De Europese privacytoezichthouder EDPS vindt dat het gebruik van de omstreden Pegasus-spyware in de Europese Unie verboden zou moeten worden. De spyware vormt een ongekend risico voor fundamentele rechten en vrijheden van individuen, maar kan ook democratie en de rechtsstaat aantasten. Dat stelt de EDPS in een vandaag gepubliceerde reactie.

Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid. Onlangs verschenen berichten dat de spyware ook in Polen en Hongarije was ingezet. Vorige week kondigde het Europees Parlement een onderzoek naar de Pegasus-spyware aan. Nu is de EDPS met een reactie op het gebruik van de spyware gekomen.

Volgens de toezichthouder kan het gebruik van Pegasus tot een ongekende inbreuk leiden, die de essentie van het recht op privacy bedreigt, aangezien de spyware met de meeste intieme aspecten van het dagelijks leven kan meekijken. De EDPS stelde ook de vraag of Pegasus legaal binnen de Europese Unie is te gebruiken. Gezien de technische werking van de spyware, die volledige controle over smartphones heeft, is het volgens de toezichthouder zeer onwaarschijnlijk dat de inzet van Pegasus aan de vereiste van proportionaliteit zou voldoen.

"De inbreuk op het recht op privacy is zo ernstig dat het in feite wordt afgenomen van het individu", merkt de EDPS op. "In andere woorden, de essentie van het recht is in het geding. Daarom kan het gebruik niet proportioneel worden gezien." Daarnaast raakt de inzet van Pegasus niet alleen het doelwit, maar ook zijn omgeving en personen in diens buurt. Ook ondermijnt spyware zoals Pegasus beschermingsmaatregelen zoals vertrouwelijke communicatie met een advocaat.

Pegasus biedt ook de mogelijkheid waarbij verschillende features worden uitgeschakeld. In die gevallen zou de inzet, in zeer specifieke en zeer ernstige situaties, bijvoorbeeld bij een ophanden zijnde terroristische aanval, mogelijk de noodzakelijkheids- en proportionaliteitstoets kunnen doorstaan. Deze mogelijke uitzondering zou een bredere of systemische inzet van de technologie niet rechtvaardigen. Het geregeld gebruik van Pegasus zou dan ook niet aan de Europese rechtsorde voldoen, laat de EDPS weten.

Gezien het risico dat Pegasus vormt voor fundamentele rechten en vrijheden van personen, maar ook democratie en rechtsorde, is het gebruik niet compatibel met democratische waarden. De EDPS pleit dan ook voor een verbod op het gebruik en de ontwikkeling van spyware die mogelijkheden van Pegasus heeft. Dat is volgens de toezichthouder de meest effectieve manier om fundamentele rechten en vrijheden te beschermen. Mochten er uitzonderlijke situaties zijn dat de spyware wordt ingezet noemt de EDPS een reeks maatregelen om onrechtmatig gebruik tegen te gaan (pdf).