Dit gebeurt er allemaal achter de schermen als je naar de VS vliegt
Wie naar de Verenigde Staten vliegt, steekt ook een digitale grens over. Tientallen instanties en databases verwerken jouw persoonsgegevens om te kijken of je een betrouwbare reiziger bent. Waar gaan die data naartoe? En wat gebeurt ermee? Ik reconstrueer een reis van Amsterdam naar Los Angeles en ontrafel het informatieweb waar je als reiziger in belandt.
Erik Pas heeft haast. Zijn vlucht naar Los Angeles vertrekt om negen uur ’s ochtends, maar hij wil nog even een sigaretje roken. Als hij klaar is, spoedt hij zich naar de gate. Voordat hij zijn handbagage op de band zet, wordt hij apart gezet door twee mannen.
Ze introduceren zich als Amerikaanse air marshalls. Terwijl andere passagiers hun zakken legen en riemen afdoen, schieten ze vragen af op een verbouwereerde Pas.
- Waar ga je naartoe? (Los Angeles.)
- Wat ga je daar doen? (Zaken.)
- Waar heb je je ESTA ingevuld? (Thuis.)
- Wanneer heb je dat gedaan? (Afgelopen maandag.)
- Heb je dat zelf gedaan? (Even nadenken.... ja.)
- Je antwoorden kloppen niet. Je was afgelopen maandag in Jordanië. (Nee.)
- In welke landen ben je de afgelopen jaren geweest? (Nou, eens kijken...)
- Ben je weleens in Irak geweest? (Nee.)
- Afghanistan? (Nee.)
- Syrië? (Nee.)
- Jordanië? (Nee.)
- Je was wél in Jordanië. Ben je op doorreis? (Nee, ik ben echt nog nooit in Jordanië geweest.)
- Mogen we je iPhone zien? (Ja.)
- Mogen we je iPad zien? (Ja.)
- Kun je je laptop even aanzetten? (Oké.)
- We willen je nog een keer fouilleren. (Goed.)
De air marshalls schrijven alle antwoorden op. Pas mag gaan.
Na elf uur vliegen komt hij vemoeid aan in Los Angeles. Als het zijn beurt is bij de controle, roept de douanier er al snel versterking bij. Twee bewapende agenten nemen Pas mee naar een kamertje waar hij moet wachten. Hij vraagt nog of hij iemand mag bellen. U mag voorlopig even niets meer, luidt het antwoord.
Even later stappen twee agenten het kamertje binnen en beginnen aan een verhoor.
- Met wie heb je een afspraak?
- Waar en wanneer heb je die afspraken?
- In welke landen ben je allemaal geweest?
- Ben je ook in het Midden-Oosten geweest?
- Welke social media-accounts heb je?
- Waar verblijf je?
- Wie zijn je ouders?
Het gaat 45 minuten door. Alles wordt opgeschreven. Dan mag Pas gaan. Buiten belt hij zijn assistente: kun jij eens nagaan wat hier gaande hand is? Even later belt ze terug. Er is sprake van een misverstand. Blijkbaar heeft Vodafone, de provider van Pas, een serie ip-adressen overgenomen van een Jordaanse internetprovider. Toen Pas zijn ESTA invulde, leek het daarom alsof hij dat vanuit Jordanië deed. Verdacht, blijkbaar.
Pas haalt zijn huurauto op en vertrekt naar het appartement dat hij heeft geboekt. Hij is net tien minuten binnen, of er wordt aangebeld. Twee politieagenten staan voor de deur. De agenten willen weten wie hij is en waar hij vandaan komt. Geduldig legt Pas uit dat hij net een uur lang is ondervraagd op het vliegveld en dat hij mocht gaan. De agenten schrijven iets op in hun notitieboekje, bedanken hem beleefd en zeggen hem vriendelijk gedag.
Hoe het grenstoezicht veranderde
Halverwege de jaren negentig was een reis naar de Verenigde Staten nog vrij eenvoudig. Je toonde je paspoort, werd gecontroleerd en als dat in orde was, kon je verder. Het penibele avontuur van Pas toont aan hoezeer het grenstoezicht in de afgelopen twintig jaar is veranderd.
Het is bovenal grotendeels geautomatiseerd. Vooral als je naar de Verenigde Staten vliegt, maar in toenemende mate ook als je naar andere landen gaat. Op veel verschillende momenten, vaak nog lang voor je überhaupt naar Schiphol vertrekt, wordt je informatie verzameld, bewerkt, gewogen en gebruikt om te bepalen óf je op het vliegtuig mag stappen en onder welke voorwaarden.
Achter dit geautomatiseerde proces schuilen tientallen databases, surveillanceprogramma’s, internationale verdragen, afspraken en samenwerkingen. Die zijn stukje bij beetje opgebouwd, uitgerold en onderhandeld. Zonder dat we het doorhebben, is een bouwwerk van informatiestromen en -systemen ontstaan dat grote gevolgen heeft voor de manier waarop wij reizen.
Om dit te illustreren, doe ik de reis van Erik Pas over. Ik volg alle datasporen van boeking tot aankomst in Los Angeles. Daarvoor heb ik deskundigen gesproken, maar vooral ook tientallen privacy impact assessments van het Department of Homeland Security uitgekamd en die informatie gestructureerd. Zodoende kon ik achterhalen welke grensdatabases er zijn opgetuigd, welke persoonsgegevens waarvoor worden gebruikt, wie daar toegang tot hebben en hoelang die gegevens bewaard blijven.
Goed. Ik ga op reis en...
...ik stuur mijn data vooruit
Mijn virtuele reis begint op KLM.com. Ik zoek een vlucht voor maandag 11 mei heen en een week later terug. Er is nog een rechtstreekse vlucht voor 961,23 euro beschikbaar, die om 9.50 uur van Schiphol vertrekt. Er is nog één stoel aan het raam vrij, nummer 44a. Ik kies dezelfde stoel voor de terugweg. Ik boek ook alvast een hotel en word omgeleid naar Booking.com, alwaar ik zeven nachten reserveer bij het luxe Shore Hotel in LA. Ik ga terug naar KLM.com en geef mijn maaltijdvoorkeuren (vlees a.u.b.), vul mijn persoonsgegevens in en betaal met mijn creditcard. De reis is geboekt.
Zodra de boeking is bevestigd, wordt een Passenger Name Record (PNR) aangemaakt. Dit is onderwerp geweest van een jarenlange strijd tussen het Europees Parlement en de Amerikaanse autoriteiten. Na nine eleven moesten luchtvaartmaatschappijen uiterlijk 72 uur van tevoren een PNR aan het Department of Homeland Security (DHS) leveren. Als een maatschappij weigerde, mochten ze niet meer op Amerika vliegen: een onmogelijke situatie. Maar volgens de Europese privacyregels was deze verstrekking verboden. Uiteindelijk gingen de Europese regeringen onder grote druk van de regering-Bush akkoord met de illegale verstrekking van boekingsgegevens.
Er was de Amerikanen veel aan gelegen om PNR te krijgen. Het onthult veel.
In een Skypegesprek legt Edward Hasbrouck uit wat er in een PNR staat. Hasbrouck is een Amerikaanse privacy-activist die zich heeft gespecialiseerd in travel surveillance en geregeld PNRs onder ogen krijgt. ‘Je naam, adres en betalingsgegevens staan erin, maar ook andere gegevens over je reis. Als je een hotel hebt geboekt, staat er in hoeveel bedden je hebt gevraagd, met wie je reist, hun naam, leeftijd en sekse.’ Ook vindt Hasbrouck geregeld heel gevoelige informatie. Bijvoorbeeld in de PNR van een journalist: ‘Die moet zijn reis declareren bij zijn krant en dus een omschrijving meegeven. Als hij bijvoorbeeld met een bron gaat praten, kan die omschrijving onbedoeld in de PNR terechtkomen.’
Maar er is nog veel meer informatie in de PNRs te vinden: ‘Met je creditcardgegevens kunnen de Amerikaanse autoriteiten snel je héle betaalgeschiedenis vinden en analyseren. Veel creditcardmaatschappijen zijn Amerikaans en vallen onder de PATRIOT Act. Met jouw ip-adres kunnen ze snel inzicht krijgen in je surfgeschiedenis. En met iedere PNR krijgen ze weer een extra puzzelstukje van je hele reishistorie,’ aldus Hasbrouck.
Met je creditcardgegevens kunnen de Amerikaanse autoriteiten snel je héle betaalgeschiedenis vinden en analyseren
De KLM stuurt de PNR naar het Department of Homeland Security, naar een systeem dat ResMon heet. Dit verwijdert informatie over aansluitende vluchten die niet van of naar de Verenigde Staten vertrekken. In 2010 bleek echter dat het Department of Homeland Security de filter soms uitschakelde en wel alle aansluitende vluchten kon inzien. De Europese Commissie heeft hier niet tegen opgetreden.
Overigens hebben de Amerikaanse autoriteiten genoeg andere middelen om aan PNR-informatie te komen. Van iedere boeking wordt namelijk ook een PNR aangemaakt bij de zogenoemde Global Distribution Systems. Daarbij aangesloten bedrijven houden alle vlieg- en hotelboekingen bij, zodat stoelen en kamers niet dubbel geboekt worden. Uit de onthullingen van Edward Snowden blijkt dat de NSA toegang had tot minstens een van deze systemen. Ook is bekend dat de FBI geroutineerd passagiersgegevens heeft opgevraagd bij een bedrijf dat de financiële afwikkeling van boekingen verzorgt.
Na ResMon, waar de KLM alles heen gestuurd heeft, worden de PNRs naar het Automated Targeting System-Passengers (ATS-P) gepompt. Dit systeem is het kloppende hart van de Amerikaanse grensbewaking. Hier gebeuren twee dingen.
Ten eerste word je vergeleken met allerlei lijsten van Amerikaanse opsporings- en inlichtingendiensten. Een beruchte is de no-fly list, een lijst met zo’n twintig- tot dertigduizend namen van terrorismeverdachten. Althans, dat is de bedoeling. De lijst wemelt van de fouten. Geregeld wordt het passagiers onmogelijk gemaakt te vliegen omdat ze een naam delen met iemand op de lijst.
En er zijn nog meer zwarte lijsten. Het ATS-P maakt ook gebruik van de Selectee List en de Expanded Selectee List. Dit zijn lijsten van personen waartegen de verdenking nog niet goed onderbouwd is. Als je op zo’n lijst staat, mag je meestal wel vliegen, maar word je extra gecontroleerd. Tot slot levert ook het Center for Disease Control, de Amerikaanse GGD, een zwarte lijst aan met mensen die om publieke gezondheidsredenen niet aan boord mogen.
Ten tweede maakt ATS-P (als een filter) een risicoprofiel van elke reiziger. Wie brandschoon is, sijpelt er gladjes doorheen. Wie een vlekje op zijn data heeft, blijft steken. Daarvoor gebruikt het systeem veel data uit zo’n dertig verschillende bronnen. Daaruit wordt informatie gehaald over onder andere:
- Al je eerdere reizen naar de VS. Wanneer dat was, met wie je reisde, waar je het land binnenkwam.
- Je ESTA-aanvraag, dus of je ooit gearresteerd bent geweest, je een ziekte hebt gehad, een psychiatrisch verleden hebt, waar je naartoe gaat, bij wie je verblijft, je creditcardgegevens en je ip-adres.
- Of je ooit extra bent gecontroleerd bij aankomst en welke indruk de grensbewaker toen van je had.
- Je paspoort.
- Eventuele visumaanvragen bij Amerikaanse consulaten.
- Je biometrische gegevens (vingerafdrukken, gezichtsscan) die je in het verleden hebt afgegeven bij de Amerikaanse douane.
- Inlichtingen van een aantal veiligheidsdiensten, zoals de CIA, FBI en regionale politie.
- Overheidsinformatie zoals een Social Security Number, als je ooit ingezetene bent geweest van de Verenigde Staten.
- En last but not least, commerciële bronnen, van datahandelaren en sociale media.
ATS-P sleept al die data bij elkaar en wijst iedere passagier een risicoscore toe. Hoe dat precies gebeurt, is een goed bewaard geheim. Bekend is wel dat als je als hoog risico wordt gezien, je nauwgezet in de gaten wordt gehouden.
Alle informatie in ATS-P wordt minstens vijftien jaar bewaard en gedeeld met een aantal veiligheidsdiensten.
Ondanks al deze controles, moet je toch nog een keer extra toestemming vragen om naar Amerika te vliegen door een visum aan te vragen. Het standaardantwoord van de grensbewaking is ‘nee,’ je mag niet komen. Voor landen die onderdeel zijn van het Visa Waiver Programma, volstaat het invullen van een online ESTA-formulier. De vaak gevoelige informatie uit dit formulier blijft niet alleen steken in de databases van het Department of Homeland Security. Ook de State Police, lokale politie en het National Counterterrorism Center hebben mogelijk toegang. Ook schrijft DHS in een privacy impact assessment dat data gedeeld kunnen worden met buitenlandse overheden.
En dan moet je nog vertrekken.
Ik stap in de auto, rij naar Schiphol en...
...ik neem mijn lichaam mee
Alle bits en bytes ten spijt, uiteindelijk draait het toch hierom: dat ik mijn logge lijf in een vliegtuigstoel prop en naar Los Angeles vlieg. Maar mijn lichaam moet eerst nog een paar digitale barrières slechten. Het kenteken van mijn auto wordt bij Schiphol gescand. Camera’s houden mij in de gaten als ik door de vertrekhal loop. Deze zijn geprogrammeerd om beveiligers te waarschuwen als ik ‘terroristisch gedrag’ vertoon.
Ik loop verder. Bij de gate staan Amerikaanse agenten van het Immigration Advisory Program (IAP). Zij adviseren het vliegpersoneel of ze mij aan boord moeten laten. Op belangrijke Europese luchthavens bemannen zij de vooruitgeschoven Amerikaanse grenspost. In 2012 weerhielden ze, wereldwijd, ongeveer 10.000 mensen om naar Amerika te vliegen.
Zodra je zit en de deur wordt dichtgetrokken, stuurt de bemanning zogenoemde API-data naar de Amerikaanse douane. Dit is informatie uit je paspoort, zodat de douaniers weten dat je je daadwerkelijk in het vliegtuig zit. Al deze gegevens worden weer gecontroleerd en in een grote database gestort: APIS.
Als je moe aankomt in Los Angeles, ben je er nog niet. Terwijl je aansluit in de lange rij voor de paspoortcontrole, word je door mens en machine begluurd. Op het vliegveld lopen BDO’s rond, Behavior Detection Officers, van de Transport Security Administration (TSA). Het is hun taak om op zogenoemde micro-expressies te letten in het kader van SPOT (Screening Passengers by Observation Techniques). Gaap je overdreven, schraap je je keel wat luid, loop je te fluiten, staar je naar beneden, wrijf je in je handen: verdacht. Een BDO kan je dan apart zetten en ondervragen. Hij of zij maakt aantekeningen en die kunnen weer in je dossier belanden.
SPOT wordt vaak aangehaald als voorbeeld van wat wel veiligheidstheater wordt genoemd: indrukwekkende veiligheidsmaatregelen die in de praktijk weinig voorstellen. Op papier klinkt dit miljard dollar kostende project slim, maar veel deskundigen, waaronder de Amerikaanse Rekenkamer, vinden het programma ronduit onwetenschappelijk. De aannames over hoe micro-expressies je intenties verraden stamt van discutabel onderzoek in de jaren zeventig. De TSA, de verantwoordelijke instantie, lukt het maar niet om zelf een betrouwbare studie op te zetten. De Rekenkamer pleitte een paar maanden geleden voor het onmiddellijke stopzetten van alle financiering voor dit project. De TSA blijft echter geloven in de effectiviteit van SPOT.
Want gedragsherkenning heeft de toekomst. Het Department of Homeland Security neemt sinds kort zijn toevlucht tot een geautomatiseerde detectie, oftewel Future Attribute Screening Technology (FAST). Als je in de rij voor de douane staat te wachten, wordt met sensoren een aantal lichaamsfuncties gemeten, zoals hartslag en ademhaling, oogbewegingen en lichaamswarmte. Ook zou FAST uitgebreid worden met een feromonenmeter. De wetenschappers achter FAST claimen dat ze op basis van dergelijke meetwaarden kunnen voorspellen of iemand kwade bedoelingen heeft.
Tot slot moet je nog door het laatste filter: de douane. Hier wordt om je paspoort gevraagd, moet je je vingers laten scannen en wordt er een foto van je gemaakt. Deze biometrische gegevens worden 75 jaar opgeslagen in IDENT, een database in het surveillanceprogramma US-VISIT. De douanier kan dan bijvoorbeeld zien of jouw vingerafdrukken in een Nederlandse database staan en of je een strafblad hebt. Andersom kan de Koninklijke Marechaussee hetzelfde opzoeken bij Amerikaanse passagiers.
De douanier zet een stempel in je paspoort. Welcome to America.
Ik ging op reis en werd opgezadeld met onzekerheden
Eigenlijk vindt iedere dag weer een klein wonder plaats. De douane heeft de ingewikkelde taak om de dagelijkse stroom van 300.000 passagiers snel door het grensfilter te stuwen en die paar criminelen en mogelijke terroristen te herkennen. En laten we eerlijk zijn: dat doet de douane, op een paar incidenten na, best goed. De meeste passagiers merken niets van risicoscores, no-fly lists en extra controles op het vliegveld. Van de circa honderd miljoen vliegpassagiers die ieder jaar op de VS vliegen, worden er slechts enkele honderdduizenden extra gecontroleerd en enkele tienduizenden het vliegen belet. Best knap.
Maar in die marges schuilt een aantal grote problemen.
Ten eerste het gebrek aan rechtszekerheid. Vorig jaar publiceerde ik al over de bizarre rechtszaak van Rahinah Ibrahim, een Maleisische vrouw die al tientallen jaren in de Verenigde Staten woont en werkt. In 2005 keerde ze voor korte tijd terug naar Maleisië. Toen ze naar huis wilde vliegen, werd haar de toegang tot het vliegtuig ontzegd. Een reden kreeg ze niet. Ook haar dochter, die de Amerikaanse nationaliteit heeft, mocht niet aan boord. Ze vermoedde dat ze op de no-fly list was terechtgekomen, maar de Amerikaanse autoriteiten wilden daar geen uitspraak over doen: een ronduit kafkaëske situatie.
Na jarenlang klagen en juridisch getouwtrek kreeg ze haar zaak eindelijk voor een rechter. Zelfs tijdens de rechtszitting wilde het Department of Homeland Security niet zeggen of ze op een no-fly list stond. Wel bleek dat de FBI haar ten onrechte als een terreurverdachte had geïdentificeerd. Ibrahim werd van de lijst gehaald, maar daarmee is haar probleem niet opgelost. De Amerikaanse ambassade in Kuala Lumpur weigert Ibrahim een visum te verstrekken. Haar dochter mag wel terugreizen.
De zaak van Ibrahim is zeker niet de enige. Hoeveel mensen de toegang tot vliegtuigen van en naar de Verenigde Staten wordt ontzegd, is niet bekend. Er lopen nog meer rechtszaken van benadeelde burgers. Wel is duidelijk dat de no-fly list maar blijft groeien.
Het tweede probleem is dat het grenstoezicht zich enorm heeft uitgebreid, zowel in ruimte als in tijd. De controle begint op zijn laatst 72 uur voordat je op het vliegtuig stapt. Dan willen de Amerikaanse autoriteiten al je PNR in bezit hebben. Daarnaast vindt het toezicht niet meer plaats in Amerika zelf, maar al op het territorium van het vertrekland. Pushing the border outwards, heet dat onder Amerikaanse beleidsmakers.
Maar wat als meerdere landen hun grens naar buiten duwen? Inmiddels heeft de Europese Unie ook al PNR-verdragen met Canada en Australië. Daarnaast staat een aantal landen te trappelen om onze boekinggegevens te mogen gebruiken, zoals Mexico, Zuid-Korea en Japan. Maar ook Rusland wil graag gaan data-minen in onze persoonsgegevens. Als onze data, en soms heel gevoelige gegevens, in zoveel databases eindigen, wie houdt dan nog het overzicht? De privacytoezichthouders en Rekenkamers bekijken doorgaans maar één systeem per keer en hebben minder oog voor de stapeling van systemen of hun onderlinge samenhang. Hoe houden we hier controle over?
Het derde probleem is dat door die stapeling de vraag wat de meerwaarde is van al die dure systemen nauwelijks te beantwoorden is. Ondanks het optimisme van het Department of Homeland Security, is de effectiviteit van deze massale gegevensverwerking nog niet aangetoond. Het lukt terroristen nog steeds om in vliegtuigen te komen. Aan de andere kant kunnen verreweg de meeste reizigers vrij eenvoudig Amerika binnenkomen. De vragen waartoe al deze databases dienen, wat we acceptabele risico’s vinden en welke prijs we daarvoor willen betalen, worden gesteld noch beantwoord.
Het laatste, maar misschien wel lastigste probleem, is discriminatie. Voorstanders van geautomatiseerd grenstoezicht stellen dat iedereen even eerlijk wordt behandeld, namelijk op basis van zijn of haar data. Passagiers hoeven niet meer op basis van hun afkomst of religie beoordeeld te worden. Hier zit zeker een kern van waarheid in. Maar deze opvatting verraadt ook een aantal naïeve aannames over de neutraliteit van technologie.
De Amerikaanse douane beoordeelt jouw persoonsgegevens aan de hand van een aantal regels. De ene combinatie van data leidt tot een laag risicoprofiel, een andere combinatie leidt weer tot een verhoogd risico. Maar hoe die regels tot stand komen, is niet bekend, want geheim. Mocht het zo zijn dat het bestellen van een halalmaaltijd zwaar meeweegt in het verhogen van je risicoscore, dan kan een regel wel neutraal lijken, maar is de uitkomst van zo’n informatiebewerking wel degelijk discriminatoir.
Daarnaast veranderen jouw data telkens. Erik Pas, met wie ik dit verhaal begon, was niet ineens een anders mens. Hij kwam in de problemen door een nieuw ip-adres. Sommige academici spreken dan ook wel over een nieuw soort burgerschap: algorithmic citizenship. In dit soort geautomatiseerde verwerkingen zijn rechten verworden tot privileges.
Dit klinkt dramatisch, maar kijk eens naar de winnaars van dit systeem: de mensen die zich vrijwillig onder continu toezicht hebben geplaatst. Veel landen hebben een reisprogramma waarmee een bepaald type passagier soepeler door de douane komt. In Nederland hebben we bijvoorbeeld Privium, in de VS bestaat het zogenoemde Registered Traveler Program. Om hiervoor in aanmerking te komen, moet je van tevoren uitgebreide vragenlijsten en documentatie verschaffen en wordt er een veiligheidsonderzoek naar je uitgevoerd. Als daaruit blijkt dat je een laag risico vormt, mag je voortaan sneller (je eigen rij) en met minder controles de grens over. De lange rij en grondige controles zijn straks voor de minkukels die een smet op hun data hebben.
En dat kunnen ook mensen als Erik Pas zijn. Hij is redelijk mild in zijn oordeel over het optreden van de Amerikaanse grensautoriteiten. Zijn retour verliep wel soepel en hij begrijpt dat de douane voor een enorme opgave staat. Maar hij ziet ook wel op tegen een nieuwe reis naar de Verenigde Staten, waarvan hij weet dat hij die binnenkort weer moet maken. Hij hoopt dat hij geen kruisje achter zijn naam heeft en dit soort toestanden iedere keer moet ondergaan.
Die kruisjes zijn er zeker. Die staan genoteerd in al die databases die het filter naar Amerika vormen. Die kruisjes krijgt Pas er waarschijnlijk nooit meer uit. Het enige waarop hij kan hopen, is gezond verstand van de Amerikaanse douane; dat hij een beambte van vlees en bloed treft die de mens achter de kruisjes ziet.
Lees verder:
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!