ESTA en privacy

De USA vraagt bij een ESTA-aanvraag toegang tot en inzicht in vijf jaar sociale media uitingen van de aanvrager. Klopt dit? Betekent dit ook toegang geven tot vertrouwelijk sociaal media gebruik (Facebook-posts gedeeld onder vrienden, Messenger- en WhatsApp-berichten, intieme chats op dating sites)? Of alleen publieke uitingen? Maar kan een land bij een visumaanvraag niet altijd al nader onderzoek doen naar iemands gedragingen inclusief (sociale) media uitingen of gebeurt dat alleen via de registers van de inlichtendiensten en dus alleen bij verdenkingen van misdaad of gevaar voor de staatsveiligheid? Wat verandert er dus concreet met deze maatregel?

Als ik het goed begrijp, is ESTA (waar staan die letters voor?) een verkorte procedure, strikt genomen geen visum maar visumvrijheid. Klopt dat? 

Zou men in plaats van een ESTA procedure ook een klassieke visumprocedure kunnen volgen en daarmee deze inzage en privacyinbreuk juist kunnen vermijden?

1. Wat houdt de maatregel precies in?

Begin 2026 wordt/werd een ingrijpend Amerikaans plan ingevoerd om reizigers uit visumvrije landen te verplichten hun sociale media-accounts van de afgelopen vijf jaar op te geven bij een ESTA-aanvraag. Voorheen was dit veld optioneel, maar het wordt nu een harde voorwaarde.

• Gegevens: Je moet de namen van de platforms en je gebruikersnamen (handles) opgeven.

• Andere eisen: Naast sociale media worden ook e-mailadressen (van de afgelopen 10 jaar), telefoonnummers (afgelopen 5 jaar) en extra biometrische gegevens (zoals een selfie of zelfs een iris-scan) gevraagd.

2. Publieke uitingen vs. privéberichten

Er is een belangrijk onderscheid tussen wat je invult bij de aanvraag en wat er gebeurt bij de grens:

• Bij de aanvraag (online): De Amerikaanse overheid (CBP) vraagt om je gebruikersnamen. Hiermee kunnen ze in principe alleen je publiek toegankelijke uitingen en profielinformatie inzien. Ze hebben geen direct wachtwoord tot je accounts.

• Privéberichten (WhatsApp, Messenger, etc.): In de online aanvraagfase hebben ze geen toegang tot je privéchats. Echter, bij aankomst op de luchthaven hebben grensbeambten de bevoegdheid om je telefoon te inspecteren. Als je telefoon ontgrendeld is, kunnen ze in theorie alles zien: van WhatsApp-berichten tot datingapps en privéfoto's. De nieuwe regels rond de ESTA-aanvraag maken het voor hen makkelijker om vooraf al een digitaal profiel van je te schetsen.

3. Wat verandert er concreet?

Je vraagt terecht of inlichtingenbewerkers dit niet altijd al konden. Het verschil is de schaal en automatisering:

• Voorheen: Onderzoek naar sociale media gebeurde vooral bij specifieke verdenkingen of doorlichting via registers van inlichtingendiensten.

• Nu: Het wordt een standaard onderdeel van de screening voor iedereen. Door de data vooraf te verzamelen, kan de Amerikaanse overheid algoritmes en AI gebruiken om miljoenen reizigers automatisch te screenen op bepaalde trefwoorden, politieke overtuigingen of contacten, nog voordat je op het vliegtuig stapt.

4. Wat is een ESTA precies?

ESTA staat voor Electronic System for Travel Authorization.

• Geen visum: Het is inderdaad een reistoestemming onder het Visa Waiver Program. Je reist hiermee op basis van visumvrijheid.

• Procedure: Het is een snellere, goedkopere online procedure. Het is bedoeld voor toeristische of zakelijke reizen van maximaal 90 dagen.

5. Is een klassiek visum een alternatief voor privacy?

Helaas is het antwoord nee. Sterker nog, de eisen voor een klassiek visum (zoals een B1/B2 toeristenvisum) zijn vaak nog strenger.

• Zelfde eisen: Voor visumaanvragers is het opgeven van sociale media al sinds 2019 verplicht.

• Méér inbreuk: Bij een visumaanvraag moet je vaak op gesprek bij het consulaat, waar je diepgaandere vragen kunt krijgen over je achtergrond. Het aanvragen van een visum om de ESTA-privacyregels te omzeilen werkt dus niet; je komt in een traject terecht waar de controle juist intensiever is.

Tip: Als je je zorgen maakt over je privacy bij de grens, adviseren privacy-experts vaak om tijdens de reis je sociale media-apps tijdelijk te verwijderen of uit te loggen, aangezien grensbeambten bij een fysieke controle van je telefoon vaak alleen kijken naar wat op dat moment direct toegankelijk is.

Kan je een vergelijking maken (van de Amerikaanse regelgeving) met de controles die de Nederlandse autoriteiten en visumdiensten bij visumaanvragers of (met of zonder visum) binnenkomende reizigers kunnen doen?

De vergelijking tussen de VS en Nederland (of breder: het Schengengebied) laat een duidelijk verschil zien in filosofie: waar de VS inzet op proactieve, grootschalige digitale screening van iedereen, is de Europese benadering meer gebonden aan specifieke veiligheidsrisico's en strenge privacywetgeving (AVG/GDPR).

Hier zijn de belangrijkste verschillen op een rij:

1. Sociale media-controle

• USA: Het opgeven van sociale media-handles van de afgelopen vijf jaar is (vanaf 2026) verplicht voor alle ESTA-reizigers. Dit wordt gebruikt voor automatische screening door algoritmes.

• Nederland: De Nederlandse autoriteiten (zoals de IND of de Koninklijke Marechaussee) vragen bij een standaard visumaanvraag (Schengenvisum) niet standaard om je sociale media-accounts. Er is geen veld op het formulier waar je je gebruikersnamen moet invullen.

• Uitzondering: Alleen bij een individuele verdenking van terrorisme, oorlogsmisdaden of een risico voor de nationale veiligheid kunnen inlichtingendiensten (AIVD/MIVD) openbare bronnen (OSINT) onderzoek doen naar sociale media-uitingen.

2. Biometrische gegevens

• USA: De VS breidt de biometrie uit (selfie/iris-scan bij ESTA). Daarnaast worden vingerafdrukken en foto's bij aankomst standaard afgenomen.

• Nederland/Schengen: Voor een visum voor Nederland moeten reizigers altijd biometrische gegevens afgeven (vingerafdrukken en een digitale foto). Dit wordt opgeslagen in het VIS (Visum Informatie Systeem).

• Nieuwe regel (ETIAS): De Europese tegenhanger van de ESTA, genaamd ETIAS, wordt binnenkort ingevoerd voor reizigers die geen visum nodig hebben (zoals Amerikanen die naar Nederland komen). ETIAS zal echter geen sociale media-gegevens vragen. Het focust op strafbladgegevens en reisdocumenten.

3. Toegang tot je telefoon (Privacy bij de grens)

• USA: De Amerikaanse Customs and Border Protection (CBP) heeft zeer brede bevoegdheden om elektronische apparaten te doorzoeken zonder dat daar een concrete verdenking ("probable cause") voor nodig is. Ze mogen je vragen je telefoon te ontgrendelen.

• Nederland: De Koninklijke Marechaussee mag bij de grens goederen en documenten controleren. Hoewel de wetgeving enige ruimte biedt, mag een telefoon niet zomaar "uitgelezen" worden zonder concrete aanleiding of verdenking van een misdrijf. Bovendien zijn er in Nederland (en de EU) strengere juridische kaders die de privacy van communicatie beschermen, zelfs aan de grens. Een willekeurige controle van privéchats op WhatsApp is in Nederland veel minder gebruikelijk en juridisch lastiger dan in de VS.

4. Gegevensuitwisseling en registers

• USA: Maakt veel gebruik van 'predictive policing' en brede datasets waarbij ook commerciële of publieke data worden gekoppeld aan reisprofielen.

• Nederland: Nederland werkt binnen het kader van het Schengeninformatiesysteem (SIS). Hierin staan alleen mensen die gesignaleerd staan (bijvoorbeeld gezochte criminelen, mensen met een inreisverbod of vermiste personen). Als je niet in een dergelijk register voorkomt, word je niet onderworpen aan een diepgaand onderzoek naar je privéleven.

Conclusie: Waar de Amerikaanse overheid een "digital twin" van elke reiziger probeert te bouwen door vooraf massaal data te verzamelen, beperkt Nederland zich tot de noodzakelijke biometrie en controles op basis van bestaande strafrechtelijke of veiligheidsregisters. De privacy-inbreuk is bij een reis naar de VS dus aanzienlijk groter.