De European Data Protection Supervisor (EDPS) roept de regeringsleiders van EU-lidstaten op om Pegasus en vergelijkbare spionagesoftware te verbieden in Europa. Het afluisterprogramma is een regelrechte aantasting van onze privacy. Daarnaast brengt het “ongekende risico’s” met zich mee om schade te veroorzaken aan de democratie en fundamentele grondrechten van mensen.
Dat schrijft de Europese privacywaakhond in het rapport ‘Preliminary Remarks on Modern Spyware’ (PDF).
‘Pegasus is krachtigste hackingtool tot op heden’
Volgens de auteurs is Pegasus van het Israëlische bedrijf de NSO Group ‘de krachtigste hackingtool’ die ooit ontworpen is. De software kan iedere smartphone in een spionageapparaat veranderen die de eigenaar 24/7 afluistert. Het programma onderschept alle digitale communicatie, van e-mails tot sms’jes en WhatsApp-berichten. Tevens kan het foto’s en video’s downloaden, telefoonnummers van contactpersonen stelen, stiekem filmopnamen maken en telefoongesprekken afluisteren. Tot slot houdt Pegasus precies bij waar de smartphonehouder gaat en staat.
De EDPS schrijft in het rapport dat de spyware van de NSO Group onbeperkte toegang heeft tot een smartphone. In theorie is het zelfs mogelijk om de identiteit van iemand over te nemen en zich als hem of haar voor te doen. Dit noemen we ook wel identiteitsfraude. Wat de software bijzonder gevaarlijk maakt, is dat hij zeer lastig te detecteren is en informatie kan stelen zonder dat het slachtoffer daar iets voor hoeft te doen (zero-click attack).
‘Ongekende mate van opdringerigheid’
Vanwege de verregaande mogelijkheden om mensen te bespioneren, noemt de EDPS Pegasus een ‘game changer’. “Het vormt een mate van opdringerigheid die we niet eerder hebben gezien en zet tal van juridische en technische beschermingsmaatregelen buiten spel”, aldus de toezichthouder. Ze wijst erop dat Pegasus niet de enige spywaretool is om mensen mee te bespioneren. Vaak worden deze middelen echter ingezet door handhavingsinstanties. De EDPS betwijfelt of spyware als Pegasus legaal ingezet mag worden in de EU.
De Europese privacytoezichthouder benadrukt in het rapport dat Pegasus in het recente verleden is gebruikt om Europese politici en journalisten af te luisteren. De Franse president Emmanuel Macron is één van hen. De spionagesoftware is naar verluidt ook gebruikt tegen Charles Michel, voorzitter van de Europese Raad, en honderden journalisten en mensenrechtenactivisten.
Democratie en rechtstaat in gevaar
Tegen dergelijke praktijken moeten we keihard optreden, zo stelt de EDPS. Doen we dat niet, dan riskeren we dat de democratie en rechtstaat in gevaar lopen. Daarnaast vormt de software een inbreuk op onze privacy en andere grondrechten. De toezichthouder formuleert verschillende maatregelen om burgers, journalisten, demonstranten en politiek leiders te beschermen tegen oneigenlijk gebruik van Pegasus.
Om te beginnen moet het toezicht op surveillancemaatregelen worden aangescherpt. “Toezicht mag geen formaliteit zijn”, zo bepleit de EDPS. Daarnaast moeten Europese privacyregels beter worden toegepast bij de beoordeling van spionagesoftware. Ook moeten we de inzet van spyware niet te gemakkelijk rechtvaardigen door een beroep te doen op de nationale veiligheid. Tot slot moeten maatschappelijke groeperingen als het Citizen Lab en Amnesty International meer mogelijkheden krijgen om ons te wijzen op de gevaren van afluisterprogramma’s en -praktijken.
Veel verzet tegen Pegasus en de NSO Group
De EDPS is niet de enige instantie die zich afzet tegen het gebruik van Pegasus. In de zomer van 2021 riep Michelle Bachelet, de Hoge Commissaris voor de Mensenrechten van de Verenigde Naties (VN), overheden op om niet langer gebruik te maken van de afluistersoftware van de NSO Group. “De onthullingen over het kennelijk wijdverbreide gebruik van de Pegasus-software om journalisten, mensenrechtenverdedigers, politici en anderen in diverse landen te bespioneren, zijn uiterst alarmerend. Ze lijken enkele van onze grootste nachtmerries te bevestigen over het mogelijke misbruik van bewakingstechnologie om de mensenrechten van mensen illegaal te ondermijnen”, zo zei Bachelet.
Na deze oproep verwijderde Amazon alle online accounts en de gehele infrastructuur van de NSO Group op Amazon Web Services (AWS). Het Israëlische bedrijf gebruikte het content delivery network CloudFront om Pegasus te verspreiden. “Toen we lucht kregen van deze activiteiten, hebben we snel gehandeld om de relevante infrastructuur en accounts af te sluiten”, vertelde een woordvoerder van de online retailer.
De Amerikaanse regering plaatste de NSO Group afgelopen jaar op een zwarte lijst, omdat het zich zou bezighouden met ‘kwaadaardige cyberactiviteiten’. Het Europees Parlement kondigde vorige week aan een onderzoek te lanceren naar Pegasus. De onderzoekers kijken in welke mate de spionagesoftware is gebruikt tegen Europese politici en activisten. Afhankelijk van de uitkomsten kan de EU sancties of een verkoopverbod opleggen aan het Israëlische bedrijf.
