'Kijk uit voor locatiediensten!'

Doordat het regelgeving op het gebied van locatiediensten ontbreekt en de technologie feitelijk nog in de kinderschoenen staat, maakt dat het gebruik van locatiegegevens onderschat wordt. Niet alleen consumenten lopen het risico dat malafide bedrijven en/of criminelen misbruik maken van de gegevens, ook bedrijven moeten goed gaan nadenken over de manier waarop zij medewerkers beschermen en zelf met locatiegegevens van klanten omgaan. In een vandaag gepubliceerde whitepaper luidt ISACA de noodklok.

Naar schatting 50 procent van alle smartphonegebruikers maakt volgens ISACA dagelijks gebruik van locatiediensten. Daarbij kun je denken aan Google Maps, FourSquare, Facebook en Groupon, maar ook talloze games en tools vragen GPS-informatie van een toestel op. Dat doen zij enerzijds om de locatie te gebruiken in de applicatie zelf, voor optimalisatie van cloud computing-diensten of bijvoorbeeld om fraude bij financiële transacties sneller op te sporen. Ook binnen Windows en Mac OS X wordt steeds vaker de locatie van de computer aangewend om deze te gebruiken binnen websites of applicaties. Daarnaast voorzien ook gebruikers zelf allerlei content van zogenaamde geotags, waarmee ze bijvoorbeeld op een foto kunnen aangeven waar deze genomen is.

Voordelen genoeg

Voor ontwikkelaars heeft het gebruik van locaties als voordeel dat zij enerzijds de dienstverlening op de klant kunnen toespitsen en anderzijds meer gerichte (dus beter betaalde) advertenties kunnen laten zien. Deze data kan daarnaast gebruikt worden om markttrends te plotten of om gebruikersprofielen te optimaliseren. Voor bedrijven die in de voorhoede zitten van het gebruik van geolocatie en mobiele technologie is het toepassen en combineren van locatieinformatie cruciaal voor businessmodel.

Toch kleven er ook donkere kanten aan het gebruik van de diensten, schrijft ISACA. Zo zijn namelijk niet alleen bonafide bedrijven geïnteresseerd in de technologie, maar is de informatie ook ongelooflijk interessant voor criminelen. Komt de locatiedata, die zich bevindt bij de gebruiker, de serviceprovider, bij accesspoints en/of bij developers, in verkeerde handen, dan kan een crimineel daar flink van profiteren. "Informatie van GPS en geolocatie tags, gecombineerd met persoonlijke informatie, kunnen door criminelen gebruikt worden om een huidige of toekomstige locatie van een individu te identificeren", schrijven de onderzoekers. Inbraken, berovingen en/of ontvoeringen zijn vervolgens een risico. Maar ook in de digitale wereld kan zulke informatie misbruikt worden om bijvoorbeeld identiteitdiefstal of creditcardfraude mogelijk te maken.

Bedrijven lopen risico omdat locatiedata bedrijfsgeheimen kan prijsgeven. Wat nu als van bestuurders bekend is dat ze allemaal tegelijkertijd een afspraak hebben bij bedrijf X? Wellicht vinden ze het geen prettig idee dat deze informatie in handen van een concurrent komt. En wat te denken van bedrijven die de informatie kunnen gaan gebruiken om de eigen medewerkers te bespioneren (bijvoorbeeld om te controleren of ze wel thuis aan het werk zijn).

Hoe worden locatiegegevens opgeslagen en verwerkt?

Niet alleen voor consumenten, maar ook voor bedrijven is het van belang om stil te staan bij de gevolgen van het verzamelen van locatiegegevens. Welke data wordt van klanten verzameld, kan deze data gebruikt worden om een individu te identificeren, hoe stroomt de data van de oplossing naar de database en wordt de informatie gedeeld met derden zijn allemaal vragen die bedrijven die op enigerlei wijze gebruikmaken van locatiediensten in hun oplossingen zichzelf moeten stellen. Gebruikers zouden vooraf goed moeten nadenken óf ze de informatie überhaupt willen delen en wat ze wel en niet van een geotag voorzien.

Juist omdat er nog geen specifieke wetgeving bestaat op dit gebied, kunnen criminelen en malafide bedrijven vaak ongehinderd hun slag slaan. Maar niet vergeten mag worden dat bestaande privacywetgeving wel gewoon van toepassing is. "In Europa zijn de wetgevers op de hoogte van deze zorgen en wordt geolocatiedata ook beschouwd als persoonlijke data", zegt ISACA-lid en securitystrateeg Ramsés Gallego van Quest Software. "Alle principes en regels van Europese dataprivacywetgeving blijven van kracht, zoals proportionaliteit, beperking van gebruik, transparantie en beveiliging. In de transportsector wordt al gedacht aan het goed beheren van locatieinformatie van vrachtwagenchauffeurs en taxibestuurders."

'Verbreed de wetgeving'

Marc Vael, lid van de taskforce Cloud Computing en bestuurder bij ISACA merkt op: "Europese wetgevers zijn nu nog gefocust op hoe de informatie verzameld en gebruikt wordt. Het doel van toekomstige wetgeving is om antwoord te geven op de volgende vragen: welke data wordt verzameld, wanneer, hoe, waarvoor, hoe lang, etc. etc. Geolocatie data is niet anders dan persoonlijke data en aan iedere PII (Persoonlijke Identificeerbare Informatie) moeten doelen en beperkingen verbonden worden."