Google biedt opt out voor wifi-sniffing, voldoet aan privacywet?

streetview-spin.jpgOnder druk van privacywaakhond CBP biedt Google nu wereldwijd de optie om wifi-routers uit zijn database met locatiedata te verwijderen door ‘_nomap’ aan de netwerknaam (SSID) toe te voegen. Daarmee voldoet het bedrijf aan de Wet bescherming persoonsgegevens, aldus datzelfde CBP. Maar, eh, hoezo, vroegen veel mensen mij: dit is opt-out en de privacywet eist toch een opt-in?

Het College had Google een dwangsom opgelegd nadat bleek dat het bedrijf van 4 maart 2008 tot 6 mei 2010 met de rondrijdende Street View-auto’s gegevens had verzameld over ruim 3,6 miljoen verschillende wifi-routers in Nederland. Meer precies ging het om de locatie, de signaalsterkte en het SSID (netwerknaam) van die netwerken. Met die gegevens bood Google een geolocatiedienst aan. Door te kijken welke netwerken er in de buurt zijn, en in een database op te zoeken waar die zich bevinden, kun je redelijk nauwkeurig vaststellen waar jij bent. In ieder geval nauwkeurig genoeg om geografisch passende advertenties te sturen.

Deze gegevens zijn persoonsgegevens: ze zijn indirect ofwel met enige moeite te herleiden tot de eigenaar van dat netwerk, al is het maar door zijn huis te lokaliseren en aan te bellen. En daarmee is het opbouwen van zo’n database onderworpen aan de Wet bescherming persoonsgegevens, de privacywet. Hoofdregel daaruit is dat voor het gebruik van iemands persoonsgegevens toestemming nodig is. En die krijgt Google niet door rond te rijden – het feit dat iemand zijn SSID uitzendt is géén toestemming voor het opnemen daarvan in een database.

Toch vindt het Cbp dat Google de privacywet niet schendt, zeker niet nu men de “_nomap” extensie voor het SSID belooft te gebruiken om routers te negeren. Het Cbp doet dit door Google’s activiteit goed te keuren onder artikel 8 sub f. Dit artikel bepaalt dat je zonder toestemming iemands persoonsgegevens mag verwerken als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang” van degene die die gegevens verwerkt én als dat belang van die persoon zwaarder weegt dan de privacy.

Googles belang is om een volle database te hebben van routers en locaties, zodat ze een goed werkende geolocatiedienst kunnen aanbieden. Dat vindt het Cbp op zich allemaal leuk en aardig, maar het is niet noodzakelijk voor een geolocatiedienst om zo’n database te hebben. Je kunt ook (zoals Microsoft, Skyhook en Apple doen) met andere middelen en uit andere geo-informatie vergaren. Er is dus niet voldaan aan de eerste eis, er is geen noodzaak deze gegevens te verzamelen.

Vervolgens gaat men verder over de tweede eis, die van de belangenafweging. Daarbij citeert men de memorie van toelichting bij de wet:

Bij de in onderdeel f voorgeschreven afweging speelt een rol de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken en de maatregelen die de verantwoordelijke heeft genomen ten einde rekening te houden met de belangen van de betrokkene. De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen

Bij deze belangenafweging is belangrijk dat Google moet zorgen voor een afmeldmogelijkheid, om de belangen van de betrokkenen (de eigenaren van die routers) tegemoet te kunnen komen. De _nomap is dus formeel geen opt-out maar een “waarborg voor zorgvuldig gebruik”. Ook moet Google de eigenaren van routers informeren, wat men deed met advertenties in landelijke kranten en een FAQ op de site.

Op onnavolgbare wijze komt het Cbp na dit stukje ineens tot de conclusie dat het wél legaal is wat Google doet als ze dus maar aan deze eisen voldaan. Ik snap daar werkelijk niets van. Eerst zeggen dat de ene eis (noodzakelijk voor je belang) niet gehaald wordt, daarna uitleggen hoe de andere eis (belangenafweging) wél gehaald wordt en dan is het legaal? Ik zal wel iets missen hoor.

In Tweede Kamer zijn ze al gaan roepen dat er een expliciete opt-in moet komen, maar hoe ze dat willen regelen, mis ik eveneens: dit zijn Europese privacyregels waar we niet zomaar een extra Nederlands wetje bij kunnen maken. Plus, het idee van opt-in als oplossing is onzinnig: 99% van de mensen weet niet waar ze voor opt-int en/of klikt ongezien op Akkoord bij alles dat je ze voorlegt.

Arnoud

47 reacties

  1. Wat betreft de opt-in: zo moeilijk is dat niet te regelen. Het heet namelijk “zelf aanmelden”. Skyhook deed dat jaren geleden al toen het nog onbetaalbaar geacht werd om massaal al die routers ook in Europa in kaart te brengen. Je ging dan naar een website, vulde het MAC-adres van je router in + de coördinaten van die router en na een tijdje was je aangemeld in die router.

    Ik heb bewust gekozen voor een opt-in, nou weet mijn laptop zonder GPS tenminste ook waar hij is als hij thuis verbinding maakt met mijn netwerk. En mijn iPhone heeft er een nóg nauwkeurigere optie bij om ook binnen aan plaatsbepaling te doen. Daar komt bij dat browsers en soms zelf besturingssystemen (denk bijvoorbeeld aan iOS) er juist voor zorgen dat ik, ondanks dat ik verbinding maak met een router die opgenomen is in die database, als eindgebruiker controle heb over of anderen mijn locatie zien: er wordt dan namelijk eerst om toestemming gevraagd op het moment dat die locatie opgevraagd wordt. Want dat is uiteindelijk veel belangrijker: de mogelijkheid voor gebruikers om te bepalen of tijdens het gebruik van internet zichtbaar mag zijn waar zij op dat moment zijn. Dat wil je niet aan de eigenaar van de router waar je verbinding mee maakt over laten. Wellicht ben jij bij mij thuis en wil jij niet dat mensen dat weten, dan moet dat dus ook mogelijk zijn!

    Van de andere kant vind ik het moeten toevoegen van “_nomap” aan een SSID een belachelijke oplossing. Het is een heel publieke versie van de “Nee / Nee” stikker op de voordeur. Jij maakt zo aan iedereen in de buurt kenbaar dat jij niet door Google op de kaart gezet wilt worden. Als jij niet op de kaart wilt komen met je router, dan kan ik me voorstellen dat je dat ook niet aan iedereen kenbaar wilt maken. Oftewel, je moet het ene stukje privacy opgeven om het andere te kunnen behouden.

  2. Deze “nomap” ‘oplossing’ is een echte niet-oplossing. Veel gebruikers zullen het niet eens voor elkaar krijgen kunnen, en esthetisch is zo’n toevoegsel ook al niet. Over een tijdje ziet je SSID er dan zo uit “NetwerknomapGooglenomapFreenetyesmapIBMdefinitelynomapMicrosoftmaybemapYahoo”. Of mag nu iedereen zomaar meeliften met de Google “_nomap” indicatie, als ze maar plechtig beloven zorgvuldig om te gaan, althans in verhouding tot hun commerciële belangen?…

  3. En wat is nu de grote maatschappelijke schade die is gedaan? Ik snap dat je het in het licht van de wet kunt bekijken en dat dit blog primair dient voor de juridische discussie, maar als ik dat even loslaat dan vraag ik me oprecht af waarom het erg is dat Google (of wie dan ook) een locatie database van alle wifi hotspots in NL heeft gebouwd. Ja, er is vast een situatie te bedenken waarbij het van vitaal belang is dat mijn hotspot niet wordt opgenomen in zo’n lijst. In dat geval kan ik opt-outen. Een overgroot deel van de bevolking zal er in het dagelijks leven toch 0,0 van merken dat zijn wifi router staat geïndexeerd bij Google?

    Bescherming van persoonsgegevens is iets waar ik het belang wel van in zie, maar de definitie wordt wel heel ruim genomen. Natuurlijk, in theorie kun je aan de hand van een GPS coördinaat en de SSID ‘linksys’ bij een aantal huizen gaan aanbellen om te kijken bij wie die router hoort, maar even serieus, gaat iemand die moeite nemen? Die informatie wordt namelijk ook beschikbaar als je zonder Google’s database voor dat huis gaat staan en met je telefoon kikt welke wifi netwerken er beschikbaar zijn. Daar doet het bestaan van zo’n database niets aan af.

    Wat overigens als ik door de straat ga rondlopen en turven in welke tuinen een tuinkabouter staat, zodat ik aan de hand van het aantal tuinkabouters om me heen precies kan bepalen waar ik ben?

  4. Ik begrijp dit hele probleem niet zo. So what als Google m’n SSID/”MAC-adres accespoint” in een database koppelt aan de locatiegegevens van de Google streetview auto toen ie in de buurt van mijn accesspoint stond?

    Een WiFi zender met SSID “smurfendorp” bevindt zich om en nabij nummer 20 van de dennenlaan. En dan? Er is nog steeds geen link tussen IP-adres en huisadres. Google heeft geen verbinding met de netwerken gemaakt, alleen maar genoteerd wat het accesspoint de ether in bleirt. De eigenaar van het accesspoint wordt er niet slechter van. Sterker nog, indirect wordt hij er ook beter van want er is zo een betere plaatsbepaling mogelijk, met name nuttig in steden met hoogbouw waar satellietsignalen makkelijk verstoort raken.

    Daarnaast heeft het CBP de opt-out beslissing al in augustus gemaakt. Als dat dan niemand van de 2e kamer opvalt en pas nu tot bezwaren leidt dan lijkt me dat rijkelijk laat.

  5. @TGV: het ligt iets anders (volgens een artikel wat ik bij Tweakers las): _nomap moet aan het einde van de SSID staan.

    Google moedigt het volgens dat artikel juist aan wanneer andere soortgelijke diensten ook _nomap als opt-out gebruiken.

    Maar dat heeft een nogal lastige consequentie. Wat als bedrijf X ook zo’n database aanlegt en die zegt, als je niet opgenomen moet worden moet je _blabla aan het einde van je SSID zetten. Je kan niet zowel _nomap als _blabla aan het einde hebben staan. Dus dan ben wordt je of door Google, of door X gebruikt.

    Wat mij betreft was een opt-in een betere optie geweest, inderdaad simpelweg met ‘zelf aanmelden’. Jammer dan wanneer dat niet genoeg aanmeldingen oplevert.

    Overigens gebruik ik helemaal geen WiFi. Heb gewoon een bekabeld netwerk in huis. Werkt prima. (Maar ik heb dan ook geen laptop, smartphone, tablet e.d., alleen een paar gewone pc’s en een kleine server.)

  6. @ Pierre | 21 november 2011 @ 8:26: helemaal eens met laatste alinea: mijn buren hoeven toch niet te weten dat ik ergens voor opt-out? Ik vermoed dat CPB gezwicht is voor de enorme macht van Google. Normaal gesproken staat privacy bij het CPB hoog in het vaandel.

  7. Wat ik me nu afvraag is hoe het zit met de routers die Google al in de database heeft staan. Die mensen kunnen nu achteraf niet meer _nomap achter hun routernaam zetten. Gaat Google binnenkort heel Nederland opnieuw doorrijden en overal de netwerken met nu _nomap erachter uit hun database gooien, of beginnen ze gewoon overnieuw? (Ze zullen de database waarschijnlijk toch wel moeten updaten, maar goed).

    Over het privacygevaar: Ik ken mensen die een SSID hebben van de vorm “eigen naam”net oid. Dan kun je zeggen dat je je privacy sowieso loslaat doordat je zelf je naam gaat rondsturen, maar dat valt mee want het is maar in een klein gebiedje en mensen die daar zijn kunnen ook wel op het naambordje bij de deur lezen hoe je heet. Maar het gaat een stuk verder om die gegevens dan op te nemen in een wereldwijde database (met deze naam en de bijbehorende locatie).

  8. @7 Fokko | 21 november 2011 @ 10:28

    Over het privacygevaar: Ik ken mensen die een SSID hebben van de vorm ???eigen naam???net oid

    Ergens is het wel netjes om je SSID zo te kiezen dat je buren weten van wie het is (alleen bij voorkeur niet je eigen (achter)naam). Als ze dan last hebben van jouw signaal weten ze tenminste waar ze aan kunnen kloppen om het een en ander op te lossen.

  9. Ik wil mijn Wifi netwerk helemaal niet hernoemen. Ik vind _nomap lelijk en wie betaalt mijn systeembeheerder die dat weer moet doen?

    Juridisch: zijn er beperkingen aan hoeveel moeite een opt-out mag kosten? Of kan ik allerlei dingen gaan doen en een website maken waarop ik aankondig ‘als je dat niet wilt dan moet je een spandoek aan je huis hangen van minimaal 2 x 2 meter met de tekst xyz’.

    (Doet me denken aan het pretparkbezoek 15 jaar geleden waar ik bij terugkomst op de parkeerplaats een sticker op mijn auto aantrof. Toen ik verhaal ging halen kreeg ik van de loketmevrouw te horen dat er een bordje bij de slagboom stond waarop te lezen was dat als ik geen sticker wilde, ik mijn ruitenwisser omhoog had moeten zetten. Ze werd kwaad toen ik aankondigde dat als ze niet snel een liedje voor me zou zingen, ik de sticker op haar loketje zou gaan plakken. )

  10. De _nomap extensie is een stupide oplossing.

    Opt-in zou natuurlijk ideaal zijn, maar is in de praktijk niet te doen. Daarnaast is er natuurlijk al lang een oplossing hiervoor. Als iemand zijn SSID niet openbaar maakt (=announced in een 802.11 beacon frame), dan zal Google het access point niet indexen (als het uberhaupt mogelijk is een beacon frame de registeren als deze geen SSID bevat).

    Als iemand niet wil dat een ander zijn netwerk indexeert, kan je het gewoon hidden maken, dus de SSID niet broadcasten. Volgens mij is dat toch een vrij standaard beveiliging.

    Ik vraag me af of dit geen non-discussie is. Vraag: zijn er gevallen bekend dat iemand bezwaar gehad dat Google -of een ander- de naam van zijn of haar SSID geregistreerd had, terwijl deze niet hidden was?

  11. @12 Freek Dijkstra | 21 november 2011 @ 11:47

    Je SSID hidden maken is erg lastig bij het opzetten van een draagloos netwerk. Bovendien helpt het je niet aangezien Google gewoon het MAC-adres van de hidden WiFi punten kan uitlezen. Check zelf maar eens met inSSIDer in je eigen buurt.

    Sterker nog: je SSID hidden maken is een potentieel veiligheidslek en echt af te raden. Lees hier waarom.

  12. Opt-out is eigenlijk nooit een goed idee. Het werkt gewoon niet als ik moet gaan bijhouden waarvoor ik allemaal zou kunnen en willen op-outen. Ik heb wel iets anders te doen.

    Nog even los van het technisch verhaal in dit geval, trouwens. Want er kan natuurlijk maar één opt-out “aan het einde van de netwerknaam staan”. Dus wat als de tweede komt en die wil _private aan het einde hebben staan? Gaat het dan worden: ergens in de netwerknaam moet “nomap” voorkomen? Ja zout op! Die netwerknaam is van mij. En ik wil erin kunnen zetten wat ik zelf wil, zonder dat dat gevolgen heeft voor mijn privacy.

    Kortom een slecht doordachte (en wat mij betreft nauwelijks serieuze) oplossing. Ik kan me eerlijk gezegd ook niet voorstellen dat de techneuten van Google dat niet in de gaten zouden hebben. Hij zal wel ergens uit de sales hoek komen, schat ik.

  13. Google is volgens mij al een tijdje de weg kwijt. Sales neemt de tent over en komt met ondoordachte zaken aanzetten zoals het ‘_nomap’ verhaal. Ze proberen nog de schijn op te houden met ‘we’re not evil’, maar dat zal ook niet zo lang meer duren. Zodra ze kans zien eigenen ze zich data toe (of het nu ssid’s, email of boeken zijn) om dat vervolgens commercieel te benutten (onvriendelijke gezegd ‘uit te buiten’.

    Ik denk dat het CBP gezwicht is voor de commercie.

    BTW, ik vraag me af hoe het het CBP zo zeker weet dat google de database met ssid’s ook daadwerkelijk heeft verwijderd. Het zou me niet verbazen als deze nog vrolijk ergens in een van hun vele datacenter’s rondzweeft, wachtend op betere (voor mij mindere) privacy tijden.

  14. Mooi is dat als alle scholen persoonlijke gegevens van onze kinderen aan advertentieboeren willen verkopen. “Ja, maar er is een opt-in regeling hoor. Als uw kind elke dag een groene trui met rode broek aan doet, zullen we dat niet doen.” Of vul in plaats van school en advertentieboer, dokters en zorgverzekeraars in.

  15. Apple gebruikt net zo goed de locaties van draadloze netwerken; als je Wifi uitzet op je iPhone staat er ‘Location accuracy is improved when Wi-Fi is enabled.’. Ik snap ook helemaal niet wat daar het probleem van is. Als je op de locatie bent kun je met deze gegevens zien waar je zelf bent, en als je er niet zelf bent is het alleen maar een lijst van gefingeerde namen, nummers en locaties waar je verder niets mee kunt doen. Je kunt zelf een naam kiezen voor je draadloze netwerk, als je niet wil dat iemand kan zien dat een netwerk van jou is, waarom slinger je dan je eigen naam de omgeving in?

    Hier geldt net zo goed als bij de klachten die er over Street View kwamen, Google is echt niet het eerste bedrijf dat zo’n database maakt, het enige verschil is dat je bij Google gratis naar jezelf op zoek kan. Je zit net zo goed in die andere databases, alleen dat kun je niet zien. En dan is het ineens geen probleem meer.

    Wel een echt probleem is dat Google, toen ze deze database aanlegden, ook nog even de draadloze netwerken die niet gecodeerd waren afluisterde en de dingen die ze voorbij zagen komen opsloeg. Daar hebben ze, toen het in de publiciteit kwam, uitgebreid hun excuses voor aangeboden en als het goed is zijn die gegevens allemaal gewist.

  16. Vele reacties hierboven gaan over wel-niet opt-in/opt-out. Ik mis alleen hierboven WAAROM het een probleem is dat Google SSIDs vastlegt.

    Kan iemand mij uitleggen WAAROM hij/zij er een probleem mee heeft dat zijn SSID/MAC-adres in een database met plaatsbepalings-coördinaten komt?

  17. Omdat als we straks IPv6 hebben mijn IP adres wellicht gelinkt kan worden aan mijn MAC adres. En dus mijn IP adres aan mijn locatie als er ook een MAC->locatie mapping bestaat.

    En dat vind ik persoonlink geen drama, maar ik heb het recht dat niet te willen.

  18. Ik ben het eens met Immetjes, namelijk: er is helemaal geen privacy-probleem.

    Vroeger zei je: “bij dat huis met die dikke kastanjeboom moet je rechtsaf”. Schond je daarmee de privacy van de bewoners? Nee.

    Nu zeg je: “bij dat huis bij netwerk xyz123 moet je rechtsaf” Schend je nu de privacy van de bewoners? Nee.

  19. Het feit zit hem niet in het SSDID die opgeslagen wordt maar alles in combinatie Google houd te veel zaken bij als je hun website bezoekt leggen ze veel meer vast dan alleen IP ze pingen ook wel eens.

    Het voorbeeld bij netwerk xyz moet je rechtsaf is leuk gevonden maar zeg zelf als ik hidden ben met me SSID heb je een PC nodig of een app om mij te vinden. Is het dan niet handiger om gewoon gebruik te maken van GPS of telefoontorens of gewoon gebruik maken van de kastanjeboom deze veranderen namelijk niet zo snel als een draadloosnetwerk.

    Voor normale redenen hoeft Google dit niet te doen ze doen dit omdat ze waarschijnlijk ook kijken of het netwerk beveiligd is en de volgende stap kan je al raden als het openstaat mag je gebruik maken ervan aangezien je niet opt-out heb gedaan.

  20. Ik zie ook niet zo wat nu het probleem is. Laten we het eens omdraaien, stel dat dit niet zou mogen, dan is kennelijk een combinatie van een SSID met een geografische locatie een beschermd persoonsgegeven. Maar als een SSID dat is, dan toch zeker ook een huisadres. Moet Google dan een opt-in krijgen van alle bewoners aan een bepaalde straat voordat het de straatnaam in Google Maps mag zetten?

  21. Zelfs na alles hier te hebben gelezen, snap ik nog steeds niet waarom een SSID/locatie combinatie een persoonsgegeven is.

    Ok, als google het gaat koppelen aan IP adressen en andere gegevens dan zou dat kunnen. Maar voor locatie bepaling hebben ze alleen de SSID/locatie combinatie nodig. Die is domweg niet terug te voeren op een persoon. Tenzij iemand zo stom is om zijn naam/adres in zijn SSID te zetten.

    Met deze combinatie kan je ook alleen maar locatie bepaling doen, ik zie niet wat je er verder nog mee zou kunnen. En dus zeker niet hoe je er de privacy mee schendt.

  22. Het is niet logisch om draadloze netwerken te gebruiken voor positie bepaling hier in mijn straat zijn vanaf mijn huis een 8 tal SSID te ontvangen. Je kan niet zeggen dat SSID XXX bij huisnummer yyy hoort aangezien je meerdere ontvangt bij dat huisnummer. Mijn accesspoint is zachter dan die van mijn buren aangezien hun een iets betere apparaat hebben, ook staat de mijne achter in de woning (16 meter vanuit de midden van de weg) die van hun staat voor in huis scheelt 11 a 12 meter ongeveer. Dus nu ga je positie bepalen op basis van SSID je zal altijd een verschil hebben in dit geval is GPS het beste met minder dan een meter verschil.

    Waarom SSID en locatie een persoonsgegeven is is geheel logisch SSID + Locatie + Mac adres + IP nummer is altijd terug te traceren en aangezien Google genoeg gegevens van de wagen en hun website krijgen kunnen ze alles combineren en terug leiden. Ik denk dat er met de beslissing hiermee rekening is gehouden. Ook het feit dat voor SSID meestal een naam van een familie wordt gebruikt zal wel een rol spelen.

  23. @28: Het is wel logisch voor google om ssid als plaats bepaling te gebruiken. Google gebruikt dit namelijk om relevante advertenties te vertonen voor waar jij je bevindt. Ze hoeven dus alleen maar globaal te weten waar jij je bevindt. De maximum straal van een WiFi netwerk is meer dan genoeg voor hun doel.

    En daarbij zijn SSID/Locatie gewoon geen persoonsgegevens. Ik heb even op de website van de overheid gekeken naar de FAQ vraag wat persoonsgegevens zijn:

    http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/wat-zijn-persoonsgegevens.html

    Ik denk dat we er kort over kunnen zijn dat dit geen Directe Persoonsgegevens zijn. Om persoonsgegevens te zijn zullen het dus indirecte persoonsgegevens moeten zijn. Daarbij geeft men aan dat “Als deze gegevens zijn te herleiden tot een bepaalde persoon is sprake van persoonsgegevens.”

    SSID en locatie (met een nauwkeurigheid niet preciezer dan de straal van een draadloos netwerk) zijn niet te herleiden tot een persoon. Jouw redenatie gaat niet op omdat je er extra gekoppelde gegevens bij haalt. SSID en locatie zijn alleen aan een persoon te koppelen als je IP adres erbij hebt. Via een Mac adres zou je met wat hacken achter IP adres kunnen komen, dus met die erbij heb je ook een probleem. Als jij echter met een autotje rond rijdt en alleen Locatie en SSID van netwerken in bereik op slaat kan je daar nooit een IP bij vinden*. en deze herleiden tot een persoon. Google heeft voor hun doeleinden IP of MAC ook niet nodig en kan die informatie gewoon weggooien. De door hun opgeslagen gegevens zijn dan geen indirecte persoonsgegevens.

    Vervolgens is er de vraag wat een persoonsgegeven is? Als ik het lees zijn dat gegevens die iets zeggen over de persoon. De SSID zegt niets over de persoon en is gewoon weg geen bescherming waardig.**

    Overigens was de beschuldiging van het CBP dat de combinatie SSID + MAC een persoonsgegeven was. Ik snap dan ook niet dat Google niet simpelweg het MAC adres uit zijn database heeft gewist. Het CBP beseft dus blijkbaar wel dat een SSID alleen geen persoonsgegeven is.

    • Je kan het IP adres uiteraard wel vinden als je op die locatie gaat staan en het betrokken netwerk gaat sniffen. Maar met die redenatie is alles een persoonsgegeven.

    ** SSID wordt openlijk uitgezonden, moeten we echt idioten gaan beschermen die wel vertrouwelijke gegevens als SSID gaan gebruiken en voor iedere voorbijganger toegankelijk maken?

  24. Een MAC adres is niet een IP adres. In de database waar het om gaan staan geen IP adressen, die kun je niet zien als je een eenvoudige scan doet. Dat kan alleen maar als je daadwerkelijk verbinding gaat maken met het netwerk.

    Google kan van de bezoekers van hun website niet zien welk MAC adres hun computer of hun router heeft.

    Het is niet mogelijk de gegevens die opgeslagen worden in een database met lokatie, SSID en MAC adres, op welke manier dan ook te koppelen aan de gegevens die Google over zijn gebruikers verzamelt, namelijk het IP adres en de verzameling opdrachten die je Google geeft. De datasets overlappen niet.

    En dan is hier de expertise van CBP (bron):

    Als het MAC adres in de GLS zit, zou Google de betrokkene kunnen doorsturen naar een verificatiepagina die scripting bevat waarmee de ARP tabel wordt opgevraagd. De WLAN MAC-adressen zijn theoretisch gezien op te vragen middels ???ARP ???a???. Middels browsercode, bijv java, kan dit ARP lijstje worden opgevraagd op de achtergrond.
    Als je dit leest zie je ook wel duidelijk dat ze werkelijk geen enkel benul hebben waar ze over praten; volgens het CBP kan een website gewoon even met Java een command line tooltje op de achtergrond draaien. Terug in de echte wereld mogen websites natuurlijk geen willekeurige command line tooltjes draaien op de computers van de bezoekers, met of zonder Java, dat zou nogal een beveiligingslek zijn.

  25. @Elroy: Ik volg je redenatie over of een SSID wel of geen persoonsgegeven is.

    De tekst achter je link pak je volgens mij iets te vrij op. De tekst zegt dat iets een indirect gegeven is als het aan twee voorwaarden voldoet: – het zegt iets over een persoon – het is te herleiden tot de persoon

    Google heeft jouw SSID, plus een signaalsterkte op meerdere plekken in de straat. Daarmee kunnen ze van het SSID vrij nauwkeurig uitrekenen waar het zich bevindt – ik denk dat ze in meer dan de helft van de gevallen het SSID in het juiste huis kunnen plaatsen.

    Daarmee is het SSID te herleiden tot een persoon. Daarmee is aan de tweede eis voldaan – zij het met een bepaalde onzekerheid: Het staat echt niet altijd 100% vast dat dat accesspoint echt bij mij staat!

    Aan de eerste eis wordt voldaan zodra je SSID iets over jou vertelt. Een neutraal SSID is dus geen persoonsgegeven. Uit het SSID zou je echter ook kunnen afleiden waar jij je internetverbinding koopt (‘UPC3071′), en het gegeven dat ik een open accesspoint draai met de naam ‘OpenBittorrent20Mbs’ zegt ook iets over mij.

    Dan is de redenatie van het Cbp goed te volgen: De mate van gevoeligheid is (ook met de voorbeelden die ik hierboven met de haren erbij trek) is en blijft gering. En Google neemt maatregelen om de belangen van de betrokkenen te waarborgen. Zo is het niet mogelijk om per adres op te vragen wat de SSIDs zijn, maar kun je alleen vragen waar je bent als je bepaalde SSIDs ziet.

    Zo kan bijvoorbeeld BREIN niet via de database van Google zien dat ik het bovengenoemde accesspoint draai, en daarom is mijn privacy bij een sollicitatie bij die club voldoende gewaarborgd.

    Resumerend: Eens met de conclusie dat de paniek over ‘SSID is een persoonsgegeven’ overtrokken is. Het is in hypothetische gevallen een persoonsgegeven, het is niet als zodanig op te vragen en het is gewoon heel erg niet gevoelig.

  26. @30: Ik heb nog eens zitten nadenken over dat MAC adres, maar het is nog vager. Het MAC adres wat je ziet zit aan de WLAN kant van de router en is dus niet internet facing, maar client facing. Als je dat aan een IP adres probeert te koppelen adres resolution, dan krijg dus een 192.168.x.x of een 10.x.x.x adres waar je helemaal niets aan hebt en wat met geen mogelijkheid te koppelen is aan een persoon.

    Je kan het dan alleen aan IP adres richting internet koppelen als het netwerk open is en je er een connectie op kan maken. Maar dan zit je weer met mensen die hun gegevens gewoon openbaar maken. En weer de vraag moeten we de gegevens van mensen beschermen die die gegevens zelf voor het publiek toegankelijk maken?

    @31 Eens, je zou de locatie dus kunnen bepalen door er heen te gaan en kruispeilingen te doen; dat gaat wel erg ver. Dan kunnen bijvoorbeeld fotodatabanken dus ook niet meer, als er een straatnaam bordje en huisnummers op de foto staan is de foto een persoonsgegeven. Je kan dan immers naar de betreffende locatie gaan en kijken wie er op dat adres woont. En je kan dan aan het huis inschatten hoe welvarend iemand is (persoonsgegeven). Ik zou in plaats van ‘overtrokken’ hier eerder het woord ‘idioot’ gebruiken. We hebben weer een clubje in nederland met een ongeremde geldingsdrang. (Ze kunnen de commissie gelijke behandeling een hand geven, die zijn van zelfde stempel)

  27. Ik zie het MAC adres van de router als indirect herleidbaar tot een persoon, de eigenaar van de router. Waar een SSID relatief makkelijk aan te passen is (en de meeste router eigenaren personaliseren die), is het MAC adres gebonden aan de hardware. Google kan aan de hand van MAC adressen verhuizingen detecteren met hun netwerk van smartphones die om locatiegegevens vragen. Aan de andere kant is het niet echt makkelijk om een persoon aan een router te koppelen als Google dat niet probeert is de privacyinbreuk van het opslaan van wifi gegevens beperkt: Het zijn gegevens die door de acces points uitgeschreeuwd worden. Het vertelt niet veel meer over de eigenaar dan dat er een acces point is.

    Ik denk dat het CBP een afgewogen keus gemaakt heeft om de verzameling van de gegevens toe te staan, maar te eisen dat de database geregistreerd wordt. Ik weet verder niet wat Google heeft toegezegd over het gebruik van de gegevens, maar als het gebruik beperkt wordt tot het verbeteren van de locatiebepaling van mobiele apparaten zie ik geen probleem. Nu nog wachten tot Microsoft (en de andere WiFi data verzamelaars) zich ook registreren en vergelijkbare toezeggingen doen.

  28. “Google kan aan de hand van MAC adressen verhuizingen detecteren met hun netwerk van smartphones die om locatiegegevens vragen.”

    Ja, dan weet je dat iemand is verhuisd, maar je weet nog steeds niet wie. En voor zover ik heb begrepen is het dan dus nog steeds geen persoonsgegeven.

    En van MAC adres naar persoonsgegevens kan alleen met enige beperking via uitpeilen maar dan heb je nog steeds geen zekerheid over de persoon of (mogelijk) via de rechter of via illegale wegen (netwerk hacken). Gaat erg ver, maar je argument overtuigt me er niet van dat het een persoonsgegeven is.

    En als je een beetje technisch onderlegde rechter heeft, zal het niet al te lastig zijn uit te leggen dat die claim van CBP zoals die in post 30. geciteerd staat gezocht en onrealistisch is.

    Ik vind het stuitend dat onze overheid en de EU aan alle kanten aan de privacy weg wimpelt met dooddoeners als terrorisme, kp en het geen enkel probleem vindt om ieders wandel te registreren voor rekening rijden. En dat Google dan wordt aangevallen op een non issue. Google kan een heleboel over je te weten komen als je ze alleen maar als zoek machine gebruikt. Die informatie slaan ze anoniem op en dan is het ineens wel in orde, maar hier wordt gezocht naar een implausibel argument om ze dwars te zitten. Ik blijf met het gevoel zitten dat hier wat mensen punten willen scoren voor de privacy, die in de voorgenoemde gevallen alemaal hun mond dicht hebben gehouden. Laat ze eens zo’n positie kiezen bij het volgende grandiose plan waarvoor de overheid een nieuwe database aan moet leggen.

  29. @Elroy:

    Wat je zelf kunt doen (kruispeilingen) is in principe niet verboden. Wanneer verbanden echter via een database kunnen worden gelegd wordt het getoetst aan de privacywetgeving. Google kan dat: Ze kunnen van meer dan de helft van de Nederlandse accesspoints met grote zekerheid bepalen in welk huis ze staan – puur op basis van hun database. Ze hebben de gegevens al klaar, alles wat nodig is is de berekening van die kruispeiling. Op het moment dat een database dat kan moet hij getoetst worden.

    Dat je vervolgens die toetsing niet moet oprekken om maar in de krant te komen ben ik volledig met je eens. Niet elke toetsing hoeft altijd negatief uit te vallen; de gegevens zijn gewoon niet erg gevoelig en er zijn geen locaties van APs op te vragen.

  30. @Gerbeen, ik ben het eens met je conclusie dat zolang de locaties van access points niet op te vragen zijn de privacy impact van de verwerking door Google klein is. Het is wel belangrijk dat Google de toegang tot die database blijft beperken om een privacylek te voorkomen.

  31. @36: De gebruikelijke aandachthongerigen hebben dus weer wat gevonden, het was te verwachten.

    De PVV beschermer van de Privacy, maar ondertussen in Almere: ??? Meer cameratoezicht; en meer zichtbaar toezicht op straat; ??? Preventief fouilleren op wapens in de hele stad; (Zie hier: http://www.pvvalmere.nl/index.php?option=com_content&view=article&id=44&Itemid=2)

    @35: Als ze de info echt zo gedetailleerd hebben opgeslagen, dan heb je een punt wat betreft de registratie van de database.

    Alleen snap ik niet dat ze hun hele database weggooien, de informatie iets minder nauwkeurig zodat je met de database niet meer exact een positie kan bepalen lijkt mij voldoende. Je kan dan niet meer iemand identificeren.

    Ik heb eens wat rond zitten googlen waar ze die database nu eigenlijk voor willen gebruiken. En dat zijn eigenlijk twee zaken. 1. Een snelle innitiele locatie voor google maps en 2. voor targetted reclame.

    1. Is handig omdat je dan al een kaart kan laden voor je een GPS fix hebt en voor 2. is een exacte locatie helemaal niet nodig.
  32. Ik zie hier een aantal problemen. 1. Google slaat MACadressen op en wie zegt mij dat ze die niet koppelen met IPadressen en google users die via die IPs inloggen? Ik kan me niet aan de indruk onttrekken dat ik “targeted ads” krijg op nieuwe computers waar nog nooit een google cookie op heeft gestaan of mee ingelogged is op een google service, als ik die via dezelfde verbinding het Internet op gooi. Bewijs heb ik niet, maar die bewijslast ligt volgens mij bij Google, dat ze dat niet doen. 2. Google sniffed nog steeds. Ze beloven alleen dat ze de gesniffde gegevens niet verwerken en eventuele data achteraf gaan wissen. Welke onafhankelijk controlemethode is daar voor en betaalt Google daar voor? Volgens mij is er geen onafhankelijke controle daarvoor en betaalt Google daar ook niet voor, maar er is wel vastgesteld en erkend door Google dat ze initieel sniffen en opslaan. Totdat er sprake is van onafhankelijke door Google betaalde controle, lijkt me dus logischer dat Google niet mag sniffen, toch? Afluisteren is nog steeds verboden en Google doet het op industriele schaal. Hun “belofte” dat ze er heus niets mee doen als je je SSID aan hun voorwaarde aanpast is oncontroleerbaar en onpractisch. Waar kan je in beroep tegen een uitspraak van het CPB? Dit lijkt me typisch een zaak waar “derdenberoep” ontvankelijk zou moeten zijn.

  33. 1. Google slaat MACadressen op en wie zegt mij dat ze die niet koppelen met IPadressen en google users die via die IPs inloggen?
    In de huidige stand van technologie kan je die koppeling niet maken. (Met IPv6 zonder privacy extensions wel maar dat gebruikt nu niemand).

  34. Arnoud in je boek Security zeg je dat in sommige gevallen portscan gezien kan worden als computervredebreuk zou Google hier ook onder kunnen vallen aangezien sniffen ook een manier is om informatie te verzamelen en hun scannen de draadloze router.

  35. ” 1. Google slaat MACadressen op en wie zegt mij dat ze die niet koppelen met IPadressen en google users die via die IPs inloggen?”

    Voor de locatie service slaat google MAC adressen op van het Wireless AP. De enigen die die ooit zien zijn mensen die verbinding maken met het AP. Deze netwerk interface is niet richting internet gericht en dus door google niet te koppelen zoals jij nu denkt.

  36. @Borg, 41: Een portscan is actief, de scanner stuurt data naar het systeem dat gescand wordt. Het passief meeluisteren met data die toch al wordt verstuurd is een ander verhaal. Meeluisteren met radio-communicatie mag in principe, al zijn er beperkingen aan hoe je de inhoud van de communicatie mag gebruiken. Voor zover ik weet verbiedt de wet die radio-ontvangst regelt het opslaan en verwerken van “bakeninformatie” niet.

  37. Niet helemaal waar als ze alleen de SSID afluisteren klop dit maar ze vragen actief meer informatie op zoals MAC adres e.d. ook scande ze op niet beveiligde netwerken. Daarbij weet je niet wat ze precies gaan doen met de informatie in het boek stond namelijk ook zaken zoals meehelpen aan (nog niet alles gelezen). Als men daarbij neem dat locatie van de SSID beschikbaar is help je andere daarmee die misschien niet zo nobele doelen hebben met je netwerk. Daarbij komt nog dat ze ook SSID scannen die default uit staat door middel van een scanner die het toch zichtbaar maakt.

  38. @Borg, 44: het MAC adres wordt met ieder pakket uitgezonden en hoeft dus niet actief opgevraagd te worden. En een “verborgen” WLAN (die geen bakens uitzendt) kan gedetecteerd worden uit het gegevensverkeer dat het genereert. Het gebruik van radio’s voor communicatie (inclusief WiFi, Bluetooth en GSM) is structureel privacy-onvriendelijk.

    Verder heeft Google aan het CBP aangegeven hoe zij de database gebruikt (verbeteren locatienauwkeurigheid van mobiele telefoons). Dat is verre van “meehelpen bij hacken”.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.