Terwijl het Congres toewerkt naar het vernieuwen van Sectie 702 van de Foreign Intelligence Surveillance Act (FISA), begint het debat een inbreuk te maken op iets veel bekenders: de tools die mensen gebruiken om zichzelf online te beschermen.

VPN’s(nieuw venster), die door miljoenen worden gebruikt om hun internetactiviteiten privé te houden, routeren verkeer via servers over de hele wereld. Maar die basisfunctie roept een vraag op waarmee wetgevers nu pas worden geconfronteerd: Wat gebeurt er als het beschermen van uw privacy uw activiteit er buitenlands laat uitzien?

Een toezichtswet die nooit voor u was bedoeld

Sectie 702 staat toe dat Amerikaanse inlichtingendiensten zonder bevelschrift communicatie verzamelen van buitenlanders in het buitenland. In de praktijk heeft die grens nooit standgehouden.

Het systeem haalt routinematig de e-mails, berichten en oproepen van Amerikanen binnen wanneer ze communiceren met buitenlandse doelen of deze via wereldwijde infrastructuur passeren.

Groepen voor burgerlijke vrijheden, wetgevers en zelfs rechtbanken maken zich al jaren zorgen over hoe vaak die gegevens zonder bevelschrift worden doorzocht. Nu staat de wet opnieuw voor een verlenging, en de deadline van april nadert snel. En ondanks herhaald bewijs van overschrijding, is er een drang in Washington om deze bevoegdheden met minimale wijzigingen uit te breiden.

De ondersteuning voor toezicht is tweeledig, maar dat geldt ook voor de reactie erop. Jim Himes, de topdemocraat in de House Intelligence Committee, kreeg onlangs te maken met demonstranten bij een gemeentehuis(nieuw venster) die hun zorgen over Sectie 702 uitten.

Het VPN-probleem waar niemand rekening mee hield

Een nieuwe brief(nieuw venster) van senatoren, waaronder Ron Wyden, wijst op een ander risico — een dat nog niet bestond toen Sectie 702 werd geschreven.

VPN’s verbergen de locatie van een gebruiker(nieuw venster) door verkeer te routeren via servers over de hele wereld(nieuw venster). Maar onder de huidige toezichtregels kan datzelfde gedrag een Amerikaan eruit laten zien als een buitenlander.

Wetgevers vragen zich af of inlichtingendiensten VPN-verkeer standaard als “buitenlands” behandelen — een classificatie die gebruikers van hun grondwettelijke bescherming zou kunnen beroven en ze binnen de Sectie 702 toezichtspijplijn zou kunnen plaatsen.

Een verlenging zonder hervorming vergroot het risico

Er liggen voorstellen op tafel om dit op te lossen. Mark Warner, voorzitter van de Senate Intelligence Committee, heeft gezegd dat wetgevers de zorgen rond de uitgebreide definitie van “electronic communication service providers” (ECSP’s) zullen adresseren.

Die uitbreiding heeft de groep verbreed die kan worden gedwongen om te helpen bij surveillance. Het stopt niet langer bij telecombedrijven of e-mailproviders. Het kan iedereen omvatten met toegang tot de systemen waar uw gegevens doorheen gaan, van clouddiensten tot openbare wifi-netwerken. Surveillance komt dichter bij de infrastructuur van het internet, waardoor het aantal plaatsen toeneemt waar gegevens kunnen worden verzameld onder Section 702.

De tweepartijdige Government Surveillance Reform Act(nieuw venster) zou verder gaan. Gesteund door wetgevers waaronder Ron Wyden en Mike Lee, zou het wetsvoorstel een bevelschrift vereisen voordat instanties de gegevens van Amerikanen die zijn verzameld onder Section 702 kunnen doorzoeken, en een maas in de wet sluiten die de overheid in staat stelt om persoonlijke gegevens van makelaars te kopen in plaats van naar de rechter te stappen.

Die maas in de wet is van belang omdat informatie die normaal gesproken een bevelschrift zou vereisen, zoals locatiegegevens of browsegeschiedenis, op de open markt kan worden gekocht zonder rechterlijk toezicht.

Het wetsvoorstel zou ook enkele van de meest controversiële recente wijzigingen terugdraaien, waaronder hoe breed de overheid bedrijven of infrastructuuraanbieders kan dwingen om te helpen bij surveillance.

Deze wijzigingen richten zich op een bekend probleem: surveillancesystemen die zijn gebouwd voor buitenlandse inlichtingen, zijn naar binnen gericht via technische mazen in de wet en brede interpretaties. Zoals Ron Wyden heeft gewaarschuwd, zouden Amerikanen “verbijsterd(nieuw venster)” zijn om te horen hoe deze bevoegdheden daadwerkelijk worden gebruikt.

Zonder hervorming blijven die gaten open. En naarmate het gebruik van een VPN gebruikelijker wordt, loopt meer alledaags gedrag het risico om te worden meegesleurd in het verzamelen van buitenlandse inlichtingen.

Waar Proton staat

Bij Proton bouwen we tools die mensen controle over hun gegevens geven zonder hen bloot te stellen aan verborgen compromissen. Privacy mag niet afhangen van hoe uw verkeer wordt geclassificeerd door een surveillancesysteem. Het zou de standaard moeten zijn.

Het gebruik van een VPN beschermt u nog steeds. Het versleutelt uw internetverkeer en voorkomt dat uw provider, netwerkoperator of wie dan ook op dezelfde verbinding ziet wat u online doet. Die bescherming is belangrijk en het werkt. Maar versleuteling alleen lost niet op hoe surveillancewetten zijn geschreven. Als uw activiteit buiten die bescherming valt, of ergens anders wordt verzameld, kan deze nog steeds worden meegesleurd in systemen zoals Section 702.

Dit werpt ook een breder probleem op. Privacy zou niet moeten stoppen bij de landsgrenzen. Mensen zouden niet onderworpen moeten zijn aan surveillance simpelweg omdat ze geen Amerikaan zijn. Wettelijke beschermingen kunnen variëren. Het principe niet.

Terwijl wetgevers debatteren over de toekomst van Section 702, reiken de belangen verder dan inlichtingenbeleid. Ze geven vorm aan wat bescherming in de praktijk daadwerkelijk betekent, en wie deze ontvangt.