De Verenigde Staten hebben geen omvattende privacyregeling voor telecomdiensten en dat begint steeds meer burgers te dagen. Nieuw onderzoek toont nu aan dat mobiele locatiegegevens, waarmee toestellen in principe in 'real time' getraceerd kunnen worden, door telco's aan aggragatiebedrijven worden verkocht. Die verkopen de gegevens vervolgens door tot ze uiteindelijk bij iedereen terecht kunnen komen die er geld voor over heeft.

Het nieuwste schandaal kwam aan het licht nadat een journalist van techsite Motherboard een premiejager het telefoonnummer van een collega gaf, en hem vroeg om de telefoon van een collega te zoeken (met diens toestemming). Hij kreeg daarop een screenshot van Google Maps, met de huidige locatie van de telefoon, tot op enkele honderden meters correct. De tool die premiejagers en anderen gebruiken, blijkt de real-time locatie van mobiele klanten te gebruiken, data die door de telecombedrijven, waaronder T-Mobile, AT&T en Sprint, zelf verkocht wordt.

Immokantoren en privé-detectives

Het interessante aan dit onderzoek is dat de dienst, genaamd Microbilt, die data niet verkoopt aan politiediensten, die in de VS mist een huiszoeking al langer telefoons kunnen traceren. Deze gegevens worden gestuurd naar commerciële bedrijfjes die daarvoor officieel een licentie hebben. Daar zitten bijvoorbeeld immokantoren en autoverkopers bij, die ze mogelijk gebruiken om de kredietwaardigheid van hun klanten te proberen uitvissen, maar ook premiejagers en privé-detectives.

Dat telecombedrijven weten waar je bent, is geen groot geheim. Mobiele telefoons communiceren permanent met zendmasten, en een telco weet zo altijd bij benadering waar het toestel zich bevindt. Dat is waardevolle informatie, die in de VS wordt doorverkocht aan 'locatie aggregators', bedrijfjes zoals Microbilt, die de gegevens verzamelen en doorverkopen aan klanten. Volgens de telco's gebeurt dat altijd met medeweten van het 'doelwit'. In veel gevallen is dat ook zo. Denk bijvoorbeeld aan pechdiensten, die een sms'je sturen met de vraag of ze je locatie mogen gebruiken om je te vinden aan de kant van de weg. Maar in het geval van bijvoorbeeld premiejagers is dat meestal tegen de regels van de telco's zelf.

Het lijkt in het geval van een premiejager ook sterk dat diens doelwit toestemming zou geven om getraceerd te worden. Volgens Motherboard worden veel gegevens die door klanten van Microbilt verkregen worden, bovendien nog doorverkocht op de zwarte markt, zonder dat er iemand zich druk maakt om wie die gegevens effectief in handen krijgt. Hier is hoegenaamd geen sprake van toestemming door het doelwit, en de kans lijkt groot dat deze diensten onder meer door stalkers en andere ongure figuren gebruikt kunnen worden.

Excuses

Microbilt, van zijn kant, zegt dat het alleen doorverkoopt aan gecertificeerde klanten. Ook de telco's zelf stuurden meteen mededelingen de wereld in waarin ze benadrukken hoe belangrijk de privacy van hun klanten voor hen is.

Het is echter niet de eerste keer dat de praktijken worden aangekaart. Vorig jaar lekte uit dat Securus, ook zo'n locatie-aggregator, gelijkaardige telefoontracering aanbood aan politiediensten zonder gerechtelijk bevel. De zaak werd toen aangekaart door senator Ron Wyden, die Sprint, AT&T en T-Mobile opriep met de praktijken op te houden. Ook toen beloofden de telecombedrijven dat ze extra maatregelen zouden nemen om ervoor te zorgen dat data van hun klanten niet zou worden misbruikt.

Nu, zeven maanden later, lijkt daar dus nog niet veel van in huis te zijn gekomen. De telco's beloven, opnieuw, dat ze meteen zullen stoppen met het verkopen van locatiegegevens van hun klanten. Dat zou voor de meesten tegen maart van de baan moeten zijn. Wyden roept de telecomwaakhond, de FCC, dan weer opnieuw op om een onderzoek in te stellen. De Amerikaanse overheidsdiensten werken op dit moment echter niet, omdat de regering al enkele weken kibbelt over de budgetten, en er dus niemand betaald kan worden.

Ondertussen groeit, zeker in het Amerikaanse Congres, de vraag naar een betere regulering voor het omgaan met persoonsgegevens. Zeker na de reeks privacyschandalen die onder meer bij Facebook uitkwamen de voorbije jaren, lijkt de wil er bij steeds meer politici te zijn om een soort Amerikaanse versie van de GDPR te maken. Zo'n regelgeving was tot voor kort nog onbespreekbaar, maar het idee lijkt nu zachtjesaan volgers te winnen. Of zo'n regeling er in de praktijk ook komt, is nog de vraag.