In 2007 adviseerde Fox-IT haar partnerbedrijf en tussenhandelaar AGT (Advanced German Technology) over het omzeilen van het Amerikaanse handelsembargo tegen Syrië. In 2008 gaf het bedrijf een training aan de National Defence Council in Egypte, terwijl het in 2011 betrokken was bij de opzet van het ‘Forensic Lab’, een surveillance-project van het Ministerie van Binnenlandse Zaken van Saoedi-Arabië.

Dit blijkt uit onderzoek van Buro Jansen & Janssen, gebaseerd op een grote hoeveelheid interne bedrijfsdocumenten en e-mails die het bureau heeft ontvangen over de relatie van Fox-IT met het Duitse bedrijf AGT.

Nederland als klant

Computer- en beveiligingsbedrijf Fox-IT werd in 1999 opgericht. De Nederlandse overheid werd al snel een belangrijke klant van het bedrijf. Fox-IT verzorgt de beveiliging van Nederlandse staatsgeheimen, zoals bijvoorbeeld de notulen van de Ministerraad. Naast de overheid kreeg het bedrijf veel financiële instellingen als klant, waarna het zich tevens op de internationale markt begaf.

Medeoprichter en (tot 2017) directeur van het bedrijf is Ronald Prins. Hij ontwikkelde zich tot de cybersecurity expert van Nederland en schuift aan in talkshows en actualiteitenprogramma’s op tv. In 2018 werd Prins benoemd tot lid van de TIB (Toetsingscommissie Inzet Bevoegdheden), de commissie die toezicht houdt op de Nederlandse inlichtingendiensten.

Verschillende westerse bedrijven zijn de afgelopen jaren in opspraak geraakt vanwege hun steun aan repressieve regimes en de bijdrage aan de opbouw van de surveillancestaat in verschillende landen in het Midden-Oosten in de aanloop naar de Arabische Lente van 2011.

Fox-IT bleef tot op heden buiten schot. De documenten die Buro Jansen & Janssen heeft ontvangen werpen nieuw licht op de activiteiten van het bedrijf in het Midden-Oosten en haar contacten met repressieve regimes in de regio.

ISS-World in Dubai

In 2011 kwam Fox-IT in opspraak. In Vrij Nederland (De geheimen van een supertapper, 13-08-2011) werd onthuld dat het bedrijf aanwezig was op de ISS World Conference in Dubai (Verenigde Arabische Emiraten) van 21 t/m 23 februari 2011. ISS-World (Intelligence Support Systems) is een handelsbeurs voor afluister- en surveillance-apparatuur. Naast bedrijven waren medewerkers van legers, politie en inlichtingendiensten uit verschillende landen in het Midden-Oosten aanwezig.

De aanwezigheid van het bedrijf in Dubai was opmerkelijk. De Arabische Lente was op dat moment in volle gang. Na Tunesië in december 2010 volgden grote protesten tegen dictators in andere Arabische landen zoals Egypte, Libië, Syrië, Jemen en Bahrein. Daarnaast werd bekend hoe democratiseringsbewegingen in het Midden-Oosten met behulp van door westerse bedrijven geleverde technologie de kop werden ingedrukt.

Vrij Nederland: ‘De ISS-bijeenkomst wordt gehouden op het hoogtepunt van de Arabische lente. In Egypte heeft Moebarak het internet dan al uitgeschakeld, het regime in Tunesië heeft Facebook-accounts gehackt en Syriërs kunnen alleen nog maar veilig communiceren via netwerken van buurland Turkije. Dat gebeurt met behulp van het Westen. Tenminste negen landen in de regio, waaronder Tunesië en Jemen, hebben hun filtertechnologie gekocht van westerse bedrijven als McAfee en Websense.’

De aanwezigheid van Fox-IT op ISS World riep dan ook vragen op. Levert het bedrijf haar technologie ook aan repressieve regimes in de regio? En hoe valt dit te rijmen met het imago van het bedrijf? Fox-IT is namelijk een bedrijf met een zekere pretentie.

Toenmalig directeur Ronald Prins verklaarde desgevraagd aan Vrij Nederland: „Fox-IT is er om de maatschappij veiliger te maken en niet om machthebbers te beschermen tegen hun eigen volk. Het is wel gebeurd dat landen waar een hoop commotie is opeens aan de lijn hangen en onze spullen willen kopen. En dan ben ik heel duidelijk: dat doen we dus niet.”

In hetzelfde artikel werd bovendien ook nog onthuld dat Fox-IT in 2003 aanwezig was op de International Police, Safety & Security Equipment Exhibition in Iran om nieuwe klandizie te werven. Saillant, omdat in 2009 bekend werd dat het Finse Nokia en het Duitse Siemens surveillance-apparatuur verkochten aan de opsporingsdiensten van Iran. Technologie die het regime een paar maanden later gebruikte om het oproer neer te slaan. Prins ontkende tegen Vrij Nederland dat Fox-IT producten aan Iran heeft verkocht. Wel zegt hij dat het bedrijf destijds „nog vrij naïef was. […] We zijn nu jaren verder”, aldus Prins.

Spy Files

Eind 2011 raakte Fox-IT wederom in opspraak nadat WikiLeaks de zogenoemde Spy Files openbaar maakte. In deze documenten betreffende de surveillance-industrie komen drie Nederlandse bedrijven voor: Group 2000, Pine Digital Security en Fox-IT. In een artikel in Webwereld (Grootste leverancier niet in Wikileaks Spy Files, 02-12-2011) werd de bedrijven om een reactie gevraagd.

De bedrijven (waaronder dus Fox-IT) gaven toe dat zij productaanvragen hebben ontvangen „vanuit landen als Iran, Syrië en Zimbabwe”, maar dat „zij nooit zaken hebben gedaan met dictatoriale regimes.” Prins van Fox-IT voegde hier tegen Webwereld (Fox-IT niet onder indruk WikiLeaks) nog aan toe: „We hebben wel aanvragen gehad, maar hebben die altijd geweigerd. We staan juist voor een veilige samenleving en daar passen zulke landen niet tussen.”

Hoewel Fox-IT in opspraak kwam, ging de storm ook snel weer liggen. In antwoord op Kamervragen liet de minister weten dat hij in gesprek ging met technologiebedrijven waaronder Fox-IT om hen te wijzen op „mogelijk misbruik van filtertechnologie voor antidemocratische en repressieve doeleinden.”

En daar bleef het bij, de onderste steen kwam niet boven. Fox-IT maakt niet bekend aan welke landen het levert omdat het om bedrijfsgeheimen zou gaan. Fox-IT zou nooit zaken hebben gedaan met dictatoriale regimes, maar Ronald Prins liet aan Vrij Nederland wel weten dat zijn bedrijf aan landen levert „waarvan het beleid ons niet helemaal aanspreekt.” Hij maakte hierbij echter niet duidelijk welke landen hij hiermee bedoelde, en met welke landen het bedrijf wél zaken deed.

De documenten die Buro Jansen & Janssen heeft ontvangen werpen nieuw licht op de activiteiten van Fox-IT in het Midden-Oosten. Vanaf 2006 werd die regio een steeds belangrijkere afzetmarkt voor het bedrijf. Fox-IT legde contacten in landen als Syrië, Egypte, Saoedi-Arabië en de Verenigde Arabische Emiraten en probeerde daar haar producten te verkopen.

Belangrijke afzetmarkt

Tot 2006 was Fox-IT voornamelijk in Nederland actief en jaarlijks aanwezig op de Nederlandse Infosecurity beurs in de Utrechtse Jaarbeurs. Na 2006 wordt het bedrijf steeds meer internationaal actief. Het Midden-Oosten is een belangrijke groeimarkt voor het bedrijf.

In 2006 wordt Matthijs van der Wel aangesteld als Manager Business Development EMEA (Europe, Middle East and Africa). Fox-IT schrijft december 2006 in het elfde nummer van haar nieuwsbrief Fox berichten dat het ‘een internationale sales force heeft opgericht waarmee we voornamelijk producten aan law enforcement organisaties zullen aanbieden. Denk hierbij aan de data diode, de tapanalyse software FoxReplay en onze cryptografische producten.’

Fox-IT richt zich in het Midden-Oosten met name op de verkoop van de FoxReplay en de Fox DataDiode. De FoxReplay is vanaf 2006 op de markt en behelst interceptie-apparatuur om het internetverkeer al dan niet real time te analyseren. De Fox DataDiode is een soort eenrichtingsverkeer firewall tussen een publiek en een privaat netwerk waarmee toegang tot vertrouwelijke informatie kan worden gereguleerd.

Onderdeel van de verkoopstrategie is de aanwezigheid op beurzen voor computer- en netwerkbeveiliging, afluister- en surveillancetechnologie. Ronald Prins erkende in 2011, desgevraagd de aanwezigheid van Fox-IT op twee beurzen: in Iran in 2003 en de Verenigde Arabische Emiraten in 2011.

Surveillancebeurzen

Dit zijn echter niet de enige twee beurzen in het Midden-Oosten waar het bedrijf aanwezig is. Uit onderzoek van Buro Jansen & Janssen blijkt dat Fox-IT in de periode 2006-2012 aanwezig was op dertien beurzen in het Midden-Oosten. Gedurende deze periode neemt Fox-IT aan evenveel beurzen deel in Europa. Het levert een indicatie op van het belang die het Midden-Oosten speelt als afzetmarkt voor het bedrijf.

Zo is Fox-IT van 2007 tot en met 2011 jaarlijks op de ISS World MEA (Middle East and Africa) in Dubai (Verenigde Arabische Emiraten) aanwezig. In 2007 is het zelfs sponsor (medefinancier) van die beurs. Daarnaast is Fox-IT aanwezig op de Milipol beurs in Qatar in 2006 (15-17 mei) en 2008 (17-19 november). De beurs van 2008 wordt door de organisatoren aangeprezen als beurs over internal state security (binnenlandse staatsveiligheid). Milipol wordt georganiseerd door het Ministerie van Binnenlandse Zaken van Qatar.

In 2007 is Fox-IT aanwezig op de IDEX (International Defence Exhibition & Conference) beurs in Abu Dhabi (Verenigde Arabische Emiraten) en de GITEX (Gulf Information Technology Exhibition) in Dubai; in 2008 op de ITNS (Information Technology & National Security Conference) in Riyad (Saoedi-Arabië) en de ISNR (International Exhibition for National security and Resilience)-beurs in Dubai; in 2009 wederom op de IDEX beurs in Abu Dhabi en in 2011 op de Info Security Conference & Exhibition in Koeweit en de Istanbul Euroforensics in Turkije.

Uitbreiding team

Het bedrijf breidt in 2007 zijn team van verkopers uit. In januari 2007 neemt Fox-IT Jack Grossat als International Sales Manager aan. Op zijn LinkedIn-pagina schrijft hij dat hij verantwoordelijk wordt voor het opzetten van de ‘International Sales & Marketing organization’ van het bedrijf. Volgens LinkedIn houdt hij zich met name bezig met de verkoop van de ‘Data diode one way data flow, Replay Internet real-time monitoring software.’

Fox-IT geeft in deze jaren beperkt ruchtbaarheid over haar activiteiten in het Midden-Oosten. Op de diverse websites van het bedrijf (fox-it.nl, datadiode.eu, foxreplay.eu) wordt gemeld dat het actief is in het Midden-Oosten en wordt tevens aangegeven dat Fox-IT op beurzen aanwezig is.

Het bedrijf vermeldt op haar websites ook enkele andere activiteiten, zoals een tour door de regio. Fox-IT geeft over bepaalde zaken echter geen openbaarheid. Zo vermeldt het bedrijf via haar publicatiekanalen niet welke landen in de Golfregio het bezoekt en aan welke landen en klanten het producten verkoopt.

De keuze voor het Midden-Oosten als afzetmarkt is opvallend. Ronald Prins verklaarde in 2011 tegen Vrij Nederland dat het bedrijf geen zaken doet met dictaturen.  Het is echter de vraag waarom het bedrijf dan besloot om zich op het Midden-Oosten te richten. Volgens de jaarlijkse index van Freedom House kent het Midden-Oosten slechts enkele parlementaire democratieën, de meeste landen worden aangemerkt als autoritaire regimes.

AGT

Vanaf het begin van de handel in het Midden-Oosten werkt Fox-IT samen het Duitse bedrijf AGT (Advanced German Technology). Tijdens de IDEX 2007 beurs van 18-22 februari 2007 in Abu Dhabi sluiten Fox-IT en AGT een partnerovereenkomst, een confidential agreement. De overeenkomst van 20 februari 2007 is gesloten tussen Fox-IT Forensic IT Experts, vertegenwoordigd door Ronald Prins, en Anas Chbib van AGT FZ LLC.

Deze partnerovereenkomst maakt duidelijk dat AGT zijn klantenkring beschermt, maar tegelijkertijd openstelt voor Fox-IT. Het Delftse bedrijf kan handel drijven met de klanten, resellers en consultants van AGT, mits het Duitse bedrijf hiervoor toestemming geeft.

Artikel 20 van de agreement luidt: ‘All the clients/accounts, resellers or consultants introduce by the partner to Fox-IT are protected accounts for the Partner and Fox-IT is not allowed to work directly with them, or provide any commercial information’s or prices without a written approval from the Partner, a list of those accounts is annex A.‘

AGT, met vestigingen in Dubai (Verenigde Arabische Emiraten) en later ook in Syrië, Egypte en Saoedi-Arabië, wordt in 2002 opgericht. Het Duitse bedrijf is een tussenhandelaar die zich met name bezighoudt met de verkoop van Europese technologie en kennis aan vooral landen in het Midden-Oosten.

In een bedrijfsprofiel van 2006 omschrijft AGT haar missie als volgt: ‘To provide and enable the transfer of advanced German and European security technology and know-how to various international markets through our partners.‘ AGT is met name actief in het Midden-Oosten: ‘AGT brings the advanced security of tomorrow to its international customers with the Middle East countries being of prime focus.‘

De gebroeders Chbib

Het bedrijf wordt geleid door de broers Anas en Aghiath Chbib. Duits en Syrisch staatsburger Anas Chbib is de zakenman van het bedrijf die in het Midden-Oosten rondreist en overheidsfunctionarissen probeert over te halen om vooral producten van Europese bedrijven af te nemen. Anas studeerde aan de universiteit van Dortmund en Keulen en werkte vervolgens van 1998 tot 2001 bij de Deutsche Bank, de Dresdner Bank, Lufthansa Consulting, Medisana AG en de Deutsche Bahn AG, alvorens in 2002 AGT op te richten.

Aghiath Chbib is de IT-specialist van AGT die betrokken is bij de technische details van de overeenkomsten. Ook Aghiath is Duits en Syrisch staatsburger. Beide heren bewegen zich gemakkelijk tussen Europa en het Midden-Oosten. Anas Chbib is nog steeds betrokken bij AGT, Aghiath Chbib heeft het bedrijf inmiddels verlaten en een nieuw bedrijf opgericht, Seecra.

AGT heeft zich sinds 2002 gepresenteerd op allerlei veiligheidsbeurzen en –conferenties in het Midden-Oosten, en een enkele keer in Europa (zoals op de CeBIT in Hannover en een IT-security Summit in Berlijn). Tussen 2002 en 2006 was AGT aanwezig in Bahrein (MEFTEC – Middle East Financial Technology Exhibition & Conference), Dubai (IT-security Summit en Intersec – International trade fare for safety and security), Cairo (IT-security Summit), Riyad en Jeddah in Saoedi-Arabië (IT-security Summit), en Damascus (IT & Communication). Na de Milipol Qatar is AGT van 2006 tot en met 2011 te vinden op dezelfde beurzen als Fox-IT, maar ook nog op bijvoorbeeld Syrische beurzen, zoals de 2nd IT Security Conference.

Controversiële partner

AGT is een tussenhandelaar die kennis heeft van zowel de producenten in Europa als de afzetmarkt in het Midden-Oosten. Op allerlei markten zijn tussenhandelaren actief, zo ook op de markt voor afluister- en surveillance-apparatuur. Fabrikanten zijn afhankelijk van deze handelaren die de contacten hebben om hun producten aan te bieden aan instanties of bedrijven.

Gezien het portfolio van het Arabisch-Duitse bedrijf is de keuze van Fox-IT opmerkelijk te noemen. De klantenkring van AGT is bekend bij de Nederlanders. Die namen zijn namelijk gewoon terug te vinden op de website van het bedrijf omdat AGT in de beginjaren redelijk open is over haar contacten en projecten in het Midden-Oosten. AGT heeft klanten in landen met repressieve regimes, waaronder overheidsinstanties, en heeft kantoren in Egypte, Syrië, Saoedi-Arabië en de Verenigde Arabische Emiraten.

Uit niets blijkt dat Fox-IT vraagtekens plaatst bij de contacten en handelspartners van AGT. Ook met de kennis van toen is het in 2007 duidelijk dat er kanttekeningen vallen te plaatsen bij de handel met landen als Syrië en Egypte. Amnesty International en Human Rights Watch rapporteerden uitgebreid over mensenrechtenschendingen in beide landen en sinds 2006 staan ze ook op de lijst van Enemies of the Internet van de organisatie Reporters without Borders.

In 2006 zet dictator Moebarak van Egypte vol in op controle, surveillance en vervolging van oppositionele geluiden op het internet. Reporters without borders schrijft: ‘President Hosni Mubarak displays an extremely disturbing authoritarianism as regards the Internet. Three bloggers were arrested in June 2006 and were held for two to three months for calling for democratic reforms.’

Tevens krijgt de Egyptische regering meer mogelijkheden om websites te sluiten vanwege mogelijke bedreiging van de ‘nationale veiligheid’. ‘This could open the way to extensive online censorship’, aldus Reporters without Borders. In Egypte is het Ministerie voor Communicatie en Informatie Technologie klant van AGT.

Ook in Syrië is de internetvrijheid ernstig in het geding. Reporters without Borders omschrijft Syrië als ‘Middle East’s biggest prison for cyber-dissidents, with three people currently detained for criticising the authorities online. They are systematically tortured and subjected to inhumane conditions.‘ Van de klanten van AGT worden op haar website het Office of Prime Minister en STE (Syria Telecommunication Establishment) vermeld. STE is een staatsbedrijf dat controle houdt op de telecommunicatie in Syrië.

Fox-IT plaatst echter geen vraagtekens bij de wenselijkheid van handel met landen als Egypte en Syrië, en de samenwerking met AGT. Integendeel, het bedrijf ziet ernaar uit om met AGT in de regio samen te werken.  International Sales Manager Jack Grossat laat op 4 mei 2007 in een mail aan Anas Chbib weten: ‘Think it is clear we like to move together in the ME (Middle East).’

Fox-IT en AGT op tournee

Een belangrijk onderdeel van de werkwijze van AGT is het organiseren van rondreizen voor Europese bedrijven langs overheidsinstanties in het Midden-Oosten met als doel het werven van klanten. Het bedrijf spreekt op haar website en in e-mails over een ‘Telecom roadshow through the Middle East.’ In 2006 organiseert AGT maar liefst drie tours: in de maanden, januari, september en oktober.  Fox-IT neemt nog niet deel aan deze tours.

In mei en december 2007 organiseert AGT twee toers. Beide keren is Fox-IT van de partij. Op de ISS World beurzen hebben de bedrijven een stand of geven een lezing met als doel de interesse te wekken bij de (potentiële) klanten en waar mogelijk deals te sluiten. De besloten workshops tijdens de toers (door AGT aangeduid als AGT Security Workshops) in de hoofdsteden in het Midden-Oosten borduren deels voort op de gemaakte contacten op de beurzen. Potentiële en nieuwe klanten worden verder overtuigd om orders te plaatsen bij de Europese bedrijven.

De ambities van Fox-IT in het Midden-Oosten zijn duidelijk: het verkopen van FoxReplay en de Fox DataDiode. Het bedrijf spreekt deze ambitie uit op haar websites. Verkoop van de FoxReplay en Fox DataDiode is voor het bedrijf ook het doel van de tournee. Dit blijkt uit verschillende e-mails die Matthijs van der Wel (Manager Business Development EMEA) tijdens de voorbereidingen van de tournee aan AGT verzendt.

Zo schrijft hij op 12 april 2007 aan AGT: ‘For now we are focussing on selling our Datadiode and FoxReplay products internationally.‘ Een maand later, in mei, uit hij zijn wens om beide producten tijdens de toer te verkopen: ‘I would very much like to promote our Data Diode and FoxReplay product.‘

In mei 2007 maakte Fox-IT deel uit van een delegatie van bedrijven die de hoofdsteden van de Verenigde Arabische Emiraten, Egypte, Saoedi-Arabië en Syrië aandoet. Naast Fox-IT bestaat het gezelschap uit medewerkers van de Italiaanse bedrijven Area SpA en RCS SpA, de Duitse firma’s Genua GmbH, LastMile AG en T-Systems International GmbH, Signal Guard International Ltd. uit Nieuw-Zeeland en het Hongaarse Kurt Security Group.

Besloten workshops

De rondreis begint in Abu Dhabi waar Fox-IT op 13 mei 2007 een workshop geeft en haar producten probeert te verkopen aan een groot aantal functionarissen van het leger en de marine van de Verenigde Arabische Emiraten (VAE). Bij de workshop zijn ook vertegenwoordigers van de regering, de politie, de douane en enkele bedrijven aanwezig, maar de twintig aanwezige militairen zijn in de meerderheid. Net zoals bij de andere bestemmingen tijdens de toer verblijven de bedrijven een paar dagen in Abu Dhabi zodat zij de mogelijkheid hebben om contacten met potentiële klanten te leggen of uit te bouwen.

Na twee dagen in Abu Dhabi vertrekt het gezelschap naar Cairo. Fox-IT geeft op 15 mei een workshop in het Four Seasons Hotel Nile Plaza. Opvallende deelnemers zijn enkele Egyptische overheidsdiensten, zoals de Egyptische binnenlandse veiligheidsdienst SSIS (State Security Investigations Service) en het Ministerie van Binnenlandse Zaken. Naast overheidsinstanties zijn er ook drie tussen handelaren aanwezig: de Egyptische bedrijven Tea computer, JRM en MIS EGYPT.

In Saoedi-Arabië bezoeken op 19 mei wederom vooral militairen de workshop van Fox-IT. De legereenheid die de workshop bijwoont is de SANG (Saudi Arabia National Guard), ook wel White Army genoemd, de lijfwachten van het Saoedisch Koningshuis. Naast overheidsdiensten is ook tussenhandelaar ICS (Integrated Computer Systems) aanwezig.

De laatste stop van de tournee is in Syrië. Op 21 mei 2007 geeft Fox-IT een workshop in het Four Seasons Hotel in Damascus. Deze wordt voornamelijk bezocht door vertegenwoordigers van de Syrische overheid en inlichtingendiensten. Volgens de deelnemerslijst waren er twee mensen van de militaire inlichtingendiensten, drie mensen van de luchtmacht inlichtingendienst en twee mensen van de staatsveiligheidsdienst aanwezig. Daarnaast nemen zes personen van het Ministerie van Binnenlandse Zaken en het Ministerie van Telecommunicatie deel. Ook vermeldt de deelnemerslijst een tussenhandelaar (het Syrische bedrijf Kanaan) en zelfs twee privépersonen.

Omzeilen handelsembargo Syrië

In reactie op de Spy Files van WikiLeaks uit 2011 over leveringen van de Westerse surveillance-industrie aan repressieve regimes ontkende Fox-IT expliciet dat het bedrijf zaken zou hebben gedaan met Syrië. Volgens Fox-IT zou het bedrijf wel productaanvragen uit Syrië hebben ontvangen maar hier niet op zijn ingegaan en geen zaken hebben gedaan met het land. In het licht van de door Buro Jansen & Janssen ontvangen documenten zijn de uitspraken van het bedrijf weinig geloofwaardig te noemen.

Door te claimen dat Fox-IT ‘wel eens productaanvragen uit Syrië heeft ontvangen’ bagatelliseert het bedrijf haar contacten met het land. Fox-IT richtte zich namelijk specifiek op de Syrische markt. Het bedrijf gaf op 21 mei 2007 zelfs in Damascus een workshop aan vertegenwoordigers van Syrische overheidsdiensten en de Syrische inlichtingendiensten die gericht was op verkoop van de FoxReplay en de Fox DataDiode. Daarnaast had de partner en reseller van Fox-IT, AGT, een vestiging in Syrië en meerdere klanten in het land, waaronder het Syrische staatsbedrijf STE (Syrian Telecommunication Establishment).

De door Buro Jansen & Janssen ontvangen documenten bevatten geen details over leveranties van Fox-IT aan Syrië, maar het bevat wel andere saillante informatie.  Uit e-mailcorrespondentie tussen Fox-IT en AGT wordt duidelijk dat Fox-IT in de zomer van 2007 zijn partner en reseller AGT adviseert over het omzeilen van het Amerikaanse handelsembargo tegen Syrië. De Verenigde Staten stelde in 2004 een embargo in tegen de Amerikaanse export van alle goederen naar Syrië, met uitzondering van voedsel en medicijnen. Volgens het Amerikaanse embargo is de producent altijd eindverantwoordelijk voor de eindbestemming, ook wanneer via tussenhandelaren verhandeld wordt.

Uit e-mailcorrespondentie wordt duidelijk dat AGT servers nodig heeft voor een opdracht in Syrië. De e-mails bevatten geen verdere inhoudelijke details over de opdracht, maar maken wel duidelijk dat het gaat om een opdracht waarbij AGT en Fox-IT samenwerken. Matthijs van der Wel (Manager Business Development EMEA van Fox-IT) schrijft op 24 juli 2007 in een e-mail aan AGT: ‘We can not export USA Dell servers to Syria, so we need AGT to order them locally.‘

Uit de opmerking ‘we can not export‘ wordt duidelijk dat Fox-IT op de hoogte was van de mogelijke juridische consequenties in verband met het omzeilen van het Amerikaanse embargo. Met ‘so we need AGT to order them locally‘ verwijst Van der Wel naar de mogelijkheid dat AGT de servers lokaal kan bestellen via de AGT-vestiging in de Verenigde Arabische Emiraten. Fox-IT loopt met deze constructie niet het risico vervolgd te worden voor overtreding van het Amerikaanse embargo. Het schuift de verantwoordelijkheid voor de aanschaf van servers door naar AGT.

Van der Wel wijst AGT in zijn email ook nog op een andere mogelijkheid, namelijk dat AGT geen DELL servers maar andere servers bestelt. Hij schrijft: ‘So we need AGT to order them locally, or order non DELL-servers as described in the document. By using the specifications in this document, AGT can order the servers directly themselves from DELL and might be able to negotiate a good margin with DELL.‘

Het is overigens de vraag of het bestellen van andere dan DELL servers een oplossing is voor mogelijke juridische problemen vanwege omzeiling van het Amerikaanse embargo. De meeste types servers zijn namelijk afkomstig uit de Verenigde Staten. Tenslotte denkt Van der Wel mee met AGT over het installeren van de voor de servers benodigde software.

Hij besluit zijn email met: ‘The proxy server software will come with an easy installation so that should not be difficult to install for the AGT engineers.‘

AGT, reseller van Fox-IT

In 2007 ontwikkelt de samenwerking tussen Fox-IT en AGT zich snel. Na het ondertekenen van de partnerovereenkomst in februari en deelname aan de door AGT georganiseerde tournee, sluit Fox-IT in de zomer van 2007 een reseller agreement met AGT. Hiermee wordt AGT tussenhandelaar voor de producten van FOX-IT. De Reseller Agreement heeft voordelen voor Fox-IT. AGT gaat de producten van het Nederlandse computer- en veiligheidsbedrijf onder de aandacht brengen van haar klanten en contacten en probeert deze te verkopen.

Zo schrijft Van der Wel van Fox-IT in een fax op 29 juni 2007 aan AGT over enkele beurzen en workshops: ‘I’ve received your e-mail message on the requested training before the GITEX and the workshop. Training is mentioned in the reseller agreement, and we can do the sales training (short training) as well. Also for the exhibition in KSA (Kingdom of Saudi Arabia red.), we don’t need to have our own exhibition space, we can be present in your booth as sales support. We will also supply you with marketing material (and the mentioned case) that you can use in y our booth!‘

Ook AGT heeft voordeel bij de reseller agreement. AGT breidt zijn portfolio uit terwijl Fox-IT voor marketingmiddelen (folders, posters, brochures etc.) zorgt. Matthijs van der Wel schrijft op 29 juni: ‘Please understand that it is up to AGT to determine these prices and the pricing model. […] It’s also up to you how you offer the products to your clients.’

[…] Please find attached our demo model, as we like to offer to our partners the options to make use of our demo equipment in a flexible way and at minimum costs. I think we have succeeded in this by offering you to make use of our pool of demo equipment at only the return sending costs. … We will also provide you at no costs, for marketing (exhibition) purposes, a medium weight case with a data diode (empty one), display with LEDs and space for brochures etc.‘

In de fax van 29 juni maakt Fox-IT duidelijk dat het haast heeft met het ondertekenen van de overeenkomst. ‘We need to have an agreement on the reseller agreement fast‘, aldus Van der Wel. Ondertekening van de reseller agreement is belangrijk voor Fox-IT, omdat het bedrijf inmiddels contacten heeft met mogelijke klanten in de Golfregio.

Onder vermelding van ‘business opportunity’ stuurt Van der Wel een bericht door van een mogelijke klant uit de Verenigde Arabische Emiraten die interesse heeft in producten van Fox-IT. Het betreft het bedrijf Hemaya Information System Services. Van der Wel brengt beide bedrijven met elkaar in contact en schrijft Hemaya op 28 juni 2007: ‘I hope it’s fine with you but I’ve given your contact details to our local partner AGT.’

Op 27 augustus 2007 ondertekent Anas Chbib namens AGT de overeenkomst. Naast partner is AGT nu ook reseller van Fox-IT. Met het tekenen van de reseller agreement maakt Fox-IT zich deels afhankelijk van AGT dat producten van Fox-IT als tussenhandelaar aan haar klanten kan aanbieden en verkopen. Het risico bestaat dat Fox-IT hiermee het zicht verliest aan welke klanten AGT haar producten verkoopt. Ook is het – gezien de klantenkring van AGT – een reëel risico dat de producten van Fox-IT terecht in landen met repressieve regimes, zoals Syrië en Egypte en Saoedi-Arabië.

Maar Fox-IT besteedt op geen enkele manier aandacht hieraan. In de interne e-mailcorrespondentie rond het afsluiten van de reseller agreement komt niet aan bod aan welke landen en klanten AGT de Fox-IT producten kan verkopen. In de reseller agreement zelf zijn geen voorwaarden opgenomen en de overeenkomst bevat ook geen MVO (Maatschappelijk Verantwoord Ondernemen) paragraaf.

Trainingen/workshops voor tussenhandelaren 

AGT heeft veel contacten met andere bedrijven die zich concentreren op de doorverkoop van technologieën van westerse bedrijven aan landen in het Midden-Oosten. Begin september 2007 organiseert AGT, voorafgaande aan de GITEX beurs in Dubai, een ‘sale and pre-sale oriented’ workshop speciaal voor deze tussenhandelaren.

Op deze workshop (door AGT aangeduid als world security leader workshop) van 2 tot en met 6 september 2007 prijzen Signal Guard International Ltd., Genua GmbH, LastMile AG, Kobil, PackAlarm, Ipoque en Fox-IT hun producten aan. Fox-IT geeft op 6 september 2007 een workshop waarin het FoxReplay en de Fox DataDiode presenteert. ‘I would like to present FoxReplay Analyst and the Data Diode only‘, schrijft Matthijs van der Wel tijdens de voorbereiding van de workshop op 18 juli 2007 in een email aan Anas Chbib.

De workshops zijn met name bedoeld voor tussenhandelaren uit de regio. Fox-IT was hiervan op de hoogte. AGT had in de uitnodiging aan het bedrijf op 8 juli 2007 geschreven: ‘We are looking forward to have a training for your resellers.’ Uit de deelnemerslijst van de workshops blijkt dat sommige van de aanwezige bedrijven nauw gelieerd zijn aan regeringen. Ook zijn er enkele functionarissen van Ministeries van Defensie en Buitenlandse Zaken van verschillende landen aanwezig.

Uit Syrië bezoeken onder andere ABC (Associated Business Company Ltd.) en SETCO (Syrian Equipment & Trading Company) de workshop. Beide bedrijven zijn nauw gelieerd aan het Syrische regime. ABC noemt in 2008 een aantal projecten op haar website, zoals de aanleg van het netwerk voor de internetverbindingen van de Syrische premier. Onder de genodigden bevinden zich ook SDS (Syrian Data Systems), een Syrisch bedrijf dat werkt voor het STE (Syrian Telecommunication Establishment), het Syrische Presidential Palace en het Ministerie van Defensie en Binnenlandse Zaken.

Er zijn ook tussenhandelaren uit Egypte aanwezig zoals Giza Systems. Dit bedrijf uit Cairo, met tevens vestigingen in Bahrein, Libië, Saoedi-Arabië en Syrië, noemt in 2007 op haar website het Ministry of military, de NDC (National Defense Council) en de NTRA (National Telecommunications Regulatory Authority) als haar klanten. Andere Egyptische genodigden zijn UAS (Universal Advanced Solutions) dat voor het Egyptische leger werkt, en de GNSE Group, onderdeel van het imperium van de Mansour-familie waarvan Mohamed Mansour minister van Transport was tijdens het regime van Moebarak.

Uit Saoedi-Arabië is onder andere SSBS (Systems of Strategic Business Solutions) aanwezig. SSBS is onderdeel van de Al Othman holding, die een uitgebreid netwerk van bedrijven in het koninkrijk en veel Saoedische overheidsinstellingen tot klant heeft.

De week in Dubai wordt afgesloten met een bijeenkomst voor overheidsinstanties en bedrijven uit de Verenigde Arabische Emiraten. Net als tijdens de toer in mei 2007 zijn hierbij vertegenwoordigers van het leger, het Ministerie van Binnenlandse Zaken, de politie en de douaneautoriteiten aanwezig. Daarnaast schuiven verschillende commerciële banken en tussenhandelaren uit het land aan.

Het bezoek aan Dubai is belangrijk voor Fox-IT. Uit interne e-mails wordt duidelijk dat het bedrijf al veel contacten heeft met potentiële klanten in de regio. Het verblijf in Dubai biedt een goede kans om deze contacten te onderhouden en uit te breiden. Matthijs Van der Wel mailt AGT op 18 juli 2007: ‘I would very much appreciate it if AGT can set up a number of meetings while I’m in the UAE. When I’m there, I would like to take the opportunity to meet as much potential customers or just say hi to some of the people I’ve met before.‘

Van der Wel maakt in zijn mail het belang van het Midden-Oosten voor zijn bedrijf duidelijk: ‘I know it’s important to show our commitment to the middle east market so let’s try to make good use of the time that I’ll be in the UAE.‘

Nieuw bezoek aan Golfregio

In november/december 2007 neemt Fox-IT wederom deel aan een door AGT georganiseerde toer door de regio. De tournee doet op 30 november Riyad (Saoedi-Arabië) en op 6 december Amman (Jordanië) aan. Aanvankelijk had AGT ook een bezoek aan Caïro gepland, maar dit vindt geen doorgang.

Tijdens de reis wordt Matthijs van der Wel vergezeld door twee andere medewerkers van Fox-IT: Paul Bakker, manager van Fox Crypto, het bedrijfsonderdeel van Fox-IT dat staatsgeheimen beveiligt, en Rens de Wolf die de positie van Van der Wel als Manager Business Development EMEA overneemt. Het is de laatste toer voor zowel Fox-IT als Matthijs van der Wel, hij verlaat het Delftse bedrijf en gaat voor het Amerikaanse telecommunicatieconcern Verizon werken. Fox-IT doet niet meer mee aan de volgende en tevens laatste roadshow van AGT in de regio in 2008 langs Bahrein, Qatar en Syrië.

De Nederlanders zijn uitgenodigd door het Saoedische PCS (Paramount Computer Systems). Paramount stelt op haar website dat zij sinds 1999 de regionale marktleider in cybersecurity is. Tot haar klanten behoren het Ministerie van Defensie van Saoedi-Arabië en de Verenigde Arabische Emiraten, het staats telecombedrijf STC (Saudi Telecom) en het Saoedische Ministerie van Informatie. Naast Fox-IT nemen ook Signal Guard International Ltd., LastMile AG, Genua GmbH, RCSlab SpA, Area SpA, Sirrix en P3-group deel aan de rondreis.

In Amman hebben vijftien banken, drie telecomaanbieders en drie overheidsinstanties zich opgegeven voor de workshop. Ook heeft Anas Chbib enkele vertegenwoordigers van de Irakese regering uitgenodigd. ‘We already got 15 banks confirmation, 3 telecom companies and three agencies, beside the top officials from IRQ government‘, schrijft hij op 6 november 2007 in een e-mail aan de westerse bedrijven.

‘One on one client meeting’

De AGT-toer van december 2007 is de laatste waar Fox-IT aan deelneemt. Wel blijft het bedrijf in 2008 (net als in 2006 en 2007) beurzen bezoeken. Zo is Fox-IT in februari te vinden op de ISS World EMEA en een maand later op de ISNR-beurs, beiden in Dubai. Later in het jaar is Fox-IT van 17 tot 19 november aanwezig op de Milipol in Qatar.

Op de ISS World EMEA van 26 – 28 februari 2008 presenteert Fox-IT de FoxReplay. In de brochure van de beurs wordt een presentatie van Bert Hubert, CTO (Chief Technology Officer) van FoxReplay, aangekondigd. De website van FoxReplay vermeldt: ‘One of the core FoxReplay programmers, Gertjan Schoenmaker, will give a presentation.‘ Ook kondigt Fox-IT aan dat het met meerdere mensen op de beurs aanwezig zal zijn en dat klanten ook een demonstratie van de FoxReplay tegemoet kunnen zien: ‘Not only will visitors to ISS World have the opportunity to meet some of the FoxReplay staff, a live demo will also be given to selected visitors.‘

Naast Bert Hubert en Gertjan Schoenmaker is ook Rens de Wolf, sinds november 2007 de verantwoordelijke van Fox-IT voor het Midden-Oosten, aanwezig. De Wolf is door AGT uitgenodigd voor een pre ISS security workshop (van 17-21 februari) waar enkele bedrijven zoals Regify, Utimaco, Phion en Funkwerk voor een select gezelschap hun producten zullen presenteren. Fox-IT doet echter niet mee aan het workshopprogramma. Wel heeft het bedrijf ‘one on one client meetings’. Dit blijkt uit de rekening van AGT aan Fox-IT d.d. 5 februari 2008.

De documenten die Buro Jansen & Janssen ontvangen heeft, geven geen uitsluitsel over de vraag met welke partijen Fox-IT een ‘one on one client meeting’ heeft. Het is echter aannemelijk dat het computer- en veiligheidsbedrijf afspraken heeft gehad met andere deelnemers van de door AGT georganiseerde pre ISS Security Workshop en met bezoekers van de ISS World.

Voor de pre ISS security workshop heeft AGT verschillende overheidsdiensten uit de regio uitgenodigd, zoals de Syria Telecommunication Establishment (STE) en de Bahreinse inlichtingendienst NSA (National Security Agency). Tijdens de ISS World EMEA zijn verder de Egyptische inlichtingendienst SSIS (State Security Investigations Service), de Egyptische tussenhandelaar Giza Systems, het leger van de Verenigde Arabische Emiraten en het Saoedische Ministerie van Binnenlandse Zaken aanwezig.

De ‘one to one client meetings’ illustreren dat Fox-IT inmiddels een reputatie heeft opgebouwd in de regio. Dit blijk ook twee maanden later wanneer Rens de Wolf is uitgenodigd voor een bijeenkomst op het Ministerie van Binnenlandse Zaken van Saoedi-Arabië. Fox-IT is daar samen met het Italiaanse RCS SpA, het Zuid Afrikaanse VasTech en het Australische Senetas Corporation Ltd. Bij aanwezig. De bijeenkomst neemt vier dagen in beslag, van 26 tot en met 30 april 2008.

National Defence Council Egypt

Fox-IT gaf in 2007 en 2008 workshops aan militairen en inlichtingendiensten van verschillende landen in het Midden-Oosten, waaronder Egypte. Zo gaf het Nederlandse bedrijf op 15 mei 2007 een presentatie in Hotel Nile Plaza in Cairo. Onder de aanwezigen bevonden zich vijf personen van het Ministerie van Binnenlandse Zaken en een vertegenwoordiger van de Egyptische inlichtingendienst SSIS.

In 2011 zei Ronald Prins, toenmalig directeur van Fox-IT, tegen Vrij Nederland dat Fox-IT „in theorie in zee was gegaan met de geheime dienst van Egypte vóórdat de commotie daar ontstond.” Met de „commotie daar” doelde hij op de opstand tegen dictator Moebarak in 2011. Hiermee wekt Prins de indruk dat Fox-IT nooit zaken heeft gedaan met Egypte. Dit blijkt echter wel het geval te zijn geweest.

Uit interne documenten die Buro Jansen & Janssen heeft verkregen blijkt dat Fox-IT van 24 tot en met 26 juni 2008 een forensische IT training heeft gegeven aan leden van de NDC (National Defence Council) in Egypte. De training wordt door Fox-IT in een voorstel met budget en een rekening aan AGT van 21 mei 2008 omschreven als ‘Forensic/EnCase training/consultancy for one of their clients in Cairo, Egypt.’ Encase is software voor forensisch IT-onderzoek van het Amerikaanse bedrijf Guidance Software, dat ook een partner van AGT is.

De klant aan wie de training/consultancy wordt gegeven is de NDC. Dit blijkt uit e-mailverkeer tussen AGT en de Egyptische klant. AGT fungeert als tussenpersoon en benadert Fox-IT voor het geven de training. AGT onderhoudt contact met de NDC via Sherif Emara, destijds medewerker van de NDC, en communiceert met Emara over de data van de training/consultancy.

De National Defence Council is een adviesorgaan van de Egyptische regering. De leden zijn, naast de premier, de voorzitter van het parlement en de ministers van Buitenlandse Zaken, Binnenlandse Zaken, Financiën en Defensie, vooral generaals van het Egyptische leger en de hoofden van verschillende inlichtingendiensten, waaronder de Egyptische inlichtingendienst SSIS.

De SSIS was een beruchte inlichtingendienst die zich op grote schaal schuldig maakte aan martelingen. In 2011 is de SSIS ontbonden, hetgeen tijdens de Arabische Lente ook een van de eisen was van de Egyptische democratiseringsbeweging.

Succesvol in Midden-Oosten

Sinds 2006 heeft Fox-IT zich op de markt in het Midden-Oosten begeven. Door middel van aanwezigheid op cybersecurity beurzen en conferenties, de samenwerking met haar partner AGT en deelname aan tournees, is het bedrijf een belangrijke speler geworden in de handel in de regio. Anno 2008 is duidelijk dat de verkoopstrategie van Fox-IT in het Midden-Oosten zijn vruchten afwerpt.

Fox-IT verkoopt de FoxReplay aan inlichtingendiensten in het Midden-Oosten. Dit maakt het bedrijf zelf duidelijk op haar websites. Het bedrijf schrijft in juni 2008: ‘Fox-IT has expanded internationally, with branch offices opening in the Netherlands Antilles and the UK to complement our headquarters in the Netherlands. In other parts of the world, including the Middle East and the USA, Fox-IT is represented by partners offering selected Fox-IT solutions.’

Het bedrijf noemt expliciet de FoxReplay als een belangrijk product voor inlichtingendiensten: ‘In 2006 the foundation of FoxReplay took place. This business unit develops solutions for the analysis of intercepted internet traffic for police and intelligence organisations all over the world.‘ […] ‘Nowadays is Fox-IT one of the most specialised, innovative organisations in Europa, both in the area of security as in the area of digital investigation. Her market has expanded to big parts of Europe, the Middle East, the Caribbean and America.’

Fox-IT breidt haar netwerk in de regio uit. Begin 2010 meldt het bedrijf dat het, naast AGT, een andere partner in het Midden-Oosten heeft gevonden: GSN (Global Security Network) een Frans bedrijf gevestigd in de Verenigde Arabische Emiraten. GSN is volgens haar website ‘serving government defense and intelligence organizations. As such GSN has achieved the status of being a ‘trusted’ security vendor for these organizations.’

Surveillance Lab in Saoedi-Arabië

2011 is het jaar van de Arabische Lente. Na Tunesië in december 2010 volgen grote protesten tegen dictators in andere Arabische landen zoals Egypte, Libië, Syrië, Jemen en Bahrein. Voor Fox-IT verandert er weinig. Het bedrijf blijft actief in het Midden-Oosten en in 2011 is het betrokken bij het opzetten van een veiligheidsproject in Saoedi-Arabië.

Dit is een opmerkelijke keuze. Ook in Saoedi-Arabië vinden sinds december 2010 protesten tegen het regime plaats, zei het kleinschaliger dan in andere landen. Het land wordt al sinds 2006 genoemd in het overzicht ‘Enemies of the Internet’ van Reporters without Borders.

In 2011 introduceert de Saoedische regering nieuwe wetgeving over internet die ernstige beperkingen van de vrijheid van meningsuiting met zich meebrengt. Zo worden alle online kranten en bloggers verplicht om een speciale licentie bij het Ministerie van Informatie aan te vragen. Bloggers en mensenrechtenactivisten worden gemonitord op sociale media en riskeren vervolging.

In deze context neemt FOX-IT deel aan een project van haar partner AGT: ‘Forensic Lab’. Het doel van het project is het opzetten van een landelijk netwerk van telefoon- en internetsurveillance. AGT is projectleider, samen met het Saoedische bedrijf TCC (Technology Control Company).

Van 20 tot en met 22 juni 2011 vindt in Riyad op het Ministerie van Binnenlandse Zaken een bijeenkomst plaats over het opzetten van een ‘Forensic Lab’. Het ministerie is niet alleen verantwoordelijk voor de politie, maar ook voor speciale eenheden, inlichtingendiensten, grensbewaking, ondervragingscentra en gevangenissen.

Bij de bijeenkomst zijn, naast Fox-IT en projectleiders AGT en TCC, ook de bedrijven AccessData, DELL Inc., Guidance Software Inc., Teel Technologies en Tracip aanwezig. Namens Fox-IT nemen Valentijn van der Meijden (sinds februari 2011 Sales Manager EMEA), Hans Henseler (Managing Partner Business Unit Director Forensics) en Christian Prickaerts (Principal Forensic IT investigator) deel aan de bijeenkomst.

Fox-IT heeft een PowerPoint presentatie voorbereid waarin het een voorstel doet voor de opzet en inrichting van het Lab. Men refereert aan het Nederlandse NFI (Nationaal Forensisch Instituut), een onafhankelijk bestuursorgaan dat losstaat van het Ministerie van Justitie en Veiligheid. Fox-It voorziet tevens in de participatie van een aantal andere bedrijven in het Lab, met name AccessData, Guidance Software Inc., Dell Inc. en BlueArc.

Gedurende de presentatie stipt Fox-IT tevens de gezamenlijke ‘forensische’ geschiedenis met AGT aan in de vorm van ontwikkeling van een netwerk van tussenhandelaren in 2007, een gezamenlijke training in Egypte in 2008 en een bezoek aan het Nederlandse NFI.

Projectleider AGT omschrijft het doel van het Lab in haar PowerPoint presentatie als ‘het voorkomen van terrorisme’. In de rest van de presentatie wordt duidelijk wat hiermee wordt bedoeld: het opzetten van ‘monitoring centers’ die surveillance van al het internet- en telefoonverkeer door de Saoedische overheid mogelijk maakt.

AGT stelt tijdens de presentatie ervaring te hebben met de ontwikkeling van ‘Digital Forensic Labs’, zoals het eerste Lab in het Midden-Oosten in 2005 (in de presentatie wordt niet vermeld om welk land het ging) en een tweede Lab in 2007 in de GCC (Gulf Cooperation Council) regio (Verenigde Arabische Emiraten, Qatar, Saoedi-Arabië, Oman, Koeweit en Bahrein).

Van 23 tot en met 29 juli 2011 vindt een vervolgbijeenkomst over het Lab plaats, opnieuw in het Ministerie van Binnenlandse Zaken in Riyad. Namens Fox-IT nemen (wederom) Valentijn van der Meijden, Hans Henseler en Christian Prickaerts deel. Naast de bedrijven die al aanwezig waren bij de eerdere bijeenkomst in juni, zijn er deze keer ook nog enkele andere vertegenwoordigers van bedrijven aanwezig, zoals namens AB & Burns, Agnitio, Radio Tactics, SAIC en Sirrix.

Op 5-7 september 2011 organiseert AGT de volgende bijeenkomst over het Forensic Lab. Deze vindt plaats in het Ritz hotel in Berlijn waarbij dezelfde bedrijven aanwezig zijn als tijdens de bijeenkomsten in Riyad. Namens Fox-IT nemen Christian Prickaerts en Hans Henseler deel. Fox-IT geeft op dinsdag 6 september 2011 een presentatie waarin het een deelonderwerp van het Lab behandelt. Ook AccessData, Guidance Software Inc., Dell Inc. en BlueArc geven vergelijkbare presentaties.

Op 15 en 16 november 2011 vindt in Riyad de inauguratie van de Forensic Lab stuurgroep, ‘KSA-MOI project Steering Committee’, plaats. Fox-IT is uitgenodigd om hieraan deel te nemen, maar doet dat niet.

Surveillance Bootcamp

Vanaf eind 2010, het begin van de Arabische Lente, komt de handel van de surveillance-industrie in het Midden-Oosten onder een vergrootglas te liggen. Dit weerhoudt westerse bedrijven er echter niet van om toch zaken te blijven doen in de regio. Zo ook Fox-IT, zoals blijkt uit de betrokkenheid bij het Forensic Lab in Saoedi-Arabië en de deelname aan beurzen en conferenties in de regio.

Op de ISS World MEA van 21-23 februari 2011 in Dubai presenteert Principal Forensic IT investigator Christian Prickaerts de FoxReplay. Het bedrijf plaatst op de website van FoxReplay een aankondiging van de presentatie: ‘At ISS World MEA, Fox-IT will demonstrate the powerful features of Fox Replay Analyst, the perfect software tool for visualization and analysis of intercepted internet data. … open API allow you to effortlessly integrate Fox Replay Analyst with your existing intelligence applications and interception infrastructure.’

Een maand later, van 24 tot en met 26 maart 2011, is Fox-IT aanwezig op de Istanbul Euroforensics beurs waar het bedrijf te vinden is naast AccessData, Guidance Software, MH service GmbH en Gamma International, bekend van het product Finfisher. AGT, de Duitse partner van Fox-IT, ontwikkelt na de tournees en de security workshops in het Midden-Oosten in 2006, 2007 en 2008, een nieuw concept: het surveillance bootcamp. AGT organiseert in 2011 twee bootcamps.

Op 13 en 14 oktober 2011 vindt het eerste AGT Bootcamp plaats in Berlijn. Het surveillance bootcamp heeft het karakter van de workshops die AGT in het Midden-Oosten organiseerde. Namens Fox-IT zijn Hans Henseler, Dirk Peeters, vice-president Business Development, en Valentijn van der Meijden aanwezig. Tijdens het bootcamp presenteren de bedrijven, waaronder Fox-IT, hun producten.

AGT heeft hiervoor functionarissen van de Jordaanse legerleiding, het Ministerie van Binnenlandse Zaken van Qatar, Koeweit en de Verenigde Arabische Emiraten, alsmede vertegenwoordigers van de Soedanese, Oegandese en Ethiopische overheden uitgenodigd. In november 2011 organiseert AGT een tweede bootcamp, de Atlantic Forensics Summit. Het surveillance bootcamp is aanvankelijk gepland voor 29-30 november 2011 in de Verenigde Arabische Emiraten, maar wordt uitgesteld tot januari 2012.

In opspraak

Tijdens de Arabische Lente van 2011 wordt steeds meer bekend over de betrokkenheid van Europese bedrijven bij de opbouw van de surveillancestaat in verschillende landen in het Midden-Oosten. In verschillende nationale parlementen en het Europees Parlement worden hier vragen over gesteld en wordt de behoefte aan een strenger exportbeleid geformuleerd. Sommige bedrijven raken in opspraak vanwege hun leveranties aan repressieve regimes, zoals Libië.

Zo ook in Nederland. Fox-IT raakt in 2011 in opspraak naar aanleiding van Kamervragen in oktober 2011 en de door WikiLeaks gepubliceerde Spy Files (openbaar gemaakte documenten over de surveillance-industrie). Fox-IT wordt hierin samen met twee andere bedrijven, Group 2000 en Pine Digital, genoemd als leverancier van technologie aan repressieve regimes in het Midden-Oosten. De drie bedrijven reageren op de website Webwereld (Grootste leverancier niet in Wikileaks Spy Files, 02-12-2011) en stellen dat alle beschuldigde bedrijven ten onrechte door WikiLeaks over één kam worden geschoren.

De betreffende bedrijven wijzen vooral het Franse Amesys aan als bedrijf dat dictators zou steunen. ‘De Nederlandse partijen wijzen de praktijken van het Franse bedrijf Amesys af’, aldus Webwereld. Volgens WikiLeaks leverde Amesys spionagesoftware aan het Libische regime die vervolgens werd gebruikt om dissidenten af te luisteren en te bedreigen.

Het is – vanuit het perspectief van imagobescherming door Fox-IT – begrijpelijk dat het bedrijf afstand neemt van de handel van Amesys met Libië. Het getuigt echter ook van selectieve verontwaardiging. Niet alleen omdat Fox-IT zelf zeer actief is in het Midden-Oosten, maar ook omdat er in 2011 bekend wordt dat – behalve Amesys – ook andere bedrijven technologie hebben geleverd aan repressieve regimes. Hieronder bevinden zich ook bedrijven die goede bekenden zijn van Fox-IT.

Zo wordt in 2011 bekend dat niet alleen Amesys, maar ook het Zuid-Afrikaanse bedrijf VASTech SA (Pty) heeft bijgedragen aan het opbouwen van de surveillance staat in Libië. Het bedrijf leverde het Libische regime apparatuur voor de surveillance van het internet en telefoonverkeer. VASTech is een goede bekende van Fox-IT. Het was onder andere samen met Fox-IT in april 2008 aanwezig op een bijeenkomst op het Ministerie van Binnenlandse Zaken in Saoedi-Arabië.

Vervolging van bedrijven

Hoewel meerdere westerse bedrijven in 2011 in opspraak raken, heeft dit aanvankelijk voor hen geen juridische consequenties. Vanaf circa 2014 verandert dit echter. In verschillende landen worden bedrijven vervolgd vanwege hun leveranties aan repressieve regimes in het Midden-Oosten. Ook hieronder bevinden zich bedrijven waar Fox-IT mee heeft samengewerkt.

Op 17 september 2014 maakt het Amerikaanse Department of Commerce’s Bureau of Industry and Security (BIS) bekend dat het een schikking van 100.000 dollar heeft gesloten met het Italiaanse bedrijf Area SpA vanwege het ontduiken van het Amerikaanse embargo tegen Syrië. Area SpA wordt beboet omdat het monitoring technologie leverde aan Syrië. Area SpA ‘knowingly sold U.S.-origin network monitoring equipment to the Syrian Telecommunications Establishment (STE) without the required U.S. Government authorization‘, aldus het BIS.

In Italië wordt Area SpA ook vervolgd. Op 1 december 2016 doet de Italiaanse politie een inval bij de kantoren van het bedrijf op grond van verdenking van het leveren van telefoon en internet interceptie-apparatuur aan Syrië. Dit is een overtreding van het in 2012 ingevoerde Europese embargo tegen het regime van Assad.

Area SpA en Fox-IT zijn goede bekenden van elkaar. Beide bedrijven namen in 2007 en 2008 deel aan de door AGT georganiseerde tournees door het Midden-Oosten en gaven workshops in onder andere Syrië, Egypte, Saoedi-Arabië en de Verenigde Arabische Emiraten.

In Frankrijk wordt in 2012 een justitieel onderzoek gestart naar het Franse bedrijf Qosmos SA. Het onderzoek volgt op een aangifte van twee mensenrechtenorganisaties, International Federation for Human Rights (FIDH) and Ligue des droits de l’Homme (LDH). Het bedrijf wordt verdacht van levering van surveillancetechnologie aan het regime van Assad. Het onderzoek naar Qosmos SA gaat niet over het overtreden van een handelsembargo maar over vervolging vanwege betrokkenheid bij oorlogsmisdaden en misdaden tegen de menselijkheid. Qosmos was aanwezig op dezelfde surveillancebeurzen in het Midden-Oosten als Fox-IT.

Bekenden in opspraak

In 2018 gaat in Duitsland een justitieel onderzoek van start naar Utimaco, een Duits IT-beveiligingsbedrijf. Al in 2011 verschenen berichten dat Utimaco apparatuur en technologie zou hebben geleverd aan het Italiaanse Area SpA dat voor het Syrische regime een systeem ontwikkelde voor de monitoring van telefoon- en internetverkeer.

In januari 2018 is aangifte van oorlogsmisdaden gedaan tegen hoge functionarissen van de Syrische militaire inlichtingendienst, de Syrian Telecom en Utimaco door twee Syriërs met de ondersteuning van het European Center for Constitutional and Human Rights (ECCHR). De Duitse justitie heeft deze aangifte toegevoegd aan een justitieel onderzoek naar misdaden in Syrië. Utimaco en Fox-IT sloten eind 2006 een partnerovereenkomst waardoor Fox-IT reseller werd van Utimaco en de producten (met name mobiele beveiligingsoplossingen) van het Duitse bedrijf kon doorverkopen.

Ook de voornaamste partner van Fox-IT, AGT (Advanced German Technology), is de afgelopen jaren in opspraak geraakt. Volgens een onderzoek van eind 2016 door Privacy International (Open Season; Building Syria’s Surveillance State) speelde AGT een belangrijke rol bij de opbouw van de surveillancestaat in Syrië.

Uit het onderzoek blijkt dat AGT betrokken was bij levering van technologie die door de Syrische autoriteiten werd gebruikt voor het opzetten een systeem om internet te monitoren. AGT werkte in Syrië samen met een aantal andere bedrijven die inmiddels vervolgd worden, zoals Area SpA en Qosmos SA.

Nader onderzoek…?

De waarheid over de betrokkenheid van westerse bedrijven bij de opbouw van de surveillancestaat in verschillende landen in het Midden-Oosten komt de afgelopen jaren steeds meer boven tafel. Sommige bedrijven worden, jaren na dato, alsnog vervolgd voor leveranties aan repressieve regimes, met name aan Syrië.

Fox-IT kwam in 2011 in opspraak nadat het bedrijf in verband werd gebracht met leveranties aan repressieve regimes in het Midden-Oosten. Toenmalig directeur Ronald Prins stelde in 2011 tegen Vrij Nederland dat Fox-IT in de beginjaren ‘vrij naïef’ was. Het bedrijf was aanwezig op een surveillancebeurs in Iran in 2003 en de ISS World beurs in Dubai in 2011, maar Fox-IT deed geen zaken met dictatoriale regimes.

Interne documenten en onderzoek van Buro Jansen & Janssen werpen nieuw licht op de activiteiten van Fox-IT in de Golfregio. Het Midden-Oosten was vanaf 2006 een belangrijke markt voor de verkoop van met name de FoxReplay en de Fox DataDiode. Het Delftse bedrijf gaf workshops in de regio waarmee het haar producten probeerde te verkopen aan overheidsinstanties, militairen en inlichtingendiensten van onder andere Syrië, Egypte, Saoedi-Arabië en de Verenigde Arabische Emiraten.

Het bedrijf sloot een reseller agreement met het controversiële bedrijf AGT. Fox-IT stelde geen voorwaarden aan welke landen en klanten haar producten mochten worden doorverkocht. In 2007 adviseerde Fox-IT haar partnerbedrijf en tussenhandelaar AGT over het omzeilen van het Amerikaanse handelsembargo tegen Syrië. In 2008 gaf het bedrijf een training aan de National Defence Council in Egypte ten tijde van dictator Moebarak.  En in 2011 was Fox-IT betrokken bij de opzet van het Forensic Lab, een surveillance project van het Ministerie van Binnenlandse Zaken van Saoedi-Arabië.

Het is dus een understatement om Fox-IT naïef te noemen.  Hiermee bagatelliseerde Ronald Prins de rol van het bedrijf in het Midden-Oosten. Pas sinds 2015 heeft Fox-IT een MVO (Maatschappelijk Verantwoord Ondernemen) beleid opgesteld. De commotie rond het bedrijf was klaarblijkelijk geen aanleiding om direct een MVO-beleid op te stellen. Voor een bedrijf dat veel pretenties heeft en een belangrijke partner is van de Nederlandse overheid, is het opmerkelijk laat met invoeren van een MVO-beleid. Dat is niet alleen naïef, maar het getuigt tevens van een gebrek aan verantwoordelijkheid.

Voormalig directeur Ronald Prins erkent dit in een interview met House of Einstein. Hierin zegt hij dat Fox-IT „al heel wat stappen verder is.” Volgens Prins heeft het bedrijf nu „ook lijsten met landen waarmee we wel of niet willen samenwerken.” Zijn opmerkingen roepen vragen op over de activiteiten van Fox-IT in het Midden-Oosten in het verleden.

Ondertussen worden verschillende westerse bedrijven vervolgd vanwege hun leveranties aan repressieve regimes in de regio. Nader onderzoek naar mogelijk strafbaar handelen van Fox-IT in de regio is op zijn plaats.

Buro Jansen & Janssen (m.m.v. Jurre van Bergen)

Verantwoording

Dit onderzoek is gebaseerd op een grote hoeveelheid interne bedrijfsdocumenten en e-mails met betrekking tot de relatie van Fox-IT met haar partner, het Duitse bedrijf AGT (Advanced German Technology), die Buro Jansen & Janssen heeft ontvangen. De documenten werpen een nieuw licht op de betrokkenheid van westerse bedrijven, waaronder Fox-IT, bij de opbouw van de surveillancestaat in verschillende landen in het Midden-Oosten.

In een e-mail heeft Buro Jansen & Janssen tien specifieke vragen gesteld aan Fox-IT (e-mail is bijgevoegd). In eerste instantie wekt Fox-IT de indruk de vragen te beantwoorden. Enkele dagen later schrijft Ronald Fabbro, Head of Marketing & Communications, dat de vragen van Buro Jansen & Janssen “tot 13 jaar terug in de tijd gaan.” Volgens Fox-IT “maakt dit het lastig (wellicht onmogelijk) om feitelijk en inhoudelijk te kunnen reageren, daarom onthouden wij ons op dit moment van commentaar.” Antwoord van Fox-IT is toegevoegd.

Dit onderzoek is onderdeel van een groter onderzoek van Buro Jansen & Janssen naar de surveillance-industrie in onder andere het Midden-Oosten en de rol van westerse bedrijven zoals Hacking Team, Gamma Group, Kailax, Fox-IT en Coosto.

Hierbij werd ook gekeken naar de relatie van die bedrijven met de Nederlandse overheid, het gebruik van apparatuur en programmatuur door overheidsdiensten en de rechtsstatelijke gevolgen van het gebruik en de relatie met deze bedrijven.

Buro Jansen & Janssen m.m.v. Jurre van Bergen

– AIVD-toezichthouder deed zaken met Moebarak en Assad

(samenvatting)

– Fox-IT in het Midden-Oosten

– Documenten bij  het onderzoek Fox-IT in het Midden-Oosten

– AIVD-toezichthouder deed zaken met Moebarak en Assad

(samenvatting) (pdf)

– Fox-IT in het Midden-Oosten (pdf)

– Documenten bij het onderzoek Fox-IT in het Midden-Oosten (pdf)

– Het onderzoek Fox-IT in het Midden-Oosten (pdf)