Google zal dat binnenkort doen stellen gebruikers in staat hun locatiegegevens op hun apparaten op te slaan in plaats van op de servers van Google, waarmee effectief een einde komt aan een langlopende surveillancepraktijk waarbij politie en wetshandhavingsinstanties de enorme banken met locatiegegevens van Google konden gebruiken om potentiële criminelen te identificeren.
Het gebruik van zogenaamde “Geofence-bevelen” zijn de afgelopen jaren geëxplodeerd, grotendeels dankzij de alomtegenwoordigheid van smartphones in combinatie met hongerige databedrijven als Google die enorme hoeveelheden locatiegegevens van hun gebruikers opzuigen en opslaan, die op verzoek van wetshandhavingsinstanties verkrijgbaar worden.
De politie kan geofence-bevelen (ook wel reverse-location warrants genoemd) gebruiken om te eisen dat Google informatie doorgeeft over welke apparaten van gebruikers zich op een bepaald second in een bepaald geografisch gebied bevonden.
Maar critici zeggen dat geofence-bevelen ongrondwettelijk en inherent te breed zijn, omdat deze eisen vaak ook de informatie omvatten van volkomen onschuldige mensen die in de buurt op een second dat er een misdrijf werd gepleegd. Zelfs de rechtbanken kunnen het niet eens worden over de vraag of geofence-bevelen legaal zijnwat waarschijnlijk een eventuele uitdaging bij het Amerikaanse Hooggerechtshof zal opleveren.
Google’s aankondiging deze week heeft geen melding gemaakt van geofence-bevelen specifiek door alleen te zeggen dat de stap om locatiegegevens op hun apparaten op te slaan gebruikers “meer controle” over hun gegevens zou geven. In werkelijkheid dwingt deze maatregel de politie om een huiszoekingsbevel aan te vragen om toegang te krijgen tot dat specifieke apparaat, in plaats van Google om de gegevens te vragen.
Hoewel Google niet het enige bedrijf is dat onderworpen is aan geofence-bevelen, is Google veruit de grootste verzamelaar van gevoelige locatiegegevens en de eerste die daarvoor wordt afgeluisterd.
De praktijk waarbij de politie Google aftapte naar de locatiegegevens van gebruikers was dat wel voor het eerst onthuld in 2019. Google vertrouwt al lang op de locatiegegevens van zijn gebruikers om zijn advertentieactiviteiten te stimuleren, die alleen al in 2022 ongeveer 80% van de jaaromzet van Google binnenhaalden, zo’n 220 miljard greenback.
Maar in werkelijkheid wordt aangenomen dat deze surveillancetechniek veel breder is. Wetshandhavers breidden later hun eisen voor locatiegegevens uit naar andere bedrijven. Het is bekend dat Microsoft en Yahoo (eigenaar van TechCrunch) geofence-bevelen ontvangen, hoewel geen van beide bedrijven nog heeft bekendgemaakt hoeveel eisen ze ontvangen voor de locatiegegevens van gebruikers.
De afgelopen jaren is het aantal rechtszaken met betrekking tot geofence-eisen enorm gestegen.
Politie in Minneapolis gebruik gemaakt van een geofence-bevel om personen te identificeren die protesten bijwoonden na de moord op George Floyd door de politie. De vernietiging van Roe v. Wade in 2022 leidde tot de vrees dat wetshandhaving in staten waar de toegang tot abortuszorg beperkt is of het zoeken naar abortus illegaal is zouden geofence-bevelen kunnen gebruiken om degenen die hulp zoeken te identificeren. Wetgevers vervolgens drong er bij Google op aan te stoppen met het verzamelen van locatiegegevens uit vrees dat de informatie zou kunnen worden gebruikt om mensen te identificeren die op zoek zijn naar abortus.
Hoewel de bedrijven weinig hebben gezegd over het aantal geofence-bevelen dat zij ontvangen, steunden Google, Microsoft en Yahoo vorig jaar een wetsontwerp in New York dat zou het gebruik van geofence-bevelen in de hele staat hebben verboden. Het wetsvoorstel slaagde er niet in om in de moist te komen.
Google heeft niet gezegd hoeveel geofence-bevelen het de afgelopen jaren heeft ontvangen. Google publiceerde zijn meest recente (en enige) openbaarmaking op het aantal geofence-bevelen dat het heeft ontvangen in 2021 na druk om de cijfers bekend te maken na toenemende kritiek op de surveillancepraktijk.
Uit de gegevens bleek dat Google in 2018 982 geofence-bevelen ontving, vervolgens 8.396 geofence-bevelen in 2019 en 11.554 geofence-bevelen in 2020 – of ongeveer een kwart van alle juridische eisen die Google ontving. De onthulling, hoewel beperkt, bood een eerste glimp van de sterke stijging van het aantal van deze verzoeken, maar Google zei niet hoe vaak de zoekgigant zich verzet tegen deze wettelijke eisen voor locatiegegevens van gebruikers – of helemaal niet.
Het nieuws dat Google binnenkort de locatiegegevens van zijn gebruikers naar hun apparaten zal verplaatsen, werd met voorzichtige lof ontvangen.
Dat zegt de Digital Frontier Basis, die de grondwettigheid van geofence-bevelen voor de rechtbank heeft aangevochten in een blogpost dat “we dit voorlopig in ieder geval als een overwinning zullen beschouwen.” Maar de EFF merkte op dat er andere manieren zijn waarop Google nog steeds gevoelige persoonlijke gegevens over zijn gebruikers kan doorgeven. Wetshandhavingsinstanties gebruiken soortgelijke wettelijke eisen, zogenaamde ‘reverse trefwoord’-bevelen, om Google-accounts te identificeren die op tijd naar een bepaald trefwoord hebben gezocht, bijvoorbeeld voordat er een misdrijf werd gepleegd. Google heeft niet gezegd of het van plan is de maas in de moist te dichten die politie en wetshandhaving in staat stelt zogenaamde “reverse trefwoord”-bevelen uit te vaardigen voor zoekopdrachten van gebruikers.
Dat wil niet zeggen dat de geofence-bevelen van de ene op de andere dag zullen verdwijnen. Google bewaart nog steeds enorme hoeveelheden historische locatiegegevens waar de politie op elk second gebruik van kan maken, tot wanneer Google besluit deze niet langer te willen bewaren. En terwijl technologiebedrijven enorme hoeveelheden locatiegegevens van gebruikers opslaan, kunnen ook zij aan soortgelijke wettelijke eisen worden onderworpen.
Maar er is hoop dat het sluiten van de deur voor geofence-bevelen door Google – in ieder geval in de toekomst – deze maas in de surveillance aanzienlijk zou kunnen verkleinen.
In haar meest recente transparantieverslag in 2022 zei Apple dat het 13 geofence-bevelen had ontvangen waarin de locatiegegevens van zijn klanten werden geëist, maar dat het in ruil daarvoor geen gegevens verstrekte. Apple zei dat het “geen gegevens heeft om te verstrekken als reactie op geofence-verzoeken”, aangezien de gegevens zich op de apparaten van gebruikers bevinden, waartoe Apple zegt dat het geen toegang heeft.