Indignatie redactie 
De staatstrojan-fabrikant NSO Group liet het EU-parlement weten dat twaalf EU-landen momenteel de Pegasus-spionagesoftware gebruiken. Er waren contracten met twee anderen die nu zijn beëindigd. Om welke landen het gaat, is slechts ten dele bekend.
Een delegatie van de Pegasus-onderzoekscommissie van de EU is naar Israël afgereisd om antwoorden te zoeken in het spionagesoftwareschandaal waarbij de staat Trojan Pegasus betrokken was. Daartoe bezochten de Europarlementariërs Israëlische onderzoekers en mensenrechtenverdedigers, maar ook de staatstrojaanse fabrikant NSO Group zelf mensenrechtenschendingen en wetsovertredingen.
Inmiddels heeft Pegasus-fabrikant NSO Group de commissie schriftelijke antwoorden gestuurd op eerder ingediende vragen . Hieruit blijkt dat twaalf van de 27 EU-landen momenteel in totaal 15 Pegasus-systemen gebruiken. Sommige landen hebben daarom meer dan één systeem gekocht. Het aantal autoriteiten dat toegang heeft tot Pegasus-systemen is 22. Maar eerder had NSO Groep blijkbaar meer klanten onder de lidstaten: contracten met twee andere landen zijn nu beëindigd. Het antwoord geeft niet aan welke contractpartner.
Alles bij elkaar genomen heeft of had NSO Group zakelijke relaties met 14 EU-landen – meer dan de helft van de lidstaten. Commissierapporteur Sophie in ’t Veld zei : “Het bedrijf verkocht spionagesoftware aan veertien EU-regeringen met behulp van exportlicenties die zijn afgegeven door de Israëlische regering.” Het bezoek leverde nieuwe inzichten op, “waaronder de ineffectiviteit van waarborgen tegen misbruik”.
“Uitspraken van bedrijfsbazen zijn volkomen nutteloos”
Europarlementariër Cornelia Ernst (LINKE) is teleurgesteld over de antwoorden die de commissie heeft gekregen. “Voor het eerst hebben we nu cijfers over het gebruik van NSO-spionagesoftware in de EU, maar daar blijft het bij”, schrijft ze. “De uitspraken van de bedrijfsbazen in het EU-parlement en tijdens de ontmoeting met mijn collega’s van de onderzoekscommissie in Israël waren verder volkomen nutteloos.” Ze beschuldigt de leden van de NSO-groep onder meer van verdraaien en bagatelliseren. Ontmoetingen met Israëlische academici en activisten en slachtoffers van spyware uit Palestijnse gebieden zouden “aanzienlijk meer inzichten” hebben opgeleverd.
Commissievoorzitter Jeroen Lenaers omschreef de reis in het persbericht van de commissie als “interessant en vruchtbaar”. Tegelijkertijd kwam de Nederlandse christen-democraat tot de conclusie: “Het is nog te vroeg om conclusies te trekken. Maar dit bezoek onderstreepte zeker de noodzaak van extra inspanningen op Europees niveau om toekomstig misbruik van deze technologie te voorkomen. Veel vragen staan nog open en moeten verder worden onderzocht.”
Tijdens zijn laatste bijeenkomst voor de reis had de Israëlische advocaat Eitay Mack al geprofeteerd dat er geen informatieve informatie van de staatstrojaanse fabrikant zelf kon worden verwacht: “Ze zullen in pakken en met een vriendelijke houding komen en in uw taal spreken”, zei hij. in de deskundige hoorzitting. Feiten zijn echter niet te verwachten. Ook bij een eerdere hoorzitting in juni gaf een vertegenwoordiger van de NSO Groep veel antwoorden. Hij had het toen nog over “minstens vijf” EU-landen die Pegasus gebruikten.
Polen, Hongarije, Duitsland, Spanje
NSO Group zegt niet welke EU-landen Pegasus gebruiken of hebben gebruikt. Een EU-land dat Pegasus gebruikte, is Polen . Oppositieleden werden daar tijdens de verkiezingscampagne bespioneerd. Ook Hongarije behoorde tot de klanten van NSO Group. Het is bekend dat onder meer Hongaarse onderzoeksjournalisten het doelwit waren van de software, en sommige van de getroffenen vechten nu voor de rechtbank tegen de surveillance.
In zowel Polen als Hongarije zijn er sterke twijfels over de rechtsstaat van de operatie. Eerder dit jaar stonden beide landen niet meer op een lijst van landen waarnaar Israëlische bedrijven bewakingstechnologie mogen exporteren.
In Duitsland publiceerden media dat zowel BKA als BND Pegasus hebben. Veel details hierover zijn niet bekend, aangezien de federale overheid grotendeels weigert om vragen publiekelijk te beantwoorden. Volgens onderzoek heeft de federale recherche echter een aangepaste versie van de staatstrojan en heeft deze in ongeveer een half dozijn gevallen gebruikt .
Ook het gebruik van Pegasus in Spanje is bekend: daar gebruikte de Spaanse geheime dienst CNI de staatstrojan om onder meer Catalaanse politici en activisten te bespioneren . Tijdens deze spionageaffaire verloor het toenmalige hoofd van de geheime dienst haar baan en kwam de overheid onder druk te staan. In tegenstelling tot Polen en Hongarije zal de onderzoekscommissie echter geen delegatie naar het land sturen .
Rapporten over Pegasus voor België en Nederland
Volgens berichten in de media maakten ook de Nederlandse geheime dienst AIVD en de Belgische politie gebruik van de staatstrojan. Een officiële bevestiging hiervan is er echter nog niet.
Dit betekent: Er zijn nog veel voorheen onbekende EU-landen die klant zijn of waren van NSO Group. Voor Cornelia Ernst is het belangrijk om de geheime diensten onder de loep te nemen. “Terwijl de politie verantwoordelijk is voor het nastreven van de binnenlandse oppositie met Pegasus, gebruiken de diensten het ook om in het buitenland te spioneren – dat geldt waarschijnlijk ook voor de EU-staten”, zei de linkse politicus. De rechtvaardiging dat operaties transparant zijn en volgens de wet worden uitgevoerd, vindt zij “humbug”.
“Deze praktijk kan alleen worden gestopt met een algemeen verbod op cyberwapens, omdat er alleen al in Israël tientallen andere fabrikanten van spionagesoftware zijn.” Ook commissierapporteur Sophie in ’t Veld merkt op dat de NSO Group slechts een van de vele spionagesoftware is bedrijven. De Nederlandse Europarlementariër merkt op dat NSO Group weliswaar niet de enige verkoper is, maar wel een van de grootste. Het bezoek moedigde de leden van het Europees Parlement aan “dat de EU de verkoop, aankoop en het gebruik van dergelijke spionageprogramma’s veel strikter moet reguleren”.
Naar aanleiding van de Pegasus-onthullingen riepen mensenrechtenorganisaties en IT-beveiligingsexperts op tot een moratorium op de verkoop en het gebruik van industriële staatstrojans totdat hun gebruik wereldwijd is verwerkt en gereguleerd .
Vragen van de Enquêtecommissie en reacties van NSO Groep
Hoeveel EU-lidstaten hebben momenteel een contract om Pegasus te gebruiken? Hoeveel contracten zijn beëindigd?
Er zijn 12 EU-lidstaten die 15 Pegasus-systemen gebruiken (sommige landen hebben meer dan één systeem aangeschaft). In totaal zijn er 22 overheidsorganisaties in EU-landen die het Pegasus-systeem gebruiken (in sommige landen is het systeem aangeschaft voor gebruik door meer dan één organisatie, die elk het eindgebruikcertificaat ondertekenen). We hadden contracten voor Pegasus met 2 extra EU-lidstaten die inmiddels zijn beëindigd.
In welke EU-landen exploiteert u momenteel Pegasus-gerelateerde infrastructuur of heeft u deze geëxploiteerd? Heeft u dataservers binnen de EU en waar?
Zoals we duidelijk hebben gesteld in de sessie in Brussel, exploiteert NSO geen enkele Pegasus-gerelateerde infrastructuur, maar levert ze alle infrastructuur aan haar klanten en zij zijn de enigen die deze exploiteren. De dataservers van het Pegasus-systeem maken deel uit van de infrastructuur die zich op het terrein van elke klant bevindt.
