Er is een grote juridische strijd ontstaan op het snijvlak van reizen, financiën en overheidstoezicht. Er is een voorgestelde class action-rechtszaak aangespannen tegen TD Bank en de Airlines Reporting Corporation (ARC), waarin wordt beweerd dat zij de wettelijke bescherming hebben omzeild om federale instanties ongekende toegang tot privépassagiersgegevens te bieden.
Het “Travel Intelligence-programma”
Centraal in de controverse staat ARC, een bedrijf dat financiële afwikkelingen tussen luchtvaartmaatschappijen en reisbureaus faciliteert. ARC verwerkt jaarlijks ongeveer $100 miljard aan reisboekingen, waardoor een enorme, realtime database met ticketaankopen ontstaat.
Volgens de rechtszaak exploiteerde ARC een ‘Travel Intelligence Program’ waarmee verschillende overheidsinstanties – waaronder de IRS, FBI, Department of Homeland Security, ATF, SEC en TSA – een database konden doorzoeken die meer dan 1 miljard records bevatte. Dit was geen beperkte zoektocht; agentschappen zouden naar verluidt informatie kunnen opvragen door:
– Naam passagier
– Reisroutes
– Tariefgegevens
– Betaalmethoden
– Creditcardnummers
Een einde aan juridische bescherming
Onder normale omstandigheden kan de federale overheid niet zomaar door het financiële privéleven van een burger bladeren. Om toegang te krijgen tot gevoelige informatie moeten instanties over het algemeen strikte wettelijke protocollen volgen, zoals het verkrijgen van een huiszoekingsbevel, een gerechtelijke dagvaarding of een formele administratieve dagvaarding.
De rechtszaak stelt dat de verkoop van deze gegevens een opzettelijke poging was om deze bescherming te omzeilen via twee primaire wettelijke kaders:
- De Wet op het recht op financiële privacy: Deze wet verbiedt financiële instellingen om de gegevens van een klant met de overheid te delen zonder toestemming of een wettelijk mandaat. Cruciaal is dat de wet informatie beschermt “afgeleid van” een financieel dossier. De eisers stellen dat, omdat de aankopen van vliegtickets gekoppeld zijn aan creditcards, de door ARC verkochte gegevens beschermde financiële informatie vormen.
- De Gramm-Leach-Bliley Act: Deze wet vereist dat financiële instellingen transparant zijn over de manier waarop zij niet-openbare persoonlijke informatie delen en geeft consumenten het recht om zich af te melden voor dergelijk delen. De rechtszaak stelt dat het bieden van directe, doorzoekbare toegang tot de overheid ver buiten de verwachtingen van consumenten viel.
Het juridische grijze gebied: wie is verantwoordelijk?
De centrale uitdaging van deze rechtszaak ligt in een complex technisch en juridisch onderscheid: Wie heeft de gegevens eigenlijk ‘bewaard’?
De verdediging van de regering zal waarschijnlijk afhangen van het feit dat zij TD Bank niet om gegevens heeft gevraagd; in plaats daarvan kochten ze rapporten van ARC, een commerciële entiteit. Dit roept een belangrijke juridische vraag op: Zijn de gegevens “bankafgeleid” of “transactiegegevens uit de reisbranche”?
- Het argument voor de eisers: Omdat de transactiestroom betalingsgegevens omvat die door TD Bank zijn verwerkt, is de informatie inherent financieel en moet deze worden beschermd door privacywetten.
- Het argument voor de beklaagden: ARC is een commerciële dataprovider, geen bank. Daarom zijn de gegevens die zij verkopen een commercieel product en geen gegevens van een particuliere bank die vallen onder de Right to Financial Privacy Act.
Waarom dit belangrijk is
Deze zaak benadrukt een groeiende trend waarbij particuliere bedrijven optreden als ‘datamakelaars’ voor de staat. Door privétransacties om te zetten in doorzoekbare commerciële databases kunnen bedrijven een ‘achterdeur’ creëren voor overheidstoezicht die het traditionele toezicht op het rechtssysteem vermijdt.
Als de rechtbank oordeelt dat commerciële databases met aan betalingen gekoppelde reisgegevens onderworpen zijn aan de financiële privacywetten, zal dit een enorm precedent scheppen voor de hoeveelheid informatie die bedrijven legaal aan de overheid kunnen verkopen.
Conclusie
De rechtszaak heeft tot doel vast te stellen of de verkoop van reis- en betalingsgegevens een legitieme commerciële transactie was of een illegale oplossing die was ontworpen om de overheid ongegronde toegang te verlenen tot de levens van particuliere burgers.
