Pegasus Staatstrojaanse paarden brengen de grondrechten, de democratie en de rechtsstaat in gevaar. Dat is de conclusie van het tweede onderzoek in opdracht van de Pegasus-onderzoekscommissie in het Europees Parlement. Gisteren presenteerde de hoofdauteur, Giovanni Sartor, de resultaten aan de EP-leden.
Staatstrojaanse paarden zoals Pegasus vormen een “bedreiging voor de grondrechten en de basisbeginselen van het EU-recht”. Inmenging in de grondrechten zou op internationaal en Europees niveau gerechtvaardigd kunnen zijn – maar alleen als ze “voldoen aan de voorwaarden van legitimiteit, wettigheid, noodzaak, evenredigheid en verenigbaarheid met democratie”. Dit is niet het geval met de eerder bekende operaties van Pegasus – daarom is op zijn minst een staats-Trojaans moratorium denkbaar.
Dit is de conclusie van Giovanni Sartor en zijn co-auteur, Andrea Loreggia. In je studie onderzoek je de effecten van Pegasus en vergelijkbare spionagesoftware op zowel grondrechten als democratische processen en instellingen binnen de Europese Unie.
Gisteren presenteerde Giovanni Sartor de belangrijkste bevindingen van de studie aan de leden van de Pegasus-commissie. Het rapport is het tweede van drie onderzoeken in opdracht van de commissie. In december presenteerde Quentin Liger een studie over het wettelijk kader voor het gebruik van spyware.
In het onderzoek gaan de auteurs kort in op de kenmerken van malware in het algemeen, maar specifiek op de nieuwe “kritieke” kenmerken van Pegasus. De volgende paragrafen gaan over de impact van Pegasus op democratie en nationale veiligheidskwesties, en het gebruik van spyware in de context van internationale mensenrechten en EU-wetgeving. De studie wordt afgesloten met voorlopige aanbevelingen aan parlementariërs.
Pegasus en democratie
Pegasus als bewakingstool is volgens de auteurs een geheel nieuw type dreiging. De onbeperkte toegang van de software tot het aangevallen apparaat, de aanval zonder actieve actie van het slachtoffer (“zero-click-aanvallen”), het vermogen van de aanvallers om het apparaat actief te besturen en het feit dat Pegasus nauwelijks sporen nalaat – dat alles vertegenwoordigt een nieuwe kwaliteit van toezicht.
De gevolgen voor de democratie zijn dan ook ernstig. “Pervasive surveillance” brengt niet alleen privacy en gegevensbescherming in gevaar, maar ook de vrijheid van meningsuiting, vergadering, vereniging en religie. Want wie zich voortdurend gecontroleerd voelt, zal deze politieke rechten minder uitoefenen. Als de politieke participatie in een democratie eronder lijdt, lijdt daaronder de kwaliteit van een democratische en publieke sfeer. Bovendien brengt de mogelijkheid van alomvattend toezicht ook de rechtsstaat in gevaar.
Bovendien brengt het toezicht op individuen zoals journalisten, politici en activisten de democratie in gevaar. Het volgen van deze individuen vergemakkelijkt onderdrukking en manipulatie. De auteurs stellen dat alomvattend toezicht ook vrije democratische verkiezingen in gevaar brengt, omdat het zowel actieve als passieve stemrechten kan beïnvloeden.
Het concept van nationale veiligheid
Nationale veiligheid – het kan bijna alles betekenen. De auteurs stellen dat het gebruik van spyware meestal wordt gerechtvaardigd met het argument van nationale veiligheid – maar vaak wordt misbruikt voor de eigen politieke agenda. De term nationale veiligheid is bijvoorbeeld “door veel staten gebruikt als voorwendsel om de vrijheid van meningsuiting in te perken, marteling en andere vormen van mishandeling te legitimeren en minderheden, activisten en politieke oppositie af te schrikken.”
De rapporteur van de commissie, Sophie in ’t Veld, was het daarmee eens. Ze benadrukt dat “alles een zaak van nationale veiligheid is” als het aan de lidstaten ligt – die definiëren dit begrip zelf.
De auteurs pleiten daarom voor een restrictieve definitie van het begrip nationale veiligheid op nationaal en EU-niveau. Om onrechtmatig toezicht op basis van nationale veiligheidsbelangen te voorkomen, stellen zij voor de materiële en menselijke reikwijdte van het concept te beperken. Hiermee wordt enerzijds beoogd te voorkomen dat allerlei dreigingsscenario’s (materieel) onder het overkoepelende begrip “nationale veiligheid” vallen en anderzijds dat derde aanbieders (persoonlijk) die gegevens verwerken een beroep doen op het begrip nationale veiligheid. beveiliging .
De voorzitter van de commissie, Jeroen Lenaers, vroeg Sartor hoe hij en zijn collega’s als Kamerleden de reikwijdte van het begrip nationale veiligheid konden herdefiniëren. Kan dat wel binnen de bestaande contracten? Of is daar jurisprudentie voor nodig?
De expert kon hier geen duidelijk antwoord op geven, maar wees op de relevantie van het onderwerp voor de EU: “Naar mijn mening is het belangrijkste om te overwegen dat het een term is die wordt gebruikt in het EU-recht. Het verwijst naar het EU-recht en omvat dus zowel de Verdragen als afgeleid recht. En daarom is het een taak voor een EU-instelling waar je […] mee te maken hebt.”
Internationale Mensenrechten
Hoewel de inmenging in de grondrechten in naam van de nationale veiligheid gerechtvaardigd zou kunnen zijn, is dit waarschijnlijk niet het geval bij de Pegasus-operatie. Omdat het gebruik van deze invasieve software hoogstwaarschijnlijk niet voldoet aan de vereisten van wettigheid, noodzaak en evenredigheid. De voormalige speciale VN-rapporteur voor mensenrechten, David Kaye, had een soortgelijke mening: hij had de commissie geadviseerd om staats-Trojaanse paarden zoals Pegasus volledig te verbieden.
Ook de jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) heeft duidelijke grenzen gesteld aan het gebruik van gerichte surveillance. Een vereiste is dat wetten die dergelijk toezicht toestaan, transparant moeten zijn. Een andere vereiste is dat elke persoon die door dergelijke bewaking wordt getroffen, op de hoogte moet worden gebracht. Volgens het Hof van Justitie geldt dit recht zelfs voor personen die slechts potentieel getroffen zijn.
Liberaal parlementslid Róża Thun en Hohenstein volgen dit op. Ze voegt eraan toe dat Amnesty International zich er ook voor inzet om ervoor te zorgen dat iedereen die met staats-trojaanse paarden wordt gecontroleerd, op de hoogte wordt gebracht – en recht heeft op compensatie in het geval van onwettige monitoring.
Gevraagd naar zijn oordeel, antwoordde Sartor dat de jurisprudentie van het EHRM ook voorziet in schadevergoeding – maar daarvoor is melding vereist, wat op zijn beurt een onafhankelijke nationale instantie vereist om deze toetsing en melding uit te voeren. Maar niets daarvan bestaat. De enige mogelijkheid voor getroffen individuen is om in beroep te gaan bij het EHRM of, via de omweg van nationale rechtbanken, bij het Europese Hof van Justitie (HvJ).
Rechtskader: EU-niveau
In het arbeidscontract van de Europese Unie is bepaald dat nationale veiligheidskwesties uitsluitend de verantwoordelijkheid van de lidstaten zijn. Volgens de studie betekent dit echter niet dat “nationale veiligheidsactiviteiten” nooit onder de EU-wetgeving vallen. In plaats daarvan is dit regelmatig het geval – en altijd – wanneer deze activiteiten samenvallen met activiteiten die worden gereguleerd door EU-wetgeving. Het probleem is dat de twee krachtigste instrumenten van de EU op het gebied van gegevensbescherming de nationale veiligheid uitsluiten en daarmee hun toepassing op dit gebied onmogelijk maken: de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy Verordening.
Volgens de auteurs van de studie is deze uitzondering “nauwelijks gerechtvaardigd” in de toepassing van de wetgeving inzake gegevensbescherming met betrekking tot de verankerde grondrechten. Daarom pleiten zij voor een inperking van het begrip nationale veiligheid. De auteurs hopen dat de centrale regelgeving inzake gegevensbescherming die in de EU bestaat, d.w.z. de AVG en de ePrivacy-verordening, ook kan worden toegepast op kwesties van nationale veiligheid.
In zijn verklaring waarschuwt Sartor dat het huidige standpunt van de Raad de e-privacyverordening zou kunnen verzwakken. Oorspronkelijk was het de bedoeling dat de verordening tegelijk met de AVG in werking zou treden. Omdat de lidstaten nog niet tot overeenstemming zijn gekomen, zijn de onderhandelingen nog gaande.
Volgens Sartor zouden sommige wijzigingen in het standpunt van de Raad ertoe kunnen leiden dat de e-privacyverordening ook niet kan worden toegepast op nationale veiligheidskwesties. Op vraag van het conservatieve parlementslid Karolin Braunsberger-Reinhold antwoordde de expert dat deze wijziging zou kunnen betekenen dat de staten hier weer een vrije doorgang zouden kunnen krijgen: wat er ook gebeurt met individuele eindapparaten, dat zou dan – onder verwijzing naar bezorgdheid over de nationale veiligheid – niet meer kunnen gebeuren getoetst aan de Europese wetgeving.
Zelfs op gebieden waar het EU-recht van toepassing is, zouden er “oneigenlijke nationale praktijken” zijn. De deskundige noemt het gebruik van spyware bij de rechtshandhaving. Hier komt het wetshandhavingsbeleid om de hoek kijken. Toch zijn er ook hier staten die dit zouden negeren. EP-leden Thun en Hohenstein willen weten waarom de EU-commissie niet optreedt in dergelijke gevallen – waarin mensen buiten het wettelijk kader werden gecontroleerd. Toen Sartor:
Ik denk dat er politieke redenen kunnen zijn, zoals u beter weet dan ik, waarom de Commissie niet aan het werk wil. […] Ik denk dat als ze de rol van hoedster van het verdrag wil spelen, ze deze ernstige schendingen van het EU-recht en de fundamentele waarden die ten grondslag liggen aan de Europese Unie actief moet aanpakken.
Voorlopige aanbevelingen
Hoewel het rapport geen totaal moratorium op spyware aanbeveelt, pleit het wel voor een verbod op Pegasus en andere spywareprogramma’s “wanneer er overtuigend bewijs is dat deze tools al zijn gebruikt voor onwettige activiteiten”. Gezien de kwaliteit van de inmenging die Pegasus vertegenwoordigt en het institutionele en politieke kader waarin deze staats-trojans zijn en worden ingezet, lijkt een legitiem en proportioneel gebruik onwaarschijnlijk.
Desgevraagd verduidelijkte Sartor dat het verbod op Pegasus vanuit zijn oogpunt meer een ethisch-politieke aanbeveling was dan een juridische. Niettemin komt deze aanbeveling overeen met het rapport van de Europese Toezichthouder voor gegevensbescherming en andere experts, bijvoorbeeld van Indignatie.nl .
In plaats van een alomvattend moratorium beveelt het rapport aan: Een “politiek afdwingbaar moratorium op het gebruik van hacktools zou kunnen bestaan uit een sterk vermoeden tegen de legaliteit van het gebruik ervan.” Dat moet alleen kunnen worden verholpen als een staat “op overtuigende wijze blijk geeft van de wil en het vermogen om misbruik te voorkomen.” Hoe dit voorstel eruit moet zien en hoe het moet worden uitgevoerd, maakt het rapport niet duidelijk.
Tot slot worden in het onderzoek enkele punten genoemd om misbruik van spyware in de toekomst te voorkomen. De reikwijdte van het begrip nationale veiligheid dient te worden ingeperkt, zowel materieel als personeel. Bovendien moeten “activiteiten op het gebied van nationale veiligheid” binnen het toepassingsgebied van de gegevensbeschermingswetgeving vallen “om ervoor te zorgen dat de beperking van de rechten van de betrokkene voor doeleinden van nationale veiligheid onderworpen is aan de eisen van rechtmatigheid en evenredigheid.”
Evenzo moeten staten op nationaal niveau “passende wettelijke kaders” creëren. Immers, “nationale veiligheid blijft een bevoegdheid van de lidstaten en het is hun verantwoordelijkheid om er effectief voor te zorgen dat hun optreden in overeenstemming is met de grondrechten en beginselen van het EU-recht.” Deze rechtskaders zouden de volgende beginselen moeten weerspiegelen:
Rechtmatigheid, legitiem doel, noodzaak, evenredigheid, bevoegde autoriteit, eerlijk proces, kennisgeving aan gebruikers, transparantie, openbaar toezicht, beveiliging en certificering, en technische aanpassingsvermogen.
De presentatie van de studie was slechts een onderdeel van de hoorzitting van gisteren. In het tweede deel was Serge Lasvignes, voorzitter van het nationale comité voor de controle van inlichtingenmethoden in Frankrijk, te gast voor een gedachtewisseling. Op 19 januari krijgt de commissie het derde en laatste onderzoek aangeboden. De focus van dit rapport zal liggen op de impact van Pegasus en soortgelijke spyware op de externe betrekkingen van de EU.