komt om de kwestie te onderzoeken – het onderzoeken van een beschuldiging als deze omvat vaak twee delen. Een, de feitelijke vraag was deze persoon daadwerkelijk een doelwit van het systeem? Omdat, zoals ik al eerder zei, er talloze rapporten zijn verschenen en zoals ik hier heb vermeld, we dit eerder publiekelijk hebben verklaard over president Macron; de problemen die naar voren kwamen over Jamal Khashoggi, vragen van Jeff Bezos, het systeem werd niet gebruikt op die nummers. Dus in die gevallen hebben we een eerste nummer van de feiten over de vraag of het systeem werd gebruikt tegen het nummer.
Het tweede probleem in een onderzoek zal meer zijn dan dat, is begrijpen wat de reden is dat een klant een specifiek nummer heeft getarget. U kunt een persoon hebben die zich in een bepaalde positie bevindt, wat een positie lijkt te zijn waarop u misschien het doelwit bent omdat hij een journalist of mensenrechtenactivist is, maar een klant kan ernstige vermoedens hebben van daadwerkelijke misdaden tegen die persoon, of gerelateerd aan zijn activiteit of niet gerelateerd aan zijn activiteit. Als die legitiem zijn, dan is het gebruik van een dergelijk systeem geen schending van het eindgebruikerscertificaat, de gebruiksvoorwaarden of het internationale recht. En dit soort dingen moeten we onderzoeken.
Dus als een klant ons probeert te vertellen dat die en die geen doelwit was, willen we dat verifiëren. We gaan niet alleen op hun woord vertrouwen. En in die situaties, met de toestemming van de klant, die ze ons contractueel moeten geven, zullen we toegang krijgen tot dat deel van het systeem om het telefoonnummer te zien en wanneer het was gericht, de datums; we konden dan bij de klant nagaan of hij garanties had die van toepassing waren op die data of niet. En in die situaties, nogmaals, dat is wat we zullen zien, het telefoonnummer. De verzamelde gegevens krijgen we niet te zien. We zullen de informatie die op de telefoon stond niet zien. We zullen het auditlogboek zien, met het telefoonnummer en de vragen wanneer het doelwit was om ons onderzoek te voltooien. Als de klant niet meedoet, niet meewerkt aan dit lopende onderzoek, we zullen het systeem afsluiten. We hebben het in het verleden gedaan. We hebben het onlangs gedaan. We zullen dit blijven doen met elke klant die de gebruiksvoorwaarden schendt.
Wat betreft de kwestie van de zwarte lijst: de US Entities List is van invloed op de mogelijkheid van het bedrijf om items te kopen die onderworpen zijn aan de exportadministratievoorschriften van de Verenigde Staten. Dat soort beperkingen hebben uiteraard effect op het bedrijf. En we hebben er alle vertrouwen in dat wanneer we in gesprek gaan met de Amerikaanse regering, we hen kunnen uitleggen, vergelijkbaar met wat we hier uitleggen, over hoe het bedrijf werkt en waarom we denken dat het tegenovergestelde waar is, dat het bedrijf noodzakelijk is voor de veiligheid van de wereld en waarom we niet op die lijst zouden moeten staan en dat we van die lijst zullen worden geschrapt.
Ik kan stellen dat het bedrijf altijd in verschillende onderhandelingen is met verschillende bedrijven over de hele wereld over overnames. Meer dan dat is iets waar ik niet op in kan gaan omdat het vertrouwelijke informatie is en als er iets gebeurt, worden de dingen op dat moment natuurlijk openbaar gemaakt.
Bartosz Arłukowicz (PPE): Ik kom uit Polen en heb een paar vragen voor u. U zei dat u het Pegasus-systeem alleen aan overheidsinstanties en regeringen verkoopt. In deze telefoon heb ik – dankzij het werk van onderzoeksjournalisten uit Polen – een factuur tussen een particulier bedrijf dat banden heeft met voormalige inlichtingensystemen in het communistische Polen, een factuur tussen een particulier bedrijf en een overheidsinstantie die waarschijnlijk het Pegasus-systeem verkoopt. Kunt u het alstublieft uitleggen? Hoe komt het dat u zegt “we verkopen alleen aan regeringen” en onderzoeksjournalisten in Polen bewijzen dat een particulier bedrijf het van Israël koopt en het vervolgens aan een overheidsinstantie verkoopt?
Ik wilde je ook vragen – omdat je zei dat je het alleen verkoopt aan regeringen die terrorisme en grote bedreigingen bestrijden – wanneer kwam je erachter en kwam je erachter, en van waar, over de Pegasus die het hoofd van de verkiezingen van 2019 bespioneerde campagne in Polen? Zijn naam is Krzysztof Brejza. We weten dat hij werd bespioneerd door het Pegasus-systeem toen hij de verkiezingscampagne leidde voor het Europees Parlement, waar u nu bent. Ik wil u vragen of u hebt gecontroleerd welke terroristische activiteiten werden uitgevoerd door de voormalige vice-premier van Polen, die volgens berichten in de media werd bespioneerd door het Pegasus-systeem. Heb je geleerd over het bespioneren van de leider van de verkiezingscampagne in Polen in 2019, toen deze plaatsvond volgens berichten in de media, of pas na het Citizen Lab-rapport in 2021? Heeft u de licentieovereenkomst in Polen opgezegd,
En de basisvraag: heb je dit systeem aan Polen verkocht? Indien u de overeenkomst met Polen heeft opgezegd, wanneer en op welke basis? Als u beweert geen toegang te hebben tot de verzamelde gegevens, hoe concludeert u dan dat er misbruik is gemaakt van het systeem? En tot slot, heeft u enige controle over waar en hoe gegevens worden gebruikt en tegen wie door uw klanten die dit systeem bij u hebben gekocht?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, kan ik geen specifieke vragen over overheden beantwoorden. Dat kan en nogmaals, ik nodig de commissie uit als ze willen spreken met de verschillende regeringen in de verschillende landen die lid zijn van de EU. En velen van hen, ik kan het in het algemeen zeggen, dat velen van hen klant zijn.
Wat de verkoop aan overheidsinstanties betreft, wil ik zeggen dat de overheidsinstanties altijd de eindgebruiker zijn. De installatie van het systeem is altijd bij de overheidsinstantie. Soms zijn er commerciële derden betrokken bij de transactie vanwege veiligheidsaspecten. Deze commerciële derden zullen zeer vaak tussenbeide komen als intermediair tussen NSO en een overheid aan de contractuele kant. Ze ontvangen het systeem zelf nooit, ze hebben geen toegang tot het systeem. Ze handelen alleen op de commerciële aspecten en het systeem zelf wordt geïnstalleerd door de eindgebruiker en wordt alleen gebruikt door de eindgebruiker. Het wordt door ons bedrijf geïnstalleerd in de faciliteit van de eindgebruiker. En nogmaals, zoals ik al zei, een particulier bedrijf kan soms betrokken zijn bij de commerciële aspecten van de verkoop als onderdeel van de marketing, maar ontvangt het systeem of toegang tot het systeem niet. Het eindgebruikerscertificaat is ondertekend door de overheid en verstrekt aan de Israëlische regering als een verbintenis tussen regeringen.
Zoals ik al eerder zei over de kwesties van de onderzoeken, en ik herhaal het nog een keer, we verkopen het systeem om levens te redden. We hebben geen toegang tot de inlichtingen. Daarom is de manier waarop een verdenking opkomt die ertoe leidt dat we beleggen bijna altijd via onze klokkenluider, we hebben ook – en iedereen die wil is uitgenodigd, we hebben het ook op onze website – we hebben ook een klokkenluiders-e-mail . We krijgen meldingen via de klokkenluidersmail of dingen die onder onze aandacht worden gebracht door ngo’s of de media. Dat zijn zaken die aan onze kant het begin zijn van een onderzoek. En dan zullen we onderzoeken om te zien of het correct en correct is gebruikt. Nogmaals, die onderzoeken zijn diepgaande onderzoeken. Als een klant niet meewerkt, sluiten we hem af alleen omdat hij niet meewerkt aan ons onderzoek.
Ik zal gaan en meer zeggen dan dat. Ik denk, weet je, en dit is waar we om vroegen en we denken dat deze kwestie een kwestie is die niet alleen door particuliere bedrijven kan worden opgelost. Ons vermogen om een andere regering te onderzoeken, ook al hebben ze een contractuele verplichting jegens ons, zal altijd zeer beperkt zijn. Alleen als een privébedrijf, is elke beslissing die we nemen met betrekking tot de juridische status van de wetten in dat land, de manier waarop het land zelf die wetten volgt, weet u, zijn de verschillende instanties daar onafhankelijk van? We zijn een particulier bedrijf. We zijn zeer beperkt in ons vermogen om dat te doen. Elk ander particulier bedrijf dat er is, probeert het niet eens. We proberen het omdat er geen overheidsinstantie is die die verantwoordelijkheid op zich heeft genomen.
Bartosz Arłukowicz (PPE): Het spijt me zeer, mijnheer de voorzitter, het spijt me zeer. Ofwel nemen we ons werk serieus, ofwel dwalen we rond. Ik stelde een vraag. U zegt: wij verkopen alleen aan overheden, en nu zegt u: wij verkopen aan particuliere bedrijven. Kijk: in deze telefoon heb ik een factuur voor training tussen Pegasus en een particulier bedrijf, dat het vervolgens heeft verkocht aan een Poolse overheidsinstantie. Ben je aan het trainen of niet? Heb je toegang of niet? Hoe onderzoek je, wordt het goed gebruikt als je de data niet hebt?
En tot slot stelde ik een vraag: heb je het rijbewijs uit Polen afgenomen? Wist u dat het hoofd van de verkiezingscampagne, de voormalige vice-premier, het hoofd van de grootste organisatie van ondernemers en een onafhankelijke antiregeringsaanklager in Polen werden afgeluisterd en bespioneerd? Heb jij deze kennis? Geef alsjeblieft antwoord.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei en ik zei het nog eens, de eindgebruiker is altijd de overheid. We verkopen niet aan een particulier bedrijf dat toegang heeft tot het systeem. Als ze betrokken zijn bij een commercieel aspect, ja, er kan een privébedrijf zijn dat commercieel betrokken is bij de transactie, maar we weten wie de klant is. De derde partij kan het systeem niet zomaar aan iedereen gaan verkopen, want wij installeren het systeem uiteindelijk door de eindgebruiker, door de eindgebruiker van de overheid. De derde partij is er alleen op de commerciële aspecten. En deze derde partijen gaan door of eigen due diligence van derden voordat ze worden verkocht.
Ik zei eerder, we onderzoeken elke geloofwaardige zaak en we behandelen het onderzoek dat wordt gedaan, ik kan niet en nogmaals, ik herhaal, ik kan niet vanwege verschillende vertrouwelijkheids- en geheimhoudingsproblemen, ik kan niet ingaan op specifieke vragen over specifieke klanten of specifieke gevallen.
Voorzitter: Het spijt me, maar er zijn veel leden die het woord willen nemen. Ik weet zeker dat ook de andere leden van onze commissie vragen kunnen beantwoorden die niet zijn beantwoord en als er aan het einde van ieders rondes nog steeds vragen zijn die niet zijn beantwoord, geef ik graag weer het woord. Maar we moeten er ook voor zorgen dat al die leden die het woord hebben gevraagd, het woord kunnen nemen en hun vragen kunnen stellen. Mevrouw In ’t Veld heeft een punt van orde.
Sophia in ’t Veld (Renew): Kunt u, als voorzitter, de heer Gelfand vragen ofwel te zeggen dat hij weigert de vragen te beantwoorden, ofwel de vragen te beantwoorden, omdat ik vragen heb gesteld, mijn collega, de heer Arłukowicz heeft zeer specifieke vragen. En meneer Gelfand blijft hetzelfde herhalen, en er lijkt een volledige kloof te bestaan tussen de realiteit en tussen wat u zegt.
Dus, voorzitter, ik vraag u, of we krijgen antwoorden, of meneer Gelfand zegt: ‘Ik wil die vraag niet beantwoorden’. Prima. OK, dan weten we waar we aan toe zijn. Maar dit is alsof, weet je, het is een belediging voor onze intelligentie. Sorry.
De voorzitter: Nou, ik bedoel, we hebben onze gasten hier vandaag bij ons. Ze zijn hier gekomen om de vragen te beantwoorden. Als ze de vragen niet beantwoorden zoals wij dat willen, dan zou ik zeggen dat we als commissie die vragen opvolgen. Als er aan het einde van dit deel van de hoorzitting nog vragen onbeantwoord blijven, kom ik daar graag op terug. Maar we moeten er ook voor zorgen dat we de koers van onze agenda volgen.
Maar ik neem er nota van, en u heeft ook de boodschap van onze rapporteur begrepen, dus het zou heel nuttig zijn als er concrete vragen zijn die ze ook opvolgen met concrete antwoorden. En als je inderdaad een bepaalde vraag niet kunt of wilt beantwoorden, geef dat dan ook aan onze commissie door.
Mevrouw Ernst, heeft u ook een punt van orde?
Cornelia Ernst (Links): Slechts een heel korte vraag. Is het mogelijk om een lijst met open vragen naar NSO te sturen om informatie te krijgen, want we hebben zoveel vragen en ik denk dat veel dingen openstaan, of toch.
De voorzitter: We nemen de lijst met vragen door die alle leden vandaag hebben. Aan het einde verzamel ik graag ook aanvullende vragen die niet zijn beantwoord en stuur ik ze collectief naar NSO en vraag om antwoorden. En ik weet zeker dat ook NSO Group dat zal accepteren.
Maar nu vind ik dat we verder moeten gaan met de agenda.
Sándor Rónai (S&D): Hartelijk dank voor uw woorden en dank voor uw rapport aan de heer Gelfand, waarin hij zei dat de NSO-bedrijvengroep de Pegazus-software heeft gemaakt met als doel terrorisme te bestrijden. Blijkbaar met het doel er terroristen mee te observeren om redenen van nationale veiligheid. En als het bedrijf ontdekt dat een lidstaat waaraan deze software is verkocht deze op ongepaste wijze gebruikt, wordt de zaak onderzocht en wordt het contract beëindigd als wordt bewezen dat de Pegasus-software oneigenlijk, dus illegaal, is gebruikt. Eind 2021 gaf de Hongaarse regering toe dat ze deze software had gebruikt en dankzij onderzoeksjournalisten kwam aan het licht dat de Pegasus-software niet tegen terroristen werd gebruikt, maar illegaal tegen journalisten, marktdeelnemers en politici. In dit verband heb ik de volgende vragen: hebben ze nog steeds een levend contract met de Hongaarse regering? Als ze geen live contract hebben, wanneer en om welke reden is het beëindigd, en als er een mogelijkheid is voor de Hongaarse regering om opnieuw een contract met de NSO-groep te sluiten, dit contract opnieuw te ondertekenen?
Nog iets dat ik zou willen vragen: in uw transparantierapport uit 2021 benadrukt u herhaaldelijk hoe serieus u due diligence-procedures neemt voordat u toestemming geeft voor het gebruik en de toepassing van Pegasus-spyware voor lidstaten en overheidsinstanties. Tijdens het due diligence-proces neemt u, net als de NSO-groep, respect voor fundamentele mensenrechten en de rechtsstaat als een belangrijk aspect op. In het geval van Hongarije is bekend dat er al jaren problemen zijn met de rechtsstaat. Het Europees Parlement en de Europese Unie nemen dit zeer serieus. Mijn vraag is, kunt u voor ons bevestigen of er een due diligence-procedure is uitgevoerd in het geval van Hongarije? Zo ja, wat was het resultaat? Zo nee, waarom is deze due diligence niet uitgevoerd? En nog een laatste vraag: nadat bleek, dat de Hongaarse regering deze software naar verluidt illegaal heeft gebruikt tegen journalisten, politici van de oppositie en economische actoren, advocaten en actoren uit het maatschappelijk middenveld, en vervolgens of ze hebben onderzocht of de Hongaarse regering deze legaal heeft gebruikt en of ze deze software heeft gebruikt in overeenstemming met hun contract? Zo ja, hoe en zo nee, om welke reden? Ik heb specifieke vragen gesteld, geef er alstublieft specifieke antwoorden op! Heel erg bedankt. waarom hebben ze dit dan niet gedaan? Ik heb specifieke vragen gesteld, geef er alstublieft specifieke antwoorden op! Heel erg bedankt. waarom hebben ze dit dan niet gedaan? Ik heb specifieke vragen gesteld, geef er alstublieft specifieke antwoorden op! Heel erg bedankt.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, ik herhaal en ik denk dat we het ook zeiden voordat we werden uitgenodigd, dat ik met betrekking tot kwesties met betrekking tot specifieke klanten niet op specifieke klanten kan ingaan. Ik zal in het algemeen antwoorden en ik kan de berichten die in de pers over Hongarije verschenen misschien als voorbeeld gebruiken om te proberen uit te leggen hoe we werken in deze onderzoeken en wat we doen.
Allereerst doorloopt elke klant aan wie we verkopen vooraf het due diligence-onderzoek. En heel vaak, als er zorgen worden geuit over de rechtsstaat – want waar we naar kijken is ook de rechtsstaat, ook de specifieke wetten die van kracht zijn in dat land – gebruiken we internationale normen die landen tot nu toe hebben ingedeeld als hun staat van dienst op het gebied van mensenrechten als basis voor het bepalen van het risiconiveau van het land. Wanneer we het due diligence-proces starten, verzamelen we informatie over het due diligence-proces, over het land zelf, de mensenrechtenaspecten in het land uit verschillende openbare bronnen waar we informatie uit kunnen verzamelen en vervolgens een besluit kunnen nemen over een land voordat we een beslissing nemen om naar dat land te verkopen.
Ik zal uiteraard zeggen dat werken op basis van openbaar beschikbare informatie nooit 100% duidelijk en duidelijk zal zijn over een specifiek land. Aan het eind van de dag moeten wij als bedrijf een besluit nemen als we het gevoel hebben dat wanneer we de beoordelingen hebben doorgenomen en we de exportvergunning hebben om naar dat land te verkopen, als we nog steeds het gevoel hebben dat het een voldoende veilig land is van de rechtsstaat om dit type systeem aan te verkopen. En elk land waaraan we hebben besloten te verkopen, is op deze manier goedgekeurd.
Sándor Rónai (S&D): Stop alsjeblieft. Stop met dit verhalen vertellen. Ik ga verder in het Hongaars.
Dan vraag ik om heel duidelijk te zijn, dan probeer ik ook te vragen in zulke raadsels, jij, jij antwoordt in raadsels. Als er een onderzoek loopt naar een bepaalde klant, een lidstaat, dan ben je bijvoorbeeld als er een rechtsstaatprocedure loopt tegen een bepaalde lidstaat – voor jou een klant – in zijn wijdere omgeving, dus in de Europese Unie – Ik zal niet direct het voorbeeld van Hongarije noemen, omdat je ze alleen als klant zult noemen – dus als er een rechtsstaatprocedure loopt tegen een lidstaat, en een lidstaat wordt voortdurend veroordeeld op basis van verschillende rechtsstaatcriteria , waarom betekent dat voor jou een veilig land? Waarom is het een garantie voor jou? Dat is mijn vraag. Heel erg bedankt.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, ik zei …
Sándor Rónai (S&D): Nee, niet ‘weer’. Het was een nieuwe vraag, dus alstublieft.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): We hebben niet gezegd dat we onlangs hebben vastgesteld dat Hongarije wel of niet een veilig land is, en we zullen het land niet vertellen dat we hebben vastgesteld dat het niet veilig is. Uiteraard houden we rekening met openbare informatie, waaronder dit soort informatie.
Sophia in ’t Veld (Renew): Sorry, je vond het wel veilig omdat je de spullen aan hen verkocht hebt.
De voorzitter: Collega’s, laten we een beetje orde in de vergadering houden. Ik begrijp dat er frustratie is, maar het helpt ons niet als we allemaal op een chaotische manier vragen gaan stellen. Dus je hebt de concrete vraag, we hebben graag een concreet antwoord.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, en ik zei: ik heb het over vandaag en als we naar het land van vandaag kijken, houden we natuurlijk rekening met alles wat er vandaag met het land gebeurt . Zoals ik al zei, verkopen we uiteindelijk een product aan een klant nadat we exportvergunningen hebben, nadat we een aanvullend proces hebben gedaan. Zeg ik dat we altijd leren en onze processen verbeteren? Ja, we leren altijd en verbeteren onze interne processen en landen waaraan we in het verleden hebben verkocht waar we in de toekomst misschien niet aan verkopen. Dat zijn de beslissingen die worden genomen, en zo vordert een compliance-procedure zichzelf.
Nogmaals, ik denk dat we zelf natuurlijk altijd worstelen om deze beslissingen te nemen, omdat we werken op een plek waar we het enige bedrijf zijn met dit soort technologie dat zelfs maar met deze problemen te maken heeft en probeert op te lossen. We denken dat er veel moet gebeuren, daarom pleiten we opnieuw voor meer internationale standaard en niet om dit te doen op basis van ons eigen aspect.
Zoals ik al eerder zei, als een journalist wordt aangevallen op een manier die illegaal is en alleen wordt gedaan om hem als journalist op te sporen, zal ons bedrijf dat extreem, extreem sterk opvatten en zullen we niet blijven samenwerken met een klant die was illegaal gericht op een journalist.
De voorzitter: We hebben nu drie sprekers gehad, het is bijna een uur onderweg. Ik ben desnoods tot morgenochtend beschikbaar, maar ik ben bang dat niet iedereen en ook onze tolken dat niet zijn. Dus om ook deze meeting op een fatsoenlijk uur te laten eindigen, probeer je alsjeblieft aan de toegewezen tijdslots te houden, want anders gaat het alleen maar ten koste van andere collega’s die ook vragen hebben. En ik nodig collega’s ook uit om vragen op te volgen die zij ook interessant vinden en die nog niet eerder zijn beantwoord, dus we hoeven het niet allemaal individueel te doen.
Róża Thun und Hohenstein (Vernieuwen): Ik zal niets nieuws zeggen als ik zeg dat het belangrijkste de voorwaarden zijn waaronder Pegasus een licentie heeft en de beperkingen op het gebruik ervan, hoe het gebruik van deze software door de gelicentieerde entiteit werd geverifieerd, wat was de strengheid van niet-naleving van de voorwaarden van de licentie. Nu, om in detail te treden, sluit ik me aan bij wat collega’s hebben gevraagd. U zei dat de Pegasus wordt gebruikt om levens te beschermen, dus waarom wordt hij al zoveel jaren gebruikt om onschuldige mensen te stalken, lastig te vallen en af te luisteren zonder enige actie van de NSO?
Ten tweede zegt u dat die klanten die in strijd zijn met de wet, dat u ze controleert, dat ze geen licenties bij u kunnen kopen. Dus ik zou de vraag willen herhalen: wie en hoe controleerde de huidige Hongaarse en Poolse regeringen? Hoe hebben deze regeringen in vredesnaam zo’n test voor u doorstaan? Het is immers wereldwijd bekend dat deze regeringen in strijd zijn met de wet. En als u zich later realiseerde dat er dergelijke conflicten waren, bent u er dan ooit in geslaagd om afluistertaps te stoppen, zoals die genoemd door parlementslid Arłukowicz? Wanneer heb je die contracten verbroken, met welke landen hebben ze gebroken? En bovendien, als je zo’n contract verbreekt, op basis waarvan dan? Als u deze gegevens niet verzamelt, hoe weet u dan dat het afluisteren niet werd gebruikt zoals bedoeld?
En misschien, zonder verder oponthoud, de laatste vraag die ik u zou willen stellen, is waarom u ons geen antwoord kunt geven op de specifieke vragen die collega’s hier stellen, terwijl het voor u heel gemakkelijk was om te zien wat we van plan waren vragen, omdat dit onderwerpen zijn die in de pers verschijnen, niet alleen in Europa, waarover veel wordt gediscussieerd en waarvan bekend is dat we op zoek zijn naar antwoorden? Ik ben zeer verrast dat u bij elke vraag als deze zegt dat de specifieke vragen niet in uw handen zijn of dat u ze niet kunt beantwoorden. Ik waarschuw u nu dat we ze schriftelijk zullen vragen en we zullen deze specifieke antwoorden van u verwachten.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, wordt het systeem verkocht om levens te beschermen. Elke technologie kan door de gebruiker op een slechte manier worden misbruikt, of we het nu hebben over een hamer of een mes of welke technologie dan ook.
Róża Thun und Hohenstein (Vernieuwen): Maar welke controle? Dus neem me niet kwalijk, maar we vragen naar controle en we hebben ernaar gevraagd, ik ben nu de vierde spreker, en ieder van ons vraagt naar de controle.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO):Nogmaals, zoals ik al zei, we doen de beoordeling van tevoren. We controleren de regeringen. We controleren de rechtsstaat in die regeringen en we toetsen deze aan internationale normen. En als we in die periode een besluit hebben genomen om aan een bepaalde klant te verkopen in die periode die door ons werd geacht een adequate rechtsstaat te hebben, zullen we, als er dingen veranderen, erover nadenken en deze periodiek herzien . Als er dingen veranderen, kunnen we stoppen met werken met die klant als er iets gebeurt. En zoals we al zeiden, kunnen we alleen onderzoeken wanneer een probleem zich voordoet en aan ons bekend wordt gemaakt via een beschuldiging die wordt geuit door een klokkenluider of via de media, omdat we geen toegang hebben tot de informatie. We zitten niet op het systeem en zien de informatie. De eindgebruikers zijn degenen die het systeem gebruiken. Zij zijn degenen die het gebruiken. Dus als we die klachten krijgen, onderzoeken we ze, bekijken we ze. En ja, we zullen systemen afsluiten voor die mensen die misbruik hebben gemaakt.
Wat betreft wat u vraagt over het beantwoorden van de vragen, we hebben het ook van tevoren heel duidelijk gemaakt toen we ons optreden hier bespraken dat dit kwesties zijn die niet kunnen worden besproken met betrekking tot de identiteit van klanten. Dat was iets wat we heel duidelijk hebben gemaakt voordat we hier vandaag kwamen. Dus dat is een probleem. Zoals ik al eerder zei, dat is iets waar ik helaas geen antwoord op kan geven. En ik denk, nogmaals, ik denk dat de verschillende landen die het gebruiken, kunnen worden benaderd en ernaar kunnen worden gevraagd. Het zijn hun veiligheidskwesties die op het spel staan en zij kunnen beslissen om de kwestie al dan niet te bespreken.
Saskia Bricmont (Verts/ALE): Ik denk dat we zeker geïnteresseerd zijn in uw position paper en uw spreekpunten, maar ik denk dat het wat meer informatie zal moeten geven, ook over de volgende punten.
Kunt u ons informatie verstrekken over de onderzoeken die zijn uitgevoerd en de contracten die zijn beëindigd en het aantal klokkenluiderszaken dat u ter kennis is gebracht en dat is opgevolgd door onderzoek en een contractbeëindiging? Wat doet u met klanten die niet reageren op uw vragen? Dit is ook interessant voor ons omdat u zegt dat die landen ons zouden kunnen antwoorden. Natuurlijk zouden ze dat kunnen, maar u leidt onderzoeken en als u geen antwoorden ontvangt, wat doet u dan?
De derde informatie die we graag zouden ontvangen, is welk bewijs u ons kunt leveren om te bewijzen dat contracten zijn beëindigd nadat misbruik is bevestigd? Omdat het tot nu toe alleen gebaseerd is op wat u ons vertelt. Ook als – en uiteraard krijgen we dit antwoord over de eindgebruikers en de landen waar je de software aan hebt verkocht – je ons deze informatie niet kunt meedelen, dan werk je mijns inziens niet volledig mee aan onze onderzoekscommissie. Maar wat stelt u voor om transparantie en toezicht te waarborgen? We hebben een antwoord nodig als u ons de lijst met gerelateerde landen niet verstrekt.
Kunt u ons ook de contracten geven? Geef ons kopieën van de verschillende soorten contracten die u gebruikt? Misschien kunt u de namen van de landen gewoon weglaten, want ik wil geen antwoord krijgen dat u ons geen informatie kunt geven omdat de eindgebruikers worden genoemd.
En wat voor soort diensten levert u met de software aan uw klanten? Omdat ons is verteld dat het erg technisch is, erg moeilijk te gebruiken. Er zijn personele middelen en financiële middelen voor nodig die de lidstaten uiteraard niet hebben. Dus wat voor soort diensten bestaat er in uw aanbod?
Als vervolg op de voorgaande vragen, zie ik in uw eigen rapporten, transparantierapporten, dat er een score is van de landen van 100 tot 0. Terwijl de tabel aangeeft dat landen van boven de 60 tot onder de 20 gerangschikt zijn, welke score heeft, bijvoorbeeld een land als België? Welke score heeft Spanje, Polen, Hongarije? Kunt u ons die score bezorgen? En voor landen met een score onder de 20 lijkt er alleen een vermoeden van ‘no go’ te bestaan. Wat kunnen dan de omstandigheden zijn dat er toch een verkoop plaatsvindt met een land met zo’n lage score? Omdat ik in de voorwaarden las en u noemde het, de eerbiediging van de rechtsstaat en politieke stabiliteit, hoewel we met verwante landen, Polen, Hongarije, uiteraard weten dat er problemen op het spel staan met de rechtsstaat… Ik’ Ik ben bijna klaar, voorzitter!
Wat is, meer in het algemeen, uw reactie op het misbruik van Pegasus in de gerelateerde landen? Ik wil geen namen. Ik wil je reactie. Wat wordt er gedaan gezien het feit dat regeringen de software misbruiken en zich richten op het maatschappelijk middenveld? En zijn er onderzoeken open naar de gerelateerde zaken?
Voorzitter: Het spijt me, collega’s, maar als elk lid twee keer zoveel tijd in beslag neemt, nemen we alleen maar tijd weg van andere collega’s. Respecteer dus ook de andere collega’s die het woord willen voeren.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Sinds ik de afgelopen twee en een half jaar bij het bedrijf werk, kan ik zeggen dat ik meer dan 25 onderzoeken heb uitgevoerd. Sommigen van hen zijn nog steeds bezig. Een aantal daarvan is afgerond. Ik kan zeggen dat we de afgelopen jaren contracten hebben beëindigd met meer dan acht klanten. Sommige hiervan hebben plaatsgevonden sinds de Pegasus-papieren ongeveer een jaar geleden uitkwamen en die we hebben onderzocht en die hebben geleid tot het beëindigen van contracten met meer klanten.
Zoals ik al eerder zei, en ik herhaal het nogmaals, elke klant die niet meewerkt aan ons onderzoek naar een beschuldiging zal worden beëindigd op het moment dat hij niet meewerkt. We schorten eerst het systeem op. Als ze na de schorsing nog steeds niet meewerken, wordt het systeem niet heropend.
Wat betreft bewijs, nogmaals, ik heb dit eerder gezegd toen ik zei dat het natuurlijk misschien gemakkelijker voor ons zou zijn geweest dan hier te zitten en te zeggen dat er een aantal problemen zijn waar ik niet op kan reageren, om helemaal niet te zijn gekomen , maar we wilden hier zijn en kunnen reageren op de dingen waarop we kunnen reageren. Maar er zijn dingen waar we niet op kunnen reageren. En nogmaals, bewijsmateriaal over deze kwesties is iets dat moeilijk te leveren zal zijn.
Ik kan u kopieën geven van de contracten die we gebruiken. Dat is iets waar we geen probleem mee hebben. We hebben het in het verleden openbaar gemaakt en we kunnen het opnieuw verstrekken. Dat doen we natuurlijk graag. Als het om bewijsmateriaal gaat, denk ik nogmaals, als er een internationale instantie zou zijn die zou zitten op de manier waarop we ermee zouden kunnen discussiëren, niet op een openbaar forum zoals hier, dan zou het iets zijn dat duidelijk gemakkelijker te kunnen om meer bewijs te leveren aan een dergelijk lichaam.
Met betrekking tot de diensten die we leveren, krijgt elke klant, wanneer hij het systeem ontvangt, een basistraining over het gebruik van het systeem. Het is een training van een paar dagen. Alle trainingsactiviteiten worden uitgevoerd op testapparaten. Tijdens die trainingsactiviteiten wordt niet gericht op daadwerkelijke telefoons.
Daarna bieden we doorlopende softwareondersteuning. Net als andere softwarebedrijven hebben we een servicecentrum waar ze, als er een technisch probleem met het systeem is, een vraag kunnen stellen en we helpen met de technische problemen van het systeem, softwareproblemen met het systeem, bugfixes, het leveren van upgrades en de leuk, maar niet meer dan dat.
Ik kan me het scoren uit de hand niet herinneren. Die kan ik u bezorgen. Ik heb er geen probleem mee om de score te geven. Nogmaals, het is een combinatie van verschillende scores van verschillende internationale indices. Als ik het me goed herinner is dit weer grosso modo, de score voor België ligt rond de 80; Ik denk voor Spanje rond de 75 en ik denk voor Hongarije rond de 65. Polen ook rond de 64, 65 als ik het me goed herinner. Saoedi-Arabië staat veel lager op de lijst, ik zou kunnen zeggen rond de 30. Wat we zeiden over wat we toen hadden afgedrukt in ons transparantierapport over de score van 20, hebben we die lat na ons onderzoek sindsdien hoger gelegd. Nogmaals, zoals ik al zei, compliance is een continu verbeteringsproces. We hebben de lat hoger gelegd van de landen waarmee we gaan werken en zullen niet langer werken met landen op dat niveau. We zijn weer, zoals ik al zei, hoezeer onze technologie ook geavanceerd is, zo ook is de compliance op dit gebied geavanceerd, en we leren ook en proberen te leren om te verbeteren. We gaan hier niet zitten en zeggen dat we als bedrijf niet denken dat we dingen in het verleden anders hadden kunnen doen, dat alles altijd 100% perfect was. Ik denk dat we proberen te leren, we proberen te verbeteren en we leggen de lat altijd hoger, we stellen ethiek altijd boven inkomsten. En de hoeveelheid geld die dit ons heeft gekost aan contracten die we niet zijn aangegaan is enorm. Het nummer dat in ons transparantierapport stond, was geschreven als 300 miljoen dollar. Sindsdien is het veel meer geweest. We gaan hier niet zitten en zeggen dat we als bedrijf niet denken dat we dingen in het verleden anders hadden kunnen doen, dat alles altijd 100% perfect was. Ik denk dat we proberen te leren, we proberen te verbeteren en we leggen de lat altijd hoger, we stellen ethiek altijd boven inkomsten. En de hoeveelheid geld die dit ons heeft gekost aan contracten die we niet zijn aangegaan is enorm. Het nummer dat in ons transparantierapport stond, was geschreven als 300 miljoen dollar. Sindsdien is het veel meer geweest. We gaan hier niet zitten en zeggen dat we als bedrijf niet denken dat we dingen in het verleden anders hadden kunnen doen, dat alles altijd 100% perfect was. Ik denk dat we proberen te leren, we proberen te verbeteren en we leggen de lat altijd hoger, we stellen ethiek altijd boven inkomsten. En de hoeveelheid geld die dit ons heeft gekost aan contracten die we niet zijn aangegaan is enorm. Het nummer dat in ons transparantierapport stond, was geschreven als 300 miljoen dollar. Sindsdien is het veel meer geweest.
Contracten die we hebben opgezegd. Dit is een feit – wij als bedrijf hebben enorme hoeveelheden inkomsten overgeslagen omdat we proberen het juiste te doen. Nogmaals, ik ga hier niet zitten en zeggen dat we nog nooit fouten hebben gemaakt. Dat is niet iets wat ik ga zeggen. Maar aan de andere kant moet deze technologie er zijn. Deze technologie redt levens. De minister van Privacy hier in België heeft gezegd dat als je achterdeurtjes voorziet, het hetzelfde is alsof je iedereen of zelfs degenen die geen criminelen zijn vertellen om hun achterdeur open te laten, zodat de politie soms een huiszoekingsbevel kan uitvoeren als ze dat hebben, zoals in tegenstelling tot de politie die door de deur binnenkomt als dat nodig is, als ze een huiszoekingsbevel hebben. Dit is het idee van het systeem. Dit is waarvoor het wordt verkocht om te worden gebruikt met gerechtelijke goedkeuring,
Gilles Lebreton (ID): Mijnheer de Voorzitter, allereerst bedankt meneer voor uw aanwezigheid. U legde ons uit dat uw bedrijf NSO alleen Pegasus-spyware levert aan staten en alleen voor nationale veiligheidsdoeleinden.
Dus ik verberg niet voor u dat wat mij verbaast, is dat u zich ertoe verbindt om de Verenigde Staten te beoordelen om deel te nemen aan dit bedrijf, en ik vind het nogal vreemd dat een eenvoudig particulier bedrijf de Verenigde Staten beoordeelt. Bovendien, als je eenmaal een contract met hen hebt gesloten, oefen je toezicht uit en zet je jezelf daarom neer, alweer een eenvoudig particulier bedrijf, als een soort bewaker van soevereine staten en, in mijn ogen, dat alles is buitengewoon vreemd.
Maar wat mij in uw presentatie interesseerde, is dat u benadrukt dat dit hele systeem is gebaseerd op contracten die u sluit met uw klanten, dat wil zeggen met de Staten. En ik zou als advocaat buitengewoon geïnteresseerd zijn om een kopie van dit contract te kunnen raadplegen. Dus natuurlijk een standaardmodel zonder iets vertrouwelijks over dit of dat van uw klant prijs te geven. Maar dit typemodel zou ik heel graag willen onderzoeken en ik denk dat het mij meer inzicht zou kunnen geven in het functioneren van uw samenleving. Dus is het mogelijk om dit standaard contract te hebben?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ja, zoals ik al eerder zei, we geven graag een voorbeeld van onze contracten. We zullen het opsturen. Ik kan het samen met de antwoorden op de vragen opsturen, aangezien ik begrijp dat er een wens is om ons aanvullende vragen te sturen. Dan kunnen we dat doorgeven.
Er kan daar een aanvullende vraag zijn geweest, het was een beetje moeilijk voor mij om de vertaling te horen. Is er iets anders dat je had?
De voorzitter: De vraag gaat vooral over het beschikbaar stellen van de contracten zodat we daar ook in deze commissie naar kunnen kijken, dus dat is de toezegging die u heeft gedaan.
Beata Kempa (ECR): Dank u wel, mijnheer de voorzitter. Ik heb een paar vragen, maar misschien begin ik zo: omdat dit verslag erg interessant is, wilde ik vragen stellen over transparantie en verantwoording. Dit verslag, met name op het gebied van mensenrechten, is opgesteld in een tijd waarin de wereld wordt luidruchtig over het bedrijf en zijn vlaggenschipproduct. We kunnen ons voorstellen dat een bedrijf in zo’n branche gebaat is bij vertrouwelijkheid en stilte in het algemeen. Dus ik wilde vragen, in hoeverre dit verslag wordt gedicteerd door oprechte zorg voor principes? En ik wilde gewoon een eerlijk antwoord. Beschikt u in dit verband ook over gegevens over het aantal geconstateerde misdaden? Hoeveel mensen kunnen worden gered dankzij de effectiviteit van uw software?
Tweede vraag: de NSO-groep verklaart zich te committeren aan mensenrechtenwaarden en u demonstreert uw ethische code en veiligheidsprocedures. In welk stadium van de activiteit van het bedrijf besloot u deze zaken te behandelen, controleert u welke procedures er zijn voor het gebruik van dit soort apparaten tegen burgers in de betrokken landen en houdt u daar ook rekening mee?
Tot slot nog een zeer belangrijke vraag: een deel van de informatie in het rapport over de mogelijkheden van de Pegasus-software, met name de toegang van de fabrikant tot operationele informatie verkregen door softwaregebruikers, wijkt aanzienlijk af van de meningen die voor deze commissie zijn gepresenteerd door vele experts en vertegenwoordigers van veel organisaties. Met name de informatie dat Pegasus alleen voor individuele mobiele apparaten kan worden gebruikt, roept twijfels op. Een nogal populaire stelling is dat het voor veel soorten apparaten kan worden gebruikt en dat het ook geschikt is voor data-acquisitie en zelfs actieve werking in een netwerk van apparaten. Evenzo de kwestie van het vermeende gebrek aan toegang van de fabrikant tot operationele gegevens: volgens de door experts gepresenteerde informatie is dit nogal onwaarschijnlijk.
En ik wil vragen naar de technische garanties voor de Pegasus-gebruiker. Welke garanties heeft hij dat hij de exclusieve rechten heeft op de verzamelde operationele gegevens en dat bijvoorbeeld de softwarefabrikant of andere diensten de software niet zullen gebruiken voor een false flag-aanval, d.w.z. om specifieke apparaten te bespioneren die het account van de gebruiker belasten? Welke garanties hebben we? Dank u en de rest sturen we u schriftelijk toe.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, wat betreft verantwoording en transparantie nemen we dit zeer serieus. We proberen ons niet te verstoppen. Dit hebben we niet gedaan omdat iemand ons dwong een transparantierapport uit te brengen. We denken dat dit het juiste is om te doen.
Ik kwam bij het bedrijf om het compliance-vraagstuk te leiden en te proberen het nog transparanter te maken dan het al was. Ik kwam bij nadat je zag wat de waarden van het bedrijf waren en dat ze altijd dit idee met betrekking tot de informatie naar voren hadden gebracht, aangezien de enige informatie die we hebben over misdaden informatie is die onze klanten ons van tijd tot tijd hebben verstrekt over zaken die ze hebben gedaan en leven die ze hebben gered, en groepen pedofielen die ze hebben gevangen met behulp van het systeem. Dit zijn geen statistische gegevens die worden verzameld, maar eerder dingen die ons worden verteld. We weten dus dat er waarschijnlijk vele duizenden levens zijn gered met behulp van het systeem. Maar ik kan er geen cijfer op plakken. Iemand stopt een terroristische aanslag. Je kunt nooit precies weten hoeveel levens daarmee zijn gered.
We begrijpen dit des te meer door het aantal klanten dat het systeem wil gebruiken, dat het systeem ook gebruikt, vooral in landen zoals die welke lid zijn van de Europese Unie.
Het feit dat deze wetshandhavingsinstanties, inlichtingendiensten steeds terugkomen en het systeem willen gebruiken, is volgens mij het beste bewijs dat ze zien dat dit iets is dat essentieel voor hen is om het leven van hun burgers te kunnen beschermen.
We zijn bezig met het uitvoeren van meer effectbeoordelingen over de kwesties van mensenrechtenstrijders en journalisten om te proberen beter te zien welke andere aanvullende beschermingen er in het systeem kunnen worden geplaatst vanuit de systeemkant, vanuit de nalevingskant, welke andere stappen we kunnen nemen kunnen inzetten om deze problemen nog beter aan te pakken. Dit is iets, zoals ik al zei, naleving is een voortdurende activiteit om onszelf te verbeteren en we zijn altijd op zoek naar manieren om dit te verbeteren.
Met betrekking tot kwesties die naar voren zijn gekomen door andere mensen die hier hebben gesproken, kan ik nogmaals ondubbelzinnig zeggen dat dit een doelgerichte focus is op één mobiele telefoon. De manier waarop het werkt, is dat je een bepaald telefoonnummer van een doelwit hebt ingevoerd, en het richt zich alleen op die telefoon en die telefoon. Het kan niet op de netwerken worden gebruikt. Het kan niet worden gebruikt als massasurveillance. Dit is een doelgerichte technologie.
Er kunnen twijfels worden geuit over de operationele informatie waartoe we toegang hebben, ik denk dat het duidelijk is dat het logisch is dat geen enkele inlichtingendienst een particulier bedrijf toegang zou geven tot dit soort informatie. We hebben er geen toegang toe. We zouden er geen toegang toe mogen hebben. En we hebben ook niet de mogelijkheid om te weten wat er aan de hand is, behalve het specifieke auditlogboek wanneer we toestemming krijgen van een klant om het in te voeren.
Wat betreft de vraag hoe het correct wordt gebruikt, als ik het goed begrijp, probeert u te begrijpen hoe we ervoor zorgen dat het systeem bij de eindgebruiker zit, het systeem, de operators moeten inloggen met het wachtwoord en biometrische gegevens om log in op het systeem. Als het systeem wordt losgekoppeld en naar een andere plek wordt verplaatst, zou dit alarm slaan in ons servicecentrum en zouden we weten dat er iets mis was. En daarom denken we dat het technologisch niet haalbaar is om het systeem naar iemand anders te kunnen verhuizen. En dit komt bovenop het feit dat de eindgebruiker een certificaat van overheid tot overheid heeft ondertekend waarin staat dat hij de enige eindgebruiker is en dat hij het systeem niet opnieuw zal overdragen zoals acceptabel is als het gaat om exportgecontroleerde artikelen. Zo is het dus ook gegarandeerd.
Cornelia Ernst (Links): Hartelijk dank voor uw bijdragen. En we sturen u ook een lijst met aanvullende vragen. Laat ik beginnen met enkele technische vragen.
Is er ten eerste een directe verbinding van de servers van de klant die Pegasus gebruikt met NSO? En worden systemen hierdoor onderhouden? En welke gegevens kan NSO er doorheen kijken? En kan het systeem op afstand worden afgesloten? En hoe komt NSO aan het bestand waarin staat welke nummers worden aangevallen door de klanten die die klanten je verplicht moeten geven? Dit is een eerste complex, alsjeblieft, daar moet je op antwoorden.
Het tweede punt is dat getuigen hier in de commissie hebben gemeld dat u denkt dat er wereldwijd ongeveer 30 leveranciers zijn die spyware zoals Pegasus op de markt brengen. Kunt u dit aantal bevestigen en iets meer zeggen over dit punt?
De derde is, als je in de media kijkt, zoals Forbidden Stories, hebben ze gedocumenteerd dat autoritaire regeringen ook achter Pegasus-surveillance zitten. En dit is ook een debat over dit punt dat we moeten bespreken. Daar werd ook spyware verkocht en dat ontkent u in uw rapport. En we hebben anders gesproken over Saoedi-Arabië. En u zei dat er een puntensysteem is en Saoedi-Arabië staat op punt 13. Kunt u uitleggen wat het betekent en wat zijn deze criteria? Misschien kunt u daarop antwoorden, en heel algemeen, kunnen autocratieën uw producten gebruiken? Is het in het algemeen mogelijk? Kun je ja zeggen of niet?
Dus en ik zou graag wat meer willen weten in hoeveel gevallen er geen exportvergunning wordt verleend, en hoeveel landen dit ongeveer heeft getroffen en wat zijn de belangrijkste redenen?
En mijn laatste punt is dat de Europese Commissie heeft verklaard dat zij contact met u heeft opgenomen nadat bekend was geworden dat Pegasus werd gebruikt tegen figuren uit de oppositie en tegen leden van het Europees Parlement. Kunt u dat bevestigen? En wat is de stand van zaken in het overleg met de Commissie?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wat betreft de eerste vraag over de directe onderhoudsverbinding met NSO, zoals ik al zei, we bieden softwareonderhoudsaspecten, dus er is een soort verbinding met bepaalde delen van de systemen die het mogelijk maken het verlenen van dit onderhoud, maar het is geen toegang tot de gegevens. Daar is geen toegang toe, zoals ik al zei, het is alleen tot het auditlogboek als we toestemming krijgen van de klanten als onderdeel van de onderzoeksprocedure.
De mogelijkheid om het systeem op afstand af te sluiten kan op twee manieren worden gedaan. De belangrijkste manier die we in de meeste situaties hebben gebruikt, is met toestemming van de klant. En dan is het ook al is het weer tegen hun wil, maar ze begrijpen dat het voor hun veiligheidsbehoeften beter is om dit op een georganiseerde manier te doen en ons toe te staan het systeem op een georganiseerde manier af te sluiten door hun systeem binnen te gaan en dan verbinding te maken, het licentiegedeelte van het systeem invoeren en de licentie verwijderen, waardoor het systeem niet langer actief kan zijn. In situaties waarin een klant geen toegang wil verlenen, kan hij dus worden losgekoppeld van zijn vermogen om met de buitenwereld te communiceren. En als ze buiten niet kunnen communiceren, kan het systeem niet worden gebruikt om extra nieuwe telefoons aan te vallen.
Wat betreft het aantal concurrenten, nogmaals, niet alle concurrenten zijn openbaar en bekend. Dit is informatie die heel vaak verandert. Uiteraard doen we, net als elk ander bedrijf, onderzoek naar concurrenten om te proberen te begrijpen wat er is. Maar wij als bedrijf hebben niet, weet je, we zijn daarbuiten één speler en we zijn op de een of andere manier de posterboy van de branche geworden – en hebben zelfs onze naam op de naam van de commissie gekregen – maar ik kan het niet geef een werkelijk aantal van hoeveel concurrenten er zijn. Er zijn enkele concurrenten uit westerse landen. Er zijn andere concurrenten waar we minder van af weten, en dat zijn waarschijnlijk regeringen uit zowel Rusland als China. Het is duidelijk dat veel van deze, vooral degenen die niet uit westerse landen komen, geen enkele vorm van naleving invoeren en niet onderworpen zijn aan enige vorm van regulering.
Wat betreft de criteria aan wie we hebben verkocht, en nogmaals, zoals ik al zei, we hebben onze criteria gewijzigd, we leren altijd, maar ik kan nogmaals zeggen, we doen een beoordeling en de beoordeling is specifiek voor de eindgebruiker. Dus als we aan een overheid verkopen, gaat het niet alleen om het land, maar om de specifieke eindgebruiker en het toezicht dat ze hebben en wat ze hebben ingesteld. En daar kijken we naar. En nogmaals, zoals ik al eerder zei, en ik denk dat dit de beste manier is om het niet aan ons als bedrijven over te laten, want ik denk dat we als bedrijf, weet je, (a) we zeer beperkt zijn in onze mogelijkheden in de nalevingswereld, ook al proberen we en we proberen het best mogelijke te doen, maar we denken dat de beste manier internationale regulering is, die vergelijkbaar zou zijn met een non-proliferatieovereenkomst, waarbij landen zouden moeten overeenkomen hoe ze gebruiken het systeem, zou moeten ondertekenen, zou er internationale mogelijkheid zijn om hierop toe te zien. Dit is waar we in het verleden om hebben gevraagd. We roepen er hier weer om. Wij denken dat dit de beste manier is om dit aan te pakken.
Wat betreft het aantal verleende exportvergunningen, de vergunningverlenende autoriteit is uiteraard de Israëlische regering. En ik ben uiteraard geen woordvoerder van de regering. Dus, weet je, dat is een vraag die aan de exportautoriteiten zou moeten worden gesteld. Maar ze hebben in het verleden talloze licenties geweigerd. Ik kan zeggen wat er in de pers stond, en ik herhaal wat er in de pers staat zonder het te bevestigen, dat ze in november het aantal landen aanzienlijk hebben verminderd waaraan ze op deze manier exportvergunningen willen geven, of die zijn vrijgesteld van het ontvangen van exportvergunningen. marketinglicenties voor op deze manier als we het nauwkeurig maken. Ik hoop dat ik al je vragen heb beantwoord.
Carles Puigdemont i Casamajó (NI): Mijnheer de president, mijnheer Gelfand, u hebt herhaald dat uw software levens heeft gered. Dit is een constante geweest in uw tussenkomst. U moet ernaar streven geloofwaardiger te zijn om ons te helpen begrijpen hoe het bespioneren van advocaten, journalisten, activisten, familieleden van activisten, gekozen politici kan worden beschouwd als het redden van levens. Ook hier proberen we levens te redden, maar ondanks alles zijn sommigen van ons bespioneerd. Ik weet niet of Pegasus de wereld helpt om veiliger te worden, aan de andere kant ben ik ervan overtuigd dat het de wereld helpt om minder vrij te zijn, en hier hebben we het vooral over fundamentele rechten en vrijheid, het gaat ons niet om de vraag veiligheid, het is de kwestie van vrijheden die ons zorgen baart.
U zei dat als een klant de regels overtreedt, u het contract beëindigt. Als u geen gewone toegang heeft om deze software te gebruiken, hoe kunt u dan zien of een van uw klanten deze software heeft misbruikt? Is het omdat deze cliënt het aan jou heeft toegegeven? Is het aan hem om u te vertellen: “Ja, ik heb het misbruikt, schors alstublieft mijn licentie”? Zodat we je kunnen geloven, kun je ons vertellen hoe het precies gebeurt? Je zei dat je de afgelopen jaren acht contracten hebt geschorst. Kunt u verduidelijken hoeveel contracten zijn opgeschort omdat u het antwoord niet kreeg of omdat u bewijs had dat ze het misbruikten en hoe bent u erin geslaagd dit te bewijzen? Wat zou je tegen een slachtoffer zeggen? Wat kan een slachtoffer doen? Kan ze naar de autoriteit aan wie je de software hebt verkocht gaan en zeggen: “Je geeft toe dat je me bespioneert”? Kun je een klacht indienen tegen NSO, of kan ik rechtstreeks naar hen toe gaan? Wat kan ik doen? Waar kunnen we direct heen? En tot slot een heel concrete vraag omdat u het vermoeden hebt gewekt dat het merendeel van de beschuldigingen vals is. Gelooft u dat de zogenaamde “Catalangate” nep is? „Je geeft toe dat je me bespioneerd hebt“? Kun je een klacht indienen tegen NSO, of kan ik rechtstreeks naar hen toe gaan? Wat kan ik doen? Waar kunnen we direct heen? En tot slot een heel concrete vraag omdat u het vermoeden hebt gewekt dat het merendeel van de beschuldigingen vals is. Gelooft u dat de zogenaamde “Catalangate” nep is? „Je geeft toe dat je me bespioneerd hebt“? Kun je een klacht indienen tegen NSO, of kan ik rechtstreeks naar hen toe gaan? Wat kan ik doen? Waar kunnen we direct heen? En tot slot een heel concrete vraag omdat u het vermoeden hebt gewekt dat het merendeel van de beschuldigingen vals is. Gelooft u dat de zogenaamde “Catalangate” nep is?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, als het systeem wordt gebruikt om iemand te targeten op een manier die niet bedoeld is om levens te redden en geen evenwicht is tussen de grondrechten, en nogmaals, de fundamentele rechten, als ik het heb over de Internationale Bill of Rights, dan heb ik het voornamelijk over artikel 19 en artikel 17. De grondrechten hebben beperkingen wanneer ze moeten worden geschonden voor de veiligheid en in overeenstemming met zowel de procedurele als de inhoudelijke voorwaarden die zijn vastgelegd in internationaal recht.
En wanneer een systeem op een onjuiste manier wordt gebruikt, en als ik enkele voorbeelden kan geven van hoe een onderzoek wordt uitgevoerd, dus ja, we hebben klanten gehad die niet meewerkten of sommigen die begonnen mee te werken en vervolgens stopten met meewerken in een onderzoek. En we sloten ze af. We hebben andere gevallen gehad waarin we in gesprek waren met de klanten, en terwijl we in gesprek waren met de klanten, legden ze uit waarom ze dachten dat het gebruik van het systeem legitiem was. Na die uitleg te hebben gehoord, zeiden we dat vanuit ons begrip dat het gebruik niet voldoet aan de vereisten van het internationale recht en daarom hebben we het systeem voor die klanten afgesloten, als er een situatie was die we hebben beoordeeld en ze niet de noodzakelijke procedure hebben doorlopen, de noodzakelijke garanties voor het gebruik van het systeem, natuurlijk als het iets meer is dan een eenmalige fout die door de autoriteiten daar intern is afgehandeld, want dat kan gebeuren, maar als het meer is, zullen we het systeem afsluiten. En we hebben.
Een slachtoffer kan bij ons terecht. Zoals ik al eerder zei, hebben we een klokkenluiderssite. We krijgen klachten. Wij onderzoeken die klachten. En nogmaals, die klokkenluiders kunnen er toe leiden dat we op basis daarvan actie ondernemen tegen onze klanten.
Het feit is dat wetshandhavers uiteindelijk van mening zijn dat ze dit soort systemen nodig hebben om het probleem te overwinnen dat vrijwel altijd wordt veroorzaakt door big tech. Big tech heeft codering ontwikkeld, wat geweldig is voor de privacy van iedereen die er is. Maar uiteindelijk is deze versleuteling, die tot enkele jaren geleden versleuteling op militair niveau was, ook in handen van snode actoren, en wetshandhavers hebben in die gevallen de middelen nodig om in die gebieden onderzoek te kunnen doen. Dit is wat ons is verteld door de politie. Dit zijn de verzoeken die de wetshandhaving ons heeft gesteld en dat is wat onze technologie gaat doen.
Voorzitter: Ter verduidelijking, want ik denk dat wat de heer Puigdemont vroeg en wat veel andere collega’s hebben gevraagd, is: wat doet u specifiek om te controleren of deze gebruiksvoorwaarden worden nageleefd? Dus niet alleen als je wordt geïnformeerd door een journalist of een klokkenluider, maar vind je dat je zelf zorgplicht hebt nadat je het product hebt verkocht? Of onderzoekt u alleen op basis van onderzoeksjournalistiek en klokkenluiders? Je zegt veel over wat je doet als je onderzoek doet en als landen niet meewerken, maar wat doe je zelf om ervoor te zorgen dat de voorwaarden van het contract worden nageleefd? Ik denk dat dat de vraag is die een paar keer is teruggekomen waar we nog geen antwoord op hebben gekregen.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): De due diligence die we doen voordat we een contract aangaan, wordt jaarlijks voor elke klant herhaald. Dus we gaan het op dat moment opnieuw beoordelen. Zijn er veranderingen geweest in de ranglijst, in de informatie die relevant is met betrekking tot die klant, ten goede of ten kwade, met betrekking tot de rechtsstaat in het land? En dat zal ingaan op de vraag of we die klant blijven bedienen of dat we het zelfs proactief stopzetten als er iets niet tussenkomt.
Bovendien zal elk soort rapport met betrekking tot een verandering in de rechtsstaat van het land, of het nu een staatsgreep is of grote protesten die in het land op komst zijn, leiden tot een automatische schorsing totdat we kunnen bepalen of die situatie is niet veranderd en dat het systeem niet in handen mag vallen van iemand die geen due diligence heeft doorlopen.
Het derde aspect dat we onlangs zijn gaan invoeren, ongeveer het afgelopen half jaar bij bepaalde klanten, is een auditprocedure die we met sommige klanten zijn overeengekomen, waarbij we, hoewel we niet op de hoogte zullen zijn van de onderzoeken die ze hebben, zullen we op periodieke basis om tafel zitten met de mensen die verantwoordelijk zijn voor het toezicht op die klant om uit hun beoordelingen van die klant te begrijpen of ze het systeem hebben gebruikt in overeenstemming met de lokale wetgeving, of ze een situatie hebben gezien waar het systeem is gebruikt op een manier die in strijd is met de internationale mensenrechtenwetgeving of hun lokale wetten?
Voorzitter: Ik denk dat het meer gaat om de zorgvuldigheid van het land in het algemeen dan om het gebruik van het systeem. Maar ik weet zeker dat er nog andere vragen zijn die we willen stellen.
Het is dus 16.30 uur. We hebben de eerste ronde sprekers afgesloten. Er zijn veel afgevaardigden die aanvullende vragen willen stellen aan wie ik ook het woord wil geven. We hebben onze gasten in het volgende panel geïnformeerd dat we misschien een beetje laat zouden zijn, wat we hadden kunnen verwachten. Maar ik zou de collega’s die nu het woord nemen willen vragen om te proberen het tot één minuut te beperken, zodat we echt al onze vragen binnenkrijgen.
Karolin Braunsberger-Reinhold (PPE): Mijnheer de voorzitter! Mijn twee reeksen vragen: ontwikkelt de NSO-groep al haar hacking-knowhow zelf, of koopt ze ook externe zogenaamde zero-day-kwetsbaarheden in, d.w.z. beveiligingslacunes die nog onbekend zijn bij de bredere cybersecurity-gemeenschap? Wat kun je ons vertellen over het proces dat de NSO-groep gebruikt om kwetsbaarheden te vinden? Ten tweede staat in uw rapport op pagina 25: “De NSO moedigt zowel interne als externe belanghebbenden aan om zorgen over wangedrag te melden. De klachtenmechanismen van het bedrijf maken zowel vertrouwelijke als anonieme rapportage mogelijk.” Mijn vraag aan u is: hoeveel van dergelijke klachten zijn er het afgelopen jaar geweest en welke conclusies hebt u daaruit getrokken?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wat betreft de eerste vraag over kwetsbaarheden: als bedrijf zijn we in de eerste plaats een onderzoeks- en ontwikkelingsbedrijf. We zullen dus alle beschikbare legale middelen gebruiken om te proberen ons systeem en de technologie te verbeteren. Dus vrijwel alles wat beschikbaar is om de technologie te verbeteren en legaal is, zullen we gebruiken.
Wat betreft de externe en interne klachten, nogmaals, we roepen op tot klachten, zowel van het aspect van onze externe klokkenluiders als intern, we praten ook zowel met werknemers als met klanten. Ook de operators van de klanten worden geïnformeerd over onze klokkenluidersmogelijkheden. Als een operator denkt dat zijn regering het systeem op een verkeerde manier gebruikt, hebben ze de mogelijkheid om ons ook een anonieme klokkenluidersklacht in te dienen.
Het is duidelijk dat er het afgelopen jaar met de Pegasus-papieren, dus als we die ook als klachten beschouwen, een groot aantal klachten was over een groot aantal landen. En daarom heb ik eerder aangegeven dat we meer dan 20 lopende onderzoeken doen naar die zaken. Daarnaast hebben we het afgelopen jaar via de klokkenluiderslijn waarschijnlijk 25 klachten ontvangen. Van die 25 waren er ongeveer vijf geloofwaardige klachten die leidden tot een eerste onderzoek naar hen bij een klant.
Hannes Heide (S&D): Heb ik het goed begrepen dat tot nu toe 50.000 telefoonnummers het doelwit zijn van Pegasus? Er was een bedrag van 50 000.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Dat is onjuist.
Hannes Heide (S&D): Dat klopt niet. Hoeveel?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, het aantal dat naar buiten kwam, 50.000 nummers, was een nummer dat door Forbidden Stories werd gerapporteerd voor zover het hun rapport over de Pegasus-papieren betreft. En ik heb in mijn openingsverklaringen duidelijk gemaakt dat dit geen lijst met Pegasus-doelen is.
Uit de algemene statistische informatie die onze systemen hebben verzameld die we het afgelopen jaar hebben gezien, blijkt dat het aantal doelen voor alle klanten in een bepaald jaar ongeveer 12.000 tot 13.000 doelen is voor alle klanten samen in een heel jaar.
Hannes Heide (S&D): Kunt u ons vertellen, kunt u ons vertellen hoeveel klanten uw bedrijf had en hoeveel u eigenlijk heeft?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Het totale aantal klanten dat we in het verleden hebben gehad was ongeveer 60 klanten in 45 landen. Dat aantal is gedaald. Het is momenteel minder dan 50 klanten.
Hannes Heide (S&D): Aangezien u ons hebt verteld dat u de software alleen aan overheden verkoopt, is het mogelijk dat collega Arłukowicz een rekening heeft bij een privébedrijf, wat hij ons vertelt, is het mogelijk, ja of nee?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, kan er een privébedrijf zijn dat betrokken was bij de commerciële aspecten van de transactie. Software wordt alleen rechtstreeks aan de eindgebruiker van de overheid geleverd. We installeren de software altijd rechtstreeks door de eindgebruiker van de overheid. We hebben onze controle erover zodat ze het kunnen gebruiken in overeenstemming met hun lokale wetten. Maar het zal nooit worden – en is ook nooit – verstrekt aan een particulier bedrijf.
Hannes Heide (S&D): U zei ook dat Jeff Bezos niet het doelwit was van uw software. Als iemand een krant meldt dat het uw software was – en ik heb al dergelijke rapporten gelezen, onderneemt u dan juridische stappen tegen de auteur?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Als bedrijf zijn we zeer, zeer voorzichtig bij juridische stappen die we ondernemen tegen verslaggevers. We denken dat het verkeerd is, de hele kwestie van onderzoeksjournalisten – zelfs als ze iets melden dat verkeerd is, vinden we het niet juist dat er gewoonlijk juridische stappen moeten worden ondernomen.
We hebben één rechtszaak aangespannen, een openbare rechtszaak in Israël, tegen een krant in Israël over een specifieke kwestie die overduidelijk verkeerd was met betrekking tot een valse verklaring die zegt dat we de mogelijkheid hebben om de auditlogboeken van klanten te verwijderen en dat klanten de auditlogboeken kunnen verwijderen. Dat is de enige kwestie waartegen we een rechtszaak hebben aangespannen.
Hannes Heide (S&D): Zou je ons kunnen vertellen hoeveel gebruikers, hoeveel klanten je al hebt afgesloten? De hoeveelheid?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): (Begin van toespraak zonder microfoon) … dan acht, ik weet het niet.
Hannes Heide (S&D): Dank u, dus mijn laatste vraag is, u zegt dat u terrorisme en zware misdaad bestrijdt. En om commissaris Reynders en de minister-president van Spanje en de minister van Defensie van Spanje het vermoeden te geven dat ze te maken hebben met zware criminaliteit of zelfs met de strijd tegen het terrorisme, dat ze verband houden met terrorisme, welke criteria zouden je dan accepteren dat deze mensen het doelwit zijn van de software van uw bedrijf?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, bieden we technologie die wordt gebruikt om te vechten… het doel waarvoor we het leveren is om levens te redden en terrorisme en ernstige misdaden te bestrijden. Het is duidelijk dat de lat zeer hoog ligt voor elke eindgebruiker die zich op een dergelijk doelwit richt, moet aantonen dat er een ernstig vermoeden van criminele activiteiten bestaat.
Nogmaals, er zijn situaties geweest in sommige landen, waaronder mijn land, waar zelfs hooggeplaatste mensen werden verdacht van corruptie of werden berecht voor corruptie. Maar ik weet het niet, nogmaals, zonder op specifieke gevallen in te gaan, zou het een heel, heel hoge lat zijn die iemand zou moeten laten zien om aan te tonen dat dit soort acties legitiem was.
Zoals ik al zei, zouden we het uiterst serieus nemen in alle andere gevallen waarin iemand die hoge lat niet haalt. Ik kan zeggen dat het enige dat elke mogelijkheid om een dergelijke claim te onderzoeken zou beperken, het feit zou zijn dat als de klant al was afgesloten voordat de claim opkwam, omdat, zoals ik al eerder zei, om te kunnen een claim onderzoeken, hebben we toegang nodig tot een klantsysteem. En als de klant al was ontslagen voordat de beschuldiging naar voren kwam, zouden we geen verdere beschuldigingen tegen die voormalige klant opnieuw kunnen onderzoeken.
Róża Thun und Hohenstein (Vernieuwen): Welke klant was het? Weet jij?
De voorzitter: Kijk, meneer Heide nam de pingpong. Luister, dit is geen marktplaats waar we de vragen kunnen schreeuwen. We hebben veel collega’s die om het woord hebben gevraagd. Zij krijgen als eerste het woord. Zoals ik aan het begin al zei, als er onbeantwoorde vragen zijn, geef ik graag aan het eind het woord. Maar ook andere leden hebben het recht om hun vragen te stellen.
Moritz Körner (Renew): Bedankt dat je hier bij ons bent. Ik begrijp meerdere keren dat u niet ingaat op specifieke klanten, maar u noemde cijfers, dus ik zal ingaan op cijfers. Hoeveel lidstaten van de EU gebruiken Pegasus of andere NSO-producten? Kun je ons een nummer geven? Dat is geen vraag over een specifieke klant, het is maar een getal. Je hebt het nu vaak over cijfers gehad. Ik wil weten hoeveel lidstaten uw producten gebruiken.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik heb het nummer niet bij de hand. Als ik een…
(Tussenwerpsels buiten de microfoon)
Moritz Körner (Verlengen): OK.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik zal zeggen dat het er meer dan vijf zijn, maar voor het werkelijke aantal zou ik terug moeten komen.
Moritz Körner (Renew): U komt terug met dat concrete nummer en nu vraag ik het direct op twee andere nummers. Hoeveel onderzoeken? Omdat je 25 onderzoeken noemde. Hoeveel daarvan waren lid van de Europese Unie en hoeveel contracten zijn binnen de Europese Unie beëindigd? Misschien weet je dat uit misschien de verbroken contacten binnen de Europese Unie, misschien weet je dat uit je hoofd?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik moet terugkomen met alle antwoorden.
Moritz Körner (Renew): OK, maar omdat je cijfers noemde, denk ik dat het duidelijk is dat je niet kunt zeggen dat dit in specifieke contracten staat.
Dan heb ik nog twee andere vragen.
Terugkomend op wat een collega al vroeg, vroeg ze in hoeverre uw producten afhankelijk zijn van het exploiteren van software en zero-day-kwetsbaarheden. En je zei iets alsof je onderzoek en ontwikkeling doet en alles wat er is dat je gebruikt. Ik besluit en ik wil ook een enkel ‘ja’ of ‘nee’ hebben. Dat betekent dat je software gebruikt, exploiteert en zero-day kwetsbaarheden gebruikt. Ja of nee?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik zal geen dingen bevestigen die met handelsgeheimen te maken hebben, zoals ik al zei, maar ik ga het ook niet ontkennen, ik zeg alleen dat we alles gebruiken wat legaal is. gaan gebruiken om te proberen de software te ontwikkelen.
Moritz Körner (Renew): Heeft de NSO Group dergelijke software aangeschaft?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, we gebruiken alles wat legaal beschikbaar is, dus dat is interne ontwikkeling en alles wat legaal is om te doen.
Hannah Neumann (Verts/ALE): Het is eigenlijk veel beter om te pingpongen, en ik beloof je dat ik minder vragen zal hebben dan de heer Heide. Dus de eerste, want ik bedoel, je komt naar een commissie van het Europees Parlement, dus je zou niet verrast moeten zijn door deze vraag: heb je ooit een contract met een EU-lidstaat opgezegd? Ja of nee? We kunnen de nummers later krijgen, maar heeft u ooit één contract met een EU-lidstaat opgezegd?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): We hebben contracten met EU-lidstaten beëindigd. Maar om weer in exacte cijfers te komen …
(Mevrouw Neumann onderbreekt de spreker)
Hannah Neumann (Verts/ALE): Dat is prima. Dank je. Volgende vraag. Als een land u geen toestemming geeft om te auditeren, is dat dan een reden voor u om een contract op te zeggen? Ja of nee?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al eerder zei, als ze ons niet toestaan om de audit uit te voeren en niet deelnemen en ons de informatie verstrekken die we nodig hebben in ons onderzoek, ja, dat is een reden om een contract te beëindigen.
Hannah Neumann (Verts/ALE): Is dat ooit het geval geweest in de Europese Unie?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Niet dat ik me terloops herinner, maar dat zou ik nog eens moeten controleren.
Hannah Neumann (Verts/ALE): Oké. En we zouden het zeer op prijs stellen als u de volgende keer dat u terugkomt in een commissie van het Europees Parlement, specifieke vragen over de Europese Unie kunt beantwoorden. Twee vragen die verder gaan dan de Europese Unie: hebben de Verenigde Arabische Emiraten en Saoedi-Arabië ooit uw due diligence-controle doorlopen en zijn ze geslaagd?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, ga ik niet reageren op vragen over specifieke potentiële klanten.
Hannah Neumann (Verts/ALE): Gezien het feit dat de VAE en Saoedi-Arabië Pegasus-software hebben gebruikt, wie zijn volgens uw controles legitieme actoren om in deze landen arrestatiebevelen uit te vaardigen?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, ik herhaal het nogmaals, ik ga niet reageren op vragen over specifieke klanten.
Hannah Neumann (Verts/ALE): Over de kwestie van exploits, omdat je exploits nodig hebt als toegang tot mobiele telefoons, hoeveel van deze exploits koop je procentueel op de vrije markt en hoeveel komt er uit je interne werken als NSO?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, ik ben geen technicus. Ik weet het antwoord op die vraag niet.
Hannah Neumann (Verts/ALE): Nog een laatste vraag, dan ben ik klaar, mijnheer de voorzitter. Heel erg bedankt. U zei zelf dat deze hele reguleringskwestie niet door een particulier bedrijf moet worden afgehandeld. Ik moet zeggen, ik ben het ermee eens. Wat is het soort regulering dat wij als politici volgens u zouden moeten invoeren om deze spyware goed te reguleren, zodat u er niet langer last van heeft?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik denk dat het beste iets is dat lijkt op wat er misschien met andere wapens wordt gedaan, een soort non-proliferatieovereenkomst, met specifieke normen voor wat vereist is om hiervan gebruik kunnen maken. Alleen landen die zich zouden aanmelden en ermee instemmen deze reeks regels te volgen, zouden landen zijn die zouden worden beschouwd als legitieme kopers van dit type systeem, en dat deze instantie ook in staat zou zijn om door te gaan met een doorlopende audit om te controleren of die landen zich aan de regels houden. waar ze zich voor hebben aangemeld en de regels volgen waarvoor ze zich hebben aangemeld. En daarom zou je op die manier zowel de aspecten van de rechtsstaat op zijn plaats hebben als het auditaspect op zijn plaats hebben en …
(Mevrouw Neumann onderbreekt de spreker)
Hannah Neumann (Verts/ALE): En waaruit zouden deze normen moeten bestaan?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, ik heb mijn eigen persoonlijke mening over deze kwestie. Maar ik denk dat het iets is dat politici precies moeten beslissen op basis van de rechtsstaat, internationaal recht, kijkend naar de inhoudelijke en procedurele vereisten voor het gebruik van software. Ik denk dat deze technologie, zoals ik al zei, nodig is. Anderen zeggen dat het nodig is. Ik denk dat het er is om te blijven. En ik denk dat er naar moet worden gekeken op een manier die de technologie beoordeelt en waarborgen instelt die het gebruik ervan in de juiste gevallen mogelijk maken, maar degenen die het in de verkeerde gevallen gebruiken, straft.
De voorzitter: Ik laat veel flexibiliteit toe, want ik denk ook dat een beetje flexibiliteit ons helpt om tot goede antwoorden en vragen te komen. Dus dat doe ik graag. Maar we moeten ook een beetje zelfdiscipline hebben om andere sprekers in deze zaal ook aan het woord te laten komen.
George Georgiou (links): Je toonde veel flexibiliteit en vriendelijkheid tijdens het debat. Maar, meneer Gelfand, ik zou nooit in uw positie willen zijn, omdat u zeer cruciale vragen niet hebt beantwoord.
Ik herhaal er twee: u zei dat u deze software alleen aan overheidsinstanties van een land verkoopt. De heer Arlukowicz vertelt u dat er een bevinding is dat deze software in Polen in handen is gevallen van een privébedrijf. Is dat geen reden om het uit Polen en de overheidsinstanties waaraan u het hebt gegeven, te verwijderen?
Ten tweede vertelde de collega uit Hongarije u dat de Europese Commissie, die als enige bevoegd is om te beoordelen of een lidstaat een rechtsstaat is of niet, een inbreukprocedure tegen Hongarije is gestart. Is dat geen reden om het meteen uit Hongarije te halen?
En ten derde, antwoord me alsjeblieft, heb je deze software verkocht aan de overheidsinstanties van Cyprus? Of via Cyprus, een Europees land, naar andere Europese landen, om de noodzaak om toestemming te krijgen van de Israëlische regering te overwinnen, wat een obstakel is? En zo ja, heeft u overwogen of de wettelijke status van Cyprus u daartoe toestond?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al zei, zoals ik al eerder antwoordde, zei ik dat er bij een commercieel bedrijf een commerciële factuur kan zijn omdat een commercieel bedrijf aan de commerciële kant kan worden betrokken, maar niet de eindgebruiker en zal het systeem nooit ontvangen. Deze commerciële eindgebruikers doorlopen, nogmaals, zoals ik al zei, een due diligence-proces, maar de eindgebruiker is degene bij wie we het systeem zullen installeren.
Wat betreft de vraag wie het systeem in Cyprus gebruikt – als dat al het geval is – kunnen we daar niet op antwoorden. Wat betreft de vraag of iets via Cyprus is verkocht, ik heb al eerder duidelijk gemaakt dat we Pegasus nooit via Cyprus hebben verkocht en dat we dat ook nooit zullen doen. Vanuit het standpunt van Israëlische exportcontrole zou het op die manier ook niet legaal zijn om Israël te omzeilen, omdat voor elke export, zelfs voor andere technologie, vergunningen nodig zouden zijn.
Zoals ik al eerder zei, er zijn bedrijven in zowel Bulgarije als Cyprus die zich bezighouden met andere technologie, niet Pegasus, met andere technologieën die inlichtingendiensten leveren met andere capaciteiten, locatiemogelijkheden en dergelijke. Die worden geëxporteerd. Ze worden ontwikkeld in Bulgarije en Cyprus en geëxporteerd vanuit die landen, met licenties van die landen.
Radosław Sikorski (PPE): Mijnheer Gelfand, u zei dat “een slachtoffer ons kan benaderen”. Nou, ik benader je nu. Hoe moet ik weten dat ik het slachtoffer ben van een geheim bewakingsprogramma? Ik vraag me af wat je hieraan gaat doen? En de reden waarom ik denk dat ik het slachtoffer zou kunnen zijn, is dat uw software is gevonden op de telefoons van een advocaat van de voormalige premier en hoofd van de oppositie, een oppositielid van het parlement in Polen, de vakbond van landbouwarbeiders van de oppositie, de oppositie werkgeversbond, een auteur van een boek over de minister van Binnenlandse Zaken en het hoofd van de verkiezingscampagne van de belangrijkste oppositiepartij. Zie je hier een patroon? Ik doe. En ben je er trots op dat je geld hebt verdiend door je op de Poolse oppositie te richten?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wat betreft de eerste vraag, zoals ik al zei, iedereen, als iemand vermoedt dat hij het doelwit was, kan hij ons benaderen via de klokkenluidersregeling en als hij toegang wil verlenen naar een telefoon zijn er technische stappen die kunnen worden uitgevoerd om een telefoon te controleren.
Radosław Sikorski (PPE): Het doel is dat u geen toegang heeft tot mijn telefoon, oké? Je kunt in je eigen systemen controleren of je mijn telefoon hebt getarget.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Nogmaals, zoals ik al eerder heb gezegd, hebben we geen toegang tot de informatie. Als er een geloofwaardige reden is om iets te vermoeden, nemen we dat uiterst serieus en onderzoeken we het en onderzoeken we het. En inclusief situaties zoals die u eerder aan de orde heeft gesteld, zullen op de meest ernstige manier worden aangepakt. Dat zijn geen dingen die lichtvaardig worden opgevat en ze worden onderzocht en beoordeeld. En in het geval dat blijkt dat er misbruik is gemaakt van het systeem, zoals ik al eerder zei, we hebben het eerder gedaan en zullen het weer blijven doen, we zullen actie ondernemen. We zullen contracten beëindigen.
Radosław Sikorski (PPE): Ik heb je zojuist een test gestuurd, we zullen zien.
Łukasz Kohut (S&D): Laten we duidelijk zijn: de slachtoffers van onwettig toezicht met uw software – Pegasus – waren specifieke mensen, geen terroristen, geen criminelen in Polen PiS: officier van justitie Ewa Wrzosek, senator Krzysztof Brejza, advocaat Roman Giertych, maar hun families waren ook indirect slachtoffers en hun kennissen, in wier leven de macht meedogenloos met schoenen binnendrong.
Dus vier specifieke vragen, laten we gaan pingpongen. Ten eerste: hoeveel mensen in Polen zijn afgeluisterd met Pegasus?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Elk gebruik van het systeem – ik herhaal dit keer op keer, elk gebruik van het systeem dat wordt gebruikt op een manier die de mensenrechten schendt, wanneer het niet voor het redden van leeft op een manier die legaal is en in overeenstemming met de voorwaarden van het contract, is een overtreding, en we zullen streng beoordelen en we zullen het behandelen zoals we het in het verleden hebben afgehandeld.
Het is waar dat zelfs wanneer er legitiem toezicht wordt gehouden, dit het geval is, of we het nu hebben over het gebruik van een dergelijke technologie, of we het nu hebben over het gebruik van traditionele afluisterapparatuur, of dat we het hebben over het gebruik van een huiszoekingsbevel in een huis, dus er zal daar altijd andere informatie zijn, en daarom heeft de politie protocollen opgesteld en moet ze beschikken over de manier waarop ze hiermee omgaan om, voor zover mogelijk, extra het met voeten treden van de rechten van de betrokken onschuldigen. Dit is iets dat door regeringen moet worden ingevoerd, het is niet iets waar de technologie zelf mee om kan gaan. De technologie is op zich net als elke andere technologie bedoeld om goed te doen, maar kan ook worden gebruikt om kwaad te doen. En daarom, zoals we al zeiden,
Łukasz Kohut (S&D): Ik ben niet helemaal tevreden met dit antwoord, maar ik zou ook graag willen weten wie er achter de Poolse operator van Pegasus genaamd “Orzeł Biały” zit. Is het de Poolse regering? En is het deze telefoniste, of was het de “White Eagle” die de telefoon van EU-commissaris Didier Reynders en andere hoge ambtenaren van de Europese Commissie heeft gehackt? Dat is alles. Heel erg bedankt.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al vaker zei, ik kan het alleen maar herhalen, ik kan niet reageren op vragen over specifieke klanten.
Salima Yenbou (Renew): Mijnheer de Voorzitter, in het Frans hebben we een uitdrukking die zegt: “Als het wazig is, is het dat er een wolf is”. En daar is het opeens heel vaag. We zitten dus in een roedel.
Eerste vraag, ik kom terug op terrorisme. Ik hou van definities en weten waar we het over hebben. In feite heeft terrorisme een goede rug om van alles en nog wat overal te rechtvaardigen. En de definities fluctueren plotseling, afhankelijk van wat we willen bestrijden. Wat is de NSO-definitie van terrorisme?
Tweede vraag: er zijn Palestijnse ngo’s die zijn bespioneerd door een staat – die ik niet zal noemen, omdat je geen staat kunt noemen – voordat ze door diezelfde staat als terroristen werden aangemerkt. Is dit dus een criterium voor het intrekken van de vergunning of wordt dit gezien als preventie?
Omdat ik van definities houd, luisterde ik een tijdje geleden, wat ik begrijp van verantwoordelijkheid is dat NSO verkoopt en geld verdient aan Pegasus, dat het aan draagraketten is om alert te zijn om te controleren en instellingen om te reguleren. Hebben we dezelfde definitie van verantwoordelijkheid? Hoe dan ook, het is niet van mij.
En de laatste vraag, ik begrijp niet waarom, ook al zegt u dat Pegasus wordt gebruikt in de strijd tegen het terrorisme en levens redt, volgens de criteria van het internationaal recht, waarom zouden we de lijst van regeringen waarmee u doorgaat niet hebben om te werken en degene met wie u het contract hebt verbroken, aangezien er niets verwerpelijks is aan het bestrijden van terrorisme?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wat betreft de definitie van terrorisme, u zult de exacte definitie zien die in het contract staat dat we zeiden te zullen verstrekken, dus u kunt de exacte definitie zien die we hebben daar voor terrorisme. Maar het is een duidelijke daad van bedreiging met het gebruik van geweld tegen personen of instellingen. Daar is een eenduidige definitie voor en die maakt deel uit van het contract zelf.
Wat betreft de verantwoordelijkheid, zoals ik al eerder zei, denk ik dat de verantwoordelijkheid van bedrijven met betrekking tot wat van bedrijven wordt verwacht, is uiteengezet in de UNGP’s die we hebben aangenomen en die we volgen en onszelf verbeteren en die richtlijnen volgen. Daarin is ook de verantwoordelijkheid van staten vastgelegd. Het is duidelijk dat de manier waarop de UNGP’s werken, niet één primair en één secundair is, we proberen niet weg te lopen voor onze verantwoordelijkheid, we proberen die verantwoordelijkheid na te komen.
Aan het eind van de dag zijn we echter ook beperkt in de informatie die we hebben. Nogmaals, we ondernemen stappen om die balans te vinden tussen enerzijds de beveiligings- en privacykwesties die dicteren dat we minder toegang tot informatie zouden moeten hebben, en anderzijds het vermogen om informatie te verstrekken en te beschermen.
Wat betreft de kwesties van de regeringen, die de regeringen in hun strijd tegen het terrorisme moeten gebruiken – het is op zich natuurlijk niet iets dat verborgen blijft. De manieren en middelen en gereedschappen die ze gebruiken, willen ze verborgen houden. Wij als bedrijf zeggen dat wij niet degenen kunnen zijn die dat bekendmaken. Maar als ze ermee naar buiten willen komen, is dat hun recht als eindgebruiker van de overheid.
Diana Riba i Giner (Verts/ALE): Ten eerste, u hebt op een gegeven moment een opmerking gemaakt over het onderwerp Euro-warrants. Is het mogelijk om een terminal te bespioneren buiten het rechtsgebied van de klant die Pegasus heeft gekocht?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Het gebruik van een systeem moet gebeuren in overeenstemming met de nationale wetten van de gebruiker en het internationale recht als geheel – beide, dat is de verwachting van het gebruik van het systeem.
De kwestie van extraterritoriaal gebruik van dergelijke systemen is complex. Verschillende landen hebben wetten die in bepaalde situaties toestaan – en ik heb het over landen hier in de Europese Unie die wetten hebben die bepaalde organisaties toestaan om op te treden, ook extraterritoriaal, maar wij bieden een systeem en het is de verantwoordelijkheid van de klanten die het systeem kopen om de relevante wetten op die gebieden te volgen voor wat betreft wat wel en niet kan worden gedaan buiten hun eigen jurisdicties.
Diana Riba i Giner (Verts/ALE): Oké, bedankt. Een andere vraag is: is het mogelijk voor het slachtoffer om te identificeren welke klant hem bespioneert?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wanneer we een onderzoek uitvoeren, is de belangrijkste, zoals ik al zei, de enige manier om een onderzoek uit te voeren naar een specifiek nummer om de feiten te verifiëren, dat we begrijpen wat is het doelland waarvan wordt vermoed dat het de verschillende slachtoffers als doelwit heeft? Omdat, zoals ik al zei, de informatie wordt opgeslagen op het systeem van elk land. Het auditlogboek staat op hun systeem.
U moet weten welk land u moet benaderen om toegang tot het systeem aan te vragen. In sommige situaties wanneer er vermoedens zijn opgedoken, wordt er met de vinger naar specifieke klanten gewezen en kunnen we proberen de informatie van die klanten te verifiëren. Zonder die informatie wordt het erg moeilijk voor ons om te onderzoeken. Maar als we die informatie hebben, dan beginnen we het onderzoek.
Diana Riba i Giner (Verts/ALE): Oké, bedankt. Een andere vraag is: is het voor het slachtoffer mogelijk om te identificeren welke klant hem bespioneert?
En wat betreft een meer technische kwestie: moet u de beveiligingsmaatregelen van de fabrikant van het apparaat of de fabrikant van computertoepassingen die op de telefoon zijn geïnstalleerd, doorbreken? Het is een heel specifiek onderwerp, maar onlangs waren we in een hoorzitting om hier specifiek over te praten.
Tot slot, voordat u antwoordt, staat er in de informatie die u ons vanuit de contracten stuurt, de informatie dat een licentie een mobiele telefoon is? Dat wil zeggen, welke producten kunnen bijvoorbeeld worden ingenomen of hoe lang heb je ze? Omdat we de cijfers niet krijgen. Als er vijftig landen zijn en er zijn ongeveer 13.000 gevallen, volgens wat u ons vertelde, koopt elke staat dan verschillende vergunningen?
Als deze informatie in de contracten staat, zal het ons al schriftelijk bereiken. Het is gewoon weten hoe dit soort contracten precies werken, hoeveel licenties er zijn, hoeveel ze kosten en hoe ze werken; als een licentie een enkele spionage is of als ze verschillend zijn en als deze afkomstig is van een mobiel of verschillende mobiele telefoons.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Dus de manier waarop de licentie werkt, is dat een klant een specifiek aantal gelijktijdige doelen ontvangt waarop ze zich kunnen richten. Die nummers zijn meestal eencijferige tot lage tweecijferige nummers, uiteraard soms afhankelijk van wat een klant vraagt, maar het zal ook door ons worden beoordeeld om er zeker van te zijn dat dat nummer consistent lijkt te zijn met de problemen die daarbij op het spel staan land, de grootte van dat land, uiteraard zal de grootte van het land er toe doen, de omvang van de verantwoordelijkheid van de specifieke overheidsinstantie. Is het een instantie die een brede verantwoordelijkheid heeft voor de bestrijding van criminaliteit? Is dat een bureau dat zich bezighoudt met een specifiek probleem? De cijfers zullen worden bepaald rekening houdend met die dingen als onderdeel van het due diligence-proces.
Maar uiteindelijk wordt het systeem verkocht met – het bepalende aspect wordt het gelijktijdige aantal licenties, het gelijktijdige aantal telefoons dat op een bepaalde periode kan worden gericht.
Eva Kaili (S&D): Dus ik begrijp dat u in wezen onder de Israëlische wet functioneert, dus ik vroeg me af of het G-to-G is toegestaan vanuit Israël om dergelijke software naar niet-democratische landen te exporteren?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Volgens de Israëlische wet is dit een exportgecontroleerd item en daarom zijn we verplicht om exportvergunningen aan te vragen. Het Israëlische systeem is een duaal systeem waarbij je eerst een marketingvergunning moet krijgen en pas daarna een exportvergunning. Er zijn dus twee stadia van herziening door de Israëlische regering.
Aan welke landen de Israëlische regering besluit licenties te verlenen, dat zou een kwestie zijn die ik, aangezien ik geen woordvoerder van de Israëlische regering ben, niet kan beantwoorden.
Eva Kaili (S&D): En is geoblocking by design mogelijk? Omdat ik begrijp dat u geen software uit Israël aan een niet-democratisch Arabisch land zou verkopen die tegen Israël kan worden gebruikt, klopt dat?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): De technologie bestaat om dingen te kunnen blokkeren op basis van geografie, ja.
Eva Kaili (S&D): Dus dit betekent door ontwerp? De EU zou je kunnen vragen om je niet op EU-cijfers te richten als we dat zouden willen? Heb je dat gedaan met Britse en Amerikaanse nummers?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik zeg dat het technologisch mogelijk zou zijn om dat te doen. En het is duidelijk dat de beslissing over die kwestie een beslissing zal zijn die kan komen van een regelgevende instantie en dan zal het een kwestie zijn van een diplomatieke beslissing van een regelgevende instantie, of het kan een beslissing zijn van een bedrijf als het gevoeld wordt dat is wat wij nodig hebben. We kunnen die beslissing nemen als we denken dat dat nodig is om de mensenrechten in die situatie zo goed mogelijk te beschermen, zonder de legitieme behoeften van wetshandhavers om hun activiteiten te kunnen uitoefenen al te zeer aan te tasten.
Eva Kaili (S&D): (Begin van toespraak zonder microfoon) … normaal gesproken weet ik dat technologie neutraal is, maar hoe je het gebruikt is legaal of illegaal. Maar eigenlijk zie ik onder de AVG geen ruimte om dat te gebruiken, want als we end-to-end encryptie wilden, zouden we dat volgens de wet hebben gedaan. Dus eigenlijk kan het niet functioneren onder Europees recht.
Dus dit betekent per ontwerp dat als we om specifieke normen vragen, je kunt voldoen en specifieke nummers kunt geoblocken en ook de nummers kunt beperken waartoe een land toegang heeft, dus per licentie kun je het aantal beperken, ik begrijp dat het 200 nummers per licentie is, correct ?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Zoals ik al eerder zei, zijn de cijfers meestal eencijferige of kleine tweecijferige getallen. Dus dat aantal dat u noemde, is veel hoger dan wat we aan een klant zouden geven.
Wat betreft de juridische discussie over de AVG, nogmaals, ik denk niet dat dit het forum is om een volledige discussie over de AVG aan te gaan. Persoonlijk zou ik denken dat ik daar een andere mening over heb, maar als de Europese Unie zou besluiten dat elk gebruik van dit soort software in strijd zou zijn met de AVG, dan zou het natuurlijk iets zijn dat het bedrijf zou hebben gedaan om rekening mee te houden, omdat we er altijd voor zullen zorgen dat onze software de wet volgt. Nogmaals, ik denk dat als die beslissing zou worden genomen, dit een ernstig negatief effect zou hebben op het vermogen van de EU-rechtshandhavingsinstanties om hun activiteiten uit te voeren. Maar nogmaals, dat is geen beslissing waar we bij betrokken moeten zijn.
Eva Kaili (S&D): U zei 12.000 nummers, 60 mensen, bedrijven of regeringen, dus ik rekende op 200 nummers per lidstaat. Zo kwam ik aan het getal 200. U zegt dat het minder is, dus ik denk dat we daar op terug moeten komen.
Maar een laatste ding: door het ontwerp kunt u ervoor zorgen dat wanneer u het contract beëindigt, de auditlogboeken niet worden verwijderd. U kunt dus nog steeds toegang hebben, want als u de toegang tot uw software kunt intrekken, betekent dit dat u constant toegang heeft tot deze auditlogboeken als u besluit dat te doen. Dus als dat mogelijk zou zijn, en zo niet, dan begrijp ik dat er concurrentie is. Dus als de concurrentie het doet, zijn ze dan beter dan jij? Zijn ze op de een of andere manier anders dan jij dat je iets extra’s zou willen beheren dat je met ons zou kunnen delen?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wat betreft het aantal, nogmaals, ik zei dat de aantallen gelijktijdige licenties zijn, ik denk dat dit mogelijk tot enige verwarring in de berekening heeft geleid.
Voor zover wij kunnen wat er na beëindiging van de licentie wordt gedaan, hebben wij na beëindiging van de licentie geen koppeling meer met het systeem van de klant en kunnen wij daarom geen onderzoek meer doen naar de auditlogs die zijn bewaard door die klant, omdat het systeem is beëindigd.
Wat concurrenten betreft, nogmaals, ik heb daar niet echt een antwoord op, maar ik denk dat degenen aan wie het gevraagd zou moeten worden onze klanten zijn, ik denk niet dat ons bedrijf commentaar zou moeten geven of het beter of slechter is dan anderen .
Anna Júlia Donáth (Renew): Het zal heel moeilijk worden om het aan je klanten te vragen, omdat ze net zo snel reageren als jij met betrekking tot deze problemen. Ik zou echter iets willen vragen over de toekomst, aangezien u duidelijk niet zo bereid bent om vragen over het verleden te beantwoorden, maar we zullen die antwoorden zeker krijgen of/of.
U zei dat elk contract met uw klanten moet worden goedgekeurd door de Israëlische regering. Bent u van plan om die contracten te herzien, die zijn goedgekeurd door de vorige regering, en tegenwoordig – onze vraag aan u – de software misbruikt, ik bedoel natuurlijk, u zei dat het vermeende problemen waren. Tegenwoordig zijn er echter heel veel bewijzen. Dus mijn vraag is: bent u van plan om die contracten, die Europese contracten, te herzien zonder uw cliënt te noemen en te schande te maken, dat staat tegenwoordig onder de vragen. En we willen echt de antwoorden krijgen. Bent u van plan de contracten te herzien?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Ik zou de kwestie tussen de Israëlische regering en ons als bedrijf willen verdelen. Omdat, nogmaals, beslissingen van de Israëlische regering beslissingen zijn die ze nemen en ze herzien wat ze herzien en ze kunnen beslissen over exportvergunningen of niet. We zijn niet op de hoogte van hun besluitvormingsproces.
Wat betreft wat we doen, zoals ik al zei, in elke situatie waarin een geloofwaardige beschuldiging naar voren is gekomen, zullen we de klant beoordelen, dus dat is ook het herzien van het contract. Als het geen kwestie van beschuldiging op jaarbasis is, herzien we het contract met elke klant en het zal opnieuw worden beoordeeld als er andere veranderingen in de situatie zijn zoals in voorgaande jaren, ja, we zijn altijd bezig met het herzien van de contracten.
Anna Júlia Donáth (Renew): (Begin van toespraak van microfoon) … omdat je hebt gezegd dat NSO op zoek is naar nieuwe tools en hoe je journalisten kunt helpen die tegenwoordig helaas het slachtoffer worden enzovoort en hoe je dit voor de toekomst kunt voorkomen. En ik denk dat we namens ons allemaal kunnen zeggen dat je kunt beginnen met het beëindigen van het onthullen van je klanten in geval van misbruik, omdat je zei dat Pegasus gemaakt is om terreur te stoppen en levens te redden. Maar tegenwoordig heeft terreur meerdere andere vormen dan alleen bommen en het doden van mensen.
Ons advies is dan ook om ons in deze onderzoekscommissie te helpen ons werk te doen om de slachtoffers te beschermen. Omdat u nooit kunt weten wie uw volgende mogelijke klanten zullen zijn, aangezien regeringen aan het veranderen zijn.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Dus zoals ik al zei, in die situaties maken we heel duidelijk dat als er een overtreding is, waar ik het over heb, we contracten die we hebben zullen beëindigen en we zullen ga in ieder geval zo door met het opzeggen van contracten. We proberen oplossingen te vinden die ook proactiever zijn bij klanten die blijven werken om er op meer manieren zeker van te zijn dat er geen mogelijkheid zou moeten zijn om te targeten. Het is duidelijk dat het niet altijd gemakkelijk is om de grens te trekken zonder legitieme onderzoeken in het gedrang te brengen. Uiteraard is deze kwestie ook een van de dingen waarover u meer kunt lezen in de position paper die we na afloop beschikbaar zullen stellen.
Anne-Sophie Pelletier (Links): Mijnheer de spreker, misschien pik ik ook een beetje de vragen van mijn collega’s op, maar dat maakt niet uit.
Eerste vraag, u zei net dat zodra u geloofwaardige beschuldigingen heeft, u uw contracten herziet. Wat is uw definitie van geloofwaardige beschuldigingen?
Tweede vraag, u vertelde ons dat uw software er was om levens te redden en tegen terrorisme en misdaad. Ik zou graag willen weten hoe politieke tegenstanders, journalisten en afgevaardigden, bijvoorbeeld uit mijn land, criminelen, terroristen of iets anders zijn dat uw software kan helpen controleren?
Derde vraag, als u zegt dat u samen met uw klanten oplossingen probeert te vinden, als u ziet dat er geen legitieme monitoring is en dat uw klant het heeft gebruikt voor doeleinden die niet wettelijk zijn geregeld, welke oplossingen probeert u dan te vinden?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): De kwestie van de geloofwaardigheid van een rapport hangt uiteraard af van een aantal zaken. Het zal afhangen van waar het rapport vandaan komt. Het zal ervan afhangen wat voor soort informatie we hebben die ons in staat stelt om te onderzoeken. Is het slechts een algemene verklaring met betrekking tot de naam? Is er nog iets dat ermee verbonden is? Zoals ik al eerder zei, om een volledig onderzoek te doen, hebben we meer nodig dan dat.
We zullen dan eerst een eerste onderzoek doen, waarbij we opnieuw een diepere duik zullen nemen, door middel van wat er publiekelijk beschikbaar is met betrekking tot een potentieel doelwit om te zien of er dingen zijn die misschien in het openbaar naar voren zijn gebracht die kunnen dienen als een verklaring waarom dit een legitiem doel. Het is duidelijk dat de overgrote meerderheid van journalisten, mensenrechtenactivisten en politici geen criminelen zijn. Dat betekent niet dat er nooit een situatie kan zijn waarin een van deze mensen legitiem het doelwit kan zijn. Maar natuurlijk, als het op grote schaal wordt gedaan, zou dat iets zijn dat volledig zou worden onderzocht en dat zou erg moeilijk zijn, denk ik, voor een regering om duidelijk te definiëren dat een hele lange lijst van journalisten legitieme doelen zijn.
De stappen die we hebben genomen wanneer we iets hebben ontdekt dat niet legitiem is, zijn het afsluiten van systemen, soms het afsluiten van het systeem totdat er een herziening van de wetten of een verandering in het land is. Maar dat zijn de stappen die genomen kunnen worden als we zien dat er misbruik is gemaakt van het systeem. Dit is iets dat, zoals ik al zei, opnieuw iets is dat in het verleden is gedaan, en we zullen het in de toekomst opnieuw doen wanneer dit zich voordoet.
De voorzitter: Vier korte, concrete vragen van mijzelf. Klopt het dat wat we ook hebben gehoord, dat we het over de scoring hebben gehad, klopt, dat je ook het prijsschema van de contracten aanpast op basis van de scoring van een bepaald land als klant?
Klopt het dat u vanwege de financiële problemen, ook na de zwarte lijst door de VS, nu voorstelt om meer producten te verkopen aan landen met een verhoogd risico, wat ook werd gemeld?
Drie, om in te gaan op het punt dat Eva Kaili naar voren bracht, en je zei dat er misschien wat miscommunicatie was, maar als je daar cijfers hebt, de enkele cijfers of de lage dubbele cijfers, maar je verwijst nog steeds naar 12.000 tot 13.000 jaarlijkse doelen. Hoe werkt dat precies? Hoe komen we aan 12.000 tot 13.000 doelwitten met zulke lage aantallen per land?
En ten vierde heb je op afstand toegang tot het licentiegedeelte van de software. Je hebt toegang tot allerlei andere onderdelen van de software om onderhoud te doen. Hoe moeilijk zou het zijn vanuit technisch oogpunt voor u met de mogelijkheden die u heeft om ook toegang te hebben tot de belangrijkste gegevens in het systeem – of u het nu doet of niet – maar hoe moeilijk zou het zijn om toegang te hebben?
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Wat de prijsstelling betreft, nee, mensenrechtenkwesties zijn niet iets waarover op prijs kan worden onderhandeld. Het is duidelijk dat elk compliancesysteem naar het bredere aspect van de activiteiten van een bedrijf kijkt en altijd een zakelijke beslissing zal nemen, rekening houdend met risico’s. Maar een land kan onmogelijk zeggen, oké, weet je, ik heb een lage score, ik betaal meer en daarom krijg ik het systeem. Dat is niet iets waar ooit over gesproken gaat worden.
En hetzelfde geldt voor de andere vraag. Zoals ik al zei, is onze compliance het afgelopen jaar constant geweest, althans sinds ik in het bedrijf ben, zelfs daarvoor, er is altijd meer toezicht geweest en de lat hoger gelegd. Dit is het afgelopen jaar des te meer gebeurd als gevolg van de informatie die naar voren kwam uit de Forbidden Stories en Pegasus-projectdocumenten. We hebben de lat hoger gelegd. Zoals ik al eerder zei, is het totale aantal klanten gedaald omdat we niet bereid zijn om aan meer klanten te verkopen. We verkopen dus niet meer producten aan landen met een verhoogd risico.
Wederom een toelichting op de cijfers. Het aantal licenties is gelijktijdig, wat betekent dat een klant, als hij vijf licenties heeft, op een gegeven moment vijf telefoons kan targeten. Zodra het de bewaking op die telefoons heeft verwijderd, kan het zich richten op nog eens vijf telefoons. Dus iemand die vijf telefoons heeft, kan gedurende een bepaalde periode toezicht houden op een aantal telefoons. En dat is dus een uitleg van de data.
We hebben extreem strikte protocollen voor de toegang tot informatie. En ook als klanten ons soms informatie willen geven omdat ze een probleem hebben, maken we heel duidelijk dat dit niet iets is dat wij als bedrijf kunnen ontvangen. Uiteraard heb ik veel respect voor onze onderzoekers, die waarschijnlijk tot de top van de wereld behoren, en daarom zou ik hen niet boven hun capaciteiten stellen, maar dit is daarom een van de redenen waarom we in plaats deze protocollen om ervoor te zorgen dat we geen toegang hebben tot deze informatie. Want nogmaals, dit is extreem gevoelige informatie. Ik denk dat dit duidelijk duidelijk is dat geen van onze klanten ons toegang zou geven, ze zouden geen systeem gebruiken waarvan ze dachten dat er een risico bestond dat we toegang zouden krijgen tot gevoelige informatie. En opnieuw,
Sophia in ’t Veld (Renew): Ik zou willen vragen of zij altijd bereid is om in bepaalde zaken mee te werken. Omdat, meneer Gelfand, u blijft zeggen ‘we handelen binnen de wet, alles wat we doen is legitiem’ en wat CitizensLab of Amnesty ook hebben ontdekt, we kunnen het niet verifiëren.
Het punt is dat ten minste drie EU-regeringen hebben toegegeven dat ze Pegasus tegen hun burgers hebben gebruikt. En we weten ook dat er sporen zijn gevonden op de telefoon van een commissaris en verschillende ambtenaren van de Commissie. Ik denk niet dat je kunt volhouden dat dat legitiem was. Dus zou je bereid zijn om al die zaken samen met CitizensLab, Amnesty International en waarnemers van het Europees Parlement door te nemen om na te gaan wat er is gebeurd? Want als het waar is wat je zegt, dat je altijd strikt binnen de wet handelt, dat je permanent controleert en dat je zeer hoge eisen stelt aan due diligence, dan zou er geen reden moeten zijn waarom NSO niet bereid zou zijn om doe dat.
De voorzitter: Sorry, collega’s, ik ben deze hele sessie buitengewoon flexibel geweest. Er wachten drie vooraanstaande gasten op ons, en ze wachten al meer dan een uur. We hebben meer dan een uur meer aan dit debat besteed dan de bedoeling was. We zullen de mogelijkheid hebben, de mogelijkheid om ook schriftelijke vragen te beantwoorden. We gaan op missie naar Israël, waar we ook NSO bezoeken, waar we aanvullende vragen kunnen stellen. Dus ik wil dit debat nu echt afsluiten, als u de vraag van onze rapporteur, mevrouw In ’t Veld, als afsluitende opmerking zou kunnen beantwoorden, alstublieft. Maar dan moeten we echt door naar het volgende punt op onze agenda. Het spijt me voor de collega’s die nog vragen willen stellen, maar dat op een andere manier zullen moeten doen. Alstublieft, meneer Gelfand.
Chaim Gelfand (General Counsel en Chief Compliance Officer, NSO): Er zijn duidelijk veel facetten aan de gestelde vraag en er zijn veel overwegingen waar we rekening mee moeten houden. Ik denk dat het iets is dat we zeker zouden overwegen, we zouden moeten kijken naar wat dit zou inhouden en wat we daarmee zouden kunnen doen, maar ik zou niet zeggen dat dit iets is waar we nee tegen gaan zeggen, maar het is iets waar we zou, weet je, de grenzen moeten begrijpen voor en hoe en of wat kan worden gedeeld. En dat zouden we niet proberen te verbergen. Maar het is duidelijk dat voor alles wat in de vertrouwelijkheid van klanten komt, we toestemming van die klanten nodig hebben. En dat is iets wat niet makkelijk is.
Voorzitter: Mijnheer Gelfand, hartelijk dank voor uw aanwezigheid vandaag. Je ziet dat onze leden van de onderzoekscommissie zeer betrokken en zeer gepassioneerd zijn over het onderwerp, en terecht. Bedankt dat je een uur langer bent gebleven dan waarvoor we je in eerste instantie op de agenda hadden gezet, wat ook zeer op prijs wordt gesteld en ik waardeer ook de toezegging die je hier hebt gedaan om ook schriftelijke vragen te willen beantwoorden, ook bereid te zijn om naar de mogelijkheid om, in een minder openbare setting, misschien meer informatie te delen en terug te komen op enkele vragen van de heer Körner, bijvoorbeeld over het gebruik van Pegasus in de EU en de lijsten met scores van verschillende landen. We sturen u enkele aanvullende vragen.
En nu dank ik u voor uw aanwezigheid hier, en laten we hopen dat dit niet onze laatste bijeenkomst is in het mandaat van deze commissie. Heel erg bedankt. Ik dank alle afgevaardigden voor hun vragen en ik dank u voor uw antwoorden. Kunt u de position paper bij onze collega’s achterlaten, dan zorgen wij ervoor dat deze wordt verspreid. Als u het ons ook digitaal zou kunnen toesturen, zou dat nog beter zijn.
(De gedachtewisseling wordt om 17.31 uur gesloten)