Europese persoonsgegevens belanden in Israël: zorgen om surveillance en mensenrechtenschendingen
· 12 min. leestijd

Gevoelige persoonsgegevens van miljoenen burgers stromen vanuit Europa naar Israël. Dat is mogelijk dankzij een besluit van de Europese Commissie. Zij laat de belangen van Israëlische techbedrijven zwaarder wegen dan het risico op massasurveillance van Europese burgers. Dat is in strijd met Europese privacywetgeving en de principes waarop de EU is gebouwd.
Beluister dit artikel
Dit stuk in 1 minuut
Wat is het nieuws?
- Persoonsgegevens van miljoenen Europese burgers stromen naar Israël via apps als Waze, Moovit en Facetune. Het gaat onder meer om gevoelige gegevens als locatiedata, portretfoto’s en daarvan afgeleide biometrische informatie.
- De Europese Commissie bevordert deze datastromen doordat zij Israël, dat economisch grotendeels afhankelijk is van de techsector, als veilige haven voor persoonsgegevens aanmerkt. Dat betekent dat bedrijven geen toestemming hoeven te hebben of bijzondere maatregelen hoeven te treffen om persoonsgegevens naar Israël te sturen.
- Critici maken zich zorgen. Zij zijn bang dat persoonsgegevens worden gebruikt voor grootschalige surveillance of voor onwettige doelen, zoals het trainen van AI-modellen die worden gebruikt om Palestijnen te onderdrukken. Zij wijzen ook op grootschalige mensenrechtenschendingen en de wankele rechtsstaat – elementen die de Commissie zou moeten meewegen in haar beoordeling.
- De Europese Commissie stelt dat zij aan de hand van de criteria in de wet heeft beoordeeld of Israël aan de voorwaarden voldoet. Critici menen echter dat die beoordeling niet serieus is en dat politieke overwegingen de doorslag geven.
Waarom is dit belangrijk?
- In de Europese Unie gelden privacywetten die burgers moeten beschermen tegen onder meer vergaande surveillance. Doordat de Commissie die niet kritisch toetst, lopen bijvoorbeeld Europese activisten het risico dat de Israëlische overheid hen makkelijk in de gaten kan houden. Israël beschuldigde Europese activisten al eerder publiekelijk en zonder overtuigend bewijs van betrokkenheid bij Hamas.
- De wet vereist bovendien dat de Commissie mensenrechten en rechtsstaat in haar beoordeling betrekt. In een recente evaluatie van de veilige status van Israël worden deze criteria – en dus ook de schendingen van de mensenrechten van Palestijnen – niet genoemd.
Hoe hebben we dit onderzocht?
- FTM bestudeerde documenten van de Europese Commissie en de Europese privacywaakhond, deels verkregen met een beroep op Europese transparantiewetgeving, en sprak met diverse experts. Ook hebben we de privacyvoorwaarden van Israëlische bedrijven bestudeerd om te illustreren om welke diensten en gegevens het gaat.
Dit verhaal is onderdeel van een lopend onderzoeksdossier.
De rechtsstaatTerwijl Israël de bombardementen op Gaza hervat, humanitaire hulp tegenhoudt, journalisten en hulpverleners vermoordt en de illegale bezetting van de Westelijke Jordaanoever verder versterkt, stromen persoonsgegevens van miljoenen Europese burgers naar Israël.
Dat staat op gespannen voet met de wet.
De Europese privacywet AVG verbiedt immers dat bedrijven persoonsgegevens – denk aan NAW-gegevens, foto’s, locatiegegevens en IP-adressen – delen met landen waar deze gegevens niet volgens de Europese normen worden beschermd.
De Europese Commissie vindt dat Israël aan de normen voldoet, maar NGO’s, Europarlementariërs en privacy-experts hebben daar vraagtekens bij. Zij trokken ruim een jaar geleden al aan de bel, en kregen nul op het rekest.
Intussen heeft de regering-Netanyahu de Israëlische rechtsstaat nog verder afgebroken en maakt zij Europese activisten het leven zuur met ongefundeerde beschuldigingen. Toch blijft de Commissie Israël als veilige bestemming voor Europese data beschouwen.
Silicon Wadi
De Israëlische economie drijft op het grote aantal techbedrijven in het land. Ruim 9 duizend techbedrijven met 400 duizend werknemers zijn goed voor meer dan de helft van de Israëlische export. Volgens de Israëlische overheid brengt Israël wereldwijd zelfs het grootste aantal tech start-ups per hoofd van de bevolking voort. Ook veel internationale techbedrijven als Alphabet (Google), Amazon, IBM en Meta (Facebook) hebben vestigingen en onderzoekscentra in ‘Silicon Wadi’, zoals velen deze regio in Israël inmiddels noemen.
Al deze bedrijven verzamelen data. Neem de populaire Israëlische app Facetune. Daarmee kunnen mensen selfies bewerken, maar de app slaat de foto’s en andere gegevens van gebruikers ook op. En de navigatie-apps Waze en Moovit hebben inmiddels locatiegegevens van mensen over de hele wereld in hun bezit.
Israëlische techbedrijven en hun datastromen
Veilige status
Dat deze bedrijven gegevens van Europese burgers in Israël mogen beheren en opslaan, is te danken aan de Europese Commissie. Die beoordeelt of landen data voldoende beschermen. Volgens de wet moet de Commissie daarbij onder meer letten op de kwaliteit van de rechtsstaat, de mensenrechtensituatie en het risico op massasurveillance.
Als de Commissie oordeelt dat een land buiten de EU aan de voorwaarden voldoet, kan ze dat land een veilige status toekennen. Bedrijven mogen dan zonder verdere toestemming of maatregelen persoonsgegevens naar dat land overdragen.
Op dit moment zijn er zestien landen die van de Commissie een veilige status hebben gekregen. Sinds 2011 is Israël daar een van. In januari 2024 publiceerde de Commissie de uitkomsten van een wettelijk verplichte evaluatie. Haar conclusie: Israël voldoet nog altijd aan de voorwaarden.
Ander idee van veiligheid
Critici zijn het oneens met de beoordeling van de commissie. Ze zijn bang dat de data voor verkeerde doeleinden worden gebruikt, zoals mensenrechtenschending van Palestijnen en Europese activisten observeren. Daarnaast wijzen ze erop dat de regering-Netanyahu de rechtsstaat gaandeweg afbreekt. Volgens critici is het daarom moeilijk vol te houden dat persoonsgegevens van buitenlanders bij Israël in veilige handen zijn.
In een open brief aan de Commissie formuleerden elf ngo’s op initiatief van European Digital Rights (EDRi) in april vorig jaar hun bezwaren. Volgens hen zijn de ruime bevoegdheden en vergaande surveillancepraktijken van Israëlische geheime diensten onverenigbaar met Europese standaarden. ‘Wij maken ons daarom zorgen over mogelijke toegang tot de Europese data door Israëlische veiligheidsdiensten, bijvoorbeeld voor surveillance of het trainen van AI-modellen,’ zegt Itxaso Dominguez, beleidsadviseur bij EDRi, tegen Follow the Money.
Follow the Money staat voor radicaal onafhankelijke onderzoeksjournalistiek. Ons werk is mogelijk dankzij het vertrouwen van onze 45.039 betalende leden. Nog geen lid? Meld je dan nu aan
Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland en voormalig inlichtingenofficier bij de AIVD, deelt die zorgen. Bij de AIVD had ze ook te maken met Israëlische inlichtingen- en veiligheidsdiensten.
Holterman wijst op de staat van conflict en oorlog waarin Israël al sinds de oprichting in 1948 verkeert. ‘De perceptie van veiligheid is daardoor bij Israëlische veiligheidsdiensten totaal anders dan bij ons. Ze hebben het gevoel constant in oorlog te verkeren en benaderen veiligheid vanuit het perspectief dat alles een potentieel risico is. Vanuit die opvatting worden de bevoegdheden van Israëlische inlichtingendiensten ruim geïnterpreteerd.’
Dat Israëlische veiligheidsdiensten de neiging hebben overal risico’s te zien, blijkt onder meer uit het grootschalige gebruik van camerasystemen met geavanceerde gezichtsherkenning op de Westelijke Jordaanoever. Daarmee volgen ze nauwgezet het reilen en zeilen van Palestijnen en bepalen ze wie wel en wie niet langs een van de vele controleposten mag. Zo worden Palestijnen uit de illegale Israëlische nederzettingen geweerd en van de exclusief voor Israëliërs gebouwde wegen gehouden.
In Gaza gebruikt Israël vergelijkbare systemen om Palestijnen die aan Hamas gelieerd zouden zijn te identificeren – met valse beschuldigingen tot gevolg.
Worden deze gezichtsherkenningsprogramma’s getraind met commerciële data, bijvoorbeeld de foto’s van gebruikers van Facetune? Holterman vermoedt van wel. ‘Consumentendata gebruiken voor het trainen van AI-modellen kan heel interessant zijn voor veiligheidsdiensten, omdat ze daarmee meer diverse data binnen kunnen halen, waarmee ze modellen beter kunnen trainen,’ legt ze uit. ‘Ook gelet op de dwarsverbanden tussen het bedrijfsleven en de inlichtingenwereld, en de huidige situatie in Israël, zou het me verbazen als data van commerciële bedrijven niet ook voor dergelijke militaire doelen wordt ingezet.’
Dwarsverbanden tussen inlichtingenwereld en techindustrie
Europese burgers doelwit van surveillance?
Israëlische inlichtingendiensten hebben ook interesse in Europese burgers. Zo heeft de Israëlische overheid meerdere Nederlandse en Belgische activisten in het vizier. In rapporten beschuldigt Israël hen – zonder overtuigend bewijs – publiekelijk van terrorisme en antisemitisme. Dat gebeurde bijvoorbeeld na de rellen in Amsterdam rondom de voetbalwedstrijd tussen Ajax en Maccabi Tel Aviv in november 2024.
Internationale organisaties op Europees grondgebied zijn eveneens doelwit. In mei 2024 onthulde The Guardian dat Israëlische inlichtingendiensten een langdurige campagne voerden tegen het Internationaal Strafhof in Den Haag, dat onderzoek deed naar mogelijke mensenrechtenschendingen door de Israëlische overheid. In november 2024 vaardigde het Strafhof arrestatiebevelen uit voor premier Benjamin Netanyahu en defensieminister Yoav Gallant.

De Rothschild Boulevard in Tel Aviv, tevens onderdeel van 'Silicon Wadi'.
© ANP
En dan zijn er nog de spyware-aanvallen op Europese journalisten en activisten waarbij Israëlische software wordt gebruikt, al kan niet worden vastgesteld welke landen daarachter zitten.
Het opslaan van persoonsgegevens in Israël, bijvoorbeeld via de locatiegegevens uit navigatie-apps Waze en Moovit, kan de surveillance op Europese burgers in de hand werken, waarschuwen experts.
‘Dit soort metadata is voor inlichtingendiensten vaak interessanter dan inhoudelijke informatie, zoals de berichten zelf,’ zegt Holterman. ‘De metadata stellen diensten namelijk in staat om netwerken in kaart te brengen. Bijvoorbeeld wie er tijdens pro-Palestinaprotesten op de Dam aanwezig zijn. Van daaruit kan een dienst eventueel besluiten meer gerichte surveillance op te zetten, op specifieke personen.’
De Commissie negeert signalen
Ondanks deze verontrustende signalen blijft de Europese Commissie Israël als veilig beschouwen. Overigens is de Commissie op dit punt al vaker op de vingers getikt door het Hof van Justitie. Dat zette al meermaals een streep door de veilige status die de Commissie eerder aan de Verenigde Staten had toegekend, vanwege het risico op grootschalige surveillance door dat land.
Laura Drechsler, universitair docent aan de KU Leuven en gespecialiseerd in de juridische aspecten van internationale datastromen, vindt de recente evaluatie van de Commissie niet overtuigend. ‘Het Hof eist dat er een duidelijk wettelijk kader is, met waarborgen voor burgers. Ik heb niet de indruk dat de Commissie dat kritisch heeft beoordeeld. Wat ik lees in de beoordeling, strookt niet echt met wat ik in de krant lees.’
Opmerkelijk is dat de Commissie de militaire inlichtingendienst Eenheid 8200 – die verantwoordelijk is voor het overgrote deel van Israëls surveillance-activiteiten – vrijwel volledig buiten beschouwing laat.
Een inlichtingenexpert met wie FTM sprak, verklaart dat als volgt: Eenheid 8200 is nauwelijks gereguleerd, dus een wettelijk kader is er eigenlijk niet.
Drechsler vult aan: ‘Dat deze dienst nauwelijks gereguleerd is, is op zichzelf al voldoende reden om een streep door de veilige status van Israël te zetten.’ Dominguez van EDRi wijst op de consequenties: ‘Doordat de EU niet kritisch beoordeelt, lopen mensenrechtenverdedigers, journalisten, politici en anderen het risico aan onwettige surveillance te worden onderworpen.’
Vergeten kernwaarden
Dan zijn er nog de andere criteria waar Israël volgens de privacywet AVG aan moet voldoen: het land moet een gezonde rechtsstaat hebben en mag geen mensenrechten schenden. Die criteria behoren bovendien tot de kernwaarden van de Europese Unie.
De Europese Commissie zegt in de evaluatie alle voorwaarden van de AVG te hebben getoetst, maar over de rechtsstaat en mensenrechten staat niets in het rapport. ‘Onbegrijpelijk,’ vindt Drechsler. ‘Die criteria geven in het geval van Israël op zijn minst aanleiding tot vragen. In het rapport zouden die bedenkingen moeten zijn opgenomen en zou inzichtelijk gemaakt moeten zijn hoe de Commissie die heeft gewogen.’
Rechtsstaat in Israël onder druk
Volgens Drechsler is de zaak duidelijk: het besluit om Israël als veilig te blijven beschouwen, is niet het resultaat van een gedegen juridische toets, maar is politiek gemotiveerd. ‘In feite bedrijft de Commissie geopolitiek met Europese persoonsgegevens als onderpand. En ze doet dat zonder basis in de privacywetgeving en zonder de procedurele waarborgen in acht te nemen die bij “echte” geopolitieke bevoegdheden gelden, zoals het sluiten van verdragen. Dan zouden ook andere instellingen betrokken zijn. Dat is hier niet het geval.’
Op die manier trekt de Commissie meer macht naar zich toe, zonder wettelijk mandaat.
‘De Commissie lijkt bereid om duidelijke rode vlaggen te negeren vanwege geopolitieke belangen,’ aldus Itxaso Dominguez.
Gesloten gelederen
Wat de politieke afwegingen van de Commissie precies zijn, maakt zij niet duidelijk. De Commissie reageerde niet op de eerdergenoemde brief van de elf ngo’s.
Europarlementariërs stelden in april vorig jaar vragen aan toenmalig Eurocommissaris voor Justitie Didier Reynders, maar zijn reactie behelsde niet meer dan dat Israël volgens de evaluatie nog altijd aan de voorwaarden voldoet.
In december 2024 schreef het Europees Comité voor Gegevensbescherming (EDPB) een brief aan de Commissie met omfloerste kritiek op de gevolgde procedure en en de beoordeling van elf landen, waaronder Israël. Op die brief, die mede door de Commissie zelf blijkt te zijn geschreven, reageerde de Commissie evenmin.
Recent vroegen twee Europarlementariërs of de Commissie de status van Israël opnieuw zou beoordelen, in het licht van nieuwe informatie over het gebruik van data over Palestijnen. Zij wilden ook weten hoe de Commissie naleving van Europese standaarden waarborgt.
Eurocommissaris voor Justitie Michael McGrath – de opvolger van Reynders – ging niet op die vragen in, maar herhaalde de conclusie van de eerdere evaluatie. Ook stelde hij dat de Commissie ‘de toepassing van het besluit monitort en mogelijkheden heeft om te reageren als de bescherming van data uit de EU vermindert’.
Wederhoor Europese Commissie
Geen opmerkingen:
Een reactie posten
Opmerking: Alleen leden van deze blog kunnen een reactie posten.