Juli 2019: Voorbeeld van een live hack tijdens een bezoek van minister Stef Blok aan cybersecuritybedrijf Fox-IT. Beeld Hollandse Hoogte / Peter Hilz

De Mexicaanse journalist Cecilio Pineda Birto heeft net via Facebook Life de politie en lokale politici in zijn staat beschuldigd van corruptie en banden met de georganiseerde misdaad, als hij zijn pick-up pakt en naar een wasstraat rijdt. Die wasstraat is een overkapping langs de weg, een soort garage onder golfplaten waar de freelanceverslaggever zijn auto parkeert. Hij stapt uit en loopt naar de achterkant van het schuurtje waar hij zal wachten tot zijn auto klaar is.

Dood in een hangmat

Daar gaat de 38-jarige journalist op 2 maart 2017 in een hangmat liggen – uit het zicht van de openbare weg. Een paar minuten later wordt hij doodgeschoten.

Pineda had vaker doodsbedreigingen ontvangen. Maar hoe wisten de schutters hem nu zo snel na de uitzending op Facebook te vinden op een plek die vanaf de gewone weg niet zichtbaar is? Werd hij al langer gevolgd? Waarom dan wachten totdat Pineda in zijn hangmat was gaan liggen?

Meer dan vier jaar na zijn dood volgt er een mogelijke verklaring. Pineda is vlak voor zijn dood op een lijst gezet. Zijn telefoonnummer is door een Mexicaanse klant van het Israëlische NSO Group geselecteerd voor een infectie met spyware. Deze software, Pegasus, kan allerlei gevoelige data uit een telefoon trekken – het geeft de gebruiker van de spyware ongekende mogelijkheden: op afstand contacten inzien, de camera aanzetten, berichten meelezen en de precieze locatie van het toestel achterhalen. Maximale controle zonder zelf op te vallen.

De weduwe van Pineda zei later tegen The Guardian: ‘Als zijn telefoon inderdaad werd geïnfecteerd, wisten de daders op elk moment van de dag precies waar hij was.’ De gsm van Pineda werd nooit meer gevonden: die had de schutter meegenomen.

Spyware, levensgevaarlijk

Spyware kan levensgevaarlijk zijn. De software is bedoeld voor het opsporen van terroristen en zware criminelen, maar wordt ook gebruikt voor het volgen van journalisten, het monddood maken van oppositie, of het afluisteren van leden van de Europese Commissie.

Als de technologische mogelijkheden er eenmaal zijn, ligt misbruik op de loer. Op een uitgelekte lijst van 50 duizend mogelijke doelwitten van Pegasus bleken wereldwijd meer dan 180 journalisten, 600 politici, 65 zakenmensen en 85 mensenrechtenactivisten te staan. Poolse oppositieleden stonden erop, een vrouwelijke activist uit Azerbeidjan wier intieme privéfoto’s werden gelekt via Facebook, een Belgisch-Canadese student die in Hongarije meeliep met een demonstratie, de weduwe van de in stukken gezaagde Saoedische journalist Jamal Kashoggi.

Dat is de reden dat het vorige kabinet een afspraak maakte. In het regeerakkoord werd opgenomen dat de Nederlandse politie alleen hacksoftware mag inkopen van partijen die niet leveren aan dubieuze regimes. Nederland wil geen bijdrage leveren aan een markt die de democratie bedreigt en geen bedrijven steunen die winst maken belangrijker vinden dan het beschermen van de mensenrechten. Een mooi, maar ook ingewikkeld streven. Want, wat is een ‘dubieus regime’ en wie controleert dat?

Politie zegt nee

Het leek me goed dat proces te volgen. Dus diende ik, samen met Wob-expert Erik Verwiel van de Volkskrant, in juni 2019 een verzoek in de bij de Nederlandse politie. Konden zij ons de documenten overhandigen waarin deze afspraken in beleid waren omgezet? In andere woorden: documenten laten zien die gaan over het screenen van leveranciers van hacksoftware en hoe besloten wordt sommige leveranciers wel of niet toe te staan?

De politie reageerde niet in de eerste termijn van vier weken. En ook niet binnen de maximale termijn van twee maanden (die overigens die langste is van heel Europa). Na vijf maanden kwam er een antwoord. De politie, ik verzin dit niet, vond dat het verzoek niet onder de Wob viel en wilde het niet in behandeling nemen. Wim Voermans, hoogleraar staatsrecht, noemde de opstelling van de politie ‘onsamenhangende en intimiderende juridische gekkigheid’.

De politie verwees daarbij ook nog eens abusievelijk naar de Volkskrant als zijnde de VPRO, maar dat terzijde. De Volkskrant tekende bezwaar aan. De politie wilde ook het bezwaar niet behandelen waarna wederom allerlei termijnen werden overschreden.

Tip van klokkenluider

In de tussentijd kreeg ik in de zomer van 2020 – het Wob-verzoek lag inmiddels meer dan een jaar bij de politie – een tip van een klokkenluider. Deze klokkenluider had samengewerkt met de politie, specifieker, met de recherche in Zoetermeer. Hij vertelde dat de politie software gebruikte van een Israëlisch bedrijfje, een joint venture van Rayzone en Circles, Rayspot Circles. Circles is een dochterbedrijf van NSO Group en Rayzone is opgericht door de voormalig nummer twee van Israëls eigen NSA, Unit 8200. De joint venture van het bedrijf is gevestigd op Cyprus. Maar dat zal toeval zijn.

De tipgever meldde zich omdat hij zich zorgen maakte. Volgens hem hield de Nederlandse politie zich niet aan de wet. Met de software die het inkocht bij Rayspot Circles kon de politie de precieze locaties van telefoons achterhalen en blijven volgen en WhatsApp-verkeer onderscheppen.

Dat zal ik uitleggen.

Onderscheppen en kraken

WhatsApp-verkeer is versleuteld, wat betekent dat de inhoud niet voor anderen te zien is, ook niet voor WhatsApp. Bij elke nieuwe chat wisselen twee accounts encryptiesleutels met elkaar uit. Als de politie dit verkeer onderschept, kunnen ze die versleuteling niet kraken.

Daarop heeft Rayspot iets bedacht. Het voegt een apparaat aan WhatsApp toe alsof het de gebruiker zelf is. De gebruiker communiceert dan via twee apparaten zonder dat hij dat doorheeft. Om dit te kunnen doen, is een trucje nodig. Op het moment dat er een extra apparaat wordt toegevoegd, verstuurt WhatsApp namelijk een verificatiecode naar de gebruiker. Die zou dan gealarmeerd worden. Rayspot wil die code onderscheppen om hem zelf te kunnen invoeren.

Daarvoor heeft Rayspot toegang nodig tot het mobiele netwerk van de gebruiker. Met een volgens de tipgever illegale methode zorgt Rayspot ervoor dat de verificatiecode ongezien wordt onderschept. Telecombedrijven weten hier niets van.

Deze pakketjes heten MSU’s, oftewel Message Signalling Units. Door die te onderscheppen kan Rayspot precieze locaties van een telefoon achterhalen en bijvoorbeeld de verificatiecodes van banken of e-mail onderscheppen. De tipgever leverde een intern overzicht mee, waarop de aantallen MSU’s per maand te zien zijn. Zo bleken in sommige maanden honderden van deze datapakketjes te zijn onderschept bij Nederlandse telecomproviders.

De techniek is omstreden of zelfs illegaal omdat het in het schimmige gebied tussen hacken en afluisteren valt, omdat Rayspot illegale toegang krijgt tot het mobiele netwerk en omdat onbekend is welke waarborgen er tegenover staan.

‘Vertrouw ons’

Dus probeerde ik het verhaal te verifiëren. Ik sprak over een periode van enkele maanden met allerlei bronnen, inlichtingenmedewerkers, oud-politieagenten, mensen met technische kennis. Die gesprekken verliepen bijna altijd hetzelfde. Technisch was de interceptie mogelijk, daar was geen twijfel over, maar niemand wist of de politie de hacksoftware ook daadwerkelijk had aangekocht. Een justitiebron die dicht bij het vuur zit, ging kijken in de organisatie maar kwam al snel bij me terug. ‘Op dit onderwerp krijg ik nul toegang.’

In oktober 2020 probeerde ik de politie zelf te benaderen. Ik stuurde een lijst met vragen naar de landelijke woordvoering en bood tevens aan in gesprek te gaan als de politie een toelichting wenste te geven. Na drie weken kwam een antwoord. De politie wilde niets zeggen. Ook na een hernieuwd verzoek, bleef een inhoudelijke reactie uit. De woordvoerder zei alleen dat de inzet van opsporingsmiddelen met extra scherpte en de ‘allerhoogste waarborgen’ is omgeven en dat het moet het gaan om de bestrijding van ‘ernstige strafbare feiten’.

Ophef in de VS

Maar dat viel onmogelijk te controleren. Het deed denken – terwijl het Wob-verzoek nog steeds niet in behandeling was genomen – aan de reactie van de politie op een ander geval. In de Verenigde Staten was ophef ontstaan over een nieuw bedrijf dat middels kunstmatige intelligentie aan gezichtsherkenning doet. Het bedrijf Clearview AI gebruikte daarvoor de foto’s van miljarden mensen, door hun foto’s van sociale media als Facebook, LinkedIN en Instagram te halen. Foto’s van mensen die daarvoor geen toestemming hadden gegeven.

Amerikaanse politiekorpsen waren desondanks enthousiast Clearview gaan gebruiken. Foto’s van allerlei plekken, zelf gemaakt of van beveiligingscamera’s, konden ze in een app stoppen die ze vervolgens een match gaf.

Toen ik de Nederlandse politie vroeg of ze Clearview ook gebruikten, kwam daar een ontkennend antwoord op. Nee, Clearview werd zover bekend, niet gebruikt. Ook andere Europese politiediensten ontkenden het gebruik ervan. Tot het Amerikaanse Buzzfeed interne documenten publiceerde waaruit bleek dat allerlei Europese politiediensten – óók de Nederlandse – Clearview hadden gebruikt.

De Nederlandse politie tussen de 50 en 100 maal. Dat kon niet waar zijn, hield de politie vol, want ze wisten echt van niks. Maar andere Europese politiediensten begonnen het gebruik na de publicatie van Buzzfeed wel toe te geven. De Zweedse en Noorse dienst hadden de software inderdaad gebruikt, zei men. Een gratis proefversie. Nederland bleef ontkennen.

Naar de rechter

Zo was het zomer geworden en togen Erik en ik naar de rechtbank om na twee jaar een besluit van de politie op ons Wob-verzoek af te dwingen. De rechter kon ons alleen maar gelijk geven: de politie moest reageren op het verzoek, op last van een dwangsom. Ook nu gebeurde er niets. De dagen gingen voorbij en de dwangsom bereikte de maximale hoogte van 15 duizend euro.

In september verscheen er een artikel bij Bloomberg over het Zwitserse bedrijf Mitto. Mitto werkt samen met grote partijen als Google, Twitter en WhatsApp voor het versturen van verificatiecodes. Het gebruikt daarvoor de toegang tot honderd telecompartijen wereldwijd. Een leidinggevende van het bedrijf had die toegang echter in het geheim ook verkocht aan overheden om af te luisteren.

Dat deed me ergens aan denken. De tipgever met wie ik eerder contact had, had me verteld dat Rayspot samenwerkte met Mitto, het bewuste Zwitserse bedrijf. Het was me niet gelukt om daarvoor bevestiging te krijgen, laat staan dat ik wist hoe die samenwerking er precies uit zag. Maar door het nieuws van Bloomberg begreep ik het ineens wel. Dit bedoelde de man met onrechtmatig. Een Zwitserse aanklager begon vervolgens een onderzoek naar het overtreden van de wet door Mitto.

Er was dus een vermoorde journalist (en een lijst vol met mensen die geen doelwit van surveillance hadden mogen zijn), een omstreden database met de foto’s van miljarden mensen die daarvoor geen toestemming gaven en de illegale toegang tot telecombedrijven. En alle drie hadden ze een mogelijke link naar Nederland.

Drie jaar later

Twee weken geleden volgde na bijna drie jaar een eerste antwoord van de politie op het Wob-verzoek. De politie weigerde integraal alle documenten en wilde ook geen inventarisatielijst meesturen. Alleen al de kennis over de aanwezigheid van documenten moest geheim blijven, vond de politie. Controle van de afspraak in het regeerakkoord werd daarmee onmogelijk.

Deze voorbeelden staan niet op zichzelf. Technologie heeft een enorme vlucht genomen. De slimme apparaten in onze handen en huizen zijn de oren en ogen van overheden. Opsporingsdiensten kunnen steeds meer data achterhalen, meer camerabeelden inzien en meer mensen online volgen. Fantastisch voor de veiligheid.

Maar er gaat ook iets verloren. En daar maak ik me zorgen over.

Want hoe logisch elke nieuwe stap ook lijkt – méér camera’s, méér foto’s in een politiedatabase, méér bulkhacks – het maakt de samenleving ook telkens een beetje minder vrij. En het lastige is: het is veel makkelijker om de voordelen op korte termijn te zien, dan de gevolgen op lange termijn. Die openbaren zich pas als het te laat is. Als advocaten niet meer vrij kunnen communiceren met hun cliënten, als journalisten niet meer met bronnen kunnen afspreken, als de vluchtgegevens van miljoenen Nederlanders in de databases van de geheime diensten staan, of als kwetsbare ouders worden vermorzeld door de algoritmes van de Belastingdienst.

Parlementaire en journalistiek controle moet

Daarom is het essentieel om uitleg te geven over het gebruik van nieuwe technologieën, om parlementaire en journalistieke controle mogelijk te maken, om een maatschappelijk gesprek te hebben over welke technologie wenselijk is en onder welke voorwaarden.

Toen de eigen inspectie van het ministerie van Justitie en Veiligheid in 2020 een eerste rapport publiceerde over het gebruik van hacksoftware, bleek er van alles mis. Ik citeer. ‘In bijna alle zaken is gebruik gemaakt van commerciële software waarbij de leverancier toegang heeft zonder dat de politie dit kan beperken en controleren. De Inspectie concludeert dat hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen.’

Of de politie software inkocht van leveranciers die leveren aan dubieuze regimes, bleek niet te controleren. Ja, dubieus regime werd uitgelegd als een land waartegen VN- of EU-sancties gelden. Mexico, Polen en Azerbeidzjan vielen daar niet onder, ook niet nadat ze de software hadden gebruikt voor het opsporen en volgen van journalisten, oppositieleden en activisten. De AIVD, die toeziet op het selectieproces en bekijkt of er nadelige gegevens zijn over een leverancier, gaf geen informatie over hoe de dienst dat doet.

Zo is de tegenmacht in Nederland uitgeschakeld en is onbekend of de Nederlandse politie zich aan de wet houdt of inlaat met foute leveranciers. In een democratie is dat uiterst onwenselijk. In een wereld waarin technologie het leven van journalisten kost, is dat kwalijk. Iedereen zou zich daarover zorgen moeten maken.

Huib Modderkolk is onderzoeksjournalist bij de Volkskrant.