De ethische commissie startte maandag met een onderzoek naar het gebruik van spyware door de RCMP, naar aanleiding van de onthulling van POLITICO in juni dat de politie had toegegeven spyware te gebruiken voor geheime surveillance. De RCMP heeft de mogelijkheid om sms-berichten, e-mails, foto’s, video’s en financiële gegevens van mobiele telefoons en laptops te onderscheppen en om de camera en microfoon van een apparaat op afstand in te schakelen.
In een brief aan de parlementaire ethische commissie zei Brenda Lucki, commissaris van de Royal Canadian Mounted Police, dat er sinds 2017 in 32 onderzoeken spyware is gebruikt.
Maar tijdens de commissiehoorzittingen van maandag schilderde Mark Flynn, de assistent-commissaris van de RCMP voor nationale veiligheid en beschermende politie, een beeld van een technologische wapenwedloop die al twee decennia aan de gang is.
“Toen versleuteling begon te worden gebruikt door doelen waarvoor we gerechtelijke toestemming hadden om te onderscheppen, en we de audio niet konden horen, de telefoontjes niet konden horen of de berichten konden zien die ze aan het verzenden waren, hebben we de tool en techniek ontwikkeld om het mogelijk om die communicatie te onderscheppen,” zei hij.
Flynn waarschuwde ook parlementsleden, wat suggereert dat ze waarschijnlijk het doelwit zijn van buitenlandse actoren die spyware gebruiken. “Je moet je ervan bewust zijn dat buitenlandse staten die geen partners zijn, dit soort technieken absoluut zouden gebruiken”, zei hij. “Je moet je zorgen maken en je ervan bewust zijn dat je het doelwit bent en daar twijfel ik weinig aan.”
De RCMP weigert de specifieke namen te geven van de spyware-tools die het gebruikt, en verschillende critici hebben hun bezorgdheid geuit dat de politie Pegasus-software van het controversiële Israëlische bedrijf NSO Group zou kunnen gebruiken.
Vorig jaar bleek uit een internationaal onderzoek dat Pegasus-spyware die aan overheden in licentie is gegeven voor het opsporen van criminelen, ook werd gebruikt om smartphones van journalisten en mensenrechtenactivisten te hacken.
In haar brief bevestigde Lucki dat de politie “nooit Pegasus of enig ander NSO-product heeft aangeschaft of gebruikt”.
Maar ze zou geen verdere details geven, daarbij verwijzend naar het “potentieel dat criminele elementen deze gevoelige informatie zouden gebruiken om de tools ondoeltreffend te maken.”
De RCMP weigert ook een lijst te verstrekken van de bevelschriften die het heeft verkregen om spyware te gebruiken, maar het gaf wel een overzicht van de soorten gevallen waarin spyware sinds 2017 was betrokken. Veel daarvan hebben betrekking op terrorisme, moord en drugshandel. Ook cybercriminaliteit en vertrouwensbreuk komen op de lijst voor.
Uit de lijst blijkt dat spyware de afgelopen vijf jaar steeds vaker is gebruikt. In 2017 werd de software in slechts twee onderzoeken ingezet, terwijl het dit jaar tot nu toe in negen onderzoeken is gebruikt.
Commissievoorzitter en conservatief parlementslid Pat Kelly zei dat de “algemene weigering” van de RCMP om informatie te verstrekken waar de commissieleden om hadden gevraagd “verontrustend” was.
Een voorbeeldbevel van de RCMP geeft een idee van de beperkingen die een rechter zou kunnen stellen aan het gebruik van spyware. Er staat bijvoorbeeld dat er geen informatie zal worden verzameld uit een slaapkamer of badkamer, noch informatie die het privilege van advocaat en cliënt in gevaar zou brengen.
Een aparte technische beschrijving die aan de commissie is verstrekt, geeft echter een indicatie van de omvang van de informatie die met spyware kan worden verzameld. Omdat de software werkt door informatie op het doelapparaat op te slaan en vervolgens door te sturen naar politieservers, kan de RCMP de gegevens die het ontvangt niet strikt beperken.
“Als zodanig is live monitoring om het onderscheppen van bevoorrechte of privécommunicatie van derden tot een minimum te beperken niet mogelijk”, staat in het document.
RCMP-functionarissen die voor de commissie verschenen, benadrukten dat de technologie slechts zelden en in de meest ernstige gevallen wordt gebruikt, en dat de politie altijd een bevelschrift verkrijgt voordat het wordt gebruikt. Ongeveer één op de tien onderzoeken waarbij het gebruik van spyware wordt overwogen, zou het uiteindelijk kunnen gebruiken, zei Sgt. Dave Cobey van de technische onderzoeksdienst van de RCMP.
De Canadese privacywaakhond, die maandag voor de commissie getuigde, zei dat de RCMP wettelijk verplicht zou moeten zijn om zijn kantoor te raadplegen over het gebruik van potentieel invasieve technologie, waaronder spyware.
De politie moet de federale nog verstrekken privacycommissaris met een effectbeoordeling met betrekking tot het gebruik van spyware bij bewaking, ondanks het feit dat hij de technologie al meerdere jaren heeft gebruikt, vertelde privacycommissaris Philippe Dufresne aan de commissie.
Dufresne zei dat hij eind augustus een briefing van de RCMP verwacht over het gebruik van spyware om mobiele apparaten te hacken.
Maar de jarenlange vertraging zet zijn kantoor in de ‘reactiemodus’, zei hij. Hij wil dat de privacywet wordt bijgewerkt met de eis dat alle overheidsinstellingen effectbeoordelingen moeten voorbereiden voordat ze programma’s lanceren die de privacy van mensen kunnen aantasten.
“Dit zou privacy erkennen als een grondrecht, het zou het algemeen belang ondersteunen en het nodige vertrouwen in onze instellingen wekken”, zei hij.
Dufresne vertelde de commissie dat zijn kantoor niet op de hoogte was van het spywareprogramma van de RCMP totdat POLITICO in juni contact met hem opnam, en dat hij nog steeds geen informatie van de politie heeft ontvangen.
“De impact van dit soort informatie dat via mediaberichten of vragen in het openbaar naar buiten komt, kan vragen oproepen en zorgen baren”, zei hij, eraan toevoegend dat het “veel beter” zou zijn geweest als de RCMP een privacyeffectbeoordeling had ingediend bij de “front-end”, voordat het programma werd gelanceerd.
Mendicino zei dat het “ongelukkig” was dat de privacycommissaris via de media hoorde van het gebruik van spyware door de RCMP, maar hij wilde niet zeggen of hij de aanbeveling van Dufresne zou steunen. Hij zou ook geen vragen beantwoorden of andere instanties, waaronder het Canadese spionagebureau (CSIS), ook spyware gebruiken.
Mendicino zei echter dat hij het gebruik van Pegasus-technologie in Canada zou steunen, zoals de Verenigde Staten hebben gedaan.
In documenten die in juni in het Lagerhuis zijn ingediend, zei de RCMP dat het in 2021 begon met het opstellen van een privacyeffectbeoordeling en dat het de privacycommissaris zou raadplegen als onderdeel van dat proces. Dufresne zei dat hij niet weet of de politie de beoordeling zal hebben afgerond voorafgaand aan de briefing later deze maand.
De commissie zal op 19 september een rapport met aanbevelingen indienen bij het Lagerhuis.