Wifi-tracking rond winkels in strijd met de wet?

Het College bescherming persoonsgegevens heeft een van de grote aanbieders van wifi-tracking in Nederland op de vingers getikt, las ik bij Tweakers. Het bedrijf Bluetrace zou ten behoeve van wifi analytics mensen in en rond winkels via het wifi-signaal van hun smartphone volgen zonder hen daarover goed te informeren. In haar rapport meldt de toezichthouder dat er meer verzameld werd dan nodig, dat de gegevens te lang bewaard werden en dat ook mensen op de openbare weg gevolgd werden.

Wifi tracking is al een paar jaar in populariteit aan het toenemen. Kort gezegd meet een winkel dan langskomende wifi-signalen uit mobiele telefoons, om vervolgens te registreren waar die signalen heen gaan, hoe lang de telefoon ergens stilstaat et cetera. Via het MAC-adres zijn de metingen uniek te correleren aan één telefoon.

Het argument is dan altijd, dat is niet erg want het is maar je telefoon en ze weten niet hoe je heet. Maar het Cbp is daar snel klaar mee: dit zijn persoonsgegevens (want herleidbaar tot de eigenaar van de telefoon) en locatie-informatie is best wel gevoelig:

Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.

Dat je de náám niet weet van de persoon, doet er niet toe. Het is de vaste opvatting van de privacytoezichthouders dat het erom gaat dat de “gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.” Kort gezegd gaat het erom dat de gegevens over één persoon gaan.

Vervolgens moet Bluetrace maar aantonen waarom zij dit mag onder de Wbp. De enige reële optie is die van de eigen dringende noodzaak: het belang om de gegevens te verzamelen weegt zwaarder dan het privacybelang van de langslopende smartphone-eigenaren, én er is alles aan gedaan om de privacy zo veel mogelijk te waarborgen.

Op zich is het een legitiem belang om te willen weten hoe mensen door je winkel lopen. Maar de vraag wordt dan, moet dat dan wel op deze manier gemeten worden, kan het niet een onsje minder? Bijvoorbeeld door tijdens sluitingstijd de sensoren uit te zetten, of door in plaats van ruwe MAC-adressen hashes te bewaren die na 48 uur worden gewist.

Ook een probleem is dat men MAC-adressen vastlegt van mensen die langs de winkel lopen maar niet naar binnen gaan. “Ohooh een verwerking aan de openbare weg”, en dat mag dan categorisch niet. Nou nee, het ligt iets subtieler: je mag wel persoonsgegevens verzamelen aan de openbare weg maar je moet daar dan wel een specifiek belang voor hebben dat opweegt tegen dat privacybelang. En dat zal er zelden zijn. Welk legitiem belang ís er om te meten wie er over de weg loopt?

Verder ontbrak het aan adequate informatie over wat men doet met persoonsgegevens en hoe je als winkelbezoeker informatie kunt krijgen over deze gegevensvergaring.

Kort samengevat: leuk idee, mislukte uitvoering. Want het Cbp zegt letterlijk dat het zeker mogelijk is om legaal persoonsgegevens van smartphones te verzamelen om winkelbezoek te monitoren, mits je dat maar een stukje zorgvuldiger inkleedt. De pers maakt veel van het hashen van de MAC-adressen, maar dat is niet de kern: het gaat erom zo min mogelijk gegevens te verzamelen en dingen zo snel mogelijk weer weg te gooien.

Arnoud

37 reacties

  1. Wordt er dan met het hashen ook nog overwogen hoe effectief dat is?

    Puur een MD5 op een MAC adres toepassen ziet er heel interessant uit en klinkt heel veilig, maar in de praktijk vrij simpel te brute-forcen. Een MAC adres is toch maar 48 bits lang. Als je dan ook nog meeneemt dat het telefoons zijn en er dus niet zoveel mogelijkheden zijn voor de eerste 24 bits. Dan blijven er nog maar 24 bits randomness over.

    1. Was mijn eerste gedacht ook inderdaad. De enige manieren die ik kan bedenken om MAC-adressen te loggen is (1) een gedeelte van de laatste 24 bits verwijderen en dan te hashen (zodat een hash niet meer één apparaat kan aanwijzen, maar de kans op overlap toch redelijk klein is), of (2) door een per-dag willekeurig getal aan alle MAC-adressen toe te voegen. Zo krijg je geen correlatie tussen hetzelfde MAC-adres vandaag en morgen. Moet je die willekeurige getallen natuurlijk wel vergeten aan het einde van de dag.

      1. En nog een gratis tip voor BlueTrace en het CBP: voeg per winkellocatie een ander salt toe aan het MAC adres, want we zijn alleen geïnteresseerd in klanten binnen de winkel en we willen niet “per ongeluk” klanten tracken tussen verschillende winkels van dezelfde of verschillende opdrachtgevens in.

        1. Met een per-locatie salt is het nog steeds mogelijk om via brute-force de MAC-adressen te achterhalen, want de salt is statisch geconfigureerd en dus opvraagbaar. Moet je voor twee locaties 2x een hashing pogen, voor 200 locaties 200x etc. Is dan beter om per locatie een willekeurig getal per dag te genereren. Is ook logisch, omdat de locaties natuurlijk allemaal een eigen “controller” hebben; er is geen reden dat de locaties met elkaar praten over welke MAC-adressen ze zien en dus hoeven ze elkaars random-number-of-the-day ook niet te weten.

          1. Oh, natuurlijk is het beter om én per periode én per locatie iets te doen, al neemt dat niet weg dat de gegevens aan het eind van de periode nog steeds weggegooid zouden moeten worden.

            Maar het verschillende salt per locatie is niet om brute-forcen door derden voorkomen. Mijn punt is dat de MAC-adressen per locatie een unieke hash dienen te genereren, anders sla je onbedoeld(?) meer data op dan noodzakelijk. Je kan dan als BlueTrace en consorten bezoekers van locatie tot locatie volgen.

        1. Volgens mij is het hele punt juist dat ze niet kunnen aantonen dat daar een noodzaak voor is, dus mogen ze dat niet eens opslaan.

          Er zou eventueel misschien een ‘noodzaak’ kunnen zijn om te zien hoeveel mensen er in je winkel lopen en hoe, maar of die terugkomen is toch een stuk minder relevant.

          1. Voor de bezoeker niet relevant nee, voor de marketing afdeling (degene die het systeem betaald dus) is dat uitermate relevant. Het is precies waarom ze het doen.

            Als ik een willekeurige multinational (of die er voor door wenst te gaan) bel, dan krijg ik altijd een bandje te horen over het opnemen van het gesprek voor kwaliteitsdoeleinden blahblah, Zou dat hier ook niet moeten? Mensen worden gevolgd, acties worden vastgelegd zonder medeweten. “In deze winkel wordt uw loop en koopgedrag gevolgd teneinde onze marketingafdeling in staat te stellen u meer nutteloze producten in uw winkelwagen te laten leggen zonder dat u het in de gaten heeft.” Is wel zo eerlijk denk ik…

      2. Het is slimmer om eerst te hashen en daarna bits weg te gooien, dan om eerst bits weg te gooien en daarna te hashen.

        Als je eerst bits weggooit en daarna hashed, dan heeft de hash in beginsel niet zoveel zin. De hash heeft meer entropy dan de input en voorkomt daardoor helemaal niet dat een unieke associatie tussen de 2 bestaat. Je moet juist zorgen dat je hashed naar iets met minder entropy dan de input space voor deze use case.

        Bovendien ben je dan meteen van de vraag af welke bits je weg moet gooien. Mac adressen zijn vast niet uniform verdeeld.

      3. Toevoegen van zout helpt tegen snel kraken (rainbow, brute force hash lookup). Maar de vraag is of Bluetrace dan bepaalde diensten kan bieden, zoals route bepaling (ze bieden dit ook voor verkeer aan, zie http://www.slideshare.net/infotechme/bluetrace-workshopinfo-tech-middle-east-mobile-advertising) . Ook het weglaten van hash bits zou dit (in mindere mate?) verhinderen. Het CBP gebruikt de uniciteit van een hash juist als tegen argument. Want, zegt het CBP, als je een MAC weet, kan de hash uitgerekend kan worden! Gelukkig is dat zo, want daarmee zou je de politie of winkels kunnen helpen diefstallen op te lossen. Maar dan moet je de persoon en de telefoon wel hebben.

        Overigens gebruikt CBP wel degelijk 48 bits in hun berekening (pag 34, voetnoot 124) en ik ben woorden als kraken, key recovery, brute force etc. niet tegen gekomen in het CBP verweer. Iemand idee waarom de hash methode in het rapport steeds [vertrouwelijk] is? Mij lijkt het alsof het CBP daarmede ‘Security by Obscurity’ steunt.

  2. SHA-1 hash zal in de meeste gevallen ook uniek zijn. Git werkt op basis van het feit dat de kans op een SHA-1 collisie kleiner is dan de kans dat een meteoriet op aarde valt. Hiervoor kunnen natuurlijk hashes gemaakt worden die bedoeld minder goed werken.

  3. Zou je met dit document in de hand nu ook van [vul in filiaal van keten] kunnen eisen dat zij per direct ophouden met het gebruik van deze hightec oplossing, omdat alle bewegingen die jij als buur maakt, en die van al je bezoekers op 24/7 basis worden vastgelegd?

      1. Maar het blijft toch een omgekeerde wereld dat IK iets uit moet zetten om niet gevolgd te worden… Ik erger me echt groen en geel aan die logica. Het zou prettiger zijn als de wetgeven dit soort spionagepraktijken eens wat aan banden legt en eens wat meer gaat doen om de privacy van zijn burgers te verbeteren…

  4. De enige reële optie is die van de eigen dringende noodzaak: het belang om de gegevens te verzamelen weegt zwaarder dan het privacybelang van de langslopende smartphone-eigenaren, én er is alles aan gedaan om de privacy zo veel mogelijk te waarborgen.
    Wat is in dit verband een “noodzaak”? Dat een winkelketen zoveel mogelijk informatie wil verzamelen over haar klanten, liefst cross-platform en over alle fysieke en online winkels heen, maakt het nog geen noodzaak. Het is noodzakelijk voor de dienst die Bluetrace aan wil bieden, maar die dienst is bijna per definitie een inbreuk op de privacy.

    Is dat niet de discussie die hier gevoerd moet worden?

    1. Een noodzaak is inderdaad meer dan een willen. Echter, dan zou je nooit iets kunnen doen zonder toestemming en dat is ook weer niet de bedoeling. Het komt er voor mij dus echt op neer dat je zegt “oké, dit belang is legitiem én er is niet echt een andere manier om dit belang te dienen én de privacy is zo veel mogelijk gewaarborgd”. Dat was ongeveer de redenering waarmee Google Streetview legaal werd verklaard: het is legitiem om wifi-databases op te bouwen om zo locatiebepaling zonder GPS te doen, dat kan niet anders dan rondrijden en wifi-netwerken vastleggen maar er is wel een opt-out en de gegevensverzameling is zo beperkt mogelijk.

      Wil je het hardcore informatierecht betogen dan moet je gaan zitten op het grondrecht van de ondernemingsvrijheid (Dommering) versus het grondrecht informationele privacy en dan de inperkingen beide kanten op tegenover elkaar zetten en een gelijkwaardige afweging van belangen doen (grondrechten zijn gelijkwaardig en een afweging is dan ook altijd casusspecifiek). Je erkent dan het recht van Bluetrace om dit in beginsel te doen, en je komt bijna automatisch terug bij de belangenafweging van privacy.

      1. Wil je het hardcore informatierecht betogen dan moet je gaan zitten op het grondrecht van de ondernemingsvrijheid (…) versus het grondrecht informationele privacy en dan de inperkingen beide kanten op tegenover elkaar zetten en een gelijkwaardige afweging van belangen doen (grondrechten zijn gelijkwaardig en een afweging is dan ook altijd casusspecifiek). Je erkent dan het recht van Bluetrace om dit in beginsel te doen, en je komt bijna automatisch terug bij de belangenafweging van privacy.
        Precies, maar op een fundamenteler niveau.

        We zien nu dat er een specifieke technische oplossing aangevochten wordt, maar ik vind de achterliggende vraag veel belangrijker: moet een ondernemer het recht hebben een klant tijdens al diens bewegingen door de fysieke en online winkels van een winkel / -keten / moedermaatschappij (Ahold bijv.) te volgen?

        1. Mijn antwoord is dus: ja, mits hij daarbij de privacy van zijn klanten niet meer schendt dan gerechtvaardigd is gezien het belang van dit recht. Als uitoefenen van een grondrecht (waar ondernemen dus ook onder valt) botst met een ander grondrecht, dan moet je een belangenafweging doen. Je mag niet het ene grondrecht categorisch boven het andere zetten (bv. privacy is altijd belangrijker dan ondernemen, of vrijheid van meningsuiting altijd belangrijker dan privacy).

          1. Mensen hebben eeuwen lang ondernomen zonder dat ze precies bijhielden en registreerden hoe mensen door hun winkels liepen. Er is helemaal geen conflict met het grondrecht ondernemen, aangezien deze registratie geen vereiste is om te kunnen ondernemen.

            1. Tijden veranderen. Mensen hebben eeuwen lang geleefd zonder toegang tot gezondheidszorg, uitkeringen of onderwijs. Toch zou het vandaag de dag in strijd met de grondrechten worden geacht om die dingen mensen te ontzeggen.

              Het is natuurlijk een beetje een vicieuze cirkel: iets wordt pas aanvaardbaar als het massaal gedaan wordt en niemand het een probleem vindt, maar je kunt het nooit massaal doen omdat het in de opstartfase onaanvaardbaar wordt geacht. Zo kun je toch nooit innoveren?

              1. Onder het motto “het doel heiligt de middelen” ja. Onderwijs en gezondheidszorg zijn best wel “heilige doelen”. Een marketeer die de consument slechts meer wil verkopen en daarvoor dit soort slinkse middelen hanteert schaar ik in elk geval niet onder die noemer. “Maar het is toch fijn dat marketing op jouw behoefte wordt afgestemd?” Nee dus… Het staat gelijk aan het onthouden van informatie, om andere informatie aannemelijker te maken. Propaganda dus. Het belemmert een open en objectieve kijk op de wereld (nou ja, in elk geval op de producten die je zou kunnen kopen). Bovendien creëert marketing ook een behoefte die er eigenlijk niet is. En dat is slecht in een maatschappij die dringend moet consuminderen om niet aan zichzelf ten onder te gaan.

                1. Ik zelf heb een hekel aan bonuskaarten, die al je aankopen tracken. Het is kinderlijk eenvoudig om een zogenaamd anonieme kaart aan een naam te koppelen. Je hoeft maar één keer te pinnen en het enige wat ze nog tegenhoudt is de angst ontdekt te worden.

                  Ik ruilde zelf dan ook regelmatig met een groepje van kaart en nam meerdere keren per jaar een nieuwe kaart. Maar andere kennissen in mijn omgeving hadden geen anonieme kaart omdat ze de extra korting wilden. Ze zagen er een voordeel in.

                  Die zelfde bekenden die met een Bonus kaart op naam geen probleem hadden vroegen mij hoe dat zat met die tracking toen de BAS groep daarmee in het nieuws kwamen en stuk voor stuck vonden ze dat eng en ongewenst. Ze zagen er het nut voorzichzelf niet van – en toegegeven dat is er niet – dus wilden ze die privacy niet afstaan.

                  Zo is gezondheidszorg ook iets dat de ‘consument’ daarvan graag heeft en degenen die nog geen consument zijn zullen het voordeel er ook wel van zien. Onderwijs is niet anders.

                  Als de ondernemers met hun tracking meer dan alleen zichzelf dienden, dan was er misschien een draagvlak voor, maar dat is er niet. Dan is het wenselijk dat er keihard tegen opgetreden wordt.

                  Als individu kan je hier namelijk niets tegen beginnen als dit gangbaar wordt. Ik weet precies ‘e’en geval die een PC bij een andere winkel heeft geocht omdat men niet naar Mycom wilde. Die kocht precies in de week nadat het nieuws bekend was en wilde met de voeten stemmen. Maar als je toelaat dat iedereen dit doet, heb je als consument die optie niet meer. En misschien ben ik dan weer te cynisch, maar als het eenmaal ‘normaal’ is in het bedrijfsleven dan zorgt het geld er wel voor dat de politiek er niet aankomt.

                  1. Dat die opvattingen evolueren vind ik vaak een slechte zaak. Mensen wennen er aan dat hun privacy op allerlei manieren geschonden wordt, want iedereen doet het tegenwoordig. Als men vanaf het begin hat geweten en beseft wat er allemaal voor rotzooi wordt uitgehaald, zouden we nu niet zo dicht tegen 1984 aan zitten.

                    1. Wat tekenend is: de hele BAS affaire, waarbij duidelijk werd dat de consument dit niet wilde en verafschuwde heeft de leverancier geen windeieren gelegd. Andere winkels wilden opeens allemaal gelijke kastjes hebben.

                      Hoe zo evolueren? Het is slikken of stikken voor de consument, daaruit kan je niet afleiden dat men dit een goede waardevolle ontwikkeling vindt.

                      Het mooiste nog: het doel is blijkbaar dat men graag wil weten hoeveel mensen er in de winkel zijn op een bepaald tijdstip om de hoeveelheid personeel erop af te stemmen. Alsof dit niet volkomen haalbaar is met aparte in- en uitgangspoortjes die aleen maar telen of en wanneer er iemand binnenkomt, geheel anoniem en 100% effectief.

                      Voor mij is het duidelijk, de consument wil hier niet aan. Afschieten voor het massaal toegepast wordt. Voorzijn dat de ondernemende privacy schenders gaan janken dat afschaffen toch echt niet kan want men heeft investeringen in deze troep gedaan.

        2. Mijn antwoord is nee. Een andere manier om dit klantgedrag te registreren is enqueteren, of vinklijstjes te laten aftekenen. Mensen willen dat niet en doen dat dus niet. Waarom zouden klanten dit dan wel wenselijk vinden? Antwoord: Dat vinden zij niet wenselijk! Ze willen het niet. Maar niet weten = niet klagen en daar wordt misbruik van gemaakt.

  5. Op zich is het een legitiem belang om te willen weten hoe mensen door je winkel lopen. Maar de vraag wordt dan, moet dat dan wel op deze manier gemeten worden, kan het niet een onsje minder

    Dat er een belang van één partij vastgesteld kan worden maakt naar mijn idee niet dat er daarmee een belangenafweging gedaan is. De vraag zou dus niet of het ‘een onsje minder kan’ moeten worden, maar in eerste instantie wat het belang van de andere partij is. Het belang van de eigenaar van de smartphone dus. En dat zou verder moeten gaan dan de vraag ‘hoeveel privacy levert hij/zij er voor in’ maar ook de vraag ‘hoeveel krijgt hij/zij daar voor terug’ moeten bevatten. In situaties als winkelketens die graag hun inrichting willen ‘oprimaliseren’ zal de bezoeker er weinig of geen belang bij hebben dat zijn gegevens op die manier verzameld worden. Dat optimaliseren van de inrichting is immers meest niet gericht op voordeel voor de klant, maar op zo veel mogelijk marge.

    Overigens vind ik ook dat uit dit verhaal weer eens het falen van onze ‘waakhonden’ blijkt. Sinds 2010 houdt Bluetrace zich al bezig met wifi tracking en in januari 2014, bijna 2 jaar terug dus, werden er (ook door het CBP) al grote privacy vraagtekens gezet bij deze vorm van tracking. Volgens het rapport en een persbericht van Bluetrace is er pas sinds begin dit jaar contact met het CBP en nu is er dan eindelijk ‘een tik op de vingers’ en ‘maatregelen door Bluetrace’ maar

    [H]het CBP heeft nog niet beoordeeld of deze maatregelen daadwerkelijk leiden tot beëindiging van de geconstateerde overtredingen.
    Daar zal nog wel weer een paar jaar overheen gaan. Dat terwijl duidelijk is dat Bluetrace bijvoorbeeld nog steeds geen privacybeleid heeft. Dergelijke termijnen van ‘onderzoek’ (die we bijvoorbeeld ook al gezien hebben bij het onderzoek naar de voorwaarden van Google maart 2012/november 2013) zijn natuurlijk een lachertje.

    Affijn, ik zet Pry-Fi wel weer aan… 😉

    PS kan iemand even een cursus grammatica voor beginners naar de schrijver van het rapport sturen? Zo veel d/t/dt fouten %-/

    Het CBP stelt vast dat Bluetrace de opgeslagen gegevens weliswaar beveiligd (versleuteld) door middel van hashing, maar dat het bedrijf de persoonsgegevens in beginsel voor onbeperkte tijd bewaard.

  6. Wat ik mij ook nog betwijfel is wat BlueTrace in haar persbericht stelt:

    Deze “vervormde” gegevens zijn dan op geen enkele wijze te herleiden naar andere gegevens. Dus ook niet naar MAC-adressen en dus ook niet naar persoonsgegevens en/of personen. De markt heeft hiermee een goede manier gevonden om doelmatig gegevens te verzamelen zonder dat de privacy in het geding is. Instellingen als het CBP worden hiermee tevreden gesteld.
    Het klopt dat de data op deze manier niet meer te herleiden is naar de persoon waar deze van afkomstig is, maar gegeven de persoon is het wel mogelijk deze aan de data te koppelen (door het MAC adres opnieuw te hashen en op te zoeken in de database met gehashte MAC adressen).

    Dat de match niet beide kanten op werkt maakt toch niet dat het niet meer om persoonsgegevens gaat? Het lijkt mij dat het nog steeds om persoonsgegevens gaat, maar dat deze nu beter beschermd zijn tegen misbruik.

    Zou ik anders niet een database mogen aanleggen waarin ik voor personen met als sleutel een gehasht email adres (of BSN, of NAW gegevens) de waarschijnlijke politieke voorkeur, godsdienst en seksuele geaardheid vastleg (door bezoekers van bepaalde congressen, beursen en evenementen te registreren) . Ik kan dan geen selectie doen op stemgedrag (geef mij een lijst van alle PvdA stemmers), maar kan van iedereen van wie ik het email adres heb nog steeds opzoeken wat ze stemmen.

  7. Ik kan een legitiem doel bedenken om Wifi-tracking toch toe te laten: Beveiliging! Het bijhouden van deze gegevens kan handig zijn in geval van inbraak omdat de gegevens dan gekoppeld zijn aan de mogelijke inbreker of getuigen. Als een inbreker een mobieltje bij zich had dan is bewijs snel geleverd. En anders kunnen er getuigen worden gezocht op basis van deze gegevens. Vergelijkbaar eigenlijk met een beveiligingscamera…

      1. Nee, ook tijdens openingstijden omdat ook dan een winkel overvallen kan worden. Is begin dit jaar nog bij de keurslager in mijn wijk gebeurd. Overvaller komt binnen net nadat de winkel open is en eist meteen geld. Indien dit winkelcentrum op meerdere locaties Wifi-tracking zou hebben dan zou het vrij eenvoudig moeten zijn om getuigen te zoeken en mogelijk zelfs de daders op te sporen.

        De vraag is dan of daders dan in het vervolg hun telefoon uit zetten of zelfs gewoon niet meer meenemen. Maar zelfs dan zijn er nog de vele getuigen in de omgeving die mogelijk meer kunnen vertellen over de daders.

        Toch is er ook een probleem. Wat er wordt geregistreerd is het MAC adres van de Wifi-adapter en deze vertelt nog niets over de telefoon zelf. Er moet dan ergens een koppeling zijn tussen de registratiegegevens van de telefoon en het MAC adres, wat misschien via de fabrikant te vinden is. Zou het eventueel via de provider kunnen? Geen idee of de provider weet welke MAC adressen hun klanten hebben. Dat moeten ze dan opvragen bij het toestel zodra het toestel wordt geregistreerd. Maar als een dader wordt gevonden met zijn mobiel, en het MAC adres van die mobiel komt overeen met een MAC adres dat is gevonden door de Wifi tracker, dan is dat al redelijk hard bewijs.

          1. Van mij wel. Dan komt de politie aan mijn deur en vertel ik gewoon dat Mathfox mijn toestel even heeft geleend. Met de camerabeelden erbij zien ze zo dat ik het niet geweest ben, dus als jij niet mijn tweelingbroer bent, geen probleem. En als mijn mobieltje is gestolen dan hoor ik gewoon aangifte te doen. Veel mensen gebruiken hun mobiel dusdanig vaak dat vermissing ervan al snel wordt opgemerkt en dan laten ze deze ook meestal snel blokkeren om hun beltegoed te beschermen. Aangifte erbij en probleem opgelost.

            Nog mooier, die Wifi-tracking kan ook aktief gebruikt worden om gestolen mobieltjes op te sporen. Het MAC adres is immers redelijk stevig in de hardware vastgezet en weinig mensen zullen eraan denken om dit aan te passen. Combineer de Wifi-trackers met een database van gestolen mobieltjes en de dader kan mogelijk meteen worden opgepakt als hij de bakker bezoekt om een broodje te kopen.

            Maar hoe vaak lenen mensen nu eigenlijk hun mobiele telefoon uit? Een simkaart misschien wel maar het MAC adres is niet gekoppeld aan een simkaart maar aan de telefoon zelf. Tot nog toe heb ik alleen oude mobieltjes weggegeven en nooit mijn huidige mobiel uitgeleend. Maar je hebt een punt. Dat mijn mobiel is gedetecteerd bij de plaats van een misdrijf betekent alleen dat het mobieltje daar aanwezig is geweest en niet de eigenaar. Maar het brengt je wel snel dichter bij de potentiele dader of getuige. En omdat de Wifi-tracker vrij nauwkeurig kan bepalen waar het mobieltje zich bevond kan ook precies bepaald worden hoe je de winkel in en uit liep. En ook dat kan aantonen of de mobiel werd gedragen door de dader of getuige.

  8. Er zijn diverse aanbieders van deze technologie die behalve in winkels ook in ziekenhuizen, scholen, rechtbanken en zelfs politiebureaus gebruikt wordt in zogenaamde druktemeters. De Nationale Politie verwerkt data uit deze druktemeters zelfs in diverse apps. Eén van de grootste netwerken is dat van Experian die in Europa maandelijks 1,5 miljard passanten registreert in zijn footfall-analyses waar ook bluetooth-, wifi- en gprs-signalen voor gebruikt worden. Experian is ook degene die onze kredietwaardigheid inschat, dus daar wordt privacy wel heel saillant. Voor de Nationale Databank Wegverkeersgegevens worden met druktemeters langs de snelweg onder andere bluetooth- en gprs-data verzameld. Daar zijn ze heel trots op hun vermogen MAC-adressen te verzamelen en volgen. Het CBP mag dus ook wel eens kritisch naar de verschillende overheden kijken.

  9. Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.

    De volgende punten in het CBP rapport vind ik ‘voor discussie vatbaar ‘ en dit zou tot een andere eindconclusie kunnen leiden ook wat de aanhaling betreft.

    Als eerste geeft het CBP wel trots aan rekening te willen houden met technologische ontwikkelingen, waardoor gegevens die nu misschien geen persoonsgegevens zijn, dit in de toekomst misschien wel kunnen worden. Maar maatschappelijk zijn er ook ontwikkelingen, zoals anderen ook aangeven. Waarom wel technologisch vooruitkijken maar niet maatschappelijk?

    De minst aantrekkelijke maatschappelijke ontwikkeling is de toename van de criminaliteit in de maatschappij. Wat zou het geweldig zijn als de gangen van het vermiste meisje in Hilversum niet alleen met een speurhond getraceerd zouden kunnen worden, maar ook met assistentie van een Bluetrace-achtig systemen. (Waarom worden de mobiele telefonie traceer mogelijkheden daarvoor niet gebruikt?) Ik weet het: big brother will be watching you. Maar er is monitoring mogelijk (ook Bluetrace versie X) waarin een privacy v2 wel degelijk bewaakt kan worden.

    Het 2-de punt is gerelateerd aan de 3 regels die het CPB nodig heeft om te verklaren: “Van direct identificerende gegevens is in dit geval geen sprake” . Maar daarna zijn veel, lange pagina’s nodig om aan te geven dat het wel “Indirect identificerende gegevens” zijn, en volgens de CBP interpretatie persoonsgegevens zijn. Kort door de bocht zou mijn unieke staatslot(unieke nummer) betaald met mijn bankpas, zo’n indirect identificerend gegeven zijn.

    Maar als het een persoonsgegeven betreft, geldt nog steeds: “om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren”.

    En de schoen wringt volgens mij rond de interpretatie van ‘identificeerbaar’. Het CBP concludeert d.m.v. zijn interpretaties, EU stukken, toelichtingen dat in het geval van Bluetrace identificatie mogelijk is op basis van mijn MAC-adres, mijn signaalsterkte, het ontvangende sensornummer en datum en tijdstip van de meting. Kan iemand mij inderdaad aanwijzen of aanspreken op basis van die metingen? Lijkt mij (nu) uitgesloten als het druk is in de winkel of straat. Ik vind dan ook dat ik dan dan niet identificeerbaar ben. Ik ben dus anoniem, maar zal mijn anonieme track graag afstaan voor gevallen waarin de politie sporen zou willen natrekken, ik lever daarvoor zelf geen privacy v1 in.

    Zelfs als “enig ander persoon in te zetten” de wijkagent betreft, zal deze een harde dobber hebben mij te vinden als ik niet toevallig langsloop.

  10. Aha. De Volkskrant maakt nu <a href'”https://www.volkskrant.nl/nieuws-achtergrond/tientallen-nederlandse-gemeenten-volgen-u-met-wifitracking~b5c614ad/”>een punt van al die gemeenten die samenwerken met footfall onderzoekers Locatus en CityTraffic. Dat heeft een tijdje geduurd. Nog even door-onderzoeken en dan komen de meetlussen van de NDW aan de beurt. Wie maakt zich druk over wifitrackers in rechtbanken, ziekenhuizen en andere openbare gebouwen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.