Een lange tijd waande hij zich onaantastbaar. De beruchte crimineel Ridouan Taghi groeide in de afgelopen jaren uit tot de meest gezochte crimineel van Nederland. Zo is hij, als leider van drugskartel ‘Angels of Death’, verdachte in een groot aantal moordzaken. Toch wist hij lange tijd uit handen van de politie te blijven. Hier kwam echter verandering in na de moord op advocaat Derk Wiersum. Dit was de zoveelste liquidatie die gelinkt werd aan de organisatie van Ridouan Taghi. Al snel leidde deze schokkende gebeurtenis tot intensivering van de zoektocht naar Taghi. Zo vroeg toenmalig minister van Justitie en Veiligheid Ferd Grapperhaus om hulp van de AIVD bij de opsporing van Taghi. Dit leidde al snel tot succes. In december 2019 werd Ridouan Taghi gearresteerd in een woning in Dubai. Met behulp van de opsporingstechnieken van de AIVD kon Taghi binnen enkele maanden gelokaliseerd worden. Uit recent onderzoek bleek echter dat een deel van dit succes mogelijk te danken is aan de inzet van een erg omstreden middel. De AIVD zou namelijk de Israëlischehacksoftware Pegasus hebben gebruikt om Taghi op te sporen.[1] Deze software wordt wereldwijd zwaar bekritiseerd. Het zou volgens velen zelfs een ernstige dreiging voor de democratische rechtsstaat vormen. In hoeverre is deze zorg gegrond en wat zegt het recht over het gebruik van deze software?
Omstreden hacksoftware
Uit het onderzoek van De Volkskrant met betrekking tot de opsporing van Taghi kwam voor het eerst naar boven dat Nederland zakendoet met de dubieuze NSO-Group. Deze Israëlische groep heeft de spionagesoftware Pegasus ontwikkeld die het onder andere mogelijk maakt om mobiele telefoons binnen te dringen. Zodra een mobiele telefoon is binnengedrongen, kan de gebruiker van de software toegang krijgen tot alle gegevens en bestanden op de mobiel. Zo kan er zelfs meegeluisterd en meegekeken worden via de microfoon en de camera van het toestel. De software is volgens de NSO-Group enkel bedoeld om zware criminaliteit en terrorisme aan te pakken. Naar eigen zeggen levert de NSO-group daarom slechts aan een selecte groep landen die de software alleen voor deze doeleinden gebruikt. De praktijk wijst echter op een andere realiteit. De software lijkt namelijk in veel landen ingezet te worden tegen journalisten, mensenrechtenactivisten en politici. Uit onderzoek van onder meer The Guardian bleek dat de software was ingezet rond de moord op de Saoedi-Arabische journalist Jamal Khashoggi. Bewijs wees in de richting van Saudi-Arabië en de Verenigde Arabische Emiraten die beide klanten zijn van de NSO-Group. Er werd naar vermoeden geprobeerd om mensen om Khashoggi heen te volgen via de hacksoftware Pegasus. Zo werd de software ook aangetroffen op de telefoon van de weduwe van de vermoorde journalist.[2] Dit roept bij velen de vraag op of de AIVD wel zaken moet doen met een groep die aan zulke dubieuze regimes levert. Ruud Bosgraaf, woordvoerder van Amnesty International stelt zich op het punt dat Nederland de software niet moet gebruiken zolang er geen garanties zijn dat het niet wordt gebruikt tegen journalisten en mensenrechtenactivisten.[3]
“Wel blijkt uit dit voorbeeld hoe moeilijk controleerbaar de inzet van de software is en hoe het zonder medeweten van politici kan worden ingezet.”
Een ander aspect dat het gebruik van Pegasus zo omstreden maakt, is het feit dat er geen duidelijke kaders lijken te zijn voor de inzet van dit middel. Geen enkel Kamerlid was bijvoorbeeld op de hoogte van de inzet van hacksoftware Pegasus bij de opsporing van Taghi. Dit is zorgwekkend omdat misbruik op deze wijze op de loer ligt. Zo was de software de afgelopen maanden het middelpunt van een groot schandaal in de Spaanse politiek. Meer dan zestig Catalaanse politici en activisten bleken doelwit te zijn van de software. Ook werd de software aangetroffen op de telefoon van de Spaanse premier. Alhoewel de Spaanse staat door velen als hoofdverdachte wordt gezien, is het niet duidelijk wie er precies achter dit schandaal zit.[4] Wel blijkt uit dit voorbeeld hoe moeilijk controleerbaar de inzet van de software is en hoe het zonder medeweten van politici kan worden ingezet. Ook in Polen blijkt het middel te zijn ingezet tegen oppositiepartijen.[5] Deze ontwikkelingen zijn uiteraard problematisch voor het waarborgen van een goed functionerende democratie.
Het derde punt dat het gebruik van Pegasus mogelijk problematisch maakt is het feit dat de Nederlandse inlichtingendienst zich op deze wijze afhankelijk maakt van de infrastructuur van de leverancier van de software. De AIVD is namelijk afhankelijk van de Israëlische NSO-group bij de inzet van de software en dit kan grote risico’s met zich meebrengen. Vanuit Israël is er namelijk goed zicht op wie de software gebruikt en voor welke doeleinden.[6] Er kan niet gegarandeerd worden dat de informatie die de AIVD verkrijgt bij het gebruik van de software, niet in handen komt van andere partijen. Daarnaast is de NSO-Group een commercieel bedrijf dat als voornaamste doel het behalen van winst heeft. Dit kan ervoor zorgen dat ethische afwegingen vanuit de NSO-Group bij het leveren van de dienst ontbreken. Ook kunnen er vraagtekens geplaatst worden bij de onafhankelijkheid van de NSO-Group. Zo heeft Estland de hacksoftware Pegasus willen gebruiken om Russische telefoons te hacken. Toen Rusland hierachter kwam hebben zij contact opgenomen met de Israëlische overheid. Israël heeft vervolgens, vanuit diplomatieke overwegingen, een verbod opgelegd aan de NSO-Group om de software aan Estland te leveren.[7]
“Dat de inzet van hacksoftware problematisch kan zijn, is duidelijk. De vraag is echter of er juridische kaders bestaan voor de inzet van zo een ingrijpend instrument.”
Hacken & het recht
Dat de inzet van hacksoftware problematisch kan zijn, is duidelijk. De vraag is echter of er juridische kaders bestaan voor de inzet van zo een ingrijpend instrument. Wat de inlichtingendienst betreft, is de inzet van hacksoftware geregeld in de Sleepwet. Voor de politie is deze bevoegdheid terug te vinden in de Hackwet. In beide wetten is bepaald dat de bevoegdheid tot hacken bestaat, maar de concrete uitvoeringsvragen blijven onbeantwoord. Zo is niet geregeld onder welke voorwaarden, met welke afweging en binnen welke kaders men moet blijven bij de inzet van het instrument.[8] Dit is problematisch omdat het misbruik en willekeur in de hand kan werken. Er bestaat echter wel een leidraad voor de inlichtingendienst die door het ministerie van Binnenlandse Zaken is opgesteld. Daarnaast is er in het Regeerakkoord van 2017 afgesproken dat de Nederlandse politie alleen hacksoftware mag inkopen bij leveranciers die niet aan dubieuze regimes leveren. Deze beperking geldt echter niet voor de inlichtingendienst.[9]Alhoewel er dus bepaalde kaders aanwezig zijn, zijn deze wettelijk niet goed geborgd.
“Indien er duidelijke juridische kaders en waarborgen aanwezig zijn bij de inzet van dit instrument kan hacksoftware juist een effectieve uitkomst bieden in de strijd tegen zware criminaliteit en terrorisme.”
Conclusie
Het gebruik van hacksoftware Pegasus is om meerdere redenen problematisch. Zo wordt Pegasus door veel regimes ingezet tegen journalisten, mensenrechtenactivisten en politici. Verder kan het gebruik van de software grote risico’s met zich meebrengen. De Nederlandse inlichtingendienst zal bij gebruik van de software immers afhankelijk zijn van de infrastructuur van de NSO-Group. Tot slot is het gebruik van de software erg oncontroleerbaar vanwege het ontbreken van duidelijke juridische kaders en kan het op deze wijze willekeur en misbruik in de hand werken. Het is mijns inziens dan ook duidelijk dat het gebruik van hacksoftware Pegasus een te groot risico met zich meebrengt. De inzet van hacksoftware op zichzelf hoeft echter niet problematisch te zijn. Indien er duidelijke juridische kaders en waarborgen aanwezig zijn bij de inzet van dit instrument kan hacksoftware juist een effectieve uitkomst bieden in de strijd tegen zware criminaliteit en terrorisme. De inzet bij de opsporing van topcrimineel Ridouan Taghi is daar een goed voorbeeld van. Ook moet er rekening worden gehouden met de vraag wie de hacksoftware levert. Zo zijn er veel risico’s verbonden aan de samenwerking met een dubieuze leverancier zoals de NSO-Group. Er zal dus in kaart moeten worden gebracht op welke andere manieren Nederland aan hacksoftware kan komen. Zelf software ontwikkelen is kostentechnisch wellicht onhaalbaar voor Nederland, maar er kan wel gekeken worden naar de vraag of dit op EU-niveau wel te regelen valt. Zo kan het gebruik van de hacksoftware beter worden gemonitord en controleerbaarder worden gemaakt.
[1] NOS, ‘Wat maakt het gebruik van Israëlische hacksoftware zo omstreden?’, (NOS.nl, 2 juni 2022), https://nos.nl/artikel/2431197-wat-maakt-het-gebruik-van-israelische-hacksoftware-zo-omstreden
[2] NOS, ‘AIVD gebruikt omstreden Israëlische hacksoftware, ook voor hacken Ridouan Taghi’, (NOS.nl, 2 juni 2022), https://nos.nl/artikel/2431129-aivd-gebruikt-omstreden-israelische-hacksoftware-ook-voor-hacken-ridouan-taghi
[3] NOS, ‘Wat maakt het gebruik van Israëlische hacksoftware zo omstreden?’, (NOS.nl, 2 juni 2022), https://nos.nl/artikel/2431197-wat-maakt-het-gebruik-van-israelische-hacksoftware-zo-omstreden
[4] De Volkskrant, ‘Spanje in de ban van Pegasus-schandalen: hoofd geheime dienst de laan uitgestuurd’, (volkskrant.nl, 10 mei 2022), https://www.volkskrant.nl/nieuws-achtergrond/spanje-in-de-ban-van-pegasus-schandalen-hoofd-geheime-dienst-de-laan-uitgestuurd~b0d2819f/
[5] RTL Nieuws, ‘AIVD gebruikte omstreden software om telefoon Taghi te hacken’, (rtlnieuws.nl, 2 juni 2022), https://www.rtlnieuws.nl/tech/artikel/5312628/pegasus-aivd-ridouan-taghi-spionagesoftware
[6] NOS, ‘Wat maakt het gebruik van Israëlische hacksoftware zo omstreden?’, (NOS.nl, 2 juni 2022), https://nos.nl/artikel/2431197-wat-maakt-het-gebruik-van-israelische-hacksoftware-zo-omstreden
[7] The New York Times, ‘Israel, Fearing Russian Reaction, Blocked Spyware for Ukraine and Estonia’, (nytimes.com, 23 maart 2022), https://www.nytimes.com/2022/03/23/us/politics/pegasus-israel-ukraine-russia.html
[8]BNR, ‘Nederland hackt met Pegasus en de kamer doet niets’, (bnr.nl, 8 juni 2022), https://www.bnr.nl/podcast/digitaal/10478076/nederland-hackt-met-pegasus-en-de-kamer-doet-niets
[9] RTL Nieuws, ‘AIVD gebruikte omstreden software om telefoon Taghi te hacken’, (rtlnieuws.nl, 2 juni 2022), https://www.rtlnieuws.nl/tech/artikel/5312628/pegasus-aivd-ridouan-taghi-spionagesoftware