Veel mensen denken aan de Amerikaanse NSA (National Security Agency) als het over grootschalig toezicht gaat. Maar bijna elk land heeft zijn eigen SIGINT-organisatie (Signals Intelligence).
Deze organisaties richten zich vooral op wetshandhaving, het verzamelen van data en contraspionage door het onderscheppen van elektronische signalen en online communicatie. Bovendien werken deze organisaties vaak samen.
De Five, Nine en Fourteen Eyes Alliances zijn drie van de belangrijkste internationale inlichtingenallianties die dit type gecoördineerd toezicht uitvoeren. Deze landen zijn ook de slechtste VPN-rechtsgebieden als het om privacy gaat.
Hier is een lijst van de belangrijkste internationale toezichtentiteiten waarvan je je bewust moet zijn:
1. De Five Eyes Alliance
De Five Eyes-landen zijn de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland.
Deze alliantie voor het delen van inlichtingen vindt zijn oorsprong in de Tweede Wereldoorlog en het UKUSA-akkoord, dat oorspronkelijk een samenwerkingsverband was tussen de Verenigde Staten en het Verenigd Koninkrijk.
Dit akkoord is in de afgelopen decennia uitgebreid, zowel qua leden als bereik. De lidstaten, die bekend staan als de Five Eyes Alliance, werken nu samen om zowel binnenlandse als internationale inlichtingen te verzamelen, analyseren en delen.
De Five Eyes-landen zijn overeengekomen om elkaar niet als tegenstanders te bespioneren, maar uit documenten die door Edward Snowden zijn gelekt, blijkt dat ze wel elkaars burgers monitoren en deze inlichtingen onderling delen.
De Five Eyes-landen delen niet alleen toezichtsgegevens, maar werken ook samen om kennisgevingen voor dataretentie te sturen en dit af te dwingen. Dat betekent dat het ene land het andere onder druk kan zetten om de logbestanden van VPN-gebruikers binnen hun rechtsgebied te overhandigen.
Het is dan ook geen verrassing dat de digitale privacy op grote schaal wordt geschonden door veel van de Five Eyes-landen.
Hier zijn enkele voorbeelden van Five Eyes-landen en hun anti-privacywetgeving:
- Verenigd Koninkrijk. Onder de Investigatory Powers Act die in 2016 werd aangenomen, worden internet- en telecomproviders in het Verenigd Koninkrijk gedwongen om de browseactiviteit, verbindingslogbestanden en berichten van hun gebruikers vast te leggen. Deze data worden twaalf maanden lang opgeslagen en zijn zonder gerechtelijk bevel beschikbaar voor derden en overheidsinstanties in het Verenigd Koninkrijk.
- Verenigde Staten. De Amerikaanse regering gaat wereldwijd op kop als het gaat om toezicht en gegevensverzameling op grote schaal. De autoriteiten worden hierbij geholpen door telecombedrijven, techbedrijven en internetproviders, zoals we hebben gezien in het PRISM-programma.In 2006 kwam aan het licht dat de Amerikaanse overheid zijn burgers zonder gerechtelijk bevel in de gaten hield door alle verkeer via het internetkanaal van AT&T af te tappen. Internetproviders in de Verenigde Staten mogen sinds maart 2017 ook gebruikersactiviteit registreren en deze informatie met winst verkopen.
- Australië. De wetten voor het verzamelen van gegevens in Australië zijn vergelijkbaar met die in het Verenigd Koninkrijk. Internetproviders zijn wettelijk verplicht metagegevens van gebruikers te monitoren en vast te leggen. Deze gegevens worden twee jaar lang bewaard en de autoriteiten hebben er zonder gerechtelijk bevel toegang toe. Bovendien kunnen bedrijven door de politie worden gedwongen om toegang te geven tot versleutelde berichten zonder dat de gebruiker hiervan op de hoogte is.
Als je je zorgen maakt over je privacy bij het gebruik van een VPN, zijn de Five Eyes-landen de slechtste VPN-rechtsgebieden.
ECHELON-afluistersysteem
De Five Eyes-landen gebruiken ECHELON, een netwerk van spionagestations voor wereldwijde bewaking en gegevensverzameling.
ECHELON kan gegevens onderscheppen die worden verzonden via telefoons, faxen en computers. ECHELON-stations kunnen bankrekeningen volgen en zelfs gegevens onderscheppen die van en naar satellieten worden gestuurd. Deze gegevens worden allemaal opgeslagen in grote databases waarin miljoenen records over individuen kunnen worden bewaard.
Hoewel er in de afgelopen 30 jaar steeds meer bewijs hiervoor is opgedoken, ontkent de Verenigde Staten het bestaan van ECHELON nog steeds, terwijl het Verenigd Koninkrijk zich op de vlakte houdt.
Er zijn echter verschillende klokkenluiders geweest die de waarheid aan het licht hebben gebracht door bepaalde aspecten van het ECHELON-project te documenteren.
2. De Nine Eyes Alliance
De Nine Eyes Alliance is een uitbreiding van de Five Eyes Alliance. Deze alliantie bestaat uit een grotere groep landen die ook samenwerken om inlichtingen te delen. Het gaat hierbij om de Five Eyes-landen plus Frankrijk, Denemarken, Noorwegen en Nederland.
Het bestaan van de Nine Eyes Alliance kwam uitgebreid in de publiciteit door de onthullingen van Edward Snowden in 2013. Het is in feite een uitbreiding van de Five Eyes-overeenkomst waarbij landen samenwerken om op grote schaal toezichtsgegevens te verzamelen en distribueren.
De vier extra landen hebben weliswaar niet zulke uitgebreide binnenlandse toezichtsprogamma’s als de Verenigde Staten, het Verenigd Koninkrijk of Australië, maar ze werken wel samen met elkaar en met de vijf landen van de oorspronkelijke alliantie.
De Nine Eyes Alliance is een afspraak tussen SIGINT-entiteiten en is niet gebaseerd op een formeel verdrag.
3. De Fourteen Eyes Alliance
De Fourteen Eyes Alliance omvat alle leden van de Nine Eyes Alliance plus Duitsland, België, Italië, Zweden en Spanje.
De officiële naam van de Fourteen Eyes Alliance is SIGINT Seniors of Europe (SSEUR), dat al sinds 1982 in verschillende vormen bestaat. Deze alliantie werd ooit opgericht om militaire inlichtingen uit te wisselen, maar verzamelt nu ook gegevens van gewone burgers.
De SIGINT Seniors Meeting is een jaarlijkse bijeenkomst van de leiders van de SIGINT-instanties, waaronder de BND, NSA, DGSE en GCHQ. Deze bijeenkomsten zijn bedoeld om wereldwijde leiders op het gebied van inlichtingen in de gelegenheid te stellen om over samenwerking en ontwikkeling te praten.
De SIGINT Seniors of the Pacific is een vergelijkbare organisatie die in 2005 werd opgericht. De leden hiervan zijn alle Five Eyes-landen plus India, Frankrijk, Singapore, Thailand en Zuid-Korea.
Er zijn echter nog meer landen, waaronder Israël en Japan, die waarschijnlijk nauw samenwerken met de 14 Eyes Alliance en de NSA.
4. De Europese Unie (EU)
De Europese Unie is een samenwerkingsverband van soevereine Europese landen. Het is een van de grootste en machtigste politieke en economische unies ter wereld, die ook problematisch is als het gaat om toezicht en gegevensprivacy.
Het samenwerkingsbeleid van de Europese Unie is veel minder verregaand of invasief dan dat van de Five, Nine en Fourteen Eyes Alliances, maar ook de lidstaten van de EU hebben verdragen voor het delen van gegevens.
Er zijn echter enkele uitzonderingen. In 2009 bepaalde het Roemeense Grondwettelijke Hof dat de eisen van de EU in strijd waren met het recht op privacy van de Roemeense burgers.
Hierdoor is Roemenië binnen de EU nu een veilige haven voor gebruikersprivacy. Dat is ook de reden waarom VPN-aanbieders zoals CyberGhost zich daar vestigen.
In sommige landen is het met de privacy beter gesteld dan in andere, maar veel landen werken samen met Five Eyes- of SSEUR-autoriteiten en staan erom bekend gegevens te delen. Houd hiermee rekening als je een VPN wilt kiezen die gevestigd is in een rechtsgebied binnen de EU.
5. De Shanghai Cooperation Organization (SCO)
De Shanghai Cooperation Organization (SCO), ook wel Shanghai Pact genoemd, is een Euraziatische politieke en economische alliantie tussen Rusland, China, Pakistan, India, Kirgizië, Kazachstan, Oezbekistan en Tadzjikistan.
De SCO richt zich in de eerste plaats op de nationale veiligheid van de eigen leden en het bestrijden van extremisme in zijn verschillende vormen.
In de afgelopen jaren zijn de activiteiten van de SCO echter uitgebreid met militaire samenwerking, het delen van inlichtingen en terrorismebestrijding. Het is zeer waarschijnlijk dat de SCO-lidstaten op ongeveer dezelfde manier data verzamelen en delen als de westerse inlichtingenorganisaties.
6. Landen met een strenge censuur
Bepaalde landen verbieden het gebruik van een VPN en schenden de privacy van hun burgers, ongeacht internationale overeenkomsten.
De landen die de kroon spannen als het gaat om internetrestricties zijn China, de Verenigde Arabische Emiraten, Turkije, Rusland, Oman, Irak en Belarus (Wit-Rusland), maar er zijn er nog veel meer.
De kans dat je een VPN of een VPN-server tegenkomt die zich fysiek in een van deze landen bevindt, is zeer klein, maar je moet toch opletten. In ons onderzoek naar gratis VPN-apps met Chinese eigenaars hebben we een heleboel VPN’s aangetroffen die banden hebben met twijfelachtige Chinese bedrijven.
Als je dataprivacy belangrijk vindt, moet je rechtsgebieden vermijden die nauwe banden hebben met deze regeringen, zoals Hongkong
In onze speciale gids over VPN-wetgeving lees je meer over de wettigheid van VPN’s en restricties voor het gebruik ervan.
