Woordenlijst · Amerikaanse surveillancewet FISA 702 (Foreign Intelligence Surveillance Act, Section 702)
Amerikaanse surveillancewet die massale verzameling van communicatiegegevens van niet-Amerikanen bij in de VS gevestigde aanbieders mogelijk maakt. Samen met de CLOUD Act de structurele reden dat EU-VS-gegevensoverdrachten telkens sneuvelen onder Schrems-gerelateerde uitdagingen.
## Wat FISA 702 eigenlijk is
Section 702 van de **Foreign Intelligence Surveillance Act** (FISA) is een Amerikaanse wet, aangenomen in 2008 en periodiek opnieuw geautoriseerd (meest recent in 2024), die de **Amerikaanse Director of National Intelligence en de Attorney General** machtigt om in de VS gevestigde aanbieders van elektronische communicatie te dwingen de communicatie te overhandigen van **niet-Amerikaanse personen van wie redelijkerwijs kan worden aangenomen dat zij zich buiten de VS bevinden**.
De verzamelde gegevens worden gebruikt voor buitenlandse inlichtingendoeleinden en kunnen worden bevraagd door FBI, CIA, NSA en andere Amerikaanse diensten.
## Waarom FISA 702 structureel belangrijk is
De fundamentele eigenschap van FISA 702 is dat:
1. Het geldt voor **alle in de VS gevestigde aanbieders van elektronische communicatiediensten** — waaronder grote techbedrijven (Google, Microsoft, Meta, Apple enz.)
2. Het richt zich op **niet-Amerikaanse personen** — dat wil zeggen iedereen buiten de Verenigde Staten, inclusief EU-burgers en EU-bedrijven
3. Het werkt zonder een **probable cause**-standaard voor niet-Amerikaanse doelwitten
4. Het werkt met **minimaal rechterlijk toezicht** (de FISA-rechtbank keurt brede targeting-programma's goed, geen individuele surveillance)
5. Het biedt **geen effectief rechtsmiddel** voor getroffen niet-Amerikaanse personen
Dit is de structurele reden waarom EU-VS-gegevensoverdrachten telkens ongeldig worden verklaard.
## De programma's 'PRISM' en 'Upstream'
FISA 702 machtigt twee belangrijke verzamelprogramma's:
### PRISM
Directe verzameling bij Amerikaanse aanbieders. De NSA stuurt een 'selector' (e-mailadres, telefoonnummer enz.) en de aanbieder overhandigt communicatie die overeenkomt met die selector. Onthuld door Edward Snowden in 2013.
### Upstream
Verzameling vanuit de internet-backbone-infrastructuur. Maakt verzameling mogelijk van communicatie die over Amerikaans grondgebied loopt (inclusief communicatie tussen twee niet-Amerikaanse partijen die Amerikaanse infrastructuur passeert).
Beide programma's worden uitgevoerd onder FISA 702.
## Hoe FISA 702 botst met de AVG
De jurisprudentie van het Hof van Justitie van de EU (HvJ-EU) — met name [Schrems I](/nl/glossary/schrems-i/) (2015) en [Schrems II](/nl/glossary/schrems-ii/) (2020) — heeft geoordeeld dat:
1. Persoonsgegevens uit de EU alleen mogen worden overgedragen naar niet-EU-jurisdicties die **wezenlijk gelijkwaardige bescherming** bieden aan de AVG
2. Amerikaans recht onder FISA 702 deze bescherming **niet** biedt omdat:
- Het bulkverzameling toestaat zonder individuele probable cause
- Het zich richt op niet-Amerikaanse personen zonder proportionaliteitsbegrenzingen
- Het geen effectief rechterlijk rechtsmiddel biedt voor niet-Amerikaanse personen
3. Daarom is elk EU-VS-gegevensoverdrachtsmechanisme dat steunt op Amerikaanse rechtsbescherming structureel kwetsbaar
Dit is waarom **Safe Harbor → Privacy Shield → EU-VS DPF** een keten is van opeenvolgende kaders die telkens om dezelfde onderliggende kwestie zijn vernietigd of bedreigd.
## EO 14086 en het Data Privacy Framework
In 2022 ondertekende president Biden **Executive Order 14086** waarin werd vastgesteld:
- Nieuwe grenzen aan Amerikaanse signals intelligence (proportionaliteit, individuele targeting)
- Een tweelaagse beroepsregeling voor niet-Amerikaanse personen (Civil Liberties Protection Officer + Data Protection Review Court)
- Bijgewerkte Amerikaanse procedures voor FISA 702-surveillance
De Europese Commissie gebruikte EO 14086 als basis voor het aannemen van het adequaatheidsbesluit voor het **[EU-VS Data Privacy Framework](/nl/glossary/data-privacy-framework/)** in juli 2023.
Critici stellen dat EO 14086 de Schrems II-bezwaren niet volledig adresseert omdat:
- Het een executive order is (herroepbaar door een toekomstige regering)
- De 'Data Protection Review Court' deel uitmaakt van de uitvoerende macht (niet werkelijk onafhankelijk)
- De bevoegdheid tot bulkverzameling intact blijft
- De fundamentele scheefheid tussen Amerikaanse nationale veiligheid en de rechten van niet-Amerikanen onveranderd blijft
Schrems en noyb hebben aangegeven dat zij het EU-VS DPF op FISA 702-gronden zullen aanvechten. Behandeling door het HvJ-EU wordt verwacht in 2026-2028.
## Waarom FISA 702 voor Europese bedrijven uitmaakt
### 1. Raakt elke in de VS gevestigde SaaS
Als je Google Workspace, Microsoft 365, AWS, Slack of in wezen elke in de VS gevestigde SaaS gebruikt, bevinden je gegevens zich binnen het bereik van FISA 702.
### 2. Kan niet via contracten worden opgelost
Geen SCC, BCR of ander contractueel mechanisme kan de Amerikaanse surveillancewetverplichtingen van Amerikaanse aanbieders opzij zetten. De aanbieder kan juridisch verplicht zijn gegevens te overhandigen en kan onder gag orders vallen.
### 3. EU-operaties helpen niet
EU-regio's en EU-dochterondernemingen van Amerikaanse aanbieders worden nog steeds gecontroleerd door Amerikaanse moederbedrijven, die onderworpen zijn aan FISA 702 (en de CLOUD Act). EU-regio's helpen bij latency en dataresidentie, maar niet bij jurisdictie.
### 4. Drijft de vraag naar echt Europese alternatieven
Het structurele FISA 702-probleem is de belangrijkste reden dat Europese bedrijven geen echte AVG-compliance kunnen bereiken met Amerikaanse aanbieders, en de belangrijkste vraagaanjager voor EU-alternatieven.
## FISA 702 vs CLOUD Act
Deze twee wetten zijn complementair:
| | FISA 702 | CLOUD Act |
|--|----------|-----------|
| Doel | Verzameling van buitenlandse inlichtingen | Verzameling van strafrechtelijk bewijs |
| Doelwit | Niet-Amerikanen in het buitenland | Iedereen (inclusief personen in de EU) |
| Proces | Massale programma's, brede targeting | Specifieke warrants en subpoena's |
| Reikwijdte | Communicatie-aanbieders | Elke dienstverlener die data bezit |
| Kennisgeving aan betrokkene | Doorgaans niet | Vaak onder gag order |
| Effectief rechtsmiddel voor EU-persoon | Minimaal (DPRC onder DPF) | Minimaal |
Beide blokkeren echte AVG-adequaatheid van Amerikaanse aanbieders.
## Wat 2026-2027 brengt
- **HvJ-EU-behandeling** van nieuwe Schrems-gerelateerde uitdagingen aan het EU-VS DPF
- **Strijd om FISA-herautorisatie** in het Amerikaanse Congres
- **Aanhoudende escalatie van statelijke surveillance** die het dreigingslandschap beïnvloedt
- **Voortgezette uitbouw van Europese soevereine cloud** als structureel antwoord
- **Geen fundamentele Amerikaanse surveillancehervorming** wordt verwacht
## Praktische implicaties
Voor Europese tech-afnemers:
- **Voor gevoelige workloads** (juridisch, zorg, financieel, publieke sector): behandel Amerikaanse aanbieders als structureel blootgesteld ongeacht het contractuele mechanisme
- **Voor algemene workloads**: weeg FISA 702-blootstelling af tegen andere factoren
- **Voor langetermijnstrategie**: ga ervan uit dat het EU-VS DPF ongeldig kan worden verklaard en plan dienovereenkomstig
- **EU-gevestigde alternatieven** omzeilen FISA 702 volledig
Voor Europese beleidsprofessionals:
- Hervorming van FISA 702 in de VS is op afzienbare termijn onwaarschijnlijk
- Het structurele probleem blijft bestaan zonder Amerikaanse wetswijziging
- Het Europese antwoord is soevereine infrastructuur, geen contractuele lapmiddelen
Was dit nuttig?
Bedankt voor je feedback!