Op grond van Europese regelgeving worden sinds dit jaar alle gegevens van luchtpassagiers door luchtvaartmaatschappijen aan de overheid verstrekt en ook uitgewisseld met partijen buiten de EU, zoals de VS. Over dit ‘PNR’ (Passenger Name Record) systeem schreef ik eerder toen het nog in de ontwerpfase was.

Uit berichten in de EUbserver en The Guardian blijkt dat Europa van plan is om PNR uit te  breiden naar andere vormen van transport, ondanks de grote privacy-risico’s en cybersecurity risico’s die aan PNR zijn verbonden.

Zoals bekend zijn er de nodige datalekken bij luchtvaartbedrijven geweest. De vraag is of de nieuwe partijen die PNR gegevens moeten registreren, zoals spoorwegen, het beter kunnen.

Europese Commissie weigert weigert de regels voor digitale passagiersreserveringssystemen te handhaven
Edward Hasbrouck schrijft over de veiligheid van passagiersreserveringssystemen in de luchtvaart. Hij zegt dat die systemen van vliegmaatschappijen, de ‘computerized reservation systems’ (CRSs) onveilig zijn en dat de Europese Commissie weigert maatregelen te nemen. Hij start zijn bericht van 7 augustus jl. met:

In May 2017 the European Commission finally agreed to investigate my longstanding complaint that the lack of adequate access controls or access logging for airline reservation data stored by computerized reservation systems (CRSs) violates the data protection provisions in Article 11 of the European Union’s Code of Conduct for Computerized Reservation Systems.

Het geeft aan dat digitalisering de wereld onveiliger maakt. Het wachten is op een flinke digitale calamiteit.

Meer informatie:

• Edward Hasbrouck, European Commission doesn’t want to enforce its CRS rules, 7 augustus 2019.
• EU may extend ‘passenger name records’ to rail and sea, EUOberserver 6 augustus 2019.
• EU may expand collection of air passenger data to rail and road users, The Guardian 7 augustus 2019.
• Statewatch: EU PNR extended to internal flights and only a matter of time before PNR is extended to sea, rail and road traffic too, 28 juli 2019.
• “Passenger Name Record” EU-Staaten streiten über Überwachung von Zug-, Bus- und Schiffsreisenden, Süddeutsche.de, 17 juli 2019
• Meer over PNR bij Privacy First, bij DataPanik.
• Rijksoverheid: Kan ik mijn reisgegevens van een vlucht inzien, wijzigen of verwijderen?; Reisgegevens passagiers luchtvaart.
• Berichten op dit blog over datalekken in de luchtvaart.

Aanvulling 21 augustus 2019
Er zijn tegenacties gaande, las ik bij Epicenter.Works (Duitstalig). Er wordt samengewerkt met de Gesellschaft für Freiheitsrechte.

Aanvulling 25 november 2019
Matthias Monroy schreef 23 november 2019 op Netzpolitik dat Europa het gebruik van passagiersgegevens (Passenger Name Records, PNR; Advance Passenger Information, API) wil gaan uitbreiden. Hij beschrijft dat er voorheen alleen met de VS en Australië gegevens werden uitgewisseld en dat dit nu ook met Japan gaat gebeuren. Ook Israël en Zuid-Korea zijn geïnteresseerd in de Europese passagiersgegevens.
Uitwisseling van de API is risicovol voor mensen, omdat daarin paspoortgegevens zijn opgenomen.
Uit het bericht blijkt dat in Europa is onderhandeld over uitbreiding van de richtlijn binnen Europa naar land- en zeeverkeer. De Scandinavische landen willen reisbewegingen met veren uitwisselen, terwijl Frankrijk en België persoonsgegevens van treinreizigers willen delen. Een definitieve beslissing is nog niet genomen.

Aanvulling 6 maart 2020
The Information Commissioner’s Office (ICO), UK, has fined Cathay Pacific Airways Limited £500,000 for failing to protect the security of its customers’ personal data: International airline fined £500,000 for failing to secure its customers’ personal data