Verdergaande controle export spionagetechnologie nodig - Hoofdinhoud
Er gaat geen dag voorbij zonder nieuws over cyber-aanvallen, falende digitale beveiliging en hacking-operaties. We zouden verwachten dat overheden en bedrijven alles in het werk zouden stellen om dit soort activiteiten tegen te gaan, om de veiligheid van hun eigen infrastructuur en digitale vrijheden van burgers te beschermen. Maar het blijkt dat Europese overheden en bedrijven juist centraal staan in de handel van de technische ingrediënten die kunnen worden gebruikt om computers te infiltreren, gebruikers te bespioneren en zo informatie te vergaren. Die technologie vormt een grote bedreiging voor mensenrechten en onze eigen veiligheid, maar kan nagenoeg ongereguleerd vanuit Europa worden geëxporteerd.
Van 2011 tot april dit jaar waren de lidstaten en het Europees Parlement in onderhandeling over het herzien van export controle wetgeving. Ik heb me hard gemaakt om bepaalde gevaarlijke technologieën er ook onder scharen. Deze voorstellen haalden een meerderheid in het Parlement, maar de lidstaten hielden het vernieuwen vooralsnog tegen. Als compromis werd een gezamenlijke tekst aangenomen waarin de EU zich committeert aan een nieuwe herziening van de wetgeving waarin dit vraagstuk zou worden aangepakt. Hierin namen we ook de verschillende categorieën technologie op, inclusief zero-day exploits (in de tekst aangeduid als software vulnerabilities).
Eind 2012 al, werd mijn rapport aangenomen in het Europees Parlement, waarin de gevaren van de export van technologie werden aangeduid. Begin dit jaar werden veel van de aanbevelingen uit het rapport ook overgenomen in het nieuwe richtsnoer voor vrijheid van meningsuiting online en offline van de Europese Dienst Extern Optreden.
Dat Europese lidstaten eindelijk wakker worden en de gevaren erkennen blijkt uit het feit dat ze in verband van het Wassenaar Arrangement, eind 2013 hun export controle lijsten hebben herzien om sommige gevaarlijke technologieën af te dekken. Het beruchte Franse bedrijf VUPEN liet weten slechts nog te exporteren naar ‘goedgekeurde overheidsdiensten’. De specialiteit van VUPEN is het exploiteren van zwakheden in software, oftewel zero-day exploits. Voorheen was deze grijze markt ongereguleerd. Nog altijd is er voor degene die betaalt een gigantisch arsenaal aan tools beschikbaar. Deze aanpassingen van Wassenaar zijn dus pas een eerste kleine stap. Er is meer nodig om de problemen coherent aan te pakken in Europees verband, vooral met betrekking tot zero-day exploits.
In 2013 bracht de Europese Commissie de resultaten uit van een publieke consultatie over export controle. Het is van belang dat export beperkingen aan de ene kant veiligheid bevorderen, maar tegelijkertijd zo min mogelijk handel verstoort door onnodig complexe procedures. Als het gaat over technologie en het internet moeten we vooral oppassen dat de juiste producten en diensten worden gecontroleerd en dat ongevaarlijke producten niet ook een vergunning nodig hebben. Ook moet onderzoek mogelijk zijn. Het formuleren van de precieze kaders is één van de uitdagingen van de komende tijd bij de volgende herziening van de export controle wetgeving.
In aanloop naar de volgende herziening van export controle wetten heeft de Europese Commissie een communicatie aangenomen die de basis moet zijn voor het wetsvoorstel. Het is goed dat er concreet wordt gerefereerd aan de problemen met gevaarlijke technologieën en de gigantische implicaties voor mensenrechten. Het is vooral van belang dat Europese export controle regimes meer met elkaar worden geharmoniseerd om te zorgen dat Europa haar strategisch belangen en mensenrechten beter beschermt. Daarvoor moet ook de ongereguleerde handel in gevaarlijke technologie eindelijk worden aangepakt. Anders wordt elke uitspraak over het streven naar cyber-veiligheid ongeloofwaardig.