De opkomst van versleutelde diensten als WhatsApp gaf de spyware-industrie een boost. Kwetsbaarheden in softwaresystemen worden vlot verhandeld en zero-click spyware belandt probleemloos op smartphones van journalisten en mensenrechtenverdedigers. Ook in de EU. Irene Khan, de Speciale VN-Rapporteur voor Vrijheid van Meningsuiting, roept op tot een onmiddellijk moratorium op het gebruik, de overdracht en de verkoop van surveillance-software in afwachting van een sluitend kader. Biedt EMFA, het recente voorstel voor een verordening inzake mediavrijheid, de nodige waarborgen of dreigt het fout te gaan? Een stand van zaken.
Charlotte Michils
Als de staat van de persvrijheid een graadmeter is voor de gezondheid van de democratie, is er Europees intussen een stevige verbandkist nodig. Journalisten en mediabedrijven staan onder druk. Hoewel de uitdagingen in de ene lidstaat groter zijn dan in de andere, zijn er belangrijke gedeelde noden. Europa springt bij, in het kader van het actieplan voor Europese democratie, met fondsen en wetgeving.
Zopas verscheen ook het vierde rechtsstaatrapport dat een basis biedt voor dialoog tussen Europa en de lidstaten. En op wetgevend vlak pakte de Commissie zeer recent uit met een Europese verordening inzake mediavrijheid, een dossier dat wellicht wordt afgerond onder het Belgische Voorzitterschap van de Raad van de EU in 2024. EMFA of European Media Freedom Act wil waarborgen tegen redactionele inmenging, spyware, onderfinanciering van openbare omroepen, willekeur van onlineplatformen met gatekeeperrol, gebrekkige transparantie over media-eigendom en overheidsreclame. Daarnaast biedt ze een beoordelingskader voor marktconcentraties met mogelijke impact op mediapluralisme en redactionele onafhankelijkheid. Een nog op te richten raad levert hierover adviezen af.
Big Brother
Wijdverbreide inzet van spionagetools is geen fabel, onthulde het Pegasus Project, een grootschalig journalistiek onderzoek, in 2021. De software dient officieel om terroristen en criminelen in de gaten te houden, maar komt even goed massaal terecht op de smartphone van journalisten en mensenrechtenactivisten, politici, ordehandhavers, diplomaten, advocaten en zakenmensen. De tijdelijke PEGA-commissie in het Europees Parlement kreeg het mandaat om de ware dimensie van spywaremisbruik te onderzoeken. Het commissierapport resulteerde in een aanbeveling van het Europees Parlement. Verbijsterend is dat heel wat spyware-ontwikkelaars en -verkopers in een of meerdere lidstaten geregistreerd zijn of waren.
Zo is volgens de aanbeveling van 15 juni 2023 de Israëlische NSO Group (Pegasus) aanwezig in Luxemburg, Cyprus, Nederland en Bulgarije, de moedermaatschappij van Intellexa, Thalestris Limited, in Ierland, Griekenland, Zwitserland en Cyprus, DSIRF in Oostenrijk, QuaDream in Cyprus, Amesys en Nexa Technologies in Frankrijk en Tykelab en RCS Lab in Italië. In Duitsland was het inmiddels ter ziele gegane FinFisher gevestigd. Heel wat sleutelfiguren in de spyware-industrie hebben ook de Maltese nationaliteit verworven, waardoor ze makkelijker kunnen opereren in en vanuit de EU.
Belgische doelwitten
België blijft niet gespaard. Belgische doelwitten zijn voormalig premier Sophie Wilmès, voormalig premier Charles Michel en zijn vader Louis Michel, op het moment van de feiten lid van het Europees Parlement, mensenrechtenactivist Adrien Beaudui, een doctoraatsstudent met de Belgisch-Canadese nationaliteit en journalist Peter Verlinden en zijn echtgenote Marie Bamutese. Soms bevonden ze zich op het moment van de feiten in het buitenland, soms in België. In het geval van Sophie Wilmès en Peter Verlinden rust de verdenking op de Rwandese autoriteiten. Bij Charles en Louis Michel zou de Marokkaanse regering achter de aanvallen zitten. In het geval van Adrien Beauduin die publiekelijk werd veroordeeld voor het organiseren van 'gewelddadige demonstraties in Boedapest' viseert men de Hongaarse regering. Het was de Belgische militaire inlichtingendienst ADIV die Peter Verlinden op de hoogte bracht van de spywarebesmetting. Hij en zijn echtgenote waren op dat moment onderzoek aan het doen naar het Rwandese overheidsbeleid. 'Na die melding hebben we een strafklacht neergelegd. Daar is tot op vandaag geen nieuws over', zegt Verlinden.
Dat is de Belgische kant van het verhaal. In Duitsland maakt Verlinden met steun van Reporters Without Borders en de Duitse NGO Gesellschaft für Freiheitsrechte deel uit van een procedure voor het Grondwettelijk Hof. Hij doet dat samen met enkele andere slachtoffers van spywarebesmetting, zowel journalisten als mensenrechtenactivisten. De procedure neemt de gewijzigde wet die de Duitse buitenlandinlichtingendienst BND meer bevoegdheden geeft, op de korrel. In België is Peter Verlinden officieel de enige journalist die het slachtoffer werd van spionagesoftware. Vreemde mogendheden surveilleren ook buitenlanders op Belgische bodem. Genoemde doelwitten zijn leden van de Catalaanse onafhankelijkheidsbeweging, mensenrechtenactivist uit de Westelijke Sahara El Mahjoub Maliha en Carine Kanimba, dochter van de Rwandese politieke activist Paul Rusesabagina. Achter de laatste spyware-aanvallen zitten naar alle waarschijnlijkheid respectievelijk de Marokkaanse en de Rwandese autoriteiten. Rwanda wordt er ook van beschuldigd Pegasus-spionagesoftware te gebruiken tegen critici die in Belgisch ballingschap leven, onder wie prominente oppositieleden Placide Kayumba en David Batenga.
Belgisch spywaregebruik
Volgens het rapport van het Europees Parlement kunnen we ervan uitgaan dat alle EU-lidstaten een of meer commerciële spywareproducten hebben gekocht, ook als hiervoor geen officiële bevestiging bestaat. De NSO-groep alleen al bevoorraadde liefst veertien lidstaten, waaronder ook België. Federaal minister van Justitie Vincent Van Quickenborne (Open VLD) verklaarde in september 2021 dat de inzet van Pegasus door Belgische inlichtingendiensten een wettelijke basis heeft. Verdere info gaf hij niet. Het rapport pleit voor een Europese aanpak van spyware. Nu ligt de focus onterecht op de nationale politiek. 'Deze tunnelvisie staat een totaalbeeld in de weg.'
EMFA
Toegang tot betrouwbare informatie kan maar mits een robuuste bescherming van journalistieke bronnen, ook tegen spionagesoftware. In onveilige situaties onthullen bronnen geen delicate informatie. (onderzoeks)journalistieke samenwerkingen zijn vaak ook grensoverschrijdend. Het is een must om Europees uit te pakken met een robuuste, geharmoniseerde bescherming. Nu loopt de regelgeving sterk uiteen. In sommige lidstaten geldt er een absolute bescherming in strafrechtelijke en administratieve procedures. In andere lidstaten blijft de bescherming beperkt tot gerechtelijke procedures op basis van bepaalde strafbare feiten. Een restcategorie biedt bescherming in de vorm van een algemeen beginsel. Die fragmentatie leidt tot rechtsonzekerheid. EMFA wil dat remediëren, maar slaagt ze daarin? Het beschermingsniveau in artikel 4 blijft ver onder het niveau van het Europees Verdrag voor de Rechten van de Mens en de rechtspraak van het Hof te Straatsburg. Zo is het cruciaal dat vrijgave van journalistieke bronnen pas kan na een voorafgaandelijke rechterlijke beslissing. Noch het Commissievoorstel, noch het compromisvoorstel van de Raad van de EU bevat hier een verwijzing naar. Tegelijk moet een beperking noodzakelijk en proportioneel zijn. Journalisten dwingen tot vrijgave van info en bronnen moet het laatste redmiddel zijn.
Ook voor België levert EMFA op dit punt geen meerwaarde op. De wet van 5 april 2005 huldigt het bronnengeheim als principe, het doorbreken ervan is onderworpen aan strenge criteria. Vordering tot vrijgave van informatiebronnen kan maar mits voorafgaandelijke beoordeling door een rechter, en enkel om 'misdrijven te voorkomen die een ernstige bedreiging opleveren voor de fysieke integriteit'. De info moet ook van cruciaal belang zijn om deze misdrijven te voorkomen (proportionaliteitsbeginsel) en ze mag niet op een alternatieve manier kunnen verkregen worden (subsidiariteitsbeginsel). Daarnaast regelt de wet op de inlichtingen- en veiligheidsdiensten van 30 november 1998 bepaalde waarborgen wanneer er bijzondere inlichtingenmethoden aangewend worden ten aanzien van journalisten.
Spyware
En wat met spyware, biedt EMFA voldoende bescherming op dat vlak? Ook hier weer geen spoor van een voorafgaandelijke rechterlijke toetsing. Tegelijk creëert EMFA – een instrument dat nota bene de persvrijheid in de EU wil opkrikken - wel een wettelijke basis voor spywaregebruik. Het compromisvoorstel breidt de lijst van misdrijven die de inzet van spyware rechtvaardigen, bovendien gevoelig uit. De oorspronkelijke tekst noemt tien 'ernstige misdrijven' waaronder terrorisme en mensenhandel, de nieuwe tekstversie liefst 32. En onder druk van Frankrijk kunnen lidstaten straks mogelijk de vage uitzondering 'nationale veiligheid' inroepen om journalisten te surveilleren. Nochtans levert die uitzondering geen carte blanche op want ook hier weer spelen de waarborgen van het EU/EHRM-recht. LIBE, de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement, sprak zich intussen uit voor een betere bescherming. Hopelijk volgt de plenaire vergadering van het Europees Parlement in oktober.
De komende tijd wordt cruciaal voor dit dossier. Hoewel EMFA slechts een minimumnorm vooropstelt, zou een te zwakke bescherming een gemiste kans zijn. Erger nog: EMFA dreigt in dat geval het instrument te worden dat de inzet van spyware mogelijk maakt. EFJ-directeur Renate Schroeder die EMFA van dichtbij opvolgt: 'Het compromisvoorstel holt de initieel voorziene bescherming uit. Nationale veiligheid is een hoed waar potentieel te veel uitzonderingen onder passen. Met alle gevolgen van dien voor journalisten en klokkenluiders of andere bronnen.'
(Foto: Bill Kotsatos/Polaris/Photo News)