Ook back-ups zijn niet veilig

Amerikaanse autoriteiten kunnen nu al bij passagiersdata van Europeanen, doordat hosters van dergelijke data een backup/mirror-systeem hebben in de Verenigde Staten. Ook Google bouwt nu zo’n database.

Een grote Duitse hoster van Passenger Name Records, data van alle passagiersgegevens van Europeanen, blijkt een mirror van zijn database te hebben in de Verenigde Staten. Daardoor zijn alle gegevens direct opvraagbaar door de Amerikaanse autoriteiten, zonder dat daarvoor toestemming nodig is van de Europese Unie of Nederland. Dat stelt Europarlementarier Sophie in ‘t Veld, die daarover vragen heeft gesteld aan de Europese Commissie.

Amadeus is een zogeheten Computer Reservation System dat zijn centrale database heeft staan in het Duitse Erding. Volgens In ‘t Veld wordt die database gebruikt door steeds meer vliegmaatschappijen die daar hun passagiersgegevens opslaan. Doordat de mirror backup in de Verenigde Staten wordt gehost, valt die onder de jurisdictie van de Verenigde Staten.

In ‘t Veld wijst erop dat de Amerikanen onder meer de Patriot Act kunnen gebruiken om toegang tot de data te krijgen. De Patriot Act geeft de Amerikaanse autoriteiten de mogelijkheid persoonlijke data van elke wereldburger op te vragen als die data is opgeslagen in databases binnen de eigen grenzen of als die in beheer zijn van Amerikaanse bedrijven, ongeacht waar in dat geval de database staat.

Verder vraagt de D66-politica aan de Europese Commissie of die zich ervan bewust is dat er mogelijk andere databases met PNR-informatie aan de datagraaiende handen van de Amerikaanse autoriteiten ten prooi kunnen vallen. Die vraag lijkt mede ingegeven door het nieuws dat Google bezig is databases aan te leggen voor de opslag van PNR-informatie. Google doet dat voor vliegmaatschappijen die klant zijn van ITA Software, een bedrijf dat het een jaar geleden heeft overgenomen.

ITA Software heeft als eerste klant Cape Air, een kleine maatschappij die onder meer vliegt op enkele Britse eilandjes in de Caraïben. Daardoor zouden ze zich aan de Europese wetten moeten houden op het gebied van dataretentie en databescherming. Of dat zo is en op welke manier dat gebeurt, is nog onduidelijk. Ook de manier waarop Google de data deelt met de Amerikaanse autoriteiten, is onbekend. In november werden daar al vragen over gesteld in het Europarlement, maar een duidelijk antwoord is uitgebleven.

Over de uitwisseling van PNR-data zijn de Europese Unie en de Verenigde Staten al enige jaren aan het steggelen. Er is een ontwerpakkoord, maar veel Europese parlementariërs vinden dat te ver gaan. Data van Europese burgers zouden tot 15 jaar lang kunnen worden opgeslagen en onduidelijk is wat de Amerikanen nu precies met die data gaan doen. Maar nu blijkt dat de Amerikanen ook zonder dat akkoord de persoonlijke gegevens van Europeanen kunnen inzien, vraagt In ‘t Veld om een onderzoek. Dat onderzoek moet uitwijzen of Amadeus in het verleden al heeft kennisgemaakt met opvragingen vanuit de Amerikaanse autoriteiten en of daar gehoor aan is gegeven.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *