• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202, 06-34339533, signal +31684065516, info@burojansen.nl (pgp)
    Steun Buro Jansen & Janssen. Word donateur, NL43 ASNB 0856 9868 52 of NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.

  • Categorieën

  • Fox-IT in Rusland (samenvatting)

    Het Delftse computer- en beveiligingsbedrijf Fox-IT verkoopt sinds 2010 haar producten in Rusland en is hier na de invoering van de internationale sancties tegen het land in 2014 mee doorgegaan. De Nederlandse overheid is een belangrijke klant van Fox-IT. Het bedrijf verzorgt onder andere de beveiliging van staatsgeheimen.

    De Rus Evgeny Gengrinovich speelt een sleutelrol in de handel van Fox-IT met Rusland. Hij werkte in het verleden voor verschillende Russische staatsbedrijven. Vanaf 2011 promoot hij de Fox DataDiode namens het Zwitserse Snitegroup GmbH en het Russische ZAO NPF Simet. Later presenteert hij zich als vertegenwoordiger van Fox-IT en heeft hij een sleutelrol bij het aantrekken van andere tussenhandelaren.

    De tussenhandelaren van Fox-IT hebben nauwe banden met Russische staatsbedrijven in de energiesector en de financiële sector, maar ook met het Russische Ministerie van Defensie, defensiebedrijven en de Russische inlichtingendienst FSB. Het Delftse bedrijf heeft in het algemeen weinig zicht op de eindgebruikers aan wie haar producten door tussenhandelaren worden aangeboden en doorverkocht.

    Gengrinovich heeft zelf ook banden met defensie en de FSB. Zo deed hij van 2010 tot 2014 certificeringswerk voor de FSTEC (Federal Service for Technical and Export Control) en het Ministerie van Defensie. In september 2017 treedt hij als adviseur in dienst van het Russische informatiebeveiligingsbedrijf Infotecs. In 2018 wordt dit bedrijf op de Amerikaanse sanctielijst geplaatst vanwege haar banden met de Russische inlichtingendienst FSB.

    Na de invoering van de internationale sancties in 2014 gaat Fox-IT door met de verkoop van haar producten in Rusland. De oorlog in Oost-Oekraïne, de annexatie van de Krim, het neerhalen van vlucht MH17 en het instellen van de internationale sancties tegen Rusland hebben geen invloed op de verkoopactiviteiten.

     

    Verkoop in Rusland na de sancties

    In 2015 verkrijgt Fox-IT zelfs de Russische certificering voor de Fox DataDiode. Het vergroot daarmee haar toegang tot de Russische markt. De FSTEC, dat verantwoordelijk is voor de Russische certificering van de DataDiode, valt onder het Ministerie van Defensie en werkt samen met de FSB.

    Over de FSTEC-certificering en het keuringsbedrijf Echelon, dat ook de DataDiode onderzocht, bestaan al sinds 2013 twijfels. In 2017 beoordeelt het gerenommeerde Amerikaanse cybersecurity bedrijf Symantec het certificeringsproces als onvoldoende onafhankelijk van de Russische Staat en ziet het zelfs af van samenwerking met de FSTEC en Echelon.

    In 2015 is de Fox DataDiode door ARinteg, een Moskous bedrijf in informatiebeveiliging, te koop aangeboden aan onder andere Russische banken. Volgens commercieel directeur Dmitry Slobodenyuk van ARInteg heeft het bedrijf de Datadiode na de invoering van de internationale sancties in 2014 in ieder geval verkocht aan een van de grootste banken van Rusland.

    Veel Russische banken en hun topmannen zijn op de Amerikaanse en Europese sanctielijsten geplaatst vanwege hun banden met de Russische defensie-industrie. Het betreft veelal klanten van ARinteg, zoals de staatsbank Vnesheconombank VEB en de Alfa Bank, een bank die nauw verweven is met de Russische defensie-industrie.

    Fox-IT zelf onderkent tot 2015 te hebben geleverd aan Rusland, ook aan de Russische overheid. Het Delftse bedrijf maakt echter niet bekend aan welke overheidsinstanties het heeft geleverd. Het gaat echter in ieder geval om een levering van de Fox DataDiode aan het staatbedrijf RusHydro. Vanwege de nauwe banden van dit bedrijf met het Kremlin worden verschillende topmannen van RusHydro in 2018 op de Amerikaanse sanctielijst geplaatst.

     

    Exportvergunningen

    De Fox DataDiode is een soort eenrichtingsverkeer firewall tussen een publiek en een privaat netwerk waarmee toegang tot vertrouwelijke informatie gereguleerd kan worden. Het behoort sinds 2009 tot de dual-use goederen: goederen met een civiele toepassing, die ook een militaire toepassing kennen, waarvoor een exportvergunning vereist is. Volgens Fox-IT zijn overheidsinstellingen in de hele wereld, waaronder de defensie-industrie, belangrijke potentiële klanten voor de Fox DataDiode.

    In 2011 beschikte Fox-IT over een globale exportvergunning specifiek voor de Fox Datadiode, waarmee het kon exporteren naar Rusland. In 2012 en 2013 verkreeg het een exportvergunning voor ‘apparatuur voor informatiebeveiliging’ waaronder naast de DataDiode ook andere Fox-IT producten zoals Redfox en Skytale kunnen vallen. Tot op heden heeft het Ministerie van Buitenlandse Zaken niet bekend gemaakt of, en hoeveel, exportvergunningen Fox-IT sinds 2013 heeft aangevraagd en gekregen. De export van dual-use goederen zonder exportvergunning naar landen buiten de Europese Unie, waaronder Rusland, is in beginsel strafbaar.

     

    Fox-IT reageert niet op vragen van Buro Jansen & Janssen

    Op 7, 13, 19 en 20 mei 2021 heeft Buro Jansen & Janssen Fox-IT om commentaar verzocht op de bevindingen van dit onderzoek. Het Delftse bedrijf heeft tot op heden niet gereageerd. Evgeny Gengrinovich reageert ook niet op vragen van Buro Jansen & Janssen.

     

    Buro Jansen & Janssen juni 2021

     

    Artikel als pdf

    Fox-IT in Rusland (onderzoek)

    Fox-IT in Russia (summary)

    Het NFI en TNO werkten met Fox-IT aan een Surveillance Lab in Saoedi-Arabië tijdens de Arabische Lente

    Fox-IT en de Nederlandse overheid

    Documenten bij het onderzoek naar Fox-IT

    Observant #77 / juni 2021 Fox-IT in Rusland (pdf)

    Onderzoek: Fox-IT in Rusland (pdf)

    Fox-IT en het Nederlandse exportbeleid voor dual-use goederen

    Sinds de Arabische Lente zijn meerdere westerse computer- en beveiligingsbedrijven in opspraak geraakt vanwege hun leveranties aan repressieve regimes in het Midden-Oosten. Sommige bedrijven zijn daarvoor ook juridisch vervolgd. Ook in Nederland stond de export van Nederlandse bedrijven (waaronder Fox-IT) naar landen in het Midden-Oosten rond 2011 in de politieke en publieke belangstelling.

    Het Midden-Oosten was vanaf 2006 een belangrijke afzetmarkt voor het Nederlandse bedrijf Fox-IT, actief op de markt voor de surveillance-industrie in de regio. Volgens Dirk Peeters (toenmalig Vice President Business Development van het bedrijf) maakte Fox-IT in de periode 2008-2011 met de internationale verkoop een totale omzet van 20 miljoen euro. De helft hiervan (10 miljoen euro) betrof de verkoop van producten aan ‘LEA (Law Enforcement Agencies)’, waarvan 4 miljoen euro in het Midden-Oosten.

    Fox-IT richtte zich in het Midden-Oosten met name op de verkoop van de FoxReplay (interceptie-apparatuur om internetverkeer al dan niet real time te analyseren) en de DataDiode (apparatuur waarmee toegang tot vertrouwelijke informatie tussen een publiek en een privaat netwerk kan worden gereguleerd).

    De export van dual-use goederen (goederen met een civiele toepassing, die ook een militaire toepassing kunnen hebben, en waartoe ook IT-technologie en software kunnen behoren) naar landen buiten de Europese Unie is vergunningsplichtig. Bedrijven dienen een exportvergunning aan te vragen bij de Afdeling Exportcontrole en Strategische Goederen – deze valt sinds 2013 onder het Ministerie van Buitenlandse Zaken, en daarvoor onder het Ministerie van Economische Zaken.

    In dit onderzoek gaat Buro Jansen & Janssen in op de beoordeling door de Nederlandse overheid van de aanvragen voor exportvergunningen van Fox-IT in de periode 2006-2013, met bijzondere aandacht voor de export van het bedrijf naar het Midden-Oosten.

     

    Onderzoek Buro Jansen & Janssen

    Uit documenten die door de Nederlandse overheid via de Wet Openbaarheid Bestuur openbaar zijn gemaakt blijkt dat Fox-IT in de periode 2006-2010 geen enkele exportvergunning heeft aangevraagd, en dat het bedrijf nooit een exportvergunning heeft aangevraagd voor de FoxReplay.

    In de periode 2011-2013 ontving Fox-IT jaarlijks een globale exportvergunning voor de DataDiode waarmee het kon exporteren naar klanten in de hele wereld. Hiermee bestond het risico dat de producten van het bedrijf in handen kwamen van repressieve regimes in het Midden-Oosten, zeker daar Fox-IT exporteerde naar partnerbedrijven die haar producten in de regio doorverkochten.

    Het exportbeleid voor dual-use goederen vereist een risicoanalyse om ongewenst eindgebruik te voorkomen. Daarvan was in de praktijk echter geen sprake omdat de Afdeling Exportcontrole meer prioriteit gaf aan het faciliteren van de export van het bedrijf.

    In 2011 uitte de Tweede Kamer haar zorgen over mogelijk misbruik van door Nederlandse computer- en beveiligingsbedrijven (waaronder Fox-IT) geëxporteerde dual-use producten aan landen in het Midden-Oosten. Fox-IT had een bepalende rol bij de beantwoording van Kamervragen. Ook bij beantwoording van WOB-verzoeken heeft het bedrijf veel invloed op welke informatie door de overheid openbaar wordt gemaakt.

     

    Export zonder vergunning

    Fox-IT heeft in de periode 2006-2010 geen enkele exportvergunning aangevraagd en heeft nooit een exportvergunning aangevraagd voor de FoxReplay. Het is echter duidelijk dat het bedrijf haar producten (waaronder FoxReplay) in deze periode heeft geëxporteerd, ook naar landen buiten de Europese Unie.

    Na de oprichting van het bedrijf in 1999 werd Fox-IT steeds meer internationaal actief. Zo schreef het bedrijf in december 2006 in haar nieuwsbrief dat het ‘een internationale sales force heeft opgericht waarmee we voornamelijk producten aan law enforcement organisaties zullen aanbieden. Denk hierbij aan de data diode, de tapanalyse software FoxReplay en onze cryptografische producten.’ Het bedrijf breidde haar internationale sales force in de hierop volgende jaren uit: in 2010 bestond deze uit acht accountmanagers en sales engineers.

    Fox-IT berichtte zelf ook over de export van de FoxReplay. Op 26 september 2011 meldde het bedrijf in een persbericht: ‘FoxReplay Analyst is in gebruik door overheidsinstellingen over de hele wereld. FoxReplay Analyst biedt analisten vertrouwde en gedetailleerde real-time interpretatie van internetactiviteiten van de gebruikers op een logische manier in de juiste context.’

    Fox-IT exporteerde in de periode 2006-2010 ook de DataDiode. Peter Geytenbeek (sinds 2014 international salesmanager van Fox-IT) verklaarde in 2017 dat het bedrijf de DataDiode sinds 2008 naar landen in de hele wereld exporteert: ‘Since 2008 Fox-IT has successfully installed over hundreds of Fox DataDiode’s in over 40 countries, covering every geographical region except Antarctica.’

    De handelwijze van Fox-It roept vragen op. Het exporteren van dual-use goederen zonder exportvergunning naar landen buiten de Europese Unie is in beginsel strafbaar.

      

    Fox-IT in het Midden-Oosten

    Het Midden-Oosten werd vanaf 2006 een belangrijke afzetmarkt voor Fox-IT, waarbij het zich vooral richtte op de verkoop van de FoxReplay en de DataDiode. Het bedrijf berichtte hierover in haar eigen nieuwsbrieven en websites. Het bedrijf maakte in haar ‘Fox bericht’ van december 2006 melding van de aanstelling van Matthijs van der Wel als Manager Business Development EMEA (Europe Middle East Africa). In november 2007 werd hij opgevolgd door Rens de Wolf.

    Volgens zijn LinkedIn account was Van der Wel van november 2007 tot maart 2010 ‘International sales manager for Fox-IT (crypto and lawful interception) products in Europe, Middle East and Africa. Target groups are governmental bodies with a need for state secret level security and/or active in the lawful interception/SIGINT business.’

    Volgens Dirk Peeters (van 2008 tot 2011 Vice President Business Development van het bedrijf) bedroeg de omzet van de verkoop aan Law Enforcement Agencies in het Midden-Oosten in deze periode 4 miljoen euro. Volgens Peeters exporteerde Fox-IT tussen 2008 en 2011 naar Dubai, Abu Dhabi, Oman, Saoedi-Arabië, Israël en Jordanië. Dirk Peeters werkte na Fox-IT bij Netscout en BAE Systems AI alvorens te solliciteren bij het Italiaanse bedrijf Hacking Team.

    Fox-IT gaf in haar nieuwsbrieven en websites enige ruchtbaarheid over haar activiteiten in het Midden-Oosten, zoals deelname aan beurzen en bezoeken aan de regio. Het bedrijf heeft nooit duidelijk gemaakt aan welke landen in de regio het wel en niet heeft geleverd, maar publiceerde wel enige details over haar verkoopactiviteiten.

    Zo berichtte het in 2008 op haar website dat het aftaptechnologie exporteerde aan politie en intelligence diensten in het Midden-Oosten: ‘In other parts of the world, including the Middle east and the USA, Fox-IT is represented by partners offering selected Fox-IT solutions. In 2006 the foundation of FoxReplay took place. This business unit develops for the analysis of intercepted internet traffic for police and intelligence organisations all over the world. Her market has expanded to big parts of Europe, the Middle East, the Caribbean and America.’

    De Nederlandse overheid was op de hoogte van de verkoopactiviteiten van het bedrijf in het Midden-Oosten. Fox-IT was van 2007 tot 2011 jaarlijks met een infokraam of presentaties aanwezig op de ISS (Intelligence Support Systems) World MEA (Middle East and Africa), een handelsbeurs voor afluister- en surveillance-apparatuur.

    Deze beurzen werden bezocht door medewerkers van legers, politie en inlichtingendiensten uit verschillende landen in het Midden-Oosten. Ook de Nederlandse overheid bezocht deze beurzen: in 2007 alleen ambtenaren van het Ministerie van Binnenlandse Zaken, in 2008 ook ambtenaren van Justitie en Defensie, en in de jaren hierna bezochten ook de Nederlandse politie en het Openbaar Ministerie ISS World beurzen in het Midden-Oosten en Europa.

    Ook ambtenaren van het Ministerie van Economische Zaken (waaronder de Afdeling Exportcontrole tot 2013 viel) bezochten ISS beurzen. Tevens benaderde het Ministerie van Economische Zaken in 2008 Fox-IT voor deelname aan een onderzoek naar de defensie gerelateerde industrie in Nederland. Het aanschrijven van het bedrijf voor dit onderzoek duidt erop dat het Ministerie op de hoogte was dat Fox-IT dual-use goederen produceerde en exporteerde.

    Het Ministerie heeft via de WOB enige informatie over het onderzoek openbaar gemaakt. In de vragenlijst die Fox-It op 4 januari 2008 door het Ministerie werd toegestuurd, werd het bedrijf onder meer gevraagd: ‘Richt u zich met uw defensiewerkzaamheden op de Nederlandse of op de buitenlandse markt’ (vraag 22) en ‘In welke landen u voornamelijk actief bent?'(vraag 23). Het is niet bekend of (en hoe volledig) Fox-IT de vragenlijst heeft ingevuld, omdat de antwoorden van Fox-IT en de uitkomsten van het onderzoek niet openbaar zijn gemaakt.

    Fox-IT had ook met Nederlandse ambassades in het Midden-Oosten contact over haar verkoopactiviteiten in de regio. In 2007 gaf het bedrijf tijdens tours door de regio besloten workshops aan overheidsinstanties, militairen en inlichtingendiensten in onder meer Egypte, Syrië, Saoedi-Arabië en de Verenigde Arabische Emiraten, vooral gericht op de verkoop van de FoxReplay en DataDiode.

    Matthijs van der Wel had tijdens deze tours afspraken met vertegenwoordigers van Nederlandse ambassades in Saoedi-Arabië en Syrië. Zo had hij op 20 mei 2007 een lunchafspraak met de Nederlandse ambassade in Damascus. Een dag later (op 21 mei) gaf hij een workshop aan vertegenwoordigers van de Syrische overheid en inlichtingendiensten in het Four Seasons Hotel in Damascus.

    Fox-IT werkte in de regio zelfs samen met twee overheidsorganen, het NFI (Nationaal Forensisch Instituut) en TNO (Nederlandse Organisatie voor Toegepast natuurwetenschappelijk Onderzoek). De samenwerking betrof de voorbereidingen van het Surveillance Lab in Saoedi-Arabië in 2011, het opzetten van een landelijk netwerk van telefoon- en internetsurveillance onder verantwoordelijkheid van het Saoedische Ministerie van Binnenlandse Zaken.

    De Nederlandse overheid was dus op allerlei manieren op de hoogte van de verkoopactiviteiten van Fox-IT in het Midden-Oosten. Het vormde voor de Afdeling Exportcontrole en Strategische Goederen echter geen aanleiding om het bedrijf hierop aan te spreken en te wijzen op haar wettelijke verplichting een exportvergunning aan te vragen.

     

    2011-2013 Export met vergunningen

    De Nederlandse overheid heeft enkele documenten openbaar gemaakt over door Fox-IT ingediende aanvragen voor exportvergunningen in de periode 2011-2013. Het bedrijf ontving in deze periode drie globale vergunningen voor klanten van Fox-IT in de gehele wereld (m.u.v. moeilijke landen).

    De Afdeling Exportcontrole en Strategische Goederen baseert zich bij de beoordeling van aanvragen voor exportvergunningen op de Europese lijst voor dual-use goederen (opgenomen als bijlage I in de dual-use verordening 428/2009). Voor de producten van computer- en beveiligingsbedrijven is met name categorie 5 (Telecommunicatie en informatiebeveiliging) relevant. De lijst bevat geen namen van specifieke producten, maar verschillende categorieën van productomschrijvingen met bijbehorende codes. Exportvergunningen zijn in beginsel een jaar geldig, maar soms worden er vergunningen voor een langere periode verleend.

    De overheid publiceert sinds 2004 een overzicht van de verstrekte exportvergunningen: de Maandelijkse Rapportage uitvoer dual-use goederen. De Rapportage bevat een beperkte hoeveelheid informatie. De naam van het exporterende bedrijf wordt niet gepubliceerd. Ook de naam van het product waarvoor een exportvergunning is verleend wordt in het overzicht niet genoemd, maar slechts een algemene omschrijving (zoals bijvoorbeeld ‘apparatuur voor informatiebeveiliging’).

    Exportvergunningen worden vaak verleend voor export naar een specifiek land. Er worden echter ook globale exportvergunningen verleend voor ‘de wereld m.u.v. moeilijke landen’ (Noord-Korea en Iran). Hierbij is het dus onbekend naar welke landen een bedrijf exporteert en is er geen zicht op de eindgebruiker en eindtoepassing. De rapportage vermeldt evenmin of een bedrijf exporteert naar een partnerbedrijf, dat de producten vervolgens weer doorverkoopt, waarmee er dus nog minder zicht is op de eindgebruiker.

    Het exportbeleid voor dual-use goederen suggereert een risicoanalyse om ongewenst eindgebruik te voorkomen. Het Handboek Strategische Goederen en Diensten stelt: ‘Het Nederlands dual-use exportcontrolesysteem is gebaseerd op risicoanalyses. De nadruk ligt bij de controle vooraf. Het gaat er om met behulp van risicoanalyses en, waar nodig, het verkrijgen van extra waarborgen, de risico’s van ongewenst gebruik of doorgeleiding naar een onwenselijke bestemming tot een minimum te beperken.’

    Uit een reconstructie van de afhandeling van de aanvragen voor de exportvergunningen in 2011-2013 blijkt dat er in de praktijk nauwelijks sprake is van een risicoanalyse. Fox-IT verstrekt de Afdeling Exportcontrole nauwelijks informatie over de eindgebruikers van de te exporteren producten. De Afdeling vraagt het bedrijf nauwelijks om informatie, die noodzakelijk is voor het maken van een risicoanalyse om ongewenst eindgebruik te voorkomen.

     

    Eerste aanvraag exportvergunning

    Op 17 februari 2011 doet Fox-IT voor de eerste keer een aanvraag voor een exportvergunning. Het bedrijf vraagt een globale exportvergunning aan voor klanten van Fox Crypto in de gehele wereld (m.u.v. moeilijke landen). De aanvraag is voor de DataDiode (Fort Fox hardware data diode FFHDD2+) met als eindgebruik ‘het koppelen van hoog gerubriceerde netwerken aan laag gerubriceerde netwerken’. De aanvraag wordt binnen enkele dagen (op 21 februari) gehonoreerd en is een jaar geldig.

    Opvallend is een opmerking in het pre-advies van het CDIU (Centrale Dienst voor In en Uitvoer van de Douane): ‘Het product is recentelijk goedgekeurd voor EAL 7+. Hierdoor is het op de lijst van dual-use goederen gekomen.’ De informatie in het pre-advies is afkomstig van Fox-IT.

    Fox-IT refereert hiermee aan de EAL-7 certificering, die het in juni 2010 voor de DataDiode verkreeg. EAL (Evaluation Assurance Level) is een internationale norm voor IT-veiligheidscertificeringen, EAL-7 is het hoogste gegarandeerde waarderingsniveau. Fox-IT stelt dat de DataDiode pas na het verkrijgen van de EAL-7 certificering vergunningsplichtig is geworden.

    Dit is echter onjuist, aangezien ook producten met een lagere EAL certificering vergunningsplichtig kunnen zijn. In 2009 verkreeg Fox-IT voor de DataDiode al een EAL-6 certificering, waarmee het product in ieder geval vergunningsplichtig werd. Volgens het Handboek Strategische Goederen zijn vergunningsplichtig: telecommunicatie en informatiebeveilingsproducten met de code 5A002a7 (niet-cryptografische beveiligingssystemen en –voorzieningen voor informatie- en communicatietechnologie (ICT), met een beveiligingsniveau hoger dan of gelijkwaardig aan klasse EAL-6)

    De opmerking over de EAL-certificering leidt bij de Afdeling Exportcontrole echter niet tot vragen aan het bedrijf. Het ontgaat de Afdeling dat de export van de DataDiode al eerder vergunningsplichtig was en de Afdeling vraagt het bedrijf niet of het de DataDiode in voorgaande jaren geëxporteerd heeft.

    Wanneer bedrijven een exportvergunning aanvragen voor een product dat cryptografie bevat dienen zij een zogenaamd cryptoformulier in te vullen. Fox-IT voegt bij de aanvraag echter geen cryptoformulier bij. Volgens het bedrijf bevat de DataDiode geen cryptografie, hoewel het op haar website als een van haar cryptografische producten genoemd wordt. Het CDIU pre-advies vermeldt: ‘Het product is door certificering op de Cryptolijst gekomen, terwijl het geen crypto bevat. Het beschermt netwerken gebaseerd op de wetten van de fysica en niet met crypto.’

    De Afdeling vraagt Fox-IT niet naar het cryptoformulier. Door het cryptoformulier niet in te vullen hoeft Fox-IT minder informatie te verschaffen over de eindgebruikers. In het cryptoformulier wordt bedrijven namelijk gevraagd om aan te geven tot welke van de vier categorieën (financiële instelling, overheidsinstelling, bedrijf, particulier) de eindgebruikers behoren.

     

    De klanten van Fox-IT

    Met het verstrekken van een globale exportvergunning heeft de Afdeling Exportcontrole en Strategische Goederen geen zicht op de eindgebruikers. Fox-IT mag niet exporteren naar de zogenaamde ‘moeilijke landen’ (zoals Noord-Korea en Iran), maar verder bevat de vergunning geen beperkingen aan welke landen en klanten het bedrijf de DataDiode kan leveren.

    Fox-IT verstrekt de Afdeling geen informatie wie haar ‘klanten in de gehele wereld’ zijn. Het kunnen overheidsinstellingen zijn, maar ook partnerbedrijven die de DataDiode doorverkopen. De Afdeling verzoekt het bedrijf echter niet om nadere informatie te verstrekken over haar klanten. Van een risicoanalyse over mogelijk ongewenst eindgebruik is hierdoor geen sprake. Zeker daar Fox-IT in het Midden-Oosten samenwerkt met partnerbedrijven die haar producten in de regio doorverkopen.

    In het Midden-Oosten werkt Fox-IT vanaf 2006 samen met het Duitse bedrijf AGT (Advanced German Technology). AGT had kantoren in Syrië, Egypte, Saoedi-Arabië en de Verenigde Arabische Emiraten, en verkocht technologie van Westerse bedrijven door aan landen in het Midden-Oosten. Tot haar klanten behoorden overheidsinstellingen, zoals het Egyptische Ministerie voor Communicatie en Informatie Technologie en het Syrische staatsbedrijf STE (Syria Telecommunication Establishment), dat toezicht houdt op de telecommunicatie in het land.

    Fox-IT en AGT sloten in 2007 een reseller agreement. Hierin waren geen voorwaarden opgenomen over aan welke klanten AGT de producten van Fox-IT kon doorverkopen. Fox-IT had zelf weinig zicht op wie de eindgebruikers waren van de door het bedrijf geëxporteerde producten en voor welke doeleinden deze gebruikt werden. Gezien de klantenkring van AGT was er een reëel risico dat de producten van Fox-IT terecht kwamen in landen met repressieve regimes, zoals Syrië, Egypte en Saoedi-Arabië.

    Een andere partner van Fox-IT in het Midden-Oosten is GSN (Global Security Network), een Frans bedrijf dat gevestigd is in Dubai. Fox-It werkt sinds 2010 samen met het bedrijf, dat regeringen, militairen en inlichtingendiensten in het Midden-Oosten als klant heeft. GSN omschrijft zichzelf als een bedrijf met ‘experience in delivering high-end IT Security projects in Middle East since 1999’ en vermeldt op haar website: ‘GSN is serving government defense and intelligence organizations. As such GSN has achieved the status of being a ‘trusted’ security vendor for these organizations.’

    GSN opereert als reseller van de DataDiode in het Midden-Oosten. GSN communiceert geen details over de landen en klanten aan wie het de DataDiode verkoopt. In november 2010 berichtte Fox-IT in haar nieuwsbrief Fox Files over de levering van de DataDiode aan een inlichtingendienst in een land in het Midden-Oosten: ‘At the moment, Fox-IT is represented by partners in the Middle East and the United States, among others. A recent example is a project where Fox-IT and partner GSN (Global Security Network) implemented the Fox Data Diode for an intelligence service.’

     

    Contact over FoxReplay

    Twee maanden na de toekenning van de eerste exportvergunning zoekt Fox-IT opnieuw contact met de Afdeling Exportcontrole en Strategische Goederen. Op 27 april 2011 mailt een medewerker van Fox-IT: ‘Naar aanleiding van de gesprekken die mijn collega’s (…) onlangs met jullie hebben gehad, vroeg ik mij af of het mogelijk is een praktijksituatie waar wij momenteel voor staan aan jullie voor te leggen. Ik doe het stiekem alvast.’

    Fox IT refereert met ‘de gesprekken’ aan een gesprek op 12 april tussen het Ministerie van Economische Zaken en enkele Nederlandse computer- en beveiligingsbedrijven, naar aanleiding van in maart gestelde Kamervragen over mogelijke export van IT-technologie aan repressieve regimes in het Midden-Oosten.

    Het gaat om een verzoek om levering van de FoxReplay: ‘een partner (…) heeft gevraagd of wij FoxReplay Analyst kunnen leveren aan de (…) Met behulp van FoxReplay Analyst kan onderschept Internet- en ander IP-verkeer op eenvoudige wijze inzichtelijk en doorzoekbaar gemaakt worden. Vooralsnog is niet bekend hoe de (…) de oplossing precies wil inzetten. Wel is gevraagd of we een demonstratie kunnen verzorgen in (…).’

    Het Ministerie maakt niet openbaar om welk land en om welke instantie het gaat – deze informatie is onleesbaar gemaakt. Uit de WOB-documenten wordt evenmin duidelijk of Fox-IT in dit geval een exportvergunning heeft aangevraagd.

    Het is de eerste (en enige) keer dat Fox-IT met de Afdeling Exportcontrole en Strategische Goederen contact zoekt over de FoxReplay. Dit is opmerkelijk, omdat het bedrijf zich al sinds 2006 richt op de internationale verkoop van het product. De mail van Fox-IT leidt bij de Afdeling echter niet tot vragen aan het bedrijf. De Afdeling vraagt niet waarom het voor de Replay niet eerder een exportvergunning heeft aangevraagd, en vraagt niet naar welke landen en klanten het de Replay in voorgaande jaren heeft geëxporteerd.

     

    Risicoanalyse

    Vanwege het aflopen van de in februari 2011 verleende vergunning vraagt Fox-It een jaar later, op 28 maart 2012, een nieuwe exportvergunning aan. Het betreft wederom een globale exportvergunning voor klanten van Fox Crypto in de wereld (m.u.v. moeilijke landen). De aanvraag betreft deze keer niet alleen de DataDiode, maar ook de producten RedFox en SkyTale. RedFox is een cryptomodule. SkyTale is een high-security-netwerkversleuteling voor het tactische en mobiele domein.

    Fox-IT vult (in tegenstelling tot de eerste aanvraag van februari 2011) het cryptoformulier summier in. Bij de vraag naar de eindgebruikers zijn beide categorieën (overheidsinstellingen en niet-overheidsinstellingen) aangevinkt. Fox-IT kondigt aan dat het cryptoformulier later per fax zal toezenden.

    In tegenstelling tot de vorige aanvraag verzoekt de Afdeling Exportcontrole en Strategische Goederen het bedrijf nu wel om aanvullende informatie over zowel de dual-use toepassing van de producten als de eindgebruikers. Gedurende 2011 stond de mogelijke export van aftaptechnologie door Nederlandse bedrijven aan repressieve regimes in het Midden-Oosten in de politieke en publieke belangstelling. Mogelijk heeft de Afdeling hierdoor nu meer aandacht voor het maken van een risicoanalyse van mogelijk ongewenst eindgebruik.

    Er vindt overleg plaats. De Afdeling vraagt het bedrijf om meer informatie over de dual-use toepassing van de DataDiode, RedFox en SkyTale. Een interne notitie vermeldt: ‘DataDiode, hoogwaardige technologie, level 7 (EAL), behoort tot de top 3 in de wereld. RedFox, hoogwaardige crypto, Stg niveau, gemaakt in opdracht. SkyTale, hoogwaardige crypto, voor lage bandbreedte.’

    Ook wil de Afdeling meer informatie ontvangen over de eindgebruikers. Een medewerker van de Afdeling vermeldt in een interne notitie van 27 juni: ‘Bedrijf gaat nieuwe aanvraag doen; (…) stelt voor geen algemene vergunning af te geven omdat hij wil weten wie wat ontvangt.’

    De aanvraag komt te vervallen. Op 19 juli meldt de Afdeling aan het CDIU: ‘Het bedrijf is op 13 juli bij het Ministerie EL&I op bezoek geweest. Aldaar besproken dat het bedrijf een nieuwe aangepaste aanvraag in gaat dienen.’

    Met het verzoek om nadere informatie te verstrekken over de dual-use toepassing en de eindgebruikers geeft de Afdeling Exportcontrole en Strategische Goederen dus invulling aan de beleidsmatig vereiste risicoanalyse om ongewenst eindgebruik te voorkomen. Tegelijkertijd moet het de Afdeling (wederom) duidelijk zijn geworden dat Fox-IT in voorgaande jaren heeft geëxporteerd zonder een exportvergunning aan te vragen. Zo mailt het bedrijf op 25 juli: ‘(…) onze hartelijke dank voor de ontvangst op 17 juli, waarbij we hebben kennisgemaakt, en veel hebben geleerd over de zaken die komen kijken bij bet internationaal verkopen van de producten van Fox Crypto.’

     

    Sluitende administratie

    Fox-IT gaat aan de slag met de voorbereidingen van een nieuwe aanvraag. In de mail van 25 juli 2012 kondigt het bedrijf aan voor de DataDiode een ‘globale vergunning op maat’ aan te vragen. Voor de RedFox wordt vanaf 2013 ‘per project een individuele vergunning (…) aangevraagd’. SkyTale, dat nog wel was opgenomen in de aanvraag van maart 2012, wordt door het bedrijf niet meer genoemd.

    Voor de DataDiode verstrekt Fox-IT een landenlijst en een lijst met wederverkopers – deze zijn in de WOB-documenten onleesbaar gemaakt. Tevens meldt het bedrijf: ‘We houden een sluitende administratie bij van uitgeleverde (en geretourneerde) exemplaren, zowel export buiten de EU, als leveringen binnen de EU en binnen (…) Per kwartaal informeren we EL&I met een overzicht van uitgeleverde (en geretourneerde) exemplaren.’

    Het is onduidelijk of het bedrijf daadwerkelijk over een administratie van de export van de DataDiode beschikt en of het deze met de Afdeling Exportcontrole heeft gedeeld. Het Ministerie heeft een dergelijke administratie niet openbaar gemaakt.

    Voor RedFox verstrekt Fox-IT geen lijst met landen en wederverkopers. Het bedrijf schrijft: ‘Dit speelt vanaf begin 2013.’ Deze opmerking suggereert dat het bedrijf RedFox nog niet eerder geëxporteerd heeft. Dit is opmerkelijk omdat het bedrijf al sinds 2005 bezig is met de ontwikkeling van het product. De Afdeling vraagt het bedrijf echter niet om verduidelijking en of het RedFox in voorgaande jaren geëxporteerd heeft.

    Fox-IT somt op hoe de procedure voor de RedFox zal verlopen: ‘Per project zal een individuele vergunning worden aangevraagd. De vergunningen worden vooraf doorgesproken met het (…). De verwachting is dat het advies van (…) leidend zal zijn. (…) Er zal een zeer nauwkeurige administratie wordt bijgehouden zodat elk exemplaar gevolgd kan worden.’

    Ook met betrekking tot RedFox is het niet bekend of het bedrijf een dergelijke nauwkeurige administratie van de export heeft bijgehouden en aan de Afdeling heeft verstrekt. Het Ministerie heeft deze niet openbaar gemaakt.

     

    Tweede globale exportvergunning

    Enkele maanden later, op 26 september 2012, dient Fox-IT de nieuwe aanvraag in. Fox-It vraagt (wederom) een globale exportvergunning aan voor klanten in de hele wereld. De vergunning wordt op 12 oktober toegewezen. Opmerkelijk genoeg wordt de naam van het te exporteren product in de toekenning niet vermeld, maar wordt de algemene term ‘apparatuur voor informatiebeveiliging’ (met als eindgebruik netwerkbeveiliging) gehanteerd.

    Uit de toekenning kan eigenlijk niet worden opgemaakt voor welk product de exportvergunning wordt verleend. De in de toekenning genoemde SG Post code 5A002a7 lijkt er echter op te duiden dat de vergunning wordt verleend voor de DataDiode.

    Fox-IT noemt RedFox in de aanvraag niet, hoewel het bedrijf het product in de aanvraag van maart nog had opgenomen en het in juli nog aankondigde RedFox vanaf 2013 te gaan exporteren. De Afdeling verzoekt echter niet om verduidelijking en vraagt niet of het bedrijf voornemens is om RedFox onder deze exportvergunning te gaan exporteren, of dat het voor RedFox nog een aparte exportvergunning zal aanvragen. Het Ministerie heeft via de WOB geen informatie over andere exportaanvragen voor RedFox openbaar gemaakt.

    Fox-IT vraagt een globale exportvergunning aan voor klanten in de hele wereld. Hiermee verschilt de aanvraag niet met de in maart ingediende aanvraag. De Afdeling Exportcontrole en Strategische Goederen had toen nog bezwaren vanwege het gebrek aan informatie over de eindgebruikers, maar de Afdeling laat deze bezwaren nu vallen. Het gebrek aan informatie over de eindgebruikers vormt geen beletsel meer voor het verlenen van een globale exportvergunning, het maken van een risicoanalyse van mogelijk ongewenst eindgebruik heeft geen prioriteit meer.

    De Afdeling is vervolgens ook behulpzaam bij een probleem tussen Fox-IT en de douane. Fox-IT heeft bij de aanvraag geen cryptoformulier bijgevoegd, hoewel het bedrijf in maart 2012 nog aankondigde het cryptoformulier toe te zullen zenden. De Afdeling vraagt het bedrijf niet meer naar het cryptoformulier, maar de douane doet dit wel. Fox-IT informeert de Afdeling hierover en mailt op 25 september: ‘Douane Groningen vraagt om een cryptoformulier (…) Ik heb begrepen dat jij even in de telefoon klimt.’

    De contactpersoon van de Afdeling Exportcontrole en Strategische Goederen mailt een dag later vanuit Wenen terug: ‘Uit Wenen kan ik je berichten dat een cryptoformulier niet nodig zal zijn. Je krijgt nog bericht. Zaak zal er niet door worden opgehouden. Excuses voor ogenschijnlijk geharrewar.’

     

    Faciliteren export heeft prioriteit

    Het faciliteren van de export van Fox-IT heeft bij het verlenen van de exportvergunning in oktober 2012 dus meer prioriteit dan het maken van een risicoanalyse over mogelijk ongewenst eindgebruik. De Afdeling Exportcontrole is het bedrijf in dezelfde periode ook behulpzaam bij een andere kwestie.

    Op 5 oktober 2012, mailt Fox-IT de Afdeling voor het maken van een afspraak: ‘Fox Crypto is benaderd met de vraag of we één onze IT-beveiligingsproducten (…) zouden kunnen/willen leveren aan (…) De toepassing van het product en het doelland zijn zodanig dat we graag even met jullie van gedachten zouden willen wisselen om te bepalen of daar bezwaren aan kleven.’ Het gaat om het product SkyTale, dat door Fox-IT ook was opgenomen in de aanvraag van maart 2012 (maar in de maanden hierna door het bedrijf niet meer werd genoemd). De naam van het ontvangende land is in de WOB-documenten onleesbaar gemaakt.

    Er volgt een afspraak op 16 oktober met als onderwerp de ‘exportvraag over een ongebruikelijk land’. De Afdeling Exportcontrole en Strategische Goederen verzoekt om nadere informatie over de dual-use toepassing van SkyTale en over de eindgebruikers, en mailt op 19 oktober: ‘We hebben op dit moment dus te weinig informatie om die inschatting te kunnen maken of het militair dan wel civiel product betreft dat zou worden uitgevoerd. Er is echter ook een ander probleem. Het zou ook behulpzaam zijn als jullie meer kunnen achterhalen over de identiteit van de eindgebruiker.’

    Fox-IT antwoordt niet en verstrekt de gevraagde informatie niet. De Afdeling blijft het bedrijf echter stimuleren om de aanvraag door te zetten, waarbij het haar bezwaren over het ontbreken van informatie over de dual-use toepassing en de eindgebruikers gaandeweg laat vallen.

    De Afdeling Exportcontrole en Strategische Goederen mailt het bedrijf op 2 november, omdat de indeling van SkyTale in dual-use, militair en/of SG Post (telecom toepassing) niet duidelijk wordt. De Afdeling dringt er echter niet op aan de gevraagde duidelijkheid te verschaffen, maar stelt voor om de indeling te negeren: ‘In dit geval denk ik dat dat de zaak te veel zou vertragen. Laten we die stap maar overslaan.’

    De Afdeling Exportcontrole en Strategische Goederen maakt wel de volgende inschatting: ‘Op basis van de huidige informatie die je overlegt neig ik ernaar te concluderen dat het een dual-use product betreft, 5A002a1 (crypto). Mogelijk is er ook een dual use 5A001 SG Post telecom van toepassing, kijk daar even naar graag. Deze conclusie onder voorbehoud want ben afhankelijk van wat jij zegt uiteindelijk te gaan doen.’

    Fox-IT beantwoordt ook deze mail niet, waarna de Afdeling op 8 november een herinnering stuurt: ‘Ik weet niet of je nog overweegt de zaak formeel in te dienen om voor een vergunning in aanmerking te komen? Als je het indient bij de CDIU, kan je mij eventueel een seintje geven. Ik ben dan in elk geval alert op de voortgang in de stukkenstroom.’

    Nadat het bedrijf wederom niet antwoordt, mailt de Afdeling Exportcontrole en Strategische Goederen op 10 december: ‘Ik begrijp van de CDIU dat er tot op heden nog geen aanvraag voor de (gemodificeerde) SkyTale is binnen is gekomen. (…) Kan het inderdaad kloppen dat jullie nog niet aan de aanvraag toe zijn, of zien we hier iets over het hoofd?’

    De gang van zaken is opmerkelijk en vergelijkbaar met de gang van zaken rond de verlening van de exportvergunning in oktober 2012. In plaats van te wachten tot Fox-IT de gevraagde informatie verstrekt, geeft de Afdeling prioriteit aan het faciliteren van de voortgang van de aanvraag en laat het haar bezwaren vanwege het gebrek aan informatie varen.

     

    Fox-IT kent eindgebruiker niet

    De mail van 10 december wordt wel beantwoord door Fox-IT. Het bedrijf geeft aan nog steeds geen antwoord op de vragen over de dual-use toepassing van SkyTale. Het wordt nu wel echter duidelijk dat Fox-IT de vragen over de eindgebruikers niet kan beantwoorden: ‘Ik heb de klant gevraagd om adres-details van de eindgebruiker, die benodigd zijn voor de sondage, maar ik heb tot nu toe nog geen antwoord ontvangen.’

    De mail geeft inzicht in de relatie van Fox-IT met deze wederverkoper. Ondanks herhaaldelijk vragen ontvangt Fox-IT van haar partnerbedrijf geen nadere informatie over de eindgebruiker, en blijkt het dus niet te weten aan welke klant haar partnerbedrijf haar product SkyTale wil doorverkopen.

    Dit leidt bij de Afdeling Exportcontrole en Strategische Goederen echter niet tot reflectie over de risico’s van het verlenen van globale exportvergunningen. Fox-IT exporteert ook onder deze vergunningen naar partnerbedrijven, die de producten vervolgens doorverkopen. Het is zeer voorstelbaar dat Fox-IT door haar partnerbedrijven ook in deze gevallen niet geïnformeerd wordt over de identiteit van de eindgebruikers.

    De Afdeling Exportcontrole en Strategische Goederen ziet echter geen aanleiding om Fox-IT nadere informatie te vragen over de klanten naar wie het bedrijf onder de twee verstrekte globale exportvergunningen heeft geëxporteerd. De Afdeling vraagt evenmin naar de afspraken die Fox-IT hierover met haar wederverkopers heeft, en of deze het bedrijf informeren over de identiteit van de eindgebruikers aan wie zij producten doorverkoopt. De Afdeling toont ook geen terughoudendheid bij het verstrekken van een nieuwe globale exportvergunning in 2013.

     

    Derde globale exportvergunning

    Op 30 oktober 2013 vraagt Fox-IT – vanwege het aflopen van de in 2012 verleende vergunning – een nieuwe exportvergunning aan bij de Afdeling Exportcontrole en Strategische Goederen (die inmiddels valt onder het Ministerie van Buitenlandse Zaken). Het betreft een aanvraag voor een globale exportvergunning (m.u.v. moeilijke landen) voor klanten van Fox Crypto met als eindgebruik ‘beveiligde eenwegkoppeling voor vertrouwde en niet vertrouwde omgeving’.

    Fox-IT verstrekt bij de aanvraag geen eenduidige informatie over voor welk product de exportvergunning wordt aangevraagd. Het bedrijf geeft in een begeleidende e-mail van 1 november aan dat het een exportvergunning aanvraagt voor de DataDiode. Volgens het pre-advies van de CDIU is de aanvraag voor ‘een beveiligingsproduct zonder cryptografie met een EAL-7 certificaat’, hetgeen duidt op de DataDiode. In het aanvraagformulier noemt het bedrijf de naam van het product echter niet, maar gebruikt het de algemene term ‘apparatuur voor informatiebeveiliging’. Hieronder zouden – naast de DataDiode – dus ook andere producten (zoals RedFox en SkyTale) kunnen vallen.

    De Afdeling Exportcontrole en Strategische Goederen vraagt het bedrijf echter niet om een verduidelijking. De exportvergunning wordt op 20 december 2013 verleend. In de toekenning wordt geen productnaam vermeld, maar alleen de algemene term ‘apparatuur voor informatiebeveiliging’.

    Net als bij de toekenning van de twee eerdere exportvergunningen in 2011 en 2012 vraagt de Afdeling Exportcontrole en Strategische Goederen het bedrijf niet om nadere informatie over de eindgebruikers. Het toezicht op de eindgebruiker lijkt nu zelfs nog verder te worden uitgehold.

    Fox-IT vermeldt in het aanvraagformulier als ‘lidstaat waar de aangifte ten uitvoer zal worden gedaan’ naast Nederland namelijk ook Estland. Dit betekent dat Fox-IT voornemens is om vanuit Estland te exporteren, terwijl het bedrijf geen vestiging in Estland heeft. Mogelijk betekent dit dat het Estse partnerbedrijf Hermitage Solutions op basis van de exportvergunning producten van Fox-IT gaat exporteren. De Afdeling vraagt Fox-It echter niet om een verduidelijking en vraagt niet naar de redenen waarom het in de aanvraag refereert aan Estland.

     

    Zorgvuldige risicoanalyse?

    Het exportbeleid voor dual-use goederen suggereert een zorgvuldige risicoanalyse om ongewenst eindgebruik van dual-use goederen (zoals IT-technologie en software) te voorkomen. Volgens het Handboek Strategische Goederen wordt een vergunning ‘alleen verleend als de overheid de overtuiging heeft dat de goederen worden gebruikt voor het opgegeven en acceptabel bevonden eindgebruik.’

    Van een zorgvuldige risicoanalyse is in de periode 2011-2013 geen sprake. Het wordt de Afdeling Exportcontrole en Strategische Goederen op verschillende momenten duidelijk dat Fox-IT in voorgaande jaren heeft geëxporteerd zonder exportvergunning, maar de Afdeling stelt hierover geen nadere vragen aan het bedrijf.

    Fox-IT verkrijgt in 2011, 2012 en 2013 jaarlijks een globale exportvergunning, waarmee het kan exporteren naar klanten in de hele wereld. Fox-IT geeft nauwelijks informatie over de eindgebruikers naar wie het exporteert, en de Afdeling vraagt nauwelijks om nadere informatie. Hoewel het bij de Afdeling bekend is dat Fox-IT samenwerkt met partnerbedrijven die de producten van het bedrijf doorverkopen, vormt ook dit voor de Afdeling geen aanleiding om het bedrijf te vragen om meer informatie over de eindgebruikers te verstrekken.

    Met het verlenen van globale exportvergunningen bestaat het risico dat producten van Fox-IT in handen komen van repressieve regimes in bijvoorbeeld het Midden-Oosten. De Afdeling geeft echter meer prioriteit aan het faciliteren van de export van Fox-IT, dan aan het maken van een risicoanalyse om ongewenst eindgebruik te voorkomen. Bij de aanvragen voor exportvergunningen weet Fox-IT haar belangen succesvol te behartigen en komt de Afdeling Exportcontrole het bedrijf tegemoet.

    Eenzelfde beeld kwam in 2011 naar voren bij de politieke discussie over het exportbeleid voor dual-use goederen. De Tweede Kamer sprak haar zorgen uit over mogelijk misbruik van door Nederlandse bedrijven (waaronder Fox-IT) geëxporteerde IT-technologie en software naar het Midden-Oosten. De minister van Economische Zaken was niet bereid om hiernaar nader onderzoek te doen, maar gaf Fox-IT een invloedrijke rol bij de beantwoording van Kamervragen. Dit wordt duidelijk uit interne correspondentie die via de Wet Openbaarheid Bestuur openbaar is gemaakt.

     

    Minister heeft geen overzicht voor handen

    Op 15 maart 2011 stelt GroenLinks Tweede Kamerlid El-Fassed Kamervragen aan de minister van Economische Zaken, Landbouw en Innovatie (zoals het Ministerie destijds genoemd werd) over de deelname van Nederlandse bedrijven aan de ISS World surveillance beurs in Dubai.

    De minister wordt gevraagd om een overzicht ‘van recente en lopende contracten van Nederlandse bedrijven met overheden en telecombedrijven in het Midden-Oosten en Afrika omtrent de levering van technologie voor en expertise over het aftappen, filteren en blokkeren van telecommunicatie.’ Ook wordt de minister gevraagd om een nader onderzoek in te stellen naar de risico’s van ongewenst eindgebruik van door Nederlandse bedrijven geëxporteerde producten.

    De beantwoording van de minister van 12 april 2011 is summier. Hij antwoordt dat er van dergelijke contracten van Nederlandse bedrijven ‘geen overzicht voor handen is’. De vraag naar een mogelijk nader onderzoek wordt door de minister niet beantwoord, maar hij zegt wel toe in gesprek te gaan met een aantal computer- en beveiligingsbedrijven (waaronder Fox-IT).

    De minister verzuimt de Kamer te informeren dat Fox-IT in de periode 2006-2010 geen exportvergunningen heeft aangevraagd, terwijl het evident was dat Fox-IT in deze jaren exporteerde – ook naar landen in het Midden-Oosten. De export van Fox-IT zonder exportvergunning had aanleiding kunnen zijn voor nader onderzoek. Zeker daar Fox-IT in een e-mail aan het Ministerie onderkent dat Nederlandse bedrijven aftaptechnologie exporteren.

    Op 11 april 2011 schrijft een Fox-IT medewerker: ‘Voorts suggereert hij nu dat bedrijven in NL zijn die filter software/hardware exporteren. Ik denk dat dat niet juist is. Tappen wel, maar censureren gebeurt niet.’ Deze mail had aanleiding kunnen zijn om nader onderzoek te doen naar de export van Nederlandse bedrijven, waaronder Fox-IT. Het Ministerie laat het echter passeren.

     

    Ministerie wordt gesouffleerd door Fox-IT

    Het Ministerie van Economische Zaken wordt gesouffleerd door Fox-IT. Het bedrijf wil duidelijk maken dat het zich bewust is van de risico’s van mogelijk ongewenst eindgebruik van de door het bedrijf geëxporteerde producten, en dat het bedrijf hiernaar handelt. Deze boodschap wordt door het Ministerie overgenomen.

    Het door de minister toegezegde gesprek met een aantal computer- en beveiligingsbedrijven bedrijven (waaronder Fox-IT) vindt op 12 april 2011 plaats – op dezelfde dag als de Kamerbrief. Op 15 april legt het Ministerie aan Fox-IT een concept nieuwsbericht over het gesprek voor, met de vraag: ‘Ik verneem graag of u akkoord bent met dit bericht.’

    Enkele dagen later (op 18 april) antwoordt Fox-IT kribbig: ‘Van onze kant moet ik toch wat moeilijk kijkende gezichten melden.’ Het bedrijf is niet tevreden met het concept want ‘het Ministerie schetst de indruk dat onze bedrijven voorafgaande aan het gesprek nog niet zo kritisch waren over leveringen in landen met moeilijke situaties. (…) Dit beeld kwam ook al bij de oorspronkelijke beantwoording van de Kamervragen naar voren en wij (Fox-IT) herkennen ons daar niet in.’

    Vervolgens dicteert Fox-IT het Ministerie een aanpassing in het bericht: ‘Wij zouden een alinea zoals de volgende daarom waarderen: Tijdens de bijeenkomst kon geconstateerd worden dat voornoemde bedrijven zich reeds zeer bewust waren van het potentieel tot misbruik en een leveringsbeleid voerden om dit te zo veel mogelijk te voorkomen.’

    Een dag later (op 19 april) heeft het Ministerie de voorgestelde aanpassingen verwerkt en antwoordt: ‘Het lijkt me inderdaad niet goed de indruk te wekken dat jullie tot afgelopen week niet over deze thematiek hebben nadachten. We hebben geprobeerd zoveel als mogelijk je opmerking in het bericht te verwerken.’

    Elf minuten later reageert Fox-IT, omdat men nog steeds niet helemaal tevreden is: ‘Wij herkennen ons nog steeds niet voldoende in dit bericht, terwijl onze naam wel genoemd wordt.’ Exact 23 minuten later antwoordt het Ministerie: ‘Hopelijk kunnen we met bijgaande nieuwe versie jullie zorgen wegnemen. Is het voor jullie zo akkoord?’ Twee minuten later antwoordt een Fox-IT medewerker het Ministerie: ‘Dit dekt de lading goed, dank voor je inzet.’

    Het Ministerie neemt het tekstvoorstel van Fox-IT over en vermeldt in het nieuwsbericht van 19 april 2011: ‘Tijdens het gesprek gaven de bedrijven aan nu al zeer kritisch om te gaan met levering van hun producten aan landen waar de mensenrechtensituatie te wensen overlaat.’

    Tevens kondigt het nieuwsbericht aan dat overheid en bedrijven zich gezamenlijk gaan inspannen: ‘Bedrijven die internetbeveiliging exporteren gaan zich samen met de overheid inspannen om misbruik van deze technologieën tegen te gaan. Zowel de bedrijven als de overheid onderschrijven het belang van internetvrijheid en onderkennen de gevaren van mogelijk misbruik van beveiligingstechnologieën.’

    Hiermee worden de zorgen van de Kamer dus op een weinig concrete wijze geadresseerd. Opmerkelijk genoeg vindt Fox-IT dit zelf ook. Het bedrijf mailt het Ministerie op 18 april 2011: ‘Wij blijven het gevoel hebben dat een zalvende verklaring zoals nu voorgesteld mogelijk juist meer zorgen genereert dan minder, maar ik kan me goed voorstellen dat de wens bestaat iets uit te doen gaan.’

     

    Beantwoording Kamervragen

    Op 17 oktober 2011 stelt El-Fassed (GL) een tweede set Kamervragen over de export van internetfilters en aftaptechnologie door Nederlandse bedrijven, waaronder Fox-IT. Hij vraagt of het in april gevoerde gesprek met de bedrijven tot concrete stappen heeft geleid, zoals ‘de ontwikkeling van een toetsbaar beleid voor maatschappelijk verantwoord ondernemen op basis van de OESO-richtlijnen voor multinationale ondernemingen’.

    Net als bij het opstellen van het nieuwsbericht speelt Fox-IT ook bij de beantwoording van deze Kamervragen een invloedrijke rol. Het Ministerie vraagt het bedrijf om assistentie en mailt op 18 oktober: ‘Ik zou graag van u horen of er initiatieven zijn die u heeft genomen sinds het gesprek op het Ministerie van ELI, die we zouden kunnen gebruiken bij het beantwoorden van deze vragen?’

    Drie dagen later, op 21 oktober, stuurt het Ministerie een herinnering. In september heeft Fox-IT haar divisie FoxReplay ondertussen verkocht aan het Amerikaanse bedrijf Netscout. Het Ministerie blijft echter aandringen: ‘Ik hoop dat Fox-IT ook medewerking wil verlenen bij het beantwoorden van deze Kamervragen.’ Op 26 oktober antwoordt Fox-IT: ‘Fox-IT is zelf niet meer actief in de wereld van Lawful Interception dus ik vermoed dat de beantwoording zeer beperkt kan blijven.’

    Blijkbaar wil Fox-IT toch betrokken zijn bij de beantwoording van de Kamervragen, want op 27 oktober volgt een gesprek tussen het Ministerie en het bedrijf. Het Ministerie legt de concept-antwoorden op 21 november aan Fox-IT voor: ‘Ik wil u vragen om te bevestigen dat u akkoord kunt gaan met de vermelding van uw antwoorden zoals verwoord in antwoord 3. Ik heb de vrijheid genomen hier en daar een klein beetje te redigeren, maar heb getracht uw antwoorden zoveel mogelijk intact te laten.’ Fox-IT is tevreden en antwoordt met een smiley: ‘Geen bezwaar. Voor zover dat bericht niet al binnen was gekomen.’

    Fox-IT krijgt zijn zin. In de Kamerbrief van 18 januari 2012 worden de bedrijven die bij het gesprek aanwezig waren geciteerd. In de Kamerbrief wordt zeer summier verwezen naar Fox-IT verwezen in een zin, welke integraal afkomstig is uit de e-mail van het bedrijf van 26 oktober: ‘Fox IT is niet langer actief op het gebied van Lawful Interception. Alle activiteiten op dit gebied zijn overgenomen door het Amerikaanse bedrijf NetScout.’

    Het Ministerie en Fox-IT hebben niet meer gesproken over eventuele concrete stappen die het bedrijf heeft ondernomen, zoals de ontwikkeling van een beleid maatschappelijk verantwoord ondernemen. In de Kamerbrief wordt de vraag naar de ontwikkeling van een beleid maatschappelijk verantwoord ondernemen niet beantwoord.

     

    Nog altijd actief in het Midden-Oosten

    Tijdens de politieke discussie over het exportbeleid voor dual-use goederen weet Fox-IT haar belangen bij het Ministerie van Economische Zaken succesvol te behartigen. Het Ministerie verricht geen nader onderzoek en informeert de Kamer niet dat het bedrijf tot 2011 heeft geëxporteerd zonder exportvergunning.

    Het Ministerie doet de zorgen van de Kamer af met de opmerking dat Fox-IT niet langer actief is op het gebied van Lawful Interception. Dit is niet waar. Ook na de verkoop van haar divisie FoxReplay aan Netscout in september 2011 blijft Fox-IT actief op de internationale markt voor Lawful Interception producten, ook in het Midden-Oosten.

    Sinds 2010 is Fox-IT bezig met ontwikkeling van Tracks Inspector, een softwaretool om digitale informatie te filteren. Vanaf 2012 exporteert het bedrijf Tracks Inspector, ook naar landen in het Midden-Oosten waarbij het samenwerkt met partnerbedrijven die het product doorverkopen. In september 2014 gaat Tracks Inspector door als zelfstandig bedrijf, waarbij Fox IT een minderheidsaandeel blijft behouden.

    Hans Henseler (managing partner van Fox-IT en mede-ontwikkelaar van Tracks Inspector) verklaart bij de lancering van het nieuwe bedrijf in september 2014: ‘Wel zijn we in gesprek met andere bijzondere opsporingsdiensten. We zijn op dit moment eigenlijk alleen nog niet actief in China, Rusland en Zuid-Amerika.’ Het nieuwe bedrijf meldt in een persbericht: ‘De Tracks Inspector oplossing zal verder worden ontwikkeld en geleverd aan politie en zakelijke klanten via channel partners in Europa, Midden-Oosten, Azië en Noord-Amerika.’

    Fox-IT richt zich nog altijd op de internationale verkoop van de DataDiode. Volgens Peter Geytenbeek (sinds 2014 International Sales Manager van Fox-IT) verkoopt het bedrijf de DataDiode aan meer dan 40 landen. Hij verklaart in 2017: ‘Despite the increasing importance of data diode technology, the Netherlands R&D position on data diodes remains quite small globally. Cybersecurity and IT company Fox-IT is the only Netherlands-based stakeholder which is successful in exporting its technology to more than 40 countries.’

    Fox-IT werkt in het Midden-Oosten nog steeds samen met haar in de Verenigde Arabische Emiraten gevestigde partnerbedrijf GSN (Global Security Network). GSN legt zich toe op het leveren van de DataDiode aan overheidsinstellingen, militairen en law enforcement in de regio. Zo is GSN met presentaties van de DataDiode aanwezig op de ISS World beurzen in de regio.

    GSN vermeldt op haar website: ‘We focus on delivering specialized IT Security solutions such as Fox It DataDiode and Sentryo ICS monitoring solution to customers like Government High Security, Military, Law Enforcement and Critical National Infrastructure as well as Oil and Gas Companies.’

    Het is niet bekend of, en hoeveel, exportvergunningen Fox-IT sinds 2013 heeft aangevraagd. De Nederlandse overheid heeft via de WOB alleen documenten openbaar gemaakt die betrekking hebben op de periode t/m 2013.

    Uit de Maandelijkse Rapportage Uitvoer Dual-use Goederen van het Ministerie van Buitenlandse Zaken valt niet op te maken hoeveel exportvergunningen Fox-IT sinds 2013 heeft verkregen. Wel wordt uit de rapportage duidelijk dat het Ministerie jaarlijks tientallen exportvergunningen verstrekt aan Nederlandse computer- en beveiligingsbedrijven in de categorie telecommunicatie en informatiebeveiliging. Het gaat zowel om exportvergunningen voor specifieke landen (waaronder landen in het Midden-Oosten) als globale exportvergunningen voor de gehele wereld (m.u.v. moeilijke landen).

     

    Invloedrijk in beantwoording WOB-verzoeken 

    In 2011 was een patroon zichtbaar. De minister van Economische Zaken verschafte de Tweede Kamer nauwelijks informatie over de export van dual-use producten door Nederlandse computer- en beveiligingsbedrijven (waaronder Fox-IT). Fox-IT bepaalde voor een belangrijk deel de inhoud van de beantwoording van Kamervragen.

    Eenzelfde patroon wordt zichtbaar bij de beantwoording van WOB-verzoeken. Buro Jansen & Janssen heeft sinds 2014 WOB-verzoeken bij meerdere overheidsorganen ingediend over de relatie tussen de Nederlandse overheid en Fox-IT. Het bedrijf heeft veel invloed op welke informatie door de overheid openbaar wordt gemaakt.

    Naar aanleiding van de WOB-verzoeken zoekt Ronald Prins (toenmalig directeur van Fox-IT) in 2014 contact met Buro Jansen & Janssen. Hierbij wordt duidelijk dat het bedrijf is geïnformeerd over de ingediende WOB-verzoeken. Het is op zich gebruikelijk dat bedrijven een zienswijze mogen indienen bij de beantwoording van WOB-verzoeken die betrekking hebben op het betreffende bedrijf. Het is echter zeer opmerkelijk dat de overheid Fox-IT informeert over de identiteit van de indiener van het verzoek, omdat de privacy van indieners van WOB-verzoeken door de overheid conform Artikel 8 van de Wet Bescherming Persoonsgegevens beschermd dient te worden.

    Buro Jansen & Janssen heeft naar aanleiding hiervan een WOB-verzoek ingediend om informatie openbaar te maken over de wijze waarop het WOB-verzoek door het Ministerie van Economische Zaken is afgehandeld. Uit de hierop openbaar gemaakte documenten blijkt dat Fox-IT aanzienlijke invloed heeft bij de beantwoording van het WOB-verzoek, en welke informatie door het Ministerie wel en niet openbaar wordt gemaakt.

    Fox-IT schrijft in een zienswijze rond een WOB-procedure bij het Ministerie van Economische Zaken: ‘Fox-IT stelt dat het overleggen van bepaalde documenten of onderdelen daarvan de belangen van De Staat, klanten, partners, relaties en medewerkers Van Fox-IT en Fox-IT zelf onevenredig zal of kan schaden.’

    Vervolgens bekijkt Fox-IT zelf de stukken en schrijft het Ministerie voor welke informatie niet openbaar gemaakt mag worden: ‘In de bijgevoegde documenten zelf is met een markeerstift aangegeven welke onderdelen van de betreffende documenten wat Fox-IT B.V: betreft niet geopenbaard kunnen worden. Deze onderdelen dienen dan ook deugdelijk te worden verwijderd of onherkenbaar te worden gemaakt.’

    In een begeleidende brief bij de door Fox-IT met markeerstift bewerkte documenten concludeert het bedrijf tevreden: ‘Fox-IT heeft overigens ook begrepen dat op de documenten op de genoemde wijze zullen worden aangepast?’

     

    Fox-IT geeft geen antwoord

    Bij de beantwoording van de Kamervragen en WOB-verzoeken weet Fox-IT haar belangen succesvol te behartigen. Fox-IT heeft veel invloed op welke informatie door de Nederlandse overheid over het bedrijf naar buiten wordt gebracht. Fox-IT wekt hiermee de indruk iets te verbergen te hebben. Deze indruk wekt het bedrijf eigenlijk al jaren.

    In 2011 raakte Fox-IT in opspraak, mede naar aanleiding van enkele publicaties in de media over haar verkoopactiviteiten in het Midden-Oosten. Het bedrijf gaf nooit openheid van zaken. Volgens het bedrijf zou het nooit zaken hebben gedaan met dictatoriale regimes, maar toenmalig directeur Ronald Prins liet aan Vrij Nederland wel weten dat zijn bedrijf aan landen levert ‘waarvan het beleid ons niet helemaal aanspreekt.’ Hij maakte hierbij echter niet duidelijk welke landen hij hiermee bedoelde, en met welke landen het bedrijf wél zaken deed.

    In april 2019 publiceerde Buro Jansen & Janssen het onderzoek Fox-IT in het Midden-Oosten. Het onderzoek is gebaseerd op een grote hoeveelheid interne bedrijfsdocumenten en e-mails over de relatie van Fox-IT met haar Duitse partnerbedrijf AGT in de periode 2006-2012. Uit het onderzoek blijkt onder meer dat Fox-IT besloten workshops en trainingen gaf in onder andere Syrië, Egypte en Saoedi-Arabië, waar het haar producten wist te verkopen aan overheidsinstanties, militairen en inlichtingendiensten, en dat Fox-IT in 2008 een training gaf aan de National Defence Council in Egypte.

    Buro Jansen & Janssen vroeg Fox-IT om een reactie. In eerste instantie wekte Fox-IT de indruk de vragen te zullen beantwoorden, maar het bedrijf zag hier toch van af. Het bedrijf antwoordde dat de vragen van Buro Jansen & Janssen ‘tot 13 jaar terug in de tijd gaan.’ Volgens Fox-IT ‘maakt dit het lastig (wellicht onmogelijk) om feitelijk en inhoudelijk te kunnen reageren, daarom onthouden wij ons op dit moment van commentaar.’

    In december 2019 vroeg Buro Jansen & Janssen Fox-IT om een reactie over de exportvergunningen en vroeg of het klopt dat het bedrijf in de periode 2006-2010 nooit een exportvergunning heeft aangevraagd, niet voor FoxReplay en in de periode 2006-2014 ook niet voor RedFox.

    Fox-IT geeft een ontwijkend antwoord. Het bevestigt noch ontkent en schrijft op 31 december 2019: ‘Bij alles wat wij als Fox-IT doen en dus ook bij het exporteren van goederen geldt dat, wanneer wij dat doen, de daarvoor geldende wet- en regelgeving te allen tijde leidend is in ons handelen.’

    Buro Jansen & Janssen heeft Fox-IT ook gevraagd naar de juistheid van de omzetcijfers zoals gegeven door een voormalig manager van het bedrijf. Van 2008-2011 is 10 miljoen verdiend aan de export van producten aan Law Enforcement Agencies, waarvan 4 miljoen in het Midden-Oosten. Het bedrijf beantwoordt deze vraag niet en laat weten: ‘Vanuit Fox-IT doen wij geen uitspraken over behaalde (omzet)cijfers of de herkomst daarvan, anders dan door middel van de reguliere openbare publicaties.’ Dirk Peeters wil ook geen antwoord geven op vragen van Buro Jansen & Janssen en verwijst naar Fox-IT.

     

    Noodzaak nader onderzoek naar vervolging

    De waarheid over de betrokkenheid van westerse bedrijven bij de opbouw van de surveillancestaat in verschillende landen in het Midden-Oosten komt de afgelopen jaren steeds vaker boven tafel. Sommige bedrijven worden, jaren na dato, alsnog vervolgd voor leveranties aan repressieve regimes, met name Syrië en Libië.

    Ook AGT, de voornaamste partner van Fox-IT in het Midden-Oosten, kwam eind 2016 in opspraak na een onderzoek van Privacy International. Uit het onderzoek (Open Season; Building Syria’s Surveillance State) blijkt dat AGT de Syrische overheid heeft geholpen bij de opbouw van een surveillancestaat en betrokken was bij levering van technologie die door de Syrische autoriteiten werd gebruikt voor het opzetten een systeem om internet te monitoren. AGT werkte in Syrië samen met een aantal andere bedrijven die inmiddels vervolgd worden, zoals het Italiaanse bedrijf Area SpA.

    Nader onderzoek naar mogelijk strafbaar handelen van Fox-IT in het Midden-Oosten is op zijn plaats. Fox-IT heeft in 2006-2010 geen enkele exportvergunning aangevraagd en heeft nooit een exportvergunning aangevraagd voor de FoxReplay. Het exporteren van dual-use goederen naar landen buiten de Europese Unie is in beginsel strafbaar.

    Van 2011-2013 ontving Fox-IT drie globale exportvergunningen, waarmee het de DataDiode kon exporteren naar klanten in de hele wereld. De Afdeling Exportcontrole en Strategische Goederen gaf meer prioriteit aan het faciliteren van de export van het bedrijf dan het maken van de beleidsmatige vereiste risicoanalyse om ongewenst eindgebruik te voorkomen. Hiermee was er een reëel risico dat door Fox-IT geëxporteerde producten terecht kwamen bij repressieve regimes in het Midden-Oosten, zeker daar Fox-IT in de regio samenwerkte met partnerbedrijven die haar producten in de regio doorverkochten.

     

    Buro Jansen & Janssen, februari 2020

     

    Fox-IT exporteerde zonder exportvergunning naar het Midden-Oosten (samenvatting)

    Fox-IT en het Nederlandse exportbeleid voor dual-use goederen (onderzoek)

    Documenten Fox-IT en het Nederlandse exportbeleid voor dual-use goederen (documenten)

    Fox-IT exporteerde zonder exportvergunning naar het Midden-Oosten (pdf)

    Fox-IT en het Nederlandse exportbeleid voor dual-use goederen(pdf)

    Documenten Fox-IT en het Nederlandse exportbeleid voor dual-use goederen (pdf)

    Het gehele onderzoek Fox-IT en het Nederlandse exportbeleid voor dual-use goederen (pdf)