De Nederlandse overheid faciliteerde de vestiging van het Zuid-Afrikaanse bedrijf VASTech in Nederland. VASTech leverde surveillance apparatuur aan onder meer het Zimbabwe van Mugabe, het Libië van al-Qadhafi, het Egypte van Moebarak, Syrië en in 2021 een monitoring centrum aan Saoedi-Arabië.
Het bedenkelijke trackrecord van VASTech op het gebied van leveringen aan repressieve regimes en de afwezigheid van beleid van het bedrijf op de mogelijke impact van haar leveranties op de mensenrechten vormden geen belemmering voor Nederlandse overheid om het bedrijf te ondersteunen bij de vestiging in Nederland. VASTech werd met alle egards ontvangen en langs diverse instanties geleid.
Zo organiseerde het Ministerie van Economische Zaken en Klimaat en de ontwikkelingsmaatschappijen van de provincie Noord-Brabant en Zuid-Holland in 2016 een tweedaags programma voor VASTech. Een delegatie van het bedrijf sprak met het Ministerie van Buitenlandse Zaken, het Ministerie van Economische Zaken, het Innovation Quarter, de Brabantse Ontwikkelings Maatschappij (BOM Foreign Investments) en andere bestuursorganen.
In 2017 registreert VASTech een dochteronderneming in Amsterdam: Cyberupt BV. Cyberupt wordt in 2019 lid van de Hague Security Delta, een samenwerkingsverband op het gebied van IT- en databeveiliging, en van het open innovation platform Amsterdam Smart City.
VASTech/Cyberupt zoekt ook contacten in de universitaire wereld. De VASTech delegatie bezoekt in 2016 de Eindhoven University of Technology, de Technische Universiteit Delft en de Haagsche Hogeschool. Professor David van Leeuwen van de Nijmeegse Radboud Universiteit werkt al sinds 2006 samen met een medewerker van VASTech/Cyberupt, Niko Brummer.
Dit onderzoek van Buro Jansen & Janssen is gebaseerd op openbare bronnen, interne bedrijfsdocumenten en e-mails die Buro Jansen & Janssen in 2017 heeft ontvangen over de relatie van het Nederlandse bedrijf Fox-IT met het Duitse bedrijf AGT, de door Wikileaks openbaar gemaakte Hacking Team files en diverse Wob/Woo verzoeken.
Cyberupt
VASTech werd in 1999 in Stellenbosch opgericht door Frans Dreyer, die daarvoor werkte bij het Zuid-Afrikaanse ICT-bedrijf Spescom Limited. VASTech richt zich op de productie van programmatuur en software voor het opnemen van communicatie voor zowel de publieke als de commerciële markt. Het bouwt hierbij voort op oude producten van Spescom DataVoice, de ontwikkelingsafdeling van Spescom Limited, waarvan VASTech deels de rechten kocht.
Het bedrijf werd internationaal actief en werd een speler op de internationale surveillance markt. Het opzetten van Cyberupt past in de mondiale ambities van VASTech. Het Zuid-Afrikaanse bedrijf heeft in de loop der jaren diverse vestigingen opgezet om de handel met bepaalde regio’s te bevorderen. In 2008 opende het een kantoor in Dubai (VASTech ME FZE), in 2011 in Oman (VASTech LLC) en in 2013 VASTech AG in Zwitserland.
In 2016 beginnen de voorbereidingen voor het opzetten van Cyberupt. Op 1 april 2016 worden verschillende domeinen (cyberupt.com/.org/.info/.net) vastgelegd door Divan Dreyer. De website komt echter nooit van de grond. Wel wordt de bv een jaar later op 31 maart 2017, ingeschreven in Amsterdam, met een vestigingsadres in Amstelveen en een kantoor in Breukelen.
Cyberupt BV is in handen van Delm Invest (PTY) LTD, een bedrijf van Divan Dreyer. Bestuurders van de bv zijn, naast Dreyer (ook bestuurder bij VASTech SA en Seartech), Willem Johannes Barnard (ook bestuurder bij het Zwitserse VASTech AG) en Marthinus Casper (Marius) Ackerman. Ackerman werkte, net als VASTech oprichter Frans Dreyer, voor Spescom DataFusion en van 2003 tot 2017 bij VASTech in Zuid-Afrika als technical director en contract specialist. Vanaf juli 2017 is hij technical director van Cyberupt.
Niet alleen Ackerman heeft een verleden bij VASTech en Spescom. Cyberupt neemt ook andere mensen in dienst met eenzelfde achtergrond. Charl Johannes van der Merwe treedt in juli 2017 in dienst bij Cyberupt en houdt zich volgens zijn LinkedIn-pagina bezig met business development. Hij treedt in mei 2018 tevens toe tot het bestuur van Cyberupt. Hij is afkomstig van Spescom DataVoice en stapte in 2010 over naar VASTech, waar hij tot 2014 verantwoordelijk was voor product management, sales en marketing. Martin Booyens werkt vanaf april 2016 als software engineer en developer voor Cyberupt. Ook hij werkte in het verleden voor Spescom en VASTech.
Het opzetten van Cyberupt BV valt samen met het uitbreiden van de verkoopactiviteiten van VASTech binnen de Europese Unie. In januari 2016 huurt VASTech de diensten in van Nils Reinders. Reinders is werkzaam voor het Israëlische Dignia Systems, een bedrijf gespecialiseerd in beveiligings- en defensieoplossingen.
Reinders richt zich vooral op de lobby in Brussel bij diplomatieke vertegenwoordigers van EU-landen en militaire attachés van Afrikaanse en Zuidoost Aziatische landen. Naast zijn werk voor Dignia Systems is hij ook contactpersoon voor de Amerikaanse defensiebedrijven Northrop Grunman en General Dynamics Ordnance and Tactital Systems. Reinders omschrijft zich op zijn LinkedIn-pagina als “main contact person for National Security Solutions and interception systems of Vastech (SA) in 2016.”
VASTech bezoekt Nederland
Op 30 en 31 augustus 2016 bezoekt een delegatie van twee medewerkers van VASTech Nederland. Voor het Zuid-Afrikaanse bedrijf is een programma georganiseerd door de Netherlands Foreign Investment Agency (NFIA) en de provinciale ontwikkelingsmaatschappijen Innovation Quarter en de Brabantse Ontwikkelings Maatschappij (BOM Foreign Investments). In het Innovation Quarter werkt het Ministerie van Economische Zaken en Klimaat samen met de provincie Zuid-Holland en enkele gemeenten en onderwijsinstellingen uit die provincie.
De NFIA ondersteunt buitenlandse bedrijven die activiteiten in Nederland willen opzetten en valt onder de verantwoordelijkheid van het Ministerie van Economische Zaken en Klimaat. De NFIA geeft uitleg over de wet- en regelgeving in Nederland en is verantwoordelijk voor de internationale promotie van Nederland als vestigingslocatie voor bedrijven. De NFIA heeft ook een kantoor in Zuid-Afrika.
De NFIA ondersteunt buitenlandse bedrijven, maar houdt zich niet bezig met de achtergrond van de betreffende bedrijven. De NFIA werkt voor bedrijven in alle sectoren, de dienstverlening is gratis. Ondersteuning wordt alleen onthouden wanneer “de Nederlandse wet contacten met bedrijven met bepaalde activiteiten niet toestaat.” De NFIA “ondersteunt dus geen brievenbusmaatschappijen of andere papieren constructies”.
Volgens haar taakomschrijving moet de NFIA zich verdiept hebben in de achtergrond en klantenkring van VASTech en het bedrijf hierover hebben bevraagd. Uit de openbaar gemaakte communicatie blijkt dit niet. Levering van surveillance apparatuur aan repressieve regimes vormt geen beletsel voor ondersteuning van bedrijven die zich in Nederland willen vestigen.
Het programma van VASTech begint op dinsdag 30 augustus met een gesprek om 9.30 uur op het Ministerie van Economische Zaken en Klimaat met medewerkers van de NFIA en Innovation Quarter.
Gesprek op Buitenlandse Zaken – mogelijke export via Nederland?
Na het gesprek op Economische Zaken geven de twee VASTech delegatieleden dezelfde dag van 10.30 tot 11.30 uur een presentatie aan twee ambtenaren van het Ministerie van Buitenlandse Zaken (Directie Veiligheidsbeleid en de Directie Internationale Marktordening en Handelspolitiek), een ambtenaar van de NFIA en een ambtenaar van Innovation Quarter.
De delegatieleden geven aan mede geïnteresseerd te zijn in vestiging in Nederland, omdat dit mogelijkheden biedt om via Nederland te exporteren. Tijdens de presentatie geeft VASTech geeft een overzicht van haar producten. De ambtenaar schrijft dat VASTech: “systemen levert voor massive data capture & storage (ordegroot 10-14 Gbite/sec). Soms ook wel aangeduid als illegal interception. ‘Onderzoekers’ kunnen met of zonder gerechtelijk bevel zoeken in de data.” Volgens het gespreksverslag is “software het voornaamste product” van het Zuid-Afrikaanse bedrijf. “Hardware meestal off-the-shelf ongecontroleerd op enkele gateways (encryptie) na.”
Tijdens het gesprek komt de Wassenaar Arrangement (WA) ter sprake. WA is een akkoord over de beperking van de export van conventionele wapens en dual-use-technologieën: goederen met een civiele toepassing, die ook een militaire toepassing kunnen hebben, en waartoe ook IT-technologie en software kunnen behoren.
“Key: software systeem moet international scrutiny kunnen doorstaan. Is nu niet WA gecontroleerd, ook al gebruiken klanten wel voor militaire doeleinden. Alleen aan legale overheden in landen in Europa, Z-Amerika en Azië met goede reputatie, zonder sancties, embargo’s, etc. Nu: ontwikkeling van software systemen voor militair eindgebruik, die vanwege encryptie gecontroleerd zijn,” staat in het gespreksverslag.
Het is opmerkelijk dat in het gespreksverslag wordt vermeld dat VASTech alleen levert aan ‘landen met een goede reputatie’. De twee aanwezige ambtenaren van Buitenlandse Zaken houden zich bezig met internationaal maatschappelijk verantwoord ondernemen en non-proliferatie, ontwapening, wapenbeheersing en exportcontrole beleid. In hun functie worden zij geacht een kritische houding te hebben ten opzichte van de landen waaraan geleverd wordt.
Uit het gesprekverslag blijkt hier niets van. De VASTech medewerkers worden niet kritisch bevraagd over de landen waaraan het bedrijf levert en mogelijke leveringen aan repressieve regimes. Hier is aanleiding toe. De onthullingen over de leverantie van surveillance apparatuur aan Libië hebben in 2011 de nodige media-aandacht getrokken en het bedrijf raakte kortstondig in opspraak.
De ambtenaar van het Ministerie van Buitenlandse Zaken schrijft dat Nederland binnen de Europese Unie pleitbezorger is van exportcontroles in verband met mogelijke mensenrechtenschendingen: “Gevoelig in publieke debat. DU (Dual Use red.) verordening wordt herzien, met sterke MR (mensenrechten red.) component inclusief cyber surveillance technologie. … Binnen WA maar ook binnen EU is NL relatief scherp op MR consequenties van exporten. Kortom: mogelijk/onmogelijk afhankelijk van eindbestemming en -gebruik.”
De ambtenaar suggereert dat de Nederlandse overheid ‘scherp’ is bij het verstrekken van exportvergunningen voor dual-use goederen en het risico op mogelijk ongewenst eindgebruik laat meewegen. Hiervan blijkt dus niets tijdens het gesprek met de VASTech delegatie. Ook voorafgaande aan het bezoek van de VASTech delegatie zijn geen schriftelijke vragen gesteld over de leveringen aan repressieve regimes en het MVO-beleid van het bedrijf.
Het gebrek aan een scherpe en kritische houding blijkt ook uit het onderzoek van Buro Jansen & Janssen ‘Fox-IT en het Nederlandse exportbeleid voor dual-use goederen’ van februari 2020. Export van dual-use goederen naar landen buiten de Europese Unie is vergunningsplichtig. Bedrijven dienen een exportvergunning aan te vragen bij de Afdeling Exportcontrole en Strategische Goederen. Het exportbeleid voor dual-use goederen vereist een risicoanalyse om ongewenst eindgebruik te voorkomen. Fox-IT verstrekte de Afdeling Exportcontrole nauwelijks informatie over de eindgebruikers van de te exporteren producten. De Afdeling vroeg het bedrijf nauwelijks om informatie, die noodzakelijk is voor het maken van een risicoanalyse om ongewenst eindgebruik te voorkomen.
Bestuursorganen in de rij
Na de gesprekken op Economische Zaken en Buitenlandse Zaken volgen er in de middag bezoeken aan de Hague Security Delta, de TU Delft en de Haagsche Hogeschool. Dit blijkt uit een mail van een medewerker van de NFIA aan het Ministerie van Buitenlandse Zaken: “Voor jullie informatie we zullen op 30 augustus ook de Hague Security Delta, TU Delft, Haagsche Hogeschool bezoeken en spreken met een recruiter en tax advisor.”
Een gedetailleerd middagprogramma is niet openbaar gemaakt, hoewel er voor de VASTech delegatie tot 17.30 uur een programma is georganiseerd. Ook een groot deel van het programma van woensdag 31 augustus 2016 is weggelakt, behalve een afspraak op de High Tech Campus van de Eindhoven University of Technology.
Na het tweedaagse bezoek aan overheidsinstanties en universiteiten reist de VASTech delegatie door naar Ierland: “Vastech maakt een tour door NL en Ierland ter verkenning mogelijkheden,” zo schrijft een ambtenaar in een interne email.
De Nederlandse overheid biedt dus geen volledige openheid over welke instellingen door de VASTech delegatie bezocht zijn. Het is echter aannemelijk dat de VASTech delegatie, naast in de openbaar gemaakte documenten genoemde ministeries, provinciale investeringsorganen en onderwijsinstellingen, ook andere bestuursorganen heeft bezocht.
De VASTech delegatie heeft in ieder geval contact gehad met het Nederlands Forensisch Instituut (NFI). Het NFI meldt vier maanden na een door Buro Jansen & Janssen ingediend Wob/Woo verzoek dat er documenten over VASTech en/of Cyberupt bij het NFI aanwezig zijn, maar heeft deze nog niet openbaar gemaakt Gezien de hechte samenwerking van het NFI met de politie en inlichtingendiensten zullen ook deze organen interesse in het Zuid-Afrikaanse bedrijf hebben. Buro Jansen & Janssen heeft verschillende WOB verzoeken ingediend bij de Nationale Politie en de inlichtingendiensten, maar de behandeling hiervan duurt jaren.
Hoewel de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie recentelijk in antwoorden op Kamervragen stellen dat bulkinterceptie technisch niet mogelijk is in Nederland, wil dit niet zeggen dat opsporings- en inlichtingendiensten deze mogelijkheden niet aftasten. Bijvoorbeeld door apparatuur van bedrijven die surveillance apparatuur aan andere overheden leveren uit te proberen.
Cyberupt gebruikt naam VASTech niet
Tijdens het gesprek met ambtenaren van Economische Zaken en Buitenlandse Zaken maakt de VASTech delegatie duidelijk dat het een “permanente startup wil beginnen in NL vanwege transparante regulering en nabijheid technische universiteiten.”
De transparante regulering verwijst naar het exportbeleid voor dual-use goederen en de mogelijkheid om via een Nederlandse dochteronderneming te exporteren. In het gespreksverslag wordt dit gekoppeld aan vertragingen in de Zuid-Afrikaanse wetgeving: “Z-Afrika loopt achter met implementatie WA regels met als risico dat contracten Vastech worden ingehaald door (vertraagde) implementatie.” De nabijheid van technische universiteiten biedt voor VASTech mogelijkheden tot samenwerking in de Nederlandse universitaire wereld.
Een half jaar na het bezoek van de VASTech delegatie wordt Cyberupt BV ingeschreven bij de Kamer van Koophandel. Hoewel de delegatieleden zich tijdens het bezoek aan Nederland in augustus 2016 presenteren als vertegenwoordigers van VASTech, profileert Cyberupt zich in de hierop volgende jaren publiekelijk nooit als dochteronderneming van het Zuid-Afrikaanse bedrijf. De naam VASTech wordt ook nooit in haar externe uitingen genoemd. Dit is waarschijnlijk een bewuste keuze van het bedrijf. Men realiseert zich dat VASTech mogelijk voor sommigen een besmette naam is.
Voor de Nederlandse overheid vormen de onthullingen over de leveringen van surveillance apparatuur aan Libië weliswaar geen bezwaar om het bedrijf te faciliteren bij de vestiging in Nederland. Het is echter niet denkbeeldig dat de associatie met VASTech publiekelijk bekend zal worden en voor negatieve publiciteit kan zorgen.
Cyberupt sluit zich in 2018 aan bij de Hague Security Delta. Ook hier verzwijgt het bedrijf haar banden met VASTech.
Hague Security Delta
The Hague Security Delta is een samenwerkingsverband op het gebied van IT- en databeveiliging. Ronald Prins, voormalig directeur van Fox-IT, was een van de initiatiefnemers en penningmeester van de HSD. De huidige directeur van Fox-IT, Inge Bryan, heeft zitting in de adviesraad van het netwerk.
In de loop der jaren worden in de media vraagtekens gezet bij het succes van HSD. Het initiatief zou veel subsidie hebben ontvangen, maar niet veel hebben opgeleverd, zo blijkt uit onderzoek van De Correspondent en Follow the Money.
Cyberupt probeert lid te worden van de HSD en slaagt hierin. In augustus 2016 brengt de VASTech delegatie al een bezoek aan de HSD. Namens Cyberupt neemt Charl van de Merwe op 4 oktober 2018 deel aan ‘matchmaking event’ in het kader van de Cyber Security Week van de HSD.
\Van der Merwe is zeer te spreken over de ‘matchmaking,’ zo maakt hij duidelijk op de website van Enterprise Europe Network. Hij weet de HSD te overtuigen van de kwaliteiten van Cyberupt, want op 20 mei 2019 wordt het bedrijf verwelkomd als partner van het netwerk. “On Monday 20 May 2019 organisations aXite, Navaio, Tata Consultancy Services, Checkpoint Software Technologies, TIIN Capital, uCrowds, Cyberupt, Profit4SF were officially welcomed to the HSD community during the weekly HSD Campus lunch,” zo meldt de HSD in een persbericht.
De timing is opmerkelijk. Tijdens de toetreding tot de HSD werkt VASTech aan een monitoring centrum in Saoedi-Arabië. Op 2 oktober 2018 wordt journalist Jamal Khashoggi vermoord door Saoediërs die een directe link hebben met de belangrijkste kroonprins van het land Mohammed bin Salman. Daarnaast zijn er al jaren grote zorgen over ernstige beperkingen van de vrijheid van meningsuiting, de behandeling van gevangenen en het rechtssysteem. VASTech werkt sinds 2018 aan de opdracht. Het centrum zal in 2021 opgeleverd worden.
De HSD lijkt geen voorwaarden te hebben voor bedrijven om lid te worden van het netwerk. Ook bedrijven die surveillance apparatuur leveren aan repressieve regimes, zoals VASTech, blijken lid te kunnen worden. De HSD maakt in haar berichtgeving over de toetreding van Cyberupt tot het netwerk geen melding van de associatie van het bedrijf met VASTech.
The Hague Security Delta verwelkomt het bedrijf: “Cyberupt develops solutions for optimum decision making and domain awareness” en “Cyberupt develops technology and products which enables data driven decision-making.” Het schrijft ook dat de ‘Cyberupt’s machine intelligence solutions’ verkoopt die data uit verschillende digitale en fysieke bronnen bij elkaar brengen. De beschrijvingen komen overeen met de surveillance apparatuur en data-analyse tools van VASTech.
Niet alleen in Den Haag, maar ook in Amsterdam sluit Cyberupt zich aan bij een initiatief: Amsterdam Smart City. Amsterdam Smart City maakt deel uit van the Amsterdam Economic Board, een samenwerkingsverband van bedrijfsleven, kennisinstellingen en overheden. In de Board zitten verschillende gemeenten, ministeries en provincies, de Universiteit van Amsterdam, de Waag en bedrijven zoals Tata Steel Nederland, Shell en Philips, Shell, Philips.
Op Europees niveau presenteert het bedrijf zich op onder andere de Interspeech conferentie 2019 van 15 tot en met 19 september in Graz, Oostenrijk en op de CIPRE-conferentie en expositie (Critical Infrastructure Protection & Resilience Europe) van 14 tot 16 oktober 2019 in Milaan, Italië. Directeur Charl van der Merwe houdt op CIPRE een lezing over artificiële intelligentie: “Rethink AI: Insight in threat behaviour through Machine Intelligence and Information Fusion.
Radboud Universiteit, professor David van Leeuwen
Cyberupt schrijft op de website van de Cyber Security & Cloud Expo, die in september 2022 in de Amsterdamse RAI plaatsvindt, dat het bedrijf data wetenschappers in dienst heeft die gespecialiseerd zijn in de omgang met omvangrijke datasets: “Our engineer and data scientists have skills in the management and mining of massive data sets, machine learning, probabilistic modelling and fusion as well as design, development and deployment of very large distributed systems.” Cyberupt doelt hier waarschijnlijk op de datawetenschappers die in Zuid-Afrika in dienst zijn van VASTech.
Medewerkers van VASTech werken regelmatig samen met academici. Cyberupt zoekt in Nederland ook aansluiting in de universitaire wereld. In 2016 maakte de VASTech delegatie al kenbaar interesse te hebben in Nederland als vestigingsland vanwege de nabijheid van technische universiteiten. De delegatie bezocht de TU Delft, de Eindhoven University of Technology en de Haagsche hogeschool.
De interesse is niet verwonderlijk en het past in de strategie van het Zuid-Afrikaanse bedrijf. Ook in Stellenbosch, waar het hoofdkantoor van VASTech gevestigd is, werkt VASTech nauw samen met de universiteit.
Niko Brummer is een van de wetenschappers die een rol spelen bij de contacten met de universitaire wereld. In 2010 promoveerde hij aan de University of Stellenbosch. Hij werkte net als VASTech oprichter Frans Dreyer voor het Zuid-Afrikaanse ICT-bedrijf Spescom Limited. Brummer werkte bij Spescom DataFusion. Sinds 2009 is hij werkzaam voor het Spaanse Agnitio S.L. Het bedrijf is bekend van haar spraakherkenning software en naar eigen zeggen marktleider in forensische vocale biometrie. Het levert aan politiediensten in meer dan 35 landen in Europa, Azië en Amerika. In 2016 is Agnitio overgenomen door Nuance Communications, nu onderdeel van Microsoft.
In 2019 werkt Brummer mee aan het artikel ‘Large-Scale Speaker Diarization of Radio Broadcast Archives’. Het artikel is geschreven door verschillende mensen, waaronder twee medewerkers van de Radboud Universiteit van Nijmegen: Professor David van Leeuwen, bijzonder hoogleraar Machine learning on human-generated data, Henk van den Heuvel van het Centre for Language and Speech Technology van de Radboud Universiteit. Brummer ondertekent het artikel als ‘Niko Brummer, Cyberupt BV South Africa’. Ook op het programma van de Interspeech 2019 conferentie, waar een paneldiscussie plaatsvindt naar aanleiding van het artikel, wordt Brummer vermeld als medewerker van Cyberupt.
Van de Heuvel en Van Leeuwen willen geen nadere informatie of toelichting geven over hun relatie met Brummer en Cyberupt. Bij navraag door Buro Jansen & Janssen schrijft Henk van den Heuvel: “Ik heb geen enkel contact met Niko Brummer of Cyberrupt (spelling van de Heuvel) gehad. Het contact met Niko Brummer liep via David van Leeuwen.”
Van Leeuwen beantwoordt vragen van Buro Jansen & Janssen zeer summier en schrijft alleen dat hij niets weet over Cyberupt: “Ik weet verder niets van Cyberupt.” Buro Jansen & Janssen vroeg Van Leeuwen ook naar zijn relatie met Niko Brummer. Hij beantwoordt deze vraag echter niet.
De reactie van professor Van Leeuwen is opmerkelijk, omdat hij sinds 2006 regelmatig samen met Brummer artikelen heeft gepubliceerd. De eerste artikelen, “On calibration of language recognition scores’ en ‘Channel-dependent GMM and Multi-class Logistic Regression’ werden geschreven voor de Odyssey 2006 conferentie in de Verenigde Staten.
Er volgen meer artikelen in onder andere 2007, 2013, 2014 en 2015. Ook schrijven Brummer en Van Leeuwen samen artikelen of hoofdstukken in boeken zoals ‘An Introduction to Application-Independent Evaluation of Speaker Recognition Systems’ voor het boek ‘Speaker Classification I: Fundamentals, Features, and Methods’ in 2007.
Ook werken Van Leeuwen en Brummer samen bij de Interspeech conferenties in 2013, 2015 en bij de eerdergenoemde conferentie van 2019. Zo schrijven zij in 2013 de paper ‘The distribution of calibrated likelihood-ratios in speaker recognition’ en in 2015 met enkele andere auteurs het artikel ‘The RedDots data collection for speaker recognition’.
De verklaringen van professor van Leeuwen over zijn banden met Cyberupt en Niko Brummer zijn dan ook weinig geloofwaardig. Hij lijkt te willen verdoezelen dat hij al jaren samenwerkt met Brummer. Zijn houding lijkt hiermee op de handelwijze van Cyberupt, dat haar relatie met VASTech niet publiekelijk bekend maakt.
Niko Brummer en het ‘surveillance and interception eco-system’
Niko Brummer presenteert zich sinds enkele jaren als medewerker van Cyberupt, maar is werkzaam voor het Spaanse bedrijf Agnitio. Dit Spaanse bedrijf verklaart in haar externe communicatie dat het apparatuur aan politie en opsporingsdiensten levert. Dit is hetzelfde verweer van VASTech wanneer het wordt geconfronteerd met bewijzen van leveringen aan repressieve regimes.
Agnitio opereert in dezelfde kringen als VASTech. Het heeft een kantoor in Stellenbosch, Zuid-Afrika vlakbij het kantoor van VASTech. Ook neemt het bedrijf sinds 2008 vaak deel aan ISS World conferenties. ISS World (Intelligence Support Systems) is een handelsbeurs voor afluister- en surveillance-apparatuur, waar bedrijven en medewerkers van legers, politie en inlichtingendiensten uit verschillende landen aanwezig zijn. Agnitio bezoekt niet alleen beurzen in Europe en de Verenigde Staten, maar, maar in 2009, 2010 en 2015 ook in Dubai, in 2011 in Brasilia, in 2008 en 2009 in Singapore, en 2015 in Kuala Lumpur.
VASTech is ook bijna altijd op deze beurzen aanwezig, net zoals andere controversiële bedrijven, zoals bijvoorbeeld het Italiaanse Hacking Team. Het in 2003 opgerichte computerbedrijf Hacking Team heeft een bedenkelijke reputatie, onder meer vanwege het leveren van digitale wapens aan autoritaire regeringen die ze hebben ingezet tegen oppositieleden, journalisten en mensenrechtenactivisten.
Bedrijven in de surveillance industrie zijn vaak nauw met elkaar verweven en medewerkers van de bedrijven stappen regelmatig over naar een ander bedrijf. Zo blijkt uit de door Wikileaks openbaar gemaakte bedrijfsdocumenten van Hacking Team dat medewerkers van VASTech, Hacking Team en Agnitio van bedrijf wisselen.
Een nieuwe medewerker van Hacking Team, Philippe Vinci, mailt in april 2015: “I have decided to move from AGNITiO and join a new adventure in Hacking Team. You may have heard about Hacking Team, as we are in the same surveillance and interception eco-system.” Twee maanden later meldt Fabrizio Diantina aan Vinci dat hij VASTech na dertien jaar VASTech verruilt voor Agnitio. Diantina verwijst hierbij in zijn mail naar een bezoek van VASTech medewerkers aan Hacking Team bedoeld om de samenwerking op het terrein van marketing en sales te vergroten: “… explore together how Vastech can help us with your local customers.”
Niko Brummer maakt dus onderdeel uit van dit ‘surveillance and interception eco-system’ van bedrijven die regelmatig surveillance apparatuur leveren aan repressieve regimes. Het is verontrustend dat wetenschappers een dergelijke rol vervullen, dat VASTech ook in Nederland aansluiting probeert te zoeken in de academische wereld, dat Cyberupt is ontvangen door enkele onderwijsinstanties en dat professor David van Leeuwen niet transparant is over zijn relaties met VASTech, Cyberupt en Brummer.
Mensenrechtenschendingen en leveringen aan repressieve regimes geen bezwaar
Vanaf augustus 2016 opereert Cyberupt als dochteronderneming van VASTech in Nederland. Cyberupt BV wordt op 14 september 2020 uitgeschreven uit het handelsregister, maar het bedrijf is nog altijd actief in Nederland. Dit blijkt uit de aanmelding voor deelname aan de Cyber Security & Cloud Expo in September 2022 in Amsterdam.
Het is onduidelijk welke activiteiten Cyberupt in Nederland precies heeft ondernomen en of VASTech via Nederland naar andere landen heeft geëxporteerd. Het is echter wel duidelijk dat het Ministerie van Economische Zaken en Klimaat de vestiging van het bedrijf in Nederland faciliteerde, zonder zich in de achtergrond van het bedrijf te verdiepen. Ook het Ministerie van Buitenlandse Zaken, het NFI en verschillende onderwijsinstellingen hadden contact met VASTech. David van Leeuwen van de Radboud Universiteit Nijmegen werkt zelfs al jaren samen met een vertegenwoordiger van Cyberupt.
Het bedenkelijke trackrecord van VASTech op het gebied van leveringen aan repressieve regimes en de afwezigheid van beleid van het bedrijf op de mogelijke impact van haar leveranties op de mensenrechten vormde voor geen van deze bestuursorganen een belemmering om in gesprek te gaan met het Zuid-Afrikaanse bedrijf.
Zuid-Afrikaans surveillance bedrijf VASTech leverancier van repressieve regimes