Geofence-bevelen: de Supreme Court-zaak die privacy opnieuw vormgeeft

Geofence-bevelen: de Supreme Court-zaak die privacy opnieuw vormgeeft

Een zaak die nu voor het Amerikaanse Hooggerechtshof ligt, zou fundamenteel kunnen veranderen hoe wetshandhaving locatiegegevens gebruikt om verdachten te identificeren, en het zet een spotlight op hoeveel van uw dagelijkse bewegingen stilletjes worden verzameld door de apps en diensten die u gebruikt. De zaak, United States v. Chatrie, draait om een instrument genaamd een geofence-bevel, en de uitkomst ervan zou de regels rondom digitale surveillance jarenlang kunnen hervormen.

Wat is een geofence-bevel?

Een geofence-bevel is een gerechtelijk bevel dat een bedrijf — meestal Google — verplicht om locatiegegevens te overhandigen van elk apparaat dat zich binnen een bepaald geografisch gebied bevond gedurende een specifiek tijdvenster. Anders dan een traditioneel bevel dat gericht is op een bekende verdachte, werpen geofence-bevelen een breed net uit. Onderzoekers definiëren de locatie en het tijdsbestek, en het technologiebedrijf retourneert een lijst van anonieme apparaat-ID's. Vervolgens kan wetshandhaving verzoeken dat het bedrijf de lijst verfijnt en uiteindelijk specifieke personen identificeert.

In de zaak Chatrie werd deze techniek gebruikt om een verdachte in een bankroof te identificeren door locatiegegevens op te vragen van apparaten in de buurt van de plaats delict ten tijde van het misdrijf. De centrale juridische vraag is of deze praktijk de bescherming van het Vierde Amendement tegen onredelijke doorzoekingen schendt, gegeven dat onderzoekers geen specifiek doelwit hebben op het moment dat zij de gegevens aanvankelijk opvragen.

Het probleem met vertrouwen op bedrijfsbeleid

Een van de meest significante kwesties die juridische experts hebben aangekaart over geofence-bevelen, is dat de regels die ze beheersen grotendeels door private bedrijven zijn opgesteld, niet door rechtbanken of wetgevers. Google heeft een eigen driestappe proces ontwikkeld voor het beantwoorden van deze verzoeken, wat bepaalde beperkingen stelt aan hoe gegevens worden gedeeld. Maar die beperkingen bestaan omdat Google er zelf voor heeft gekozen ze op te leggen, niet omdat enige wet dat vereist.

Dit is een wezenlijk onderscheid. Een bedrijf kan zijn intern beleid op elk moment wijzigen. Het kan worden overgenomen, onder druk worden gezet, of simpelweg besluiten dat een andere aanpak beter past bij zijn bedrijfsbelangen. Wanneer de vangrails bij een krachtige surveillancetechniek afhangen van bedrijfsdiscretie in plaats van wettelijke normen, zijn de beschermingen die gewone mensen genieten inherent instabiel.

De bredere zorg is dat dit patroon niet uniek is voor geofence-bevelen. Op vele terreinen van digitale surveillance heeft wetshandhaving sneller bewogen dan wetgeving. Het resultaat is een lappendeken van praktijken die variëren per bedrijf, per rechtsgebied en per specifieke betrokken technologie.

Wat dit voor u betekent

U hoeft geen verdachte te zijn om betrokken te raken bij een geofence-bevel. Als uw telefoon op het verkeerde moment in de buurt was van een misdrijflocatie, kunnen uw apparaatgegevens worden opgenomen in een eerste verzoek. Die realiteit heeft geleid tot groeiende bezorgdheid onder privacyvoorvechters, burgerrechtorganisaties en juridische wetenschappers die stellen dat massale locatie-doorzoekingen fundamenteel onverenigbaar zijn met grondwettelijke beschermingen tegen algemene doorzoekingen.

Het is ook de moeite waard te begrijpen waar deze locatiegegevens in de eerste plaats vandaan komen. De meeste smartphones verzamelen en verzenden continu locatiegegevens via een functie die Google Sensorvault noemt, die gegevens van Google-accounts aggregeert. Deze gegevens worden niet alleen gegenereerd wanneer u actief Google Maps gebruikt, maar ook via achtergrondprocessen die gekoppeld zijn aan apps en diensten waarvoor locatietoestemmingen zijn ingeschakeld.

Het gebruik van een VPN kan bepaalde soorten gegevens beschermen — met name uw IP-adres en browseverkeer — maar het voorkomt niet dat uw apparaat GPS-gebaseerde locatiegegevens doorgeeft aan Google of andere diensten. Locatieprivacy is een gelaagd probleem, en tools op netwerkniveau pakken slechts één aspect ervan aan. Het uitschakelen van locatiegeschiedenis in uw Google-accountinstellingen, het controleren welke apps toegang hebben tot uw locatie, en het begrijpen welke gegevens uw telefoon standaard verzendt, zijn allemaal stappen die los van enige netwerkbescherming die u mogelijk gebruikt van belang zijn.

Hoe de wet er nu voor staat

Een handvol staten heeft stappen ondernomen om geofence-bevelen via wetgeving te beperken, maar er is geen federale norm. Dat het Hooggerechtshof United States v. Chatrie oppakt, geeft aan dat de juridische onduidelijkheid significant genoeg is geworden om op het hoogste niveau te worden opgelost. Wat het Hof ook besluit, het zal een precedent scheppen dat beïnvloedt hoe onderzoekers landelijk locatiegegevens mogen gebruiken.

Juridische experts hebben duidelijk gesteld dat wetgeving, niet alleen rechterlijke uitspraken, uiteindelijk noodzakelijk is. Rechtbanken kunnen oordelen of een specifieke praktijk grondwettelijk is, maar zij kunnen niet het alomvattende kader opbouwen dat bepaalt hoe surveillancetechnologie moet worden ontwikkeld, goedgekeurd en gecontroleerd. Dat vereist dat wetgevers in actie komen.

Belangrijkste conclusies

• Geofence-bevelen verzoeken om locatiegegevens van alle apparaten in een gebied, niet alleen van bekende verdachten, wat serieuze vragen oproept rondom het Vierde Amendement.
• De huidige regels omtrent deze bevelen komen grotendeels voort uit bedrijfsbeleid, niet uit wetgeving, wat betekent dat ze kunnen veranderen zonder enige publieke inspraak of wetgevend proces.
• Uw locatiegegevens worden continu verzameld door diensten als Google, vaak via achtergrond-app-activiteit, ongeacht of u een VPN gebruikt.
• U kunt uw blootstelling verminderen door de instellingen voor locatiegeschiedenis te bekijken, app-machtigingen te beperken en te begrijpen welke gegevens uw apparaten standaard delen.
• De beslissing van het Hooggerechtshof in United States v. Chatrie zal een van de meest ingrijpende uitspraken over digitale privacy in jaren zijn. De voortgang ervan volgen is de moeite waard voor iedereen die geeft om wat er met zijn of haar gegevens gebeurt.