Persoonsgegevens reizigers de mist in
‘So what?’, kan men denken. Wat is er zo erg aan het verstrekken van (‘push’) of inzage geven in (‘pull’) allerhande persoonsgegevens die een luchtvaartmaatschappij heeft geregistreerd over een passagier van een bepaalde vlucht? Naam, frequentflyernummers, de complete routing van de boeking, reisvoorwaarden, klasse en stoelnummers incluis, als ook de financiële gegevens: tarief, creditcardnummer en naam van de houder of van degene die reist, et cetera. Tevens bevat een PNR informatie over eventuele bijzondere maaltijden, medische assistentie, extra bagage en andere zaken die onder de zogenoemde ‘special service requirements’ vallen, terwijl communicatie tussen luchtvaartmaatschappij en ‘agent’ ook geregistreerd kan zijn. De reissector is erg bezorgd over deze Amerikaanse gegevensvergaring, zo bleek onlangs op een conferentie van de Association of Corporate Travel Executives (ACTE). Jan Willem Dekker, vicepresident Benelux van Carlson Wagonlit Travel, riep zelfs op naar de rechter te stappen. Zijn onvrede is meer dan begrijpelijk. Enerzijds moet de reiswereld in Europa zorgvuldig volgens de wettelijke privacyvoorschriften werken; anderzijds schuift Brussel wel heel makkelijk haar eigen wet opzij omdat de Amerikanen dat eenvoudig gevraagd hebben. De oorzaak heeft alles te maken met de ‘aftermath’ van ‘9/11’. Nieuwe federale wetgeving zoals de Aviation and Transportation Security Act of 2001 (ATSA) en de Enhanched Border Security and Visa Entry Act of 2002 (EBSV) kennen aangescherpte veiligheidsmaatregelen die alleen al met betrekking tot transatlantische vluchten jaarlijks van invloed zijn op zo’n 11 miljoen passagiers. De gevolgen van de gegevensvergaring door de Amerikaanse immigratiedienst moeten zonder twijfel als verstrekkend geclassificeerd worden. Daar waar het (Europese) privacyrecht juist uitgaat van transparantie als een van de grondbeginselen van de rechtsbescherming van de persoonlijke levenssfeer in relatie tot gegevensverwerking, ontbreekt het hier aan helderheid en zelfs aan democratische controle, omdat veel handelingen vrijwel zeker onder de noemer van staatsveiligheid vallen. En het is geenszins ondenkbaar dat wanneer de immigratiedienst eenmaal de gegevens over iedere individuele passagier van iedere transatlantische vlucht opgeslagen heeft, deze zowel worden gekoppeld aan andere PNR’s van dezelfde reiziger als aan andere informatie. Bovendien lijkt het op z’n zachts gezegd niet uitgesloten dat andere overheidsdiensten in de Verenigde Staten, zoals de U.S. Secret Service en de Federal Bureau of Investigation, eveneens inzage hebben in en gebruik gaan maken van de bewuste databanken. Bijvoorbeeld met behulp van een oude techniek, door de Duitsers ooit treffend aangeduid als ‘Slepnetzfahndung’. Inmiddels zeer geavanceerde software maakt het mogelijk enorme hoeveelheden digitaal opgeslagen gegevens te doorzoeken op basis van wat voor criteria dan ook. Het grootste juridische gevaar hiervan is gelegen in het feit dat de democratische rechtstaat onder druk komt te staan. Als standaardprocedure en op grootschalige wijze worden immers persoonsgegevens verzameld, opgeslagen en onderzocht, terwijl de individuen op wie de persoonsgegevens betrekking hebben op moment van onderzoek geen verdachte in strafrechtelijke zin zijn. Toch zal de rechter de reiswereld, wanneer er daadwerkelijk een procedure wordt aangespannen (tegen wie?), geen gelijk geven. Die stelling laat zich als volgt onderbouwen. Om in international perspectief lekken in de Europese Richtlijn privacybescherming uit 1995 te dichten werd namelijk tot de constructie besloten dat de Europese Commissie zogenoemde derdenlanden kan aanwijzen die voldoende privacybescherming bieden zodat persoonsgegevensverkeer naar deze landen toch mogelijk is. Van die bevoegdheid heeft Brussel dan nu gebruikgemaakt, maar natuurlijk wel onder economische druk. Zie hier het recht van de sterkste.