Huh, in alle grote steden word je via je telefoon gevolgd?!

city-trafficMensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding van de Wbp meer zijn. Bovendien kun je op de website van het bedrijf (“We know where people GO”) nalezen hoe het werkt, want dat weet iedereen te vinden.

Dat kwam me bekend voor: in december werd Bluetrace op de vingers getikt door de toezichthouder, omdat ze MAC-adressen van winkelbezoekers (én langslopende passanten) gebruikte om vergelijkbare informatie op winkelniveau te vergaren. Dat ging te ver: die gegevens waren persoonsgegevens en ze werden voor onbepaalde tijd bewaard.

De Autoriteit Persoonsgegevens meldt tegen RTL Z dat wifi-tracking alleen mag worden uitgevoerd als dat wettelijk is toegestaan, bijvoorbeeld door toestemming aan mensen te vragen. Of – vul ik maar aan – als je een dringende noodzaak hebt en voldoende privacywaarborgen hebt ingericht. Het bijhouden van bezoeken zou best onder die grond te rechtvaardigen zijn als je het anoniem genoeg doet.

Citytraffic verzekert iedereen dat zij zich aan de wet houdt. Ik heb zo mijn twijfels. Het komt elke keer neer op dezelfde discussie: is een MAC-adres van je Wifi- of Bluetooth-chip een persoonsgegeven, en maakt het uit of je dat hasht. Het criterium is of je direct dan wel indirect het adres tot een persoon kunt herleiden, en ik neig naar wel: dat gegeven is aan jóuw telefoon gekoppeld, en telefoons zijn vandaag de dag een verlengstuk van mensen dus echt wel dat dat een persoon betreft.

Daar staat tegenover dat je niet weet hoe die persoon héét. Maar dat betekent alleen dat die persoon niet direct identificeerbaar is, en ook indirect identificeerbare gegevens zijn persoonsgegevens. Logisch ook: een persoon is meer dan een naam, en identificatie kan ook prima aan de hand van andere omschrijvingen. Zoals “de eigenaar van telefoon met MAC-adres 1::2”. (En ja natuurlijk zijn er telefoons en MAC-adressen die niet aan een persoon toebehoren, maar dat is de uitzondering en bovendien niet de doelgroep van Citytraffic.)

Dat hashen dan. Er heeft ooit iemand bij de toezichthouder wat gemompeld over dat een hash als niet-omkeerbare versleuteling wel eens gegevens buiten de Wbp kan plaatsen, dus nu is het een toverformule geworden (denk ik) dat als je hasht, er niets aan de hand is. Dat is onzin: wanneer je de hash in plaats van het MAC-adres gebruikt, houd je exact dezelfde informatie bij over een persoon. En je kunt vanaf een MAC-adres zo naar dat blokje informatie toe. Dus die zie ik niet. Ja, het is moeilijker om van het blokje informatie naar een MAC-adres te gaan, maar gezien de use case van Citytraffic komt dat niet voor. Het is altijd andersom: hee daar is MAC-adres 1::2 weer, wat weten we over die persoon.

Dus nee, alles bij elkaar blijf ik erbij dat het hier gewoon gaat om een verwerking van persoonsgegevens. Citytraffic moet dan dus voldoen aan de Wbp, en actief mensen informeren over wat zij doen. Bordjes in de Koopgoot dus, in plaats van een FAQ op de website. Toestemming vragen hoeft niet, mits ze het kunnen inkleden als een eigen dringende noodzaak én genoeg privacywaarborgen bieden. Een afmeldmogelijkheid is daarbij een vereiste, maar ook het snel wissen van individuele gegevens. De AP gaat zelfs zo ver dat ze zegt, bij gegevens op de openbare weg metéén anonimiseren. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.

Arnoud

54 reacties

  1. Hashen kan natuurlijk een prima oplossing zijn als je de hashes klein genoeg houdt: Als je 1 miljoen telefoons/macadressen/bluetoothadressen hasht naar 500.000 verschillende hashes, zijn ze niet meer te herleiden naar 1 persoon en volgens mij nog best bruikbaar om personen-stromen in de gaten te houden?

    1. Laat de gemiddelde smartphone nu zowel wifi, bluetooth, IMSI als IMEI nummers hebben die ieder gebruikt kunnen worden om een telefoon te identificeren. Ook al gebruik je een lossy hash voor ieder van de nummers, je kunt miljoenen telefoons uniek identificeren uit vier hashes met ieder duizend mogelijkheden.

  2. Ik vraag me persoonlijk af waarom je het volledige komen en gaan van één persoon persé moet kunnen bekijken? Kan je het hele hashen niet achterwege laten en voor veel kleinere periodes of gebieden gewoon met unieke identifiers werken?

    Ja, je mist de magische ‘volg deze persoon volledig’ data, maar je kan nog steeds heel veel zeggen over hoe de massa zich beweegt. Maar, dat is vast weer teveel nadenken voor dit soort clubs. Privacy beschermen vergt nu eenmaal meer resources :/

  3. Ja, dat is het (enige) doel van gratis internet in winkels zoals AH, en mogelijk ook een doel van gratis internet in stadscentra. Maak dus geen gebruik van het gratis internet bij AH en soortgelijke winkelreuzen en informeer u over de privacy bij het gebruik van stads-wifi. Steden kunnen namelijk ook uitsluitend geïnteresseerd zijn in geanonimiseerde bezoekersstromen.

    1. Zulke netwerken hebben ook privacy-voordelen: je internet thuis is aan jouw identiteit gekoppeld; bij AH-WiFi of stads-Wifi hoef je meestal geen persoonsgegevens achter te laten, of is het mogelijk om met fake data in te loggen. Als je dat doet met een randomized MAC-adres en geen andere identificeerbare zaken (bijv. GSM en bluetooth staan uit, of je werkt met een laptop zonder zulke zaken), en tunnelt al je data via zoiets als TOR, dan denk ik dat je een behoorlijk veilige set-up hebt.

      1. Ik woon in een winkelcentrum en heb vanuit mijn huis toegang tot 3 ‘open’ netwerken. Ik heb dat eens getest en via allemaal kan ik met TOR verbinden en hoef ik geen naam achter te laten. Dagelijks tientallen mensen die van deze netwerken gebruik maken.

        Met een standaard bootable linux DVD en MAC randomisation kan ik vanuit mijn eigen huis volledig anoniem doen wat ik wil op het internet.

  4. Ik heb nog niet zo lang geleden een onderzoekje gedaan naar de bruikbaarheid van WiFi Probe Requests voor het tellen van passagiers in bussen. Mijn conclusie was dat de techniek niet bruikbaar (meer) was, omdat moderne telefoons vanuit de fabrikant al beschermd zijn tegen tracking. Twee voorbeelden van telefoons die ik heb getest, de iPhone 5C/S en de Nexus 6P. De iPhone zend in stand-by mode géén Probe requests. Wanneer je op de home knop drukt wordt er wél een Probe request gedaan, maar het MAC address in dat request is random. De Nexus 6P stuurt in stand-by wél Probe requests, de interval tijd van de requests is variabel (30s/60s), na elke interval volgen er meerdere requests binnen enkele honderdsten van seconden, het MAC address is random, vendor id is Google. Als je de Nexus 6P unlocked worden er om de 15s Probe Requests gedaan waarin het echte MAC address zit, de variabele Probe Requests gaan echter ook door.

    Het herleiden van deze toestellen naar personen lijkt me onmogelijk en zelfs voor statistieken van het aantal bezoekers zijn deze gegevens welhaast onbruikbaar (in ieder geval voor de case waar ik het voor onderzocht).

    Iemand een idee hoe ze (city traffic) het wél nauwkeurig krijgen?

    1. Dan moet je ook je bluetooth randomiseren… Blijft je headset dan werken? Kan je headset ook zijn bluetooth id randomiseren? En hoe zit het met je OV-chipkaart en draadloos betalen pinpas, die bevatten ook nummers die draadloos uit te lezen zijn?

  5. Zijn de doelstellingen van dit bedrijf niet gewoon inherent strijdig met de bescherming van persoonsgegevens? Als je iemand wilt tracken, dan moet die persoon op verschillende momenten waarnemen, en van eerdere momenten voldoende informatie onthouden dat je op het latere moment kunt zien dat het de zelfde persoon is. Dat betekent noodzakelijkerwijs dat, als je die persoon een keer ergens tegen komt, je kunt na gaan welke van die tracking patronen bij hem/haar hoort.

    Kan zo’n bedrijf weg komen met privacy-schending, omdat er vanuit hun evil business plan een “eigen dringende noodzaak” is voor die privacy-schending? Zo ja, zouden we dan niet af moeten van die “eigen dringende noodzaak” constructie in de wet? Zouden dit soort business modellen gewoon niet effectief verboden moeten worden?

    Wat zou een alternatief zijn? Ik zou zeggen dat een privacy-schending wel is toegestaan als aan al deze voorwaarden is voldaan:

    0. die privacy-schending vormt een noodzakelijk onderdeel van een dienst (het is onmogelijk de dienst te leveren zonder de bijbehorende privacy-schending)

    1. die dienst wordt geleverd aan degene wiens privacy wordt geschonden

    2. degene wiens privacy wordt geschonden wordt daarvan op de hoogte gebracht

    3. degene wiens privacy wordt geschonden kiest zelf (opt-in) voor het aanvaarden van de dienst en de privacy-schending

    4. degene wiens privacy wordt geschonden heeft voldoende alternatieven waarbij zijn/haar privacy niet wordt geschonden

    Dit bedrijf schendt voorwaarden 1, 2, 3 en mogelijk 4. Degenen die dit bedrijf inhuren schenden voorwaarden 0, 2, 3, en mogelijk 1 en 4.

    1. Ik ben het met je eens, over die dringende noodzaak. Arnoud, leg eens uit waarom jij lijkt te denken dat ze wel kunnen betogen een dringende noodzaak te hebben?

      ‘Anders kan ik mijn business niet uitvoeren’ is misschien wel een dringende noodzaak in het algemeen, maar natuurlijk niet als de kern van je business het volgen van mensen is. Dan wordt het een cirkelredenering.

      1. Grondrechten zoals privacy zijn niet absoluut. Ze mogen worden geschonden (“ingeperkt”, zeggen juristen dan) als daar een voldoende rechtvaardiging in is. Die is er in principe wanneer sprake is van uitoefening van een ander grondrecht. Vergelijk dat ik een journalistiek verslag wil doen over jou, dat maakt ook inbreuk op jouw privacy maar ik mag dat in principe want vrijheid van meningsuiting. Camera-toezicht voor beveiliging gaat over het grondrecht eigendom (beschermen) dus ik mag dat in principe.

        Ondernemen wordt gezien als een grondrecht, dus in principe heb je daarmee een grondslag om de privacy in te perken wanneer dat past binnen je businessmodel. Net zoals ik mag praten over jou, mag ik ondernemen met informatie over jou. In principe, maar wel met waarborgen en beperkingen.

        Je komt echter dan vervolgens uit bij de privacy-afweging: heb je alles gedaan om de privacy-inbreuk zo veel mogelijk te beperken. Bij een journalistieke productie zou je bijvoorbeeld namen kunnen afkorten of foto’s blurren. Bij het volgen ten behoeve van bezoekmonitoren kun je dan zeggen, ik anonimiseer de gegevens zo snel mogelijk en dan is de privacy-inbreuk minimaal.

        1. Een ondernemer kan prima ondernemen zonder de bezoekers te monitoren en vast te leggen voor vervolgbezoeken. Dat is al millenia geen probleem. De ondernemer heeft geen dringende eigen belang om dat te doen. Het argument ik moet het doen want anderen doen het en zo krijg ik een achterstand gaat niet op, want die anderen hebben ook geen belang en mogen het ook niet, dat zou gehandhaafd moeten worden.

          Het bedrijf dat de tracking uitvoert mag ondernemen, maar aangezien er geen enkel bedrijf is met een dringen eigen belang is bij het volgen is er geen markt die niet de privacywetgeving overtreedt.

          En het argument dat winkeliers het niet mogen maar dat het opeens wel mag als al die winkeliers het gaan uitbesteden omdat er dan een mogelijkheid tot ondernemen ontstaat is ronduit belachelijk. Spammers zijn ook ondernemers en cookie tracking is ook big bussiness toch vinden we dat met zijn alleen onwenselijk en een schending van de privacy.

          1. Dat iets op een andere manier kan, is bij grondrechten geen argument. Ik kán over jou schrijven zonder je naam te noemen, maar ik mág jouw naam noemen als dat gewoon verantwoord is. Je moet de activiteit zien als in beginsel legitiem en daarna als randvoorwaarde de andere grondrechten controleren.

            Of je zegt, het bijhouden hoe je winkel wordt bezocht is an sich niet legitiem want dat is geen normaal stukje ondernemen. Dat zou ik wel heen fundamenteel vinden.

        2. Vraag is of het in deze opzet gaat om bezoek, ik waag dat te betwijfelen. Bij bezoek aan een partij die wil volgen zal die partij toch openheid moeten bieden over die wens en de uitvoering daarvan. Bij volgen in de openbare ruimte zonder dat betroffenen dat kenbaar wordt gemaakt, kan enkel een bedrijfsbelang nimmer de grondslag bieden. Juist het middel (het mobiele apparaat, stelt in staat om het contact kenbaar te maken en te laten bevestigen.

        3. Hoe hoog staat het recht op ondernemerschap op de prioriteiten-volgorde van grondrechten? Een huurmoordenaar komt er toch ook niet mee weg dat het vermoorden van mensen noodzakelijk is voor zijn/haar onderneming?

            1. Het is een feest van onduidelijkheid. Volgens mij zijn er zoveel grondrechten dat, als je niet duidelijk maakt welke grondrechten wanneer voor andere grondrechten gaan, je elke schending van grondrechten wel kunt verdedigen. In de praktijk is er dan geen rock solid bescherming van grondrechten: iedere overtreder met een goede advocaat kan potentieel van jou winnen in een rechtszaak.

              Om alvast een beginnetje te maken: het recht op leven is belangrijker dan het recht op privacy; het recht op privacy is belangrijker dan het recht op ondernemerschap. Privacy versus uitingsvrijheid is tricky; ik zou zeggen dat op het moment van registratie van gegevens privacy belangrijker is, maar dat, zodra je gegevens eenmaal hebt verkregen, uitingsvrijheid belangrijker is (maar: je moet vrijwillig gedeeltelijk afstand kunnen doen van je uitingsvrijheid, bijv. met een soort non-disclosure agreement over privacygevoelige gegevens).

              Bij N grondrechten krijg je dan een N*(N-1)/2 tabel van overwegingen, met eventueel circulaire issues van de vorm A>B, B>C, C>A. Het is een aardige klus, maar ik denk dat het resultaat wel nuttig kan zijn.

            2. Dus een auteurrechteninbreukpleger die dat zakelijk doet en daar een businessplan voor heeft, heeft een sterkere case dan een willekeurige tiener? Daar komt jouw argument op neer. Je ziet toch zelf wel dat de giecheltoets niet haalt?

              1. @cg: Wie een grondrecht countert met een eigen grondrecht, heeft een sterkere case dan iemand die bezwaar maakt zonder grondrecht. Natuurlijk wínt hij dan nog niet automatisch. Je blijft zitten met die belangenafweging. Denk aan de mevrouw van onlangs die geen elektronische aangifte wilde doen omdat Internetgebruik in strijd was met haar godsdienstvrijheid, ook een grondrecht. Het punt is valide maar haalt het niet.

                @Corné: een harde rangorde leidt weer tot onbillijke situaties. Als privacy altijd wint van meningsuiting, dan mag ik nooit journalistiek publiceren over personen. Als meningsuiting altijd wint, dan kan ik mensen kapotschrijven. Als privcy altijd wint van ondernemen dan mag ik niet eens een factuur uitreiken tenzij de privacywet zegt van wel.

                1. Schrijf je overwegingen maar op bij elke combinatie van grondrechten. Ontstaat er een patroon, of is het een willekeurige wirwar van overwegingen? Als je in de ene situatie anders oordeelt dan in de andere situatie, waarom oordeel je dan anders, en is dat consequent vol te houden? Zitten er misschien inconsistenties in? Zo ja, is het dan misschien beter om iets te heroverwegen? Na verwijderen van inconsistenties zal er toch wel een consistent patroon overblijven?

                  Ik ben bang dat, als je dat niet doet en per-geval-apart afwegingen maakt, effectief geen enkel grondrecht betrouwbaar wordt beschermd. Misschien is dat ook wel de reden dat dit niet wordt gedaan. We willen niet graag ergens aan vast zitten. We willen graag de escape houden van “ja, maar in dit geval is iets anders belangrijker”. Geen echte commitment aan “dit vinden wij het allerbelangrijkste”.

                  1. Het lastige is nu juist dat botsingen van grondrechten altijd hele vage situaties zijn. De normale dingen zijn in specifieke wetten geregeld. Er komen dus per definitie alleen maar gevallen langs waar niets over geregeld is. Als rechter moet je dan maar een onderbuikinschatting maken wat hier het billijke resultaat is. En dan is het een feature dat je kunt zeggen, in dit geval is het net even anders want het gaat nu om een demente dame van 80 in plaats van een jongeman van 23.

                    1. Ik dreig hier een beetje cynisch van te worden. De wet is bedoeld om ons duidelijkheid te verschaffen over wat wel en niet mag. Nu klinkt het alsof je bij nieuwe business (innovatie = nieuwe omstandigheid) aan de willekeur van de rechter bent overgeleverd: omstandigheden vandaag zijn altijd anders dan gisteren en morgen is het weer anders; welk (grond)recht vindt rechter X vandaag belangrijker? Dat van de dame van 80 of van de jongen van 23?

                      Als je wilt innoveren op gebieden waar je grondrechten raakt (waar is dat tegenwoordig niet?) moet je dus eigenlijk altijd een legertje juristen inhuren om vooraf enigszins te weten waar je aan toe bent en om, als het later nodig mocht blijken, het onderbuikgevoel van de rechter de juiste kant op te praten…

                      Of onderscheidt de rechter zich in deze toch nog van de politicus? (ja, ik ben inmiddels cynisch… Hopelijk kun je me daar nog vanaf helpen?)

                      1. Maar wat moet je dan? Hoe kun je wetten maken die rekening houden met innovaties die nog niet eens bedacht zijn? Dan moet je als wetgever alvast bedenken wat mensen gaan bedenken én hoe dat uit gaat pakken. Volgens mij is dat onmogelijk. Dan maar die juridische achterman die in vredesnaam maar iets praktisch verzint dat voor nu het even moet zijn.

                        En ja het is vaag. Ik dacht zelf bijvoorbeeld altijd dat taxivergunningen gewoon een kwaliteitsding waren net als de Keuringsdienst van Waren, maar dat blijkt een stomme innovatiebelemmer te zijn voor als mensen taxivervoer per app regelen. Mogen we dan nu ook de Keuringsdienst opheffen als je per app worst koopt?

                        1. Misschien moeten we inderdaad “de Keuringsdienst opheffen als je per app worst koopt”. Ik zie het als voortschrijdend inzicht: iets wat vroeger gewoon een kwaliteitsding was herkennen we nu als een stomme innovatiebelemmer. Als je de lijn doortrekt naar andere markten (zoals worst), dan herken je het daar misschien ook wel als innovatiebelemmer, ook al heeft de belemmering in de praktijk nog niet plaatsgevonden.

                          Tegelijkertijd blijft kwaliteit natuurlijk ook belangrijk. Het is wellicht van belang dat men vroeger geen internet had, en de wet gewoon nodig was voor de consument om kwaliteit te krijgen. Diensten zoals Uber hebben hun eigen kwaliteits-monitoring, dus daarbij is de wet niet (of minder hard) nodig.

                          Hoe kan je daar nou vooraf wetgeving voor bouwen? Vooraf is nogal lastig, omdat je het voortschrijdende inzicht nog niet hebt gehad. Maar wat als je dat inzicht al wel had, nog voordat de stand van de techniek er aan toe was? Je moet dan de afweging tussen innovatievrijheid en kwaliteitsbescherming universeel goed zien te krijgen. Ik denk dat dat goed kan, zolang de consument maar duidelijk wordt gemaakt wat ‘ie kan verwachten. Je kunt als overheid best standaard kwaliteitsnormen stellen, maar dan moet het wel zo zijn dat dienstverleners/verkopers er van mogen afwijken, onder de voorwaarde dat al hun klanten zich er van bewust zijn dat er van de standaard kwaliteitsnormen wordt afgeweken. Dan is er voor consumenten keuze uit een “ouderwetse” ruimte waarin je veilig bent, en een “nieuwe, innovatieve” ruimte waarin je zelf moet opletten. Na verloop van tijd kan de “ouderwetse” ruimte worden aangepast om ruimte te maken voor innovaties die min of meer algemeen geaccepteerd zijn geworden.

                          Die manier van werken kan best universeel worden toegepast, zowel op taxi’s als op worsten.

                          1. Dat vind ik niet eerlijk. Iedereen zal dan de nieuwe ruimte in springen want die is goedkoper. Logisch, want die hoeven geen rekening te houden met dure compliance. En tegen de tijd dat het misgaat, gaan mensen alsnog klagen dat er ingegrepen had moeten worden door de toezichthouder.

                            Opt-in op zulke dingen werkt niet, want iedere dienstverlener doet dan gewoon een cookiepopup met “Ik doe afstand van al mijn wettelijke rechten” en dan ben je de sjaak als consument. Ik zie het alleen werken als je een discussie opzet over die wet, en ‘m dan aanpast of afschaft maar dan voor álle dienstverleners. Dus ook voor Sjakie de Snorder met z’n 20 jaar oude auto die mensen voor 250 euro drie straten verder afzet.

                            1. [dan] gaan mensen alsnog klagen dat er ingegrepen had moeten worden door de toezichthouder

                              Dat is het kernprobleem in met name de Nederlandse samenleving. Mensen nemen geen eigen verantwoordelijkheid, en willen alles afschuiven op de overheid, tot op het onredelijke. Deze klachten dienen genegeerd te worden.

                              Geef mij maar vrijheid. Ik ben bereid de eigen verantwoordelijkheid er bij te nemen.

                            2. Merk op dat met een cookiepopup mijn norm dat “hun klanten zich er van bewust zijn dat …” niet per sé wordt bereikt. Misschien is dat iets wat aan het oordeel van een rechter moet worden overgelaten.

                              Andere opmerking: als de wetgeving voldoende nuttig is, dan denk ik niet dat iedereen dan in de nieuwe ruimte zal springen. Er is ook behoefte aan kwaliteit, en voldoen aan goede wetgeving is een makkelijk keurmerk voor kwaliteit.

                              1. Ik ben wat cynischer in die dingen. Als je mensen de keuze biedt tussen kwaliteit en goedkoop, gaan ze altijd voor goedkoop en achteraf gaan ze klagen dat er geen kwaliteit was en dat dat een schande is en dat daar een wet tegen moet komen.

                                En zou je ook nergens een ondergrens willen trekken? “Let op: TV kan ontploffen” lijkt me geen wenselijke disclaimer in welke situatie dan ook. Maar als je dat doet, waarom dan niet bij giftigheid, gevaar voor kinderen, omrijdende taxi’s en ga zo maar door?

                                1. De enige dingen waarin ik minder cynisch ben is dat ik denk dat er ook nog wel een kleine minderheid van mensen is die niet zomaar voor goedkoop gaat, en dat mensen, na een paar keer hun vingers te hebben gebrand, wat meer op kwaliteit zullen letten. Ook heb ik nog een klein sprankje hoop op een cultuurverandering, dat we niet zomaar reflexmatig gaan roepen dat ergens een wet tegen moet komen. Die hoop is alleen nergens op gebaseerd.

                                  Misschien moet er inderdaad wel een ondergrens zijn. Ontploffende TV’s, giftig eten en zo lijken me dingen waar niemand in redelijkheid mee akkoord kan gaan. Omrijdende taxi’s ook niet, maar dat is op een gegeven moment een risico dat je gewoon zou kunnen accepteren, als dat onderdeel vormt van een systeem dat voor jou gemiddeld genomen goedkoper/makkelijker/sneller/etc. is.

                                  Nog even advocaat van de duivel spelen: zelfs bij ontploffende TV’s en giftig eten zou je kunnen argumenteren dat mensen, als ze zelf kiezen om hun TV’s en eten in de “vrije ruimte” te kopen, zelf die verantwoordelijkheid moeten dragen. Het leven bevat altijd risico’s. Wie bepaalt hoe hoog die risico’s mogen zijn, en hoeveel risicobeperking mag kosten? Ik zou zeggen: de mensen die die risico’s moeten ondergaan. Hoe hoog je een dijk ook bouwt, er is altijd een kans dat er een nog hogere vloed komt. Wie bepaalt hoe hoog de dijken moeten worden? Wat mij betreft: de mensen die achter die dijken wonen. Wat mij betreft mogen ze er ook zelf voor betalen, zolang ze ook maar de mogelijkheid krijgen om elders te wonen, waar geen dijken nodig zijn.

                                  Je krijgt dan al snel de kritiek dat veiligheid iets wordt voor de rijken, en dat de armen de dupe worden. Ik zie dat als onderdeel van een universeel probleem van welvaartsverschillen, dat ook met universele middelen aangepakt kan worden. Wij als samenleving(*) moeten een bestaansminimum definiëren, dat ook veiligheid bevat, en iedereen moet voldoende middelen krijgen om dat bestaansminimum te bereiken. Wat mensen met die middelen doen, en of hun eigen voorkeuren misschien afwijken van wat “wij” verstandig vinden, dat is hun eigen zaak.

                                  (*) Voor zover ik zie moet dit noodzakelijkerwijs een collectieve beslissing zijn, hoewel ik in de meeste andere gevallen beslissingen liever bij het individu laat liggen.

                2. Natuurlijk Arnoud, dat begrijp ik allemaal. Maar waar het om draait is iets anders.

                  Informatieverzameling, journalistische activiteit (als ‘erkend’ en betaald jounalist of als hobbyist) zijn grondrechten, net zoals het recht op privacy. .

                  Aan de andere kant heb je het grondrecht op privacy,

                  Ook vrijheid van ondernemen is een grondrecht.

                  Maar zoals jij het presenteert is het een optelsom, en dat klopt niet

                  De privepersoon heeft zijn grondrecht op vrije nieuwsgaring. Dat wordt afgewogen tegen de privacy.

                  De firma heeft ook zijn grondrecht op vrije nieuwsgaring. Maar daar komt niet bij (en dat is wel hoe jij het presenteert) de vrijheid van ondernemen, en dan worden die twee samen afgewogen tegen de privacy.

                  Jij brengt het (misschien onbewust) alsof een bedrijf meer mag dan een privepersoon, want, tja anders gaan we tegen zijn vrijheid van ondernemen in. En dat klopt niet. Je kunt grondrechten niet op die manier optellen. Zo van: Ik heb er twee en jij hebt er een, dus ik win.

                  Anders was het makkelijk. Start een bedrijf, geef er voor de lol nog een krantje bij uit, maak al het personeel priester van een of andere vage internetkerk, en hup, je hebt al drie extra grondrechten. Knappe jongen die je dan nog tegenhoudt.

                  1. Het was niet mijn bedoeling de grondrechtenafweging als een optelsom te brengen. Dat is het zeker niet. Een grondrecht is een toegangskaartje: zonder eigen grondrecht doe je niet mee aan de discussie of je andermans grondrechten mag inperken (schenden). Dat mag dan gewoon niet. Mét grondrecht mag je beginnen aan de discussie. Of je die wint, is een hele andere vraag. Het is dus zeker niet, ik heb er twee dus ik win. Het is: ik heb een grondrecht (ondernemen) dus wij gaan nu samen kijken hoe ver ik mag gaan binnen jouw grondrecht.

                    Omdat alle grondrechten gelijkwaardig zijn, moet het wel op die manier. Niemand mag op voorhand kunnen zeggen “ik win want ik heb een grondrecht, lekker puh”.

      2. (…) natuurlijk niet als de kern van je business het volgen van mensen is.

        Ja en nee. De informatie dat ene SQB altijd eerst naar de Lidl gaat en dan naar de naastgelegen AH, vervolgens nog even naar de Blokker maar bijna nooit naar de Etos, wil ik, hoe onschuldig de informatie ook is, niet delen met nieuwsgierige winkeliers. Of dit nu tot mijn persoon is te herleiden of slechts tot mijn telefoon, doet daarbij niet ter zake. Echter, met de informatie dat 60% van de klanten van de AH eerst in de Lidl is geweest, heb ik veel minder moeite.

        Als we inderdaad besluiten dat persoonlijk volgen niet toegestaan is, maar de aggregatie wel, dan moeten we vervolgens bekijken hoe we de aggregatie mogelijk kunnen maken terwijl we het persoonlijk volgen voorkomen.

  6. (Repost, vorige reactie niet doorgekomen?) Ik heb nog niet zo lang geleden een onderzoekje gedaan naar de bruikbaarheid van WiFi Probe Requests voor het tellen van passagiers in bussen. Mijn conclusie was dat de techniek niet bruikbaar (meer) was, omdat moderne telefoons vanuit de fabrikant al beschermd zijn tegen tracking. Twee voorbeelden van telefoons die ik heb getest, de iPhone 5C/S en de Nexus 6P. De iPhone zend in stand-by mode géén Probe requests. Wanneer je op de home knop drukt wordt er wél een Probe request gedaan, maar het MAC address in dat request is random. De Nexus 6P stuurt in stand-by wél Probe requests, de interval tijd van de requests is variabel (30s/60s), na elke interval volgen er meerdere requests binnen enkele honderdsten van seconden, het MAC address is random, vendor id is Google. Als je de Nexus 6P unlocked worden er om de 15s Probe Requests gedaan waarin het echte MAC address zit, de variabele Probe Requests gaan echter ook door.

    Het herleiden van deze toestellen naar personen met Wifi probe request lijkt me onmogelijk en zelfs voor statistieken van het aantal bezoekers zijn deze gegevens welhaast onbruikbaar (in ieder geval voor de case waar ik het voor onderzocht). Wanneer de gebruiker een verbinding maakt met een free-wifi netwerk wordt het een heel ander verhaal uiteraard.

    Bluetooth zou wellicht betrouwbaarder kunnen zijn, maar het percentage dat dit standaard aan heeft lijkt me kleiner. NFC is de range veel te klein om bruikbaar te zijn. Wat is er nog meer? Imsi catching, is dat legaal?

  7. Het gaat om een samenwerking met een gemeente om argeloze burgers te volgen. Mij dunkt een inbreuk op de levenssfeer. De gebruikelijke aandacht voor de gegevensverwerking leidt al te vaak tot het voorbijgaan aan het echte probleem; het beperken van de algemene (gevoel van) vrijheid. Voor een gemeente is een dergelijke inzet van een volgsysteem uiterst bedenkelijk omdat de machtspositie inhoudt dat enkel een letterlijke wettelijke bepaling de grondslag kan leveren. Gelukkig is die duidelijkheid onderdeel van de Algemene verordening gegevensbescherming. Voor de overheid leidt een instemming niet tot een voldoende grondslag om te gegevens te vergaren.

    1. Een gemeente kan een redelijk belang hebben omdat ze daarmee mensenstromen in kaart brengen. Waar gaat men parkeren en hoe beweegt men zich door de stad.

      Je mag wel vraagtekens zetten bij de termijn waarop deze gegevens nog naar een toestel/persoon herleidbaar mogen zijn omdat men na enige tijd wellicht ook effectiviteit van het beleid moet kunnen meten en of dit met volledig anonieme data afdoende meetbaar is. Alhoewel het natuurlijk de vraag blijft of ander gedrag veroorzaakt wordt door beleid, maar dat is een geheel eigen discussie.

      Algemeen tracken van bezoekers vind ik een ongewenste inbreuk op de privacy, ook als er een hash van zaken zoals mac adres worden gemaakt..

  8. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.

    Misschien moeten we gewoon niet willen dat dit soort statistieken gaan ontstaan en is het helemaal niet ’te streng’. Gewoon een statement tegen datagraaien. Ik ben voor om het niet toe te staan.

  9. Ik vind het wel leuk dat ik drie mobiele telefoons heb en steeds weer een andere meeneem als ik naar buiten ga. En soms zelfs twee mobieltjes meeneem en dus als een “stelletje” word geregistreerd! 😀 Dat betekent dat de gegevens die ze over mij verzamelen best verwarrend kunnen zijn voor hen.

    Brengt mij meteen op een idee. Met een Arduino-bordje en een WiFi module zou je vrij eenvoudig een nep-mobiel in elkaar kunnen zetten die iedere 5 minuten weer een ander MAC adres genereert en daarnaast gewoon een aktief WiFi signaal heeft die een mobieltje moet nabootsen. Als er genoeg mensen met zo’n apparaat rondlopen dan worden dit soort trackers compleet nutteloos wegens de vele valse informatie. Vraag is alleen of je zo’n apparaat eigenlijk wel mag maken om vervolgens massaal te produceren en te verkopen voor 10 euro per stuk. Als iedere shopper 5 van die apparaten bij zich heeft wordt het echt chaos! Misschien een leuk KickStarter concept? 😀

  10. Even eigenwijs. Wp29 05/2014 ‘anonymization techniques onto the web’ geeft duidelijk aan dat het tenminste, gehashed ook, pseudoniem is wat men registreert en in elk geval niet anoniem. Singling out (1 persoon identificeren uit een menigte) hoeft niet meteen tot naam en toenaam te leiden, om alsnog onder de werking van de wbp te vallen. Als dan alles ook opgeslagen wordt en bewaard tot het koninkrijk komt, is de kans dat met verrijking uit andere bronnen herleidbaarheid bevorderd wordt. Zelfs als dat niet zo is, bestaat er de kans op indringen van de persoonlijke levenssfeer. Datasets als deze niet beschouwen als persoonsgegevens geeft kans op een incident dat bij anderen ineens zoveel kan betekenen dat het een datalek betreffen kan (even los van wel reversable hashing technieken). Dan nog; buiten de ingewikkelde commerciële theorieën die er bestaan over het volgen van individuen moet je als bedrijf je afvragen in hoeverre dit detailniveau noodzakelijk of zelfs gewenst is.

    De club die op voorhand geen metadata maakt van brondetailgegevens maar de brongegevens An sich metadata laat zijn, komt er wbp/AVG technisch gezien op langere termijn verder mee dan welke andere infoclub dan ook.

    Dat gezegd hebbend; was de wbp in haar ’95 directrice varianten net als de AVG er niet op gericht om de vrije handel tussen lidstaten te bevorderen? In hoeverre het dat gedaan heeft, of juist blokkeert, is volgens mij op dot moment juist de vraag. Doorslaan in interpretatie of daadwerkelijk risico aan betrokkenen afwegen tov te bereiken doel?

  11. Citaat WBP: ‘persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ ‘het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost’ – http://wetten.overheid.nl/BWBR0011468/#Hoofdstuk1

    Citaat toelichting WBP: ‘Identificeerbaar De identificeerbaarheid van de persoon is het tweede element dat bepalend is voor de vraag of sprake is van een persoonsgegeven. Uitgangspunt is dat een persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. Twee factoren spelen hierbij een rol: de aard van de gegevens en de mogelijkheden van de verantwoordelijke om de identificatie tot stand te brengen.’ – https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-1-algemene-bepalingen-art-1-tm-5/artikel-1-sub-wbp

    Op het moment dat iemand een winkel inloopt en (dezelfde hash als de week ervoor) opduikt, dan kan op een computerscherm gezegd worden: ‘Welkom terug’. De identificeerbaarheid is, mijns inziens, niet zonder evenredige inspanning (dus makkelijk) vast te stellen. De WBP is gewoon van toepassing.

    Aanvullend is de oorspronkelijke informatie achter een hash niet 100% veilig. Een hash is niet terug te rekenen naar de oorspronkelijke informatie. Maar m.b.v. bv. rainbow tables kan de oorspronkelijke informatie er wel bij gezocht worden. Een hash is dus niet altijd voldoende om de oorspronkelijke inhoud te beveiligen. – https://nl.wikipedia.org/wiki/Rainbowtable – https://en.wikipedia.org/wiki/Salt%28cryptography%29

    De Nederlandse wet zegt wel iets over cookie’s. Maar anderen bewaren dan gewoon IP adressen, serienummers (uit te lezen via software) of (een combinatie van) andere identificeerbare gegevens. Arnoud (je) zei: ‘Hoe kun je wetten maken die rekening houden met innovaties die nog niet eens bedacht zijn? ‘ ‘Arnoud Engelfriet 28 juni 2016 @ 08:20 | In reactie op: de andere Alex – 27 juni 2016 @ 21:37’ Voor het bellen werd het bel-me-niet register bedacht. Wat dacht je van een opt-in identificeer-mij-niet of traceer-mij-niet register ? 😉 Het vragen van uitdrukkelijke toestemming is dan in sommige gevallen dan al beantwoord, doordat je het vooraf en centraal uitdrukkelijk hebt aangegeven dat je niet getraceert wilt worden. Wij moeten de WBP toch al aanpassen ivm de AVG. Wellicht een goed moment om met deze problematiek rekening te houden? – https://www.bel-me-niet.nl/https://nl.wikipedia.org/wiki/Cookie%28internet%29#Nederlandsecookiewetgeving – https://nl.wikipedia.org/wiki/Opt-insysteemhttps://nl.wikipedia.org/wiki/Algemeneverordeninggegevensbescherming (AVG)

    1. Volgens mij valt dit ook gewoon onder de cookiewet:

      De wet is techniekneutraal en spreekt nu letterlijk over “via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker“.

      http://www.justitia.nl/cookiewet.html

      Pragmatisch bezien: Vraag eens toestemming aan een willekeurige doorsnede van het winkelpubliek of ze toestemming zouden geven dat hun telefoon (geanonimiseerd) wordt getracked tijdens het winkelen, gratis en voor niets. Je zal de 1% nog niet eens halen. Men wil dit niet! Hoogstens kan ik me voorstellen dat je het koppelt aan bepaalde akties, maar gratis en voor niets… geen service… nee, niemand wil dit. Opbokken dus!

        1. Dat is een goeie! Inderdaad, strict genomen zend je de SSID uit (maar niet met doel om getracked te worden). Echter, dit lijkt me meer een semantische kwestie, dan een strict technische kwestie.

          Zelfs al stuur je zelf foto’s op het internet, niet iedereen mag deze zomaar hergebruiken zonder toestemming. De gegevens worden dan namelijk in een andere context gebruikt en voor een ander doel.

          Zie ook: http://blog.iusmentis.com/2012/07/03/valt-browser-fingerprinten-wel-onder-de-cookiewet/ waar deze discussie eerder werd gevoerd:

          Want, inderdaad, lees je wel uit als een browser zelf gegevens meestuurt? Als ik zeg, “hoi ik ben Arnoud” achterhaal jij dan mijn naam? Ik zou zeggen van niet.

          Dus, misschien strict genomen buiten de cookiewet (echter pragmatisch gezien binnen IMO, maar daar hebben we eerst een piratenpartij minister voor nodig).

          Als soort van compromis zou ik dan zeggen dat er sprake is van uitlezen als je als site zélf iets doet om gegevens te krijgen. Daarmee vallen de bestandstypes en de “referrer” header buiten de cookiewet, want die stuurt de browser zelf al mee. Maar ga je Flash- of Javascriptscriptjes sturen om zo extra dingen te weten te komen, dan is dat wél een vorm van “uitlezen” waar toestemming voor nodig is (tenzij het functioneel is maar dat even terzijde).

          En hier zit denk ik de crux. Het uitzenden van de MAC is om connectie te kunnen maken met een (openbaar) netwerk. Maar bedrijf plaatst sensoren waar niet eens een connectie mee gemaakt kan worden, puur om extra dingen te weten te komen.

          Een naambordje bij de deur zegt ook: Hier woont Arnoud. Maar duidelijk met een ander doel dan dat dit opgeslagen wordt en men de deur in de gaten gaat houden.

          Dit is Mobiele Telefoon Fingerprinting en valt mijn inziens (pragmatisch gezien) onder de cookiewet, ondanks dat het MAC-address, strict genomen, wordt uitgezonden. Zo niet, dan maar een nieuwe wet, (of uitspraak minister), zodat alleen de inlichtingendiensten dit nog kunnen doen.

          Nog even strict: via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker.

          De informatie (MAC-address, hardware-address) wordt wel uit de lucht geplukt, maar dat gebeurd via een elektronisch communicatienetwerk.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.