Minister Stef Blok op bezoek bij Fox-IT, dat onder meer staatsgeheimen en kabinetscommunicatie beveiligt.

Minister Stef Blok op bezoek bij Fox-IT, dat onder meer staatsgeheimen en kabinetscommunicatie beveiligt. © Peter Hilz

Promotie tijdens de Arabische Lente: ‘Beveiligingsbedrijf Fox-IT overschreed morele grens’

Cybersecurity-bedrijf Fox-IT promootte zijn spionagesoftware in het Midden-Oosten, zelfs tijdens de Arabische Lente. Directeuren Ronald Prins en Menno van der Marel gaven hun fiat. Geestelijk vader Bert Hubert presenteerde de tool zelf op vakbeurzen in de regio. Fox werd nadien steeds belangrijker voor de Nederlandse overheid: Prins hield van 2018 tot 2020 toezicht op de Nederlandse veiligheidsdiensten. In 2020 volgde Hubert hem op. [Update 2 augustus: Fox-IT distantieert zich van praktijken die onder de oude directie plaatsvonden, zie hun reactie onderaan.]

Dit stuk in 1 minuut
  • Dit is het tweede deel ven een serie; deel een is gisteren gepubliceerd. (Fox-IT reageerde een week nadat we het bedrijf vragen stelde, en distatieert zich van het oude beleid; hun reactie is onderaan het artikel opgenomen.)
  • Na de tournee door het Midden-Oosten in 2007 blijft Fox-IT zijn tap-analysesoftware in de regio promoten. Het bedrijf sponsort zelfs The Wiretapper’s Ball, een miljoenenbeurs voor spionage- en afluistertools, die jaarlijks in Dubai wordt gehouden.
  • Vanaf 2007-2008 bouwen zowel Egypte als Syrië aan hun surveillance-apparaat. Onderzoeksrapporten wijzen later uit dat deze landen daarbij afhankelijk zijn van de bemiddeling van tussenhandelaren: die zorgen dat die aan state-of-the-art technologie kunnen komen. Een van de tussenhandelaren die daarin een voorname rol speelt: AGT, de zakenpartner en reseller van Fox-IT in het Midden-Oosten.
  • Fox-IT lijkt intussen weinig selectief in de klanten die het hoopt te verwerven. Met AGT doet het mee aan een pitch voor de oprichting en het beheer van een digitaal forensisch laboratorium in Riyad, in Saoedi-Arabië.
  • Zelfs middenin de Arabische Lente is Fox-IT in Dubai om daar zijn tap-analysesoftware te promoten. Dat is de eerste keer dat er in Nederland enige commotie ontstaat over de activiteiten van Fox-IT: er komen Kamervragen. De minister van EZ vindt alles wel meevallen, maar doet een beroep op hun eigen verantwoordelijkheid.
  • In de tweede helft van 2011 verkoopt Fox-IT FoxReplay aan een Amerikaans bedrijf. De Nederlanders claimen dat het product inmiddels over de hele wereld wordt gebruikt.
  • Heeft Fox-IT het ook in het Midden-Oosten geleverd? Op die vraag komen altijd omtrekkende antwoorden: zo zou Fox nooit aan ‘repressieve regimes’ hebben geleverd, maar tegelijkertijd noemt directeur Prins Egypte voor de Arabische Lente een ‘respectabel’ land, ‘waar je prima op vakantie kunt’.
  • Wat te denken van een bedrijf dat zo laks is met zulke precaire software? De recente Pegasus-affaire laat zien dat surveillance-tools voor uiterst onwenselijke doelen kunnen worden gebruikt, en ook worden ingezet om staatshoofden, journalisten en oppositieleiders te (ver)volgen.
  • Wanneer voormalig Fox-IT-directeur Ronald Prins, en na hem FoxReplay-ontwikkelaar Bert Hubert, lid worden van een commissie die moet oordelen over de inzet van speciale bevoegdheden van de AIVD en de MIVD, is er vrijwel niemand die een wenkbrauw optilt.
Lees verder

De roadshow door het Midden-Oosten waaraan Fox-IT in 2007 deelnam om zijn producten te promoten, werpt al snel vrucht af. Na de presentaties in Caïro, waar onder meer de beruchte State Security Investigations Service (SSIS) aanwezig was, wordt Fox in juni 2008 gevraagd om in Egypte een forensic IT training te geven.

De promotieactiviteiten van Fox-IT in het Midden-Oosten vallen voor Egypte in een zeer gunstige periode; dat geldt ook voor Syrië. Zowel Mubarak als Assad begint in 2007-2008 met de opbouw van een gesofisticeerd surveillance-apparaat.

Privacy International meldt eind 2016 in een rapport dat Syrian Telecommunications Establishment (STE) in 2007 een tender uitschreef voor een centraal surveillance-systeem. Dat systeem moest het regime in staat stellen ‘alle netwerken te monitoren die datacommunicatiediensten in Syrië gebruiken’ en diende volledig onder de radar te blijven, zodat het ‘niet [kon] worden opgemerkt door gemonitorde doelwitten of door internet providers’. STE stond een jaar eerder al als klant vermeld op de website van AGT, de zakenpartner van Fox-IT in het Midden-Oosten.

Dat systeem kwam er. Het speelde een essentiële rol in Assads streven om greep op de bevolking te houden, criticasters op te sporen en die de mond te snoeren. Het werd een machtig wapen, bevestigt Abdulmajeed Barakat, die tijdens de Arabische Lente als spion voor de oppositie in Assads crisiscel werkte: ‘Deze software werd gebruikt om leiders van de demonstranten en de oppositie op te sporen. Veel van hen zijn daardoor gearresteerd.’


Farhad, indertijd hoog in het Syrische regime

"Het regime controleerde tijdens de revolutie alles. Alle communicatie werd verzameld, geanalyseerd en met software doorzocht op steekwoorden. Dat ging praktisch in real time"

Farhad – die indertijd op hoog niveau voor het Syrische regime werkte – zegt erover: ‘Het regime controleerde [tijdens de revolutie] alles. Telefoons, social media, encrypted messages, voice messages: alles werd verzameld, geanalyseerd en met software doorzocht op steekwoorden. Dat ging praktisch in real time. Het was heel geavanceerd. Als het regime iemand in de gaten wilde houden, werd er een soort vingerafdruk van zijn stem gemaakt. In alle telefoongesprekken die zo’n doelwit binnen, vanuit of naar Syrië voerde, werd vanaf dat moment ieder woord herkend dat uit zijn mond kwam.’ 

Barakat en Farhad benadrukken beiden de doorslaggevende rol van STE en Syriatel in de uitrol van het systeem. ’STE zorgde dat de surveillance-tools bij Syriatel werden opgezet. Dat gebeurde onder supervisie van de geheime diensten. Die hadden daar speciale kamers van waaruit al het verkeer bij Syriatel werd afgetapt en afgeluisterd. Bij de grote internet service providers gebeurde hetzelfde,’ zegt Farhad. ‘Iedereen werd zo afgeluisterd. Iedereen. Het regime controleerde alles, op elk niveau.’

De dubieuze rol van Fox-IT’s partner AGT in het Midden-Oosten

Westerse bedrijven leverden volgens Privacy International een cruciale bijdrage aan het surveillance-apparaat van Assad. Dat was volgens het onderzoeksplatform echter alleen mogelijk dankzij de hulp van lokale tussenhandelaren. Een van hen springt eruit: AGT, de handelspartner en reseller van Fox-IT in het Midden-Oosten.

Privacy International beschrijft hoe AGT tussen 2007 en 2011 met een ris westerse partners opdrachten probeert binnen te halen om verschillende onderdelen van Assads surveillance-systeem te bouwen. Samen met het Italiaanse surveillance-bedrijf RCS brengt AGT een bod uit op een onderdeel dat het onderscheppen van internet-satellietverkeer mogelijk moet maken.

In april 2008 draaien beide bedrijven op verzoek van STE zelfs een pilot in Syrië, waarbij mensen real time worden gemonitord. STE opteert echter voor het Italiaanse Area SpA. Area (dat later partner werd van AGT) voerde het project vervolgens met het Duitse Utimaco en het Franse Qosmos uit. Dit tot chagrijn van AGT.

Een paar maanden later waagt AGT een nieuwe poging, nu met haar Franse partner Amesys, met wie het eerder al een surveillancesysteem in Libië op poten zette. Ze tekenen samen in op een tender van STE voor het opzetten en beheren van een systeem om internet te filteren. En wanneer STE in de zomer van 2009 zijn surveillance-capaciteiten verder wil opschalen – het wil tapapparatuur installeren die het internetverkeer dat het land in- of uitgaat moet kunnen monitoren – dient AGT een offerte in met het Zuid-Afrikaanse VASTech. Met dat surveillance-bedrijf werkt AGT al sinds 2002 in Syrië samen, en deed het eerder zaken in Libië.

Europese surveillance-bedrijven vervolgd in Europa

In de nasleep van de Arabische Lente werd het Italiaanse Area SpA in de VS schuldig bevonden aan het overtreden van het Amerikaanse handelsembargo tegen Syrië. Het bedrijf had zonder toestemming Amerikaans materieel gebruikt om het surveillancesysteem te testen dat het voor STE bouwde. Area schikte de zaak in 2014 tegen betaling van 100.000 dollar. Eind 2016 deed de Italiaanse politie een inval bij het bedrijf, in verband met een onderzoek naar hun handel met Syrië.

Tegen Amesys (2011) en zijn bestuurders (2021) lopen in Frankrijk strafrechtelijke onderzoeken voor het faciliteren van mensenrechtenschendingen in Egypte en Libië, waaronder martelingen. Het onderzoek richt zich specifiek op de levering van surveillance-software aan beide regimes.

Ook andere Europese bedrijven die surveillance-software of -apparatuur leverden aan Syrië zijn in eigen land vervolgd. Tegen het Franse Qosmos werd een zaak aangespannen door de International Federation for Human Rights. De Franse onderzoeksrechter oordeelde in 2015 dat het bedrijf moest worden aangemerkt als een ‘assisted witness’ voor mogelijke medeplichtigheid aan martelingen in Syrië. In februari 2021 sloot de onderzoeksrechter de zaak, omdat de producten die Qosmos had verkocht niet zouden werken.

In Duitsland dienden het European Center for Constitutional and Human Rights en twee Syriërs in 2018 een strafrechtelijke klacht in bij het federale Openbaar Ministerie (Generalbundesanwalt) in Karlsruhe tegen onder meer Utimaco, wegens hun bijdrage aan het Syrische surveillance-systeem. Het OM besloot de klacht niet separaat te behandelen, maar voegde die toe aan het overkoepelende strafrechtelijke onderzoek dat al in Duitsland liep inzake misdaden begaan in Syrië.

Lees verder Inklappen

Het jaarlijkse aftapfestijn in Dubai

De partijen die in Syrië en Libië aan surveillancesystemen bouwden, zijn geen vreemden voor Fox-IT. Ook Area en RCS namen in 2007 deel aan AGT’s roadshows door het Midden-Oosten. Utimaco, dat in 2004 interceptie-tools aan het regime in Syrië leverde, wordt in december 2006 zelfs officieel partner van Fox-IT. 

Fox-IT komt deze bedrijven ook geregeld tegen op de vakbeurzen die het in de regio bezoekt. Want hoewel Fox-IT in december 2007 voor het laatst deelneemt aan een roadshow door het Midden-Oosten, zijn de sales activiteiten van het bedrijf in de regio allerminst ten einde. 

Vooral de jaarlijkse ISS World EMEA in Dubai is van groot belang. Fox-IT bezoekt de beurs – die door critici al snel werd omgedoopt tot het Wiretapper’s Ball, vanwege de doelgroep en het vrijwel ongelimiteerde aanbod van surveillance-middelen – elk jaar tussen 2007 en 2011. De ISS World editie van 2007 wordt zelfs gesponsord door FoxReplay. Niet zonder reden, zegt een oud-medewerker van AGT: ‘ISS is specifiek bedoeld voor overheden en inlichtingendiensten. Als je een product als FoxReplay hebt, moet je daar heen.’ 

In 2010 presenteert FoxReplay-ontwikkelaar Bert Hubert het pakket in Dubai aan politie-, opsporings-, veiligheids- en inlichtingendiensten uit de regio

In 2008 gaat Fox-IT naar de ISS World EMEA om FoxReplay te promoten bij overheidsdiensten uit onder meer Egypte, Saoedi-Arabië, Libië en Bahrein. ‘Interception specialist en core FoxReplay programmer’ Gertjan Schoenmaker geeft een presentatie over de surveillance-software en ‘voor geselecteerde bezoekers’, zo meldt Fox-IT, en is er een live-demonstratie. Ook in 2009 en 2010 staat Fox-IT met FoxReplay op deze beurs. 

FoxReplay-ontwikkelaar Bert Hubert gaat zelf ook vakbeurzen in Dubai af om zijn surveillance-tool te promoten. Hij presenteert en demonstreert de software op de ISS World EMEA in 2009 en 2010. In 2010 doet hij dat voor een publiek dat hoofdzakelijk bestaat uit politie-, opsporings-, veiligheids- en inlichtingendiensten uit de regio.

Geen boodschap aan Arabische Lente

In 2011 bezoekt Fox-IT de ISS World MEA opnieuw, en demonstreert het er FoxReplay. De beurs vindt plaats van 21 tot en met 23 februari. 

De Arabische Lente – die op 18 december 2010 in Tunesië begon, nadat straatverkoper Mohamed Bouazizi zichzelf in brand stak, gedreven door wanhoop over politiecorruptie – is dan in volle gang. In Bahrein onderschepte de overheid inmiddels internetverkeer om dissidenten op te sporen. De regering in Tunesië was sinds eind december bezig de Facebook-wachtwoorden van alle burgers te kraken, Mubarak legde eind januari in Egypte internet plat, en Syriërs konden alleen nog via buitenlandse netwerken onbespied communiceren. 

Het weerhoudt Fox-IT er niet van om ook op deze editie van de beurs FoxReplay met ronkende teksten aan te prijzen. Later zegt directeur Prins dat zijn bedrijf er stond om ‘nieuwe klanten’ te vinden.

Het leidt in maart 2011 tot Kamervragen. Op de vraag of het wenselijk is dat Nederlandse bedrijven aftap- en filtertechnologie proberen te verkopen aan repressieve regimes, antwoordt minister Maxime Verhagen (Economische Zaken) dat het bedrijven vrij staat deel te nemen aan internationale conferenties ‘om nieuwe markten aan te boren’ en dat er geen formeel verbod is op deze activiteiten. ‘Maar daarmee is niet gezegd dat het ook verantwoord of wenselijk is [..] bedrijven [hebben] een verantwoordelijkheid [..] om mensenrechten te respecteren.’ 

Fox-IT houdt vast aan AGT, ondanks interne bezwaren 

Fox-IT negeert de kritiek en gaat verder op de ingeslagen weg. Op 24 mei 2011 zet directeur Van der Marel zijn handtekening onder een nieuw samenwerkingscontract: Fox en AGT verlengen hun samenwerking met drie jaar.

Binnen Fox-IT leven inmiddels bezwaren tegen het bedrijf van de gebroeders Chbib, zegt toenmalig Fox-IT’er Dirk Peeters: ‘AGT was niet direct een bedrijf dat binnen Fox-IT hoog stond aangeschreven.’ Hij licht toe: ‘Dat heeft te maken met de indruk die AGT gaf in de markt. Binnen Fox-IT bestonden morele bezwaren tegen partijen die zaken wilden doen, ongeacht wie de klant is, of ongeacht de achtergrond. Ik zou nooit voor Fox hebben gewerkt als dat anders was. De meeste mensen die ik binnen Fox-IT ken, denken er zo over.’ Kennelijk leggen die aarzelingen over de mores van AGT weinig gewicht in de schaal. 

Pitch voor een digitaal forensisch lab in Saoedi-Arabië

In de maanden die volgen, dingen Fox-IT en AGT gezamenlijk naar de bouw van een forensisch laboratorium in Saoedi-Arabië. Het lab moet de lokale autoriteiten in staat stellen op grote schaal digitaal forensisch onderzoek uit te voeren, internet af te tappen en sociale media te monitoren.

AGT organiseert in juni 2011 een presentatie van de pitch in Riyad. Fox-IT zal volgens de plannen projectleider, trainer en leverancier worden, en reist met een team van vijf man af naar de oliestaat. Fox-IT neemt ook een eigen plan voor het project mee, waarin het nog maar eens verwijst naar de roadtrip die het in 2007 met AGT door het Midden-Oosten maakte, en de forensische trainingen die het in Egypte verzorgde. 

Er is zelfs een steering committee voor de pitch-alliantie opgericht. Daarin nemen onder meer Hans Henseler en Zeno Geradts zitting. Henseler is een van de oprichters van het Nederlands Forensisch Instituut, en inmiddels managing partner senior forensic IT bij Fox-IT; Gerardts heeft zitting namens het NFI, en is lid van de Editorial Board van de Arab Society for Forensic Sciences and Forensic Medicine.

Het Nederlands Forensisch Instituut doet mee aan de pitch. Fox-IT en het NFI bespreken onder meer een voorstel voor ‘consultancy, trainingen en education etc.’ in Saoedi-Arabië in augustus 2011.

In totaal zijn er tussen juni en september 2011 drie presentaties voor de plannen, twee in Riyad en een in Berlijn. Na de presentatie in Berlijn trekt het NFI zich op 13 september plotseling terug uit het project.

Fox-IT ziet zich daardoor genoodzaakt hetzelfde te doen. Zo reageert een medewerker van Fox-IT even later: ‘Voor Fox-IT betekent dit dat wij ons, ondanks de investeringen die we tot nu toe hebben gedaan in de bezoeken en offertes, ook zullen terugtrekken uit dit project [..] Ik kom graag weer bij je langs als er een nieuwe opportunity is.’ Twee weken later bevestigt Fox aan het NFI dat het ‘AGT [heeft] geïnformeerd over jullie besluit en de consequentie daarvan voor Fox-IT.’ 

Ondanks de abrupte stop van het lab-project in Riyad werken het NFI en Fox-IT later opnieuw samen met AGT. Uit een wob-verzoek van Buro Jansen & Janssen deden, blijkt dat AGT met een klant – het Abu Dhabi Police Forensic Science Department – in 2012 meerdere bezoeken brengt aan het hoofdkantoor van het NFI. 

Een oud-medewerker van AGT: ‘We zijn inderdaad destijds met de politie van Abu Dhabi bij het NFI geweest. Die klant een keer of vijf, ikzelf twee keer. Het was buitengewoon interessant om te zien wat ze daar allemaal kunnen.’ 

Lees verder Inklappen

‘Verschrikkelijk onterecht’

Fox-IT en Hubert verkopen hun joint venture Fox Replay in september 2011 aan het Amerikaanse Netscout Systems. Netscout, dat zelf uitsluitend bedrijfsnetwerken analyseert, zegt in zijn persbericht dat de software op dat moment wordt geleverd aan ‘talrijke’ overheids- en veiligheidsdiensten uit de hele wereld. Over de verkoop zijn destijds geen details bekendgemaakt. Ook Replay-bedenker en ontwikkelaar Hubert vertrekt naar Netscout.

Of het Fox-IT is gelukt hun surveillance-tool ook in het Midden-Oosten te verkopen, is onduidelijk. Via partner en reseller AGT is dat in elk geval niet gebeurd, zegt een oud-medewerker van dat bedrijf tegen Follow the Money: ‘Nee, niets. Er zijn aanbiedingen gedaan in het Midden-Oosten, er zijn presentaties geweest en er zijn gesprekken gevoerd. Maar er zijn geen actieve verkopen geweest.’

Een tweede oud-medewerker van AGT bevestigt dat, enigszins geagiteerd: ‘Er is niets verkocht en er is ook niets anders aangetoond. Ook niet over Fox-IT. Ja ze deden een presentatie. So what. En ze deden een workshop. So what. Betekent dit dat ze iets verkocht hebben? Nee. Hebben ze geprobeerd hun services te verkopen? Misschien. Ze hebben goede producten, oplossingen en diensten. Natuurlijk zijn die interessant. En natuurlijk wilde ik die promoten, en zij ook. Maar dat betekent niet dat er verkopen via ons hebben plaatsgevonden.’

"Directeur Prins meldt steevast dat landen ‘waar een hoop commotie is opeens aan de lijn hangen’, maar dat Fox-IT zulke toenaderingen altijd afwijst"

Directeur Ronald Prins krijgt na de Arabische Lente – en na de publicaties van WikiLeaks Spy Files in december 2011 – vaker de vraag of zijn bedrijf FoxReplay aan repressieve regimes in het gebied heeft geleverd, maar ontkent dat altijd. Daarbij meldt hij steevast dat landen ‘waar een hoop commotie is opeens aan de lijn hangen’, maar dat Fox-IT zulke toenaderingen altijd afwijst: ‘Dan ben ik heel duidelijk, dat doen we dus niet.’

Prins erkent dat Fox-IT weliswaar ‘aanvragen’ voor zijn producten heeft gekregen uit landen met dictatoriale regimes, maar houdt vol die altijd principieel te hebben afgeslagen. Wanneer Vrij Nederland in december 2011 navraag doet, noemt hij de suggestie dat Fox-IT in zulke landen zaken zou hebben gedaan ‘verschrikkelijk onterecht’, want ‘we hebben nog nooit zaken gedaan met foute regimes’. Wanneer Trouw hem in 2013 opnieuw de ‘hardnekkige geruchten’ voorlegt dat Fox-IT zijn FoxReplay aan Syrië of Egypte zou hebben verkocht, reageert hij emotioneel: ‘Natuurlijk niet. Nee, nee, nee.’

‘Als Fox zegt dat niet is geprobeerd om FoxReplay in het Midden-Oosten te verkopen, is dat niet waar’

De oud-medewerker sales heeft daar iets op af te dingen: ‘Als Fox zegt dat niet is geprobeerd om FoxReplay in het Midden-Oosten te verkopen, is dat niet waar.’ Ook Anthony zegt: ‘We hebben in die landen voor zalen gestaan met een specifiek publiek. Dat hoeven we ook niet te ontkennen. Was het achteraf gezien slim? Nee. Hadden we het anders moeten doen? Ja. Maar het is nu eenmaal gebeurd.’

Een oud-AGT’er: ‘Fox-IT zal niet willen toegeven dat zij FoxReplay tijdens de tour hebben gepromoot, maar we hebben nu eenmaal geprobeerd de Datadiode en FoxReplay in de regio te verkopen. Dat is alleen helaas niet gelukt. Ik denk dat de producten te duur waren.’ 

Later dat jaar verklaarde de vicepresident van Netscout tegenover The Wall Street Journal dat het bedrijf ‘altijd nagaat of een potentiële klant de technologie op verantwoorde wijze gebruikt’. Zo ontdekte het dat soms telco’s die ‘in handen waren van een overheid onze spullen wilden kopen’. Netscout vertrouwde dat niet en vreesde ‘dat ze er misschien iets heel anders mee willen doen. We kennen die verhalen. Wij willen niet dat die over ons gaan.’

Al een paar maanden na de koop van de joint venture Fox Replay besluit Netscout om zijn law enforcement afdeling, waaronder FoxReplay valt, in zijn geheel af te stoten.

Bereidheid om zaken te doen met dictatoriale regimes

En daar zit hem de kneep. Want Fox-IT heeft die bereidheid kennelijk wel: het heeft er veel aan gedaan om FoxReplay aan (onderdelen van) regimes in het Midden-Oosten te verkopen. De levering van de Datadiode in Syrië, ondanks het Amerikaanse handelsembargo, en aan een inlichtingendienst in de regio getuigt eveneens van hun bereidheid om zaken met deze landen te doen. Dat staat ver af van het door Prins gecultiveerde beeld van Fox-IT dat principieel de haak erop gooit wanneer het Midden-Oosten belt.

Dat is kwalijk, zegt Marietje Schaake, directeur van het Cyber Policy Center van de Stanford University en voorzitter van het CyberPeace Institute. Tussen 2009 en 2019 was ze Europarlementariër voor D66. In die periode zette ze zich in voor wet- en regelgeving die de handel in surveillance-technologie van Europese bedrijven aan repressieve overheden aan banden moest leggen.

‘Dit is precies het soort activiteiten waartegen ik me altijd heb verzet. Als zulke software in verkeerde handen valt, kan dat heel schadelijke gevolgen hebben.’ Gedecideerd: ‘Je moet dit type producten niet willen aanbieden of verkopen aan regimes waarvan bekend is dat die ze gebruiken om mensenrechten te schenden. Nu niet, en toen ook al niet.’

Het beeld dat directeur Prins in de loop der jaren over die ‘bril van toen’ schetst, is wel erg rooskleurig – en selectief

Bij Fox-IT zag men dat destijds anders. Oud-medewerker Anthony: ‘We waren aan het pionieren met een techniek die nog in de kinderschoenen stond. De Arabische Lente was nog niet geweest en de situatie in landen als Egypte, Syrië en Saoedi-Arabië was echt heel anders. Het onderwerp leefde destijds minder dan nu.’

Het beeld dat directeur Prins in de loop der jaren over die ‘bril van toen’ schetst, is echter wel erg rooskleurig, zeker gezien zijn achtergond als oud-AIVD'er. Zo verwijst hij in augustus 2011 naar de Arabische Lente in Egypte als ‘commotie’ en zegt dat hij ‘persoonlijk een beeld [had] dat het [voordien] wel een net land was, waar je ook lekker op vakantie kon. Achteraf is dat geen juist beeld gebleken.’ In Trouw zegt hij in 2013: ‘We kregen dat verzoek van de Egyptische regering tijdens de opstand van het volk, de Arabische Lente. Toen was Egypte nog een respectabel land.’ Ook is hij selectief: over Syrië en Saoedi-Arabië laat hij zich publiekelijk niet uit.

International sales manager Peeters wijst op de wetgeving in die tijd: ‘In die tijd vaardigde de Nederlandse overheid, en ook de EU, voor het eerst richtlijnen uit aan welk land bepaalde producten mochten worden aangeboden. Die waren in het begin nog niet heel nauwkeurig, maar er is altijd heel goed samengewerkt met de overheid om te bepalen wat wel en niet kon. Fox hield zich bij mijn weten ook altijd aan de exportrestricties voor zijn producten en opereerde naar mijn idee eerder aan de veilige kant. We leverden ook alleen voor lawful interception, dat betekent dat ook in het land van bestemming de wet moest worden gevolgd.’

Volgens een oud-medewerker van AGT is er allemaal weinig aan de hand: ‘Het was destijds toegestaan om zaken te doen in Syrië. Fox deed niets illegaals toen het met onze – laten we zeggen – potentiële klanten praatte.’

Terreurbestrijding als excuus’

Schaake is niet onder de indruk: ‘Bedrijven in deze sector proberen zich vaak achter een juridisch argument te verstoppen: “Wij hielden ons aan de wet, dus deden we niks fout.” Je hebt echter de morele plicht je bewust te zijn van de impact van de systemen en diensten die je levert, wie je klanten zijn en wat de gevolgen kunnen zijn. De Syrische politie is de Nederlandse niet, hoewel ze allebei ‘law enforcement’ genoemd kunnen worden. In het ene land beschermt de wet je, in het andere verklaart die je vogelvrij. Het is immoreel als je de handel in zulke technologie alleen vanuit financieel en juridisch oogpunt bekijkt.’

Dat Fox-IT zijn FoxReplay alleen beschikbaar zou stellen aan law enforcement agencies, stelt haar niet gerust: ‘De mythe dat surveillance-software alleen wordt ingezet om criminelen en terroristen op te sporen, is met de huidige NSO-affaire definitief doorgeprikt. In bepaalde landen ben je al een terrorist wanneer je oppositie voert. In Syrië en Egypte gold dat destijds ook.’


Marietje Schaake, oud-Europarlementariër

"Dat Prins en Hubert deze positie kunnen bekleden, tast vooral de integriteit van het toezicht zelf aan"

Schaake stelt dat terreurbestrijding in de industrie vaak als excuus wordt gebruikt voor discutabele handel. ‘Dat is altijd het argument. Maar die producten worden, als ze eenmaal in huis zijn bij bepaalde regimes, ook makkelijk ingezet tegen journalisten en oppositieleden. Je moet het gevaar van terrorisme niet onderschatten, maar we weten dat de maatregelen die onder het mom daarvan worden genomen vaak voor ongekende ellende op het gebied van mensenrechten hebben gezorgd. De definitie van terreur is in een dictatuur niet dezelfde als in een democratie, en ook ontbreekt vaak elke rechtsbescherming voor verdachten. Bedrijven moet zich daar continu van bewust zijn.’

Bij een aantal betrokkenen lijkt dat besef alsnog door te dringen. Een oud-medewerker van AGT erkent: ‘Er is natuurlijk wel een verschil tussen het aanbieden van surveillance-software aan Syrië of aan een land als Duitsland.’ Voormalig Fox-IT’er Thomas: ‘Achteraf gezien hadden we nooit naar deze landen moeten gaan.’

Activiteiten blijven zonder gevolgen voor Fox-IT

De activiteiten van Fox-IT in het Midden-Oosten hebben – voor zover bekend – geen nadelig effect gehad op de banden van het bedrijf met de Nederlandse overheid. Die drukte Fox-IT in de jaren erna alleen maar steviger tegen de borst.

‘Fox-IT zit ongelooflijk dicht op de Nederlandse overheid. En dat bedrijf heeft geprobeerd surveillance-tools te verkopen aan repressieve regimes?’

Schaake noemt dat problematisch: ‘Fox-IT zit ongelooflijk dicht op de Nederlandse overheid en wordt ingeschakeld bij problemen van nationaal belang. En datzelfde bedrijf heeft geprobeerd surveillance-tools te verkopen aan repressieve regimes en beschrijft hoe je Amerikaanse sancties kunt omzeilen? Je kunt je afvragen of zo’n partij geschikt is om de staat bij problemen van die orde te ondersteunen.’

Ook voor Prins persoonlijk hebben de activiteiten van Fox-IT in het Midden-Oosten geen gevolgen, op een enkele kritische vraag van de pers na. In 2018 wordt hij zelfs door de Tweede Kamer benoemd tot lid van de TIB, de commissie die toezicht moet houden op de inzet van speciale bevoegdheden door de militaire en algemene inlichtingendiensten, waaronder bulktaps en hacks. Wanneer Prins in september 2020 uit de commissie stapt, wordt hij opgevolgd door Bert Hubert.

De digitale-burgerrechtenorganisatie Bits of Freedom stelde in 2018 als enige vragen over de geschiktheid van Prins, maar rond de benoeming in de TIB van zijn voormalig zakenpartner bleef het stil. Kennelijk vroeg de Tweede Kamer zich niet af of het verstandig is dat mensen die de afweging moeten maken tussen de inzet van speciale bevoegdheden van de Nederlandse veiligheidsdiensten enerzijds en grondrechten anderzijds, zelf tap-analysesoftware promootten bij regimes die hun onderdanen onderdrukken.

Het geeft Schaake te denken: ‘Het voelt natuurlijk niet goed als zij met een product als FoxReplay een, naar mijn mening, morele grens overschrijden en vervolgens toezicht mogen houden op de belangrijkste veiligheidsorganen van het land. Welke criteria hanteren politiek en overheid hierin?’ 

Maar dat vindt ze niet eens het belangrijkste: ‘Dat zij deze positie kunnen bekleden, tast vooral de integriteit van het toezicht zelf aan.’ 

Reactie Fox-IT

Fox-IT besloot uiteindelijk toch te reageren, op maandag 2 augustus: een week nadat we het bedrijf vragen hadden gesteld. Fox-IT schreef:

‘De afgelopen dagen zijn op Follow the Money (FTM) twee artikelen verschenen over de pogingen die Fox-IT meer dan tien jaar geleden zou hebben ondernomen om surveillance-software te verkopen aan kwalijke regimes in het Midden-Oosten. Het tweeluik is gebaseerd op eigen onderzoek van FTM en op onderzoek van Buro Jansen & Janssen, dat over hetzelfde onderwerp in het verleden al eens heeft gepubliceerd.

In de loop der jaren heeft Fox-IT herhaaldelijk aangegeven géén surveillance-software te hebben geleverd aan bedenkelijke regimes. Dat wordt weliswaar ook in de artikelen van FTM gezegd, maar de suggestie wordt gewekt dat Fox-IT alleen al vanwege de pogingen een morele grens heeft overschreden.

Het Fox-IT van vandaag is echt een ander bedrijf dan meer dan een decennium geleden en heeft ook een andere directie. Sinds Fox-IT de surveillance-software tien jaar geleden van de hand heeft gedaan, hebben we dergelijke software niet meer verkocht en ook niet ontwikkeld.

Fox-IT heeft bovendien al jaren een ethische commissie om te voorkomen dat we, zelfs als de wet het toestaat, leveren aan landen waar onze producten gebruikt kunnen worden tegen vrijheid en democratie.

Na ons aantreden begin dit jaar bij Fox-IT, heb ik samen met Harmen Dikkers, directeur van Fox Crypto, het exportbeleid van Fox-IT verder aangescherpt en geformaliseerd. Niet alleen om te voorkomen dat we een juridische grens overschrijden, maar om te voorkomen dat we ook maar in de buurt van de morele grens komen. Dit betekent dat ons beleid veel strenger is dan het exportbeleid van de Nederlandse overheid, zoals ik enkele weken geleden ook heb gezegd in een interview met het FD.

Voor ons exportbeleid hanteren we de lijst van Freedom House. Wij leveren onder geen beding aan de onvrije landen op deze lijst. Aan landen die partly free zijn leveren we alleen defensieve middelen (zoals de DataDiode) en dan alleen aan vitale sectoren die de bevolking dienen zoals waterzuivering, elektriciteitsvoorziening en gezondheidszorg, maar uitdrukkelijk niet aan defensieorganisaties of telecombedrijven.

Inge Bryan, Managing Director

Dit waren onze vragen:

  1. FTM beschikt over documenten die laten zien dat Fox-IT in 2007 aan door AGT georganiseerde workshops, waarbij medewerkers van Fox-IT FoxReplay presenteerden aan o.a. inlichtingen- en veiligheidsdiensten en krijgsmachten uit Syrië, Egypte en Saoedi-Arabië. en andere landen in het Midden-Oosten. Bronnen bevestigen dit tegenover FTM. Waarom is besloten FoxReplay aan de regimes uit deze landen te promoten en door wie? 

  2. Bronnen bevestigen dat de directie besliste dat Fox-IT aan de workshops in Syrië, Egypte en Saoedi-Arabië deelnam en dat de directie voorafgaand aan die beslissing bekend was dat deze zich richtten op o.a. inlichtingen- en veiligheidsdiensten uit deze landen. Graag uw reactie. 

  3. Is FoxReplay verkocht aan de regimes van deze en/of andere landen in het Midden-Oosten? 

  4. Kunt u bevestigen dat FoxReplay nooit is geleverd aan Syrië, Egypte, Saoedi-Arabië en/of andere repressieve regimes in het Midden-Oosten? 

  5. Wat deed Fox-IT om te voorkomen dat FoxReplay in handen van repressieve regimes in deze regio kwam? 

  6. Tussen 2007 en 2011 is FoxReplay gepresenteerd en gedemonstreerd op vakbeurzen in het Midden-Oosten, waaronder op de ISS World EMEA: een beurs die zich volgens betrokkenen specifiek richt op law enforcement agencies, veiligheids- en inlichtingendiensten uit deze regio. Waarom is besloten om FoxReplay op deze beurzen te presenteren? 

  7. Een paar maanden voor de ISS World MEA 2011 barstte de Arabische Lente los. Waarom is besloten om FoxReplay toch op deze beurs te promoten? 

  8. In augustus 2011 zei de toenmalige CEO Ronald Prins in Vrij Nederland: ‘Wij staan op zo’n beurs om nieuwe klanten voor onze producten te vinden.’ Graag uw reactie.  

  9. Sinds 2011 heeft Ronald Prins in verschillende interviews (o.a. met Vrij Nederland, Trouw en Webwereld), gezegd dat Fox-IT nooit zaken deed met repressieve regimes. Fox-IT zou wel ‘aanvragen’ hebben gekregen voor haar producten uit landen met dergelijke regimes, maar zou die altijd principieel hebben afgewezen. Bronnen en documenten weerspreken dit. Fox-IT probeerde uit eigen beweging om FoxReplay tijdens de genoemde workshops en vakbeurzen te promoten aan de repressieve regimes van Egypte, Saoedi-Arabië en Syrië. Graag uw reactie. 

  10. Uit interne documenten van Fox-IT blijkt dat Fox-IT in 2007 via AGT een Datadiode leverde (of wilde leveren) in Syrië. Daarbij adviseerde Fox-IT AGT hoe zij een Amerikaans handelsembargo kon omzeilen. Graag uw reactie. 

  11. Uit openbare bronnen volgt dat FoxReplay - voor de verkoop van de joint venture aan Netscout - door Fox-IT werd geleverd aan overheid- en veiligheidsdiensten over de hele wereld. Bij de aankondiging van de verkoop aan Netscout werd bekendgemaakt dat de software op dat moment werd geleverd aan overheids- en veiligheidsdiensten over de hele wereld. Bronnen melden FTM dat de internationale verkoop onderhevig was aan het verlenen van exportvergunningen. Uit onderzoek van onderzoeksplatform Buro Jansen & Janssen blijkt dat er voor de verkoop van FoxReplay echter nooit een exportvergunning is aangevraagd. Graag uw reactie.

  12. Heeft Fox-IT ooit een exportvergunning voor FoxReplay aangevraagd en, zo ja, wanneer en voor welke landen? 

  13. Fox-IT werkte tussen 2007 en 2011 samen met AGT. Verschillende bronnen bevestigen dat er binnen Fox-IT in 2008 al morele bezwaren bestonden tegen deze samenwerking. Uit onderzoek van onderzoeksplatform Buro Janssen & Jansen volgt dat Fox-IT in 2011 desondanks besloot de samenwerking voort te zetten. Was u op de hoogte van de morele bezwaren binnen uw bedrijf, waren deze breed gedragen en wat deed Fox-IT met de kritiek? 

  14. In juni 2008 verleende Fox-IT forensische trainingen en consultancy aan instanties in Egypte in het district waar de geheime diensten van het land gevestigd zijn. Graag uw toelichting en reactie. 

  15. Tussen juni en september 2011 heeft Fox-IT deelgenomen aan een pitch voor de bouw van een digitaal forensisch laboratorium in Saoedi-Arabië, dat zich onder meer zou richten op data-interceptie en het monitoren van (o.a.) sociale media. Waarom heeft Fox-IT besloten hieraan mee te werken?

  16. Verschillende bronnen bevestigen dat er rond de workshops van Fox-IT in het Midden-Oosten, waaronder in Syrië, Saoedi-Arabië en Egypte, contact is geweest met de Nederlandse ambassades ter plaatse en dat ambassadeurs in sommige gevallen ook zijn uitgenodigd deze bij te wonen. Graag horen wij van u of dit klopt, in hoeverre Fox-IT contact met de ambassades onderhield en wat de aard van dit contact was. 

Lees verder Inklappen
Reactie Ultimaco

Op dinsdagoochtend 3 augusts ontving Follow the Money voorts een commentaar van Ultimaco, dat in het stuk wordt genoemd:

‘We noticed that you mentioned Utimaco in your recent article „Fox-it-deals-midden-oosten-2”. In the context of this article, it could be understood that Utimaco provided software to the Syrian regime for surveillance.
It is important for Utimaco to clearly state that we stepped away from the business led by Area at an early stage of the process during the trial phase and that no functioning solution was ever installed in Syria.’

Lees verder Inklappen