De roadshow door het Midden-Oosten waaraan Fox-IT in 2007 deelnam om zijn producten te promoten, werpt al snel vrucht af. Na de presentaties in Caïro, waar onder meer de beruchte State Security Investigations Service (SSIS) aanwezig was, wordt Fox in juni 2008 gevraagd om in Egypte een forensic IT training te geven.

De promotieactiviteiten van Fox-IT in het Midden-Oosten vallen voor Egypte in een zeer gunstige periode; dat geldt ook voor Syrië. Zowel Mubarak als Assad begint in 2007-2008 met de opbouw van een gesofisticeerd surveillance-apparaat.

Privacy International meldt eind 2016 in een rapport dat Syrian Telecommunications Establishment (STE) in 2007 een tender uitschreef voor een centraal surveillance-systeem. Dat systeem moest het regime in staat stellen ‘alle netwerken te monitoren die datacommunicatiediensten in Syrië gebruiken’ en diende volledig onder de radar te blijven, zodat het ‘niet [kon] worden opgemerkt door gemonitorde doelwitten of door internet providers’. STE stond een jaar eerder al als klant vermeld op de website van AGT, de zakenpartner van Fox-IT in het Midden-Oosten.

Dat systeem kwam er. Het speelde een essentiële rol in Assads streven om greep op de bevolking te houden, criticasters op te sporen en die de mond te snoeren. Het werd een machtig wapen, bevestigt Abdulmajeed Barakat, die tijdens de Arabische Lente als spion voor de oppositie in Assads crisiscel werkte: ‘Deze software werd gebruikt om leiders van de demonstranten en de oppositie op te sporen. Veel van hen zijn daardoor gearresteerd.’

Farhad – die indertijd op hoog niveau voor het Syrische regime werkte – zegt erover: ‘Het regime controleerde [tijdens de revolutie] alles. Telefoons, social media, encrypted messages, voice messages: alles werd verzameld, geanalyseerd en met software doorzocht op steekwoorden. Dat ging praktisch in real time. Het was heel geavanceerd. Als het regime iemand in de gaten wilde houden, werd er een soort vingerafdruk van zijn stem gemaakt. In alle telefoongesprekken die zo’n doelwit binnen, vanuit of naar Syrië voerde, werd vanaf dat moment ieder woord herkend dat uit zijn mond kwam.’ 

Barakat en Farhad benadrukken beiden de doorslaggevende rol van STE en Syriatel in de uitrol van het systeem. ’STE zorgde dat de surveillance-tools bij Syriatel werden opgezet. Dat gebeurde onder supervisie van de geheime diensten. Die hadden daar speciale kamers van waaruit al het verkeer bij Syriatel werd afgetapt en afgeluisterd. Bij de grote internet service providers gebeurde hetzelfde,’ zegt Farhad. ‘Iedereen werd zo afgeluisterd. Iedereen. Het regime controleerde alles, op elk niveau.’

De dubieuze rol van Fox-IT’s partner AGT in het Midden-Oosten

Westerse bedrijven leverden volgens Privacy International een cruciale bijdrage aan het surveillance-apparaat van Assad. Dat was volgens het onderzoeksplatform echter alleen mogelijk dankzij de hulp van lokale tussenhandelaren. Een van hen springt eruit: AGT, de handelspartner en reseller van Fox-IT in het Midden-Oosten.

Privacy International beschrijft hoe AGT tussen 2007 en 2011 met een ris westerse partners opdrachten probeert binnen te halen om verschillende onderdelen van Assads surveillance-systeem te bouwen. Samen met het Italiaanse surveillance-bedrijf RCS brengt AGT een bod uit op een onderdeel dat het onderscheppen van internet-satellietverkeer mogelijk moet maken.

In april 2008 draaien beide bedrijven op verzoek van STE zelfs een pilot in Syrië, waarbij mensen real time worden gemonitord. STE opteert echter voor het Italiaanse Area SpA. Area (dat later partner werd van AGT) voerde het project vervolgens met het Duitse Utimaco en het Franse Qosmos uit. Dit tot chagrijn van AGT.

Een paar maanden later waagt AGT een nieuwe poging, nu met haar Franse partner Amesys, met wie het eerder al een surveillancesysteem in Libië op poten zette. Ze tekenen samen in op een tender van STE voor het opzetten en beheren van een systeem om internet te filteren. En wanneer STE in de zomer van 2009 zijn surveillance-capaciteiten verder wil opschalen – het wil tapapparatuur installeren die het internetverkeer dat het land in- of uitgaat moet kunnen monitoren – dient AGT een offerte in met het Zuid-Afrikaanse VASTech. Met dat surveillance-bedrijf werkt AGT al sinds 2002 in Syrië samen, en deed het eerder zaken in Libië.

Het jaarlijkse aftapfestijn in Dubai

De partijen die in Syrië en Libië aan surveillancesystemen bouwden, zijn geen vreemden voor Fox-IT. Ook Area en RCS namen in 2007 deel aan AGT’s roadshows door het Midden-Oosten. Utimaco, dat in 2004 interceptie-tools aan het regime in Syrië leverde, wordt in december 2006 zelfs officieel partner van Fox-IT. 

Fox-IT komt deze bedrijven ook geregeld tegen op de vakbeurzen die het in de regio bezoekt. Want hoewel Fox-IT in december 2007 voor het laatst deelneemt aan een roadshow door het Midden-Oosten, zijn de sales activiteiten van het bedrijf in de regio allerminst ten einde. 

Vooral de jaarlijkse ISS World EMEA in Dubai is van groot belang. Fox-IT bezoekt de beurs – die door critici al snel werd omgedoopt tot het Wiretapper’s Ball, vanwege de doelgroep en het vrijwel ongelimiteerde aanbod van surveillance-middelen – elk jaar tussen 2007 en 2011. De ISS World editie van 2007 wordt zelfs gesponsord door FoxReplay. Niet zonder reden, zegt een oud-medewerker van AGT: ‘ISS is specifiek bedoeld voor overheden en inlichtingendiensten. Als je een product als FoxReplay hebt, moet je daar heen.’ 

In 2010 presenteert FoxReplay-ontwikkelaar Bert Hubert het pakket in Dubai aan politie-, opsporings-, veiligheids- en inlichtingendiensten uit de regio

In 2008 gaat Fox-IT naar de ISS World EMEA om FoxReplay te promoten bij overheidsdiensten uit onder meer Egypte, Saoedi-Arabië, Libië en Bahrein. ‘Interception specialist en core FoxReplay programmer’ Gertjan Schoenmaker geeft een presentatie over de surveillance-software en ‘voor geselecteerde bezoekers’, zo meldt Fox-IT, en is er een live-demonstratie. Ook in 2009 en 2010 staat Fox-IT met FoxReplay op deze beurs. 

FoxReplay-ontwikkelaar Bert Hubert gaat zelf ook vakbeurzen in Dubai af om zijn surveillance-tool te promoten. Hij presenteert en demonstreert de software op de ISS World EMEA in 2009 en 2010. In 2010 doet hij dat voor een publiek dat hoofdzakelijk bestaat uit politie-, opsporings-, veiligheids- en inlichtingendiensten uit de regio.

Geen boodschap aan Arabische Lente

In 2011 bezoekt Fox-IT de ISS World MEA opnieuw, en demonstreert het er FoxReplay. De beurs vindt plaats van 21 tot en met 23 februari. 

De Arabische Lente – die op 18 december 2010 in Tunesië begon, nadat straatverkoper Mohamed Bouazizi zichzelf in brand stak, gedreven door wanhoop over politiecorruptie – is dan in volle gang. In Bahrein onderschepte de overheid inmiddels internetverkeer om dissidenten op te sporen. De regering in Tunesië was sinds eind december bezig de Facebook-wachtwoorden van alle burgers te kraken, Mubarak legde eind januari in Egypte internet plat, en Syriërs konden alleen nog via buitenlandse netwerken onbespied communiceren. 

Het weerhoudt Fox-IT er niet van om ook op deze editie van de beurs FoxReplay met ronkende teksten aan te prijzen. Later zegt directeur Prins dat zijn bedrijf er stond om ‘nieuwe klanten’ te vinden.

Het leidt in maart 2011 tot Kamervragen. Op de vraag of het wenselijk is dat Nederlandse bedrijven aftap- en filtertechnologie proberen te verkopen aan repressieve regimes, antwoordt minister Maxime Verhagen (Economische Zaken) dat het bedrijven vrij staat deel te nemen aan internationale conferenties ‘om nieuwe markten aan te boren’ en dat er geen formeel verbod is op deze activiteiten. ‘Maar daarmee is niet gezegd dat het ook verantwoord of wenselijk is [..] bedrijven [hebben] een verantwoordelijkheid [..] om mensenrechten te respecteren.’ 

Fox-IT houdt vast aan AGT, ondanks interne bezwaren 

Fox-IT negeert de kritiek en gaat verder op de ingeslagen weg. Op 24 mei 2011 zet directeur Van der Marel zijn handtekening onder een nieuw samenwerkingscontract: Fox en AGT verlengen hun samenwerking met drie jaar.

Binnen Fox-IT leven inmiddels bezwaren tegen het bedrijf van de gebroeders Chbib, zegt toenmalig Fox-IT’er Dirk Peeters: ‘AGT was niet direct een bedrijf dat binnen Fox-IT hoog stond aangeschreven.’ Hij licht toe: ‘Dat heeft te maken met de indruk die AGT gaf in de markt. Binnen Fox-IT bestonden morele bezwaren tegen partijen die zaken wilden doen, ongeacht wie de klant is, of ongeacht de achtergrond. Ik zou nooit voor Fox hebben gewerkt als dat anders was. De meeste mensen die ik binnen Fox-IT ken, denken er zo over.’ Kennelijk leggen die aarzelingen over de mores van AGT weinig gewicht in de schaal. 

‘Verschrikkelijk onterecht’

Fox-IT en Hubert verkopen hun joint venture Fox Replay in september 2011 aan het Amerikaanse Netscout Systems. Netscout, dat zelf uitsluitend bedrijfsnetwerken analyseert, zegt in zijn persbericht dat de software op dat moment wordt geleverd aan ‘talrijke’ overheids- en veiligheidsdiensten uit de hele wereld. Over de verkoop zijn destijds geen details bekendgemaakt. Ook Replay-bedenker en ontwikkelaar Hubert vertrekt naar Netscout.

Of het Fox-IT is gelukt hun surveillance-tool ook in het Midden-Oosten te verkopen, is onduidelijk. Via partner en reseller AGT is dat in elk geval niet gebeurd, zegt een oud-medewerker van dat bedrijf tegen Follow the Money: ‘Nee, niets. Er zijn aanbiedingen gedaan in het Midden-Oosten, er zijn presentaties geweest en er zijn gesprekken gevoerd. Maar er zijn geen actieve verkopen geweest.’

Een tweede oud-medewerker van AGT bevestigt dat, enigszins geagiteerd: ‘Er is niets verkocht en er is ook niets anders aangetoond. Ook niet over Fox-IT. Ja ze deden een presentatie. So what. En ze deden een workshop. So what. Betekent dit dat ze iets verkocht hebben? Nee. Hebben ze geprobeerd hun services te verkopen? Misschien. Ze hebben goede producten, oplossingen en diensten. Natuurlijk zijn die interessant. En natuurlijk wilde ik die promoten, en zij ook. Maar dat betekent niet dat er verkopen via ons hebben plaatsgevonden.’

Directeur Ronald Prins krijgt na de Arabische Lente – en na de publicaties van WikiLeaks Spy Files in december 2011 – vaker de vraag of zijn bedrijf FoxReplay aan repressieve regimes in het gebied heeft geleverd, maar ontkent dat altijd. Daarbij meldt hij steevast dat landen ‘waar een hoop commotie is opeens aan de lijn hangen’, maar dat Fox-IT zulke toenaderingen altijd afwijst: ‘Dan ben ik heel duidelijk, dat doen we dus niet.’

Prins erkent dat Fox-IT weliswaar ‘aanvragen’ voor zijn producten heeft gekregen uit landen met dictatoriale regimes, maar houdt vol die altijd principieel te hebben afgeslagen. Wanneer Vrij Nederland in december 2011 navraag doet, noemt hij de suggestie dat Fox-IT in zulke landen zaken zou hebben gedaan ‘verschrikkelijk onterecht’, want ‘we hebben nog nooit zaken gedaan met foute regimes’. Wanneer Trouw hem in 2013 opnieuw de ‘hardnekkige geruchten’ voorlegt dat Fox-IT zijn FoxReplay aan Syrië of Egypte zou hebben verkocht, reageert hij emotioneel: ‘Natuurlijk niet. Nee, nee, nee.’

‘Als Fox zegt dat niet is geprobeerd om FoxReplay in het Midden-Oosten te verkopen, is dat niet waar’

De oud-medewerker sales heeft daar iets op af te dingen: ‘Als Fox zegt dat niet is geprobeerd om FoxReplay in het Midden-Oosten te verkopen, is dat niet waar.’ Ook Anthony zegt: ‘We hebben in die landen voor zalen gestaan met een specifiek publiek. Dat hoeven we ook niet te ontkennen. Was het achteraf gezien slim? Nee. Hadden we het anders moeten doen? Ja. Maar het is nu eenmaal gebeurd.’

Een oud-AGT’er: ‘Fox-IT zal niet willen toegeven dat zij FoxReplay tijdens de tour hebben gepromoot, maar we hebben nu eenmaal geprobeerd de Datadiode en FoxReplay in de regio te verkopen. Dat is alleen helaas niet gelukt. Ik denk dat de producten te duur waren.’ 

Later dat jaar verklaarde de vicepresident van Netscout tegenover The Wall Street Journal dat het bedrijf ‘altijd nagaat of een potentiële klant de technologie op verantwoorde wijze gebruikt’. Zo ontdekte het dat soms telco’s die ‘in handen waren van een overheid onze spullen wilden kopen’. Netscout vertrouwde dat niet en vreesde ‘dat ze er misschien iets heel anders mee willen doen. We kennen die verhalen. Wij willen niet dat die over ons gaan.’

Al een paar maanden na de koop van de joint venture Fox Replay besluit Netscout om zijn law enforcement afdeling, waaronder FoxReplay valt, in zijn geheel af te stoten.

Bereidheid om zaken te doen met dictatoriale regimes

En daar zit hem de kneep. Want Fox-IT heeft die bereidheid kennelijk wel: het heeft er veel aan gedaan om FoxReplay aan (onderdelen van) regimes in het Midden-Oosten te verkopen. De levering van de Datadiode in Syrië, ondanks het Amerikaanse handelsembargo, en aan een inlichtingendienst in de regio getuigt eveneens van hun bereidheid om zaken met deze landen te doen. Dat staat ver af van het door Prins gecultiveerde beeld van Fox-IT dat principieel de haak erop gooit wanneer het Midden-Oosten belt.

Dat is kwalijk, zegt Marietje Schaake, directeur van het Cyber Policy Center van de Stanford University en voorzitter van het CyberPeace Institute. Tussen 2009 en 2019 was ze Europarlementariër voor D66. In die periode zette ze zich in voor wet- en regelgeving die de handel in surveillance-technologie van Europese bedrijven aan repressieve overheden aan banden moest leggen.

‘Dit is precies het soort activiteiten waartegen ik me altijd heb verzet. Als zulke software in verkeerde handen valt, kan dat heel schadelijke gevolgen hebben.’ Gedecideerd: ‘Je moet dit type producten niet willen aanbieden of verkopen aan regimes waarvan bekend is dat die ze gebruiken om mensenrechten te schenden. Nu niet, en toen ook al niet.’

Het beeld dat directeur Prins in de loop der jaren over die ‘bril van toen’ schetst, is wel erg rooskleurig – en selectief

Bij Fox-IT zag men dat destijds anders. Oud-medewerker Anthony: ‘We waren aan het pionieren met een techniek die nog in de kinderschoenen stond. De Arabische Lente was nog niet geweest en de situatie in landen als Egypte, Syrië en Saoedi-Arabië was echt heel anders. Het onderwerp leefde destijds minder dan nu.’

Het beeld dat directeur Prins in de loop der jaren over die ‘bril van toen’ schetst, is echter wel erg rooskleurig, zeker gezien zijn achtergond als oud-AIVD'er. Zo verwijst hij in augustus 2011 naar de Arabische Lente in Egypte als ‘commotie’ en zegt dat hij ‘persoonlijk een beeld [had] dat het [voordien] wel een net land was, waar je ook lekker op vakantie kon. Achteraf is dat geen juist beeld gebleken.’ In Trouw zegt hij in 2013: ‘We kregen dat verzoek van de Egyptische regering tijdens de opstand van het volk, de Arabische Lente. Toen was Egypte nog een respectabel land.’ Ook is hij selectief: over Syrië en Saoedi-Arabië laat hij zich publiekelijk niet uit.

International sales manager Peeters wijst op de wetgeving in die tijd: ‘In die tijd vaardigde de Nederlandse overheid, en ook de EU, voor het eerst richtlijnen uit aan welk land bepaalde producten mochten worden aangeboden. Die waren in het begin nog niet heel nauwkeurig, maar er is altijd heel goed samengewerkt met de overheid om te bepalen wat wel en niet kon. Fox hield zich bij mijn weten ook altijd aan de exportrestricties voor zijn producten en opereerde naar mijn idee eerder aan de veilige kant. We leverden ook alleen voor lawful interception, dat betekent dat ook in het land van bestemming de wet moest worden gevolgd.’

Volgens een oud-medewerker van AGT is er allemaal weinig aan de hand: ‘Het was destijds toegestaan om zaken te doen in Syrië. Fox deed niets illegaals toen het met onze – laten we zeggen – potentiële klanten praatte.’

Terreurbestrijding als excuus’

Schaake is niet onder de indruk: ‘Bedrijven in deze sector proberen zich vaak achter een juridisch argument te verstoppen: “Wij hielden ons aan de wet, dus deden we niks fout.” Je hebt echter de morele plicht je bewust te zijn van de impact van de systemen en diensten die je levert, wie je klanten zijn en wat de gevolgen kunnen zijn. De Syrische politie is de Nederlandse niet, hoewel ze allebei ‘law enforcement’ genoemd kunnen worden. In het ene land beschermt de wet je, in het andere verklaart die je vogelvrij. Het is immoreel als je de handel in zulke technologie alleen vanuit financieel en juridisch oogpunt bekijkt.’

Dat Fox-IT zijn FoxReplay alleen beschikbaar zou stellen aan law enforcement agencies, stelt haar niet gerust: ‘De mythe dat surveillance-software alleen wordt ingezet om criminelen en terroristen op te sporen, is met de huidige NSO-affaire definitief doorgeprikt. In bepaalde landen ben je al een terrorist wanneer je oppositie voert. In Syrië en Egypte gold dat destijds ook.’

Schaake stelt dat terreurbestrijding in de industrie vaak als excuus wordt gebruikt voor discutabele handel. ‘Dat is altijd het argument. Maar die producten worden, als ze eenmaal in huis zijn bij bepaalde regimes, ook makkelijk ingezet tegen journalisten en oppositieleden. Je moet het gevaar van terrorisme niet onderschatten, maar we weten dat de maatregelen die onder het mom daarvan worden genomen vaak voor ongekende ellende op het gebied van mensenrechten hebben gezorgd. De definitie van terreur is in een dictatuur niet dezelfde als in een democratie, en ook ontbreekt vaak elke rechtsbescherming voor verdachten. Bedrijven moet zich daar continu van bewust zijn.’

Bij een aantal betrokkenen lijkt dat besef alsnog door te dringen. Een oud-medewerker van AGT erkent: ‘Er is natuurlijk wel een verschil tussen het aanbieden van surveillance-software aan Syrië of aan een land als Duitsland.’ Voormalig Fox-IT’er Thomas: ‘Achteraf gezien hadden we nooit naar deze landen moeten gaan.’

Activiteiten blijven zonder gevolgen voor Fox-IT

De activiteiten van Fox-IT in het Midden-Oosten hebben – voor zover bekend – geen nadelig effect gehad op de banden van het bedrijf met de Nederlandse overheid. Die drukte Fox-IT in de jaren erna alleen maar steviger tegen de borst.

‘Fox-IT zit ongelooflijk dicht op de Nederlandse overheid. En dat bedrijf heeft geprobeerd surveillance-tools te verkopen aan repressieve regimes?’

Schaake noemt dat problematisch: ‘Fox-IT zit ongelooflijk dicht op de Nederlandse overheid en wordt ingeschakeld bij problemen van nationaal belang. En datzelfde bedrijf heeft geprobeerd surveillance-tools te verkopen aan repressieve regimes en beschrijft hoe je Amerikaanse sancties kunt omzeilen? Je kunt je afvragen of zo’n partij geschikt is om de staat bij problemen van die orde te ondersteunen.’

Ook voor Prins persoonlijk hebben de activiteiten van Fox-IT in het Midden-Oosten geen gevolgen, op een enkele kritische vraag van de pers na. In 2018 wordt hij zelfs door de Tweede Kamer benoemd tot lid van de TIB, de commissie die toezicht moet houden op de inzet van speciale bevoegdheden door de militaire en algemene inlichtingendiensten, waaronder bulktaps en hacks. Wanneer Prins in september 2020 uit de commissie stapt, wordt hij opgevolgd door Bert Hubert.

De digitale-burgerrechtenorganisatie Bits of Freedom stelde in 2018 als enige vragen over de geschiktheid van Prins, maar rond de benoeming in de TIB van zijn voormalig zakenpartner bleef het stil. Kennelijk vroeg de Tweede Kamer zich niet af of het verstandig is dat mensen die de afweging moeten maken tussen de inzet van speciale bevoegdheden van de Nederlandse veiligheidsdiensten enerzijds en grondrechten anderzijds, zelf tap-analysesoftware promootten bij regimes die hun onderdanen onderdrukken.

Het geeft Schaake te denken: ‘Het voelt natuurlijk niet goed als zij met een product als FoxReplay een, naar mijn mening, morele grens overschrijden en vervolgens toezicht mogen houden op de belangrijkste veiligheidsorganen van het land. Welke criteria hanteren politiek en overheid hierin?’ 

Maar dat vindt ze niet eens het belangrijkste: ‘Dat zij deze positie kunnen bekleden, tast vooral de integriteit van het toezicht zelf aan.’