Huh, in alle grote steden word je via je telefoon gevolgd?!

city-trafficMensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding van de Wbp meer zijn. Bovendien kun je op de website van het bedrijf (“We know where people GO”) nalezen hoe het werkt, want dat weet iedereen te vinden.

Dat kwam me bekend voor: in december werd Bluetrace op de vingers getikt door de toezichthouder, omdat ze MAC-adressen van winkelbezoekers (én langslopende passanten) gebruikte om vergelijkbare informatie op winkelniveau te vergaren. Dat ging te ver: die gegevens waren persoonsgegevens en ze werden voor onbepaalde tijd bewaard.

De Autoriteit Persoonsgegevens meldt tegen RTL Z dat wifi-tracking alleen mag worden uitgevoerd als dat wettelijk is toegestaan, bijvoorbeeld door toestemming aan mensen te vragen. Of – vul ik maar aan – als je een dringende noodzaak hebt en voldoende privacywaarborgen hebt ingericht. Het bijhouden van bezoeken zou best onder die grond te rechtvaardigen zijn als je het anoniem genoeg doet.

Citytraffic verzekert iedereen dat zij zich aan de wet houdt. Ik heb zo mijn twijfels. Het komt elke keer neer op dezelfde discussie: is een MAC-adres van je Wifi- of Bluetooth-chip een persoonsgegeven, en maakt het uit of je dat hasht. Het criterium is of je direct dan wel indirect het adres tot een persoon kunt herleiden, en ik neig naar wel: dat gegeven is aan jóuw telefoon gekoppeld, en telefoons zijn vandaag de dag een verlengstuk van mensen dus echt wel dat dat een persoon betreft.

Daar staat tegenover dat je niet weet hoe die persoon héét. Maar dat betekent alleen dat die persoon niet direct identificeerbaar is, en ook indirect identificeerbare gegevens zijn persoonsgegevens. Logisch ook: een persoon is meer dan een naam, en identificatie kan ook prima aan de hand van andere omschrijvingen. Zoals “de eigenaar van telefoon met MAC-adres 1::2”. (En ja natuurlijk zijn er telefoons en MAC-adressen die niet aan een persoon toebehoren, maar dat is de uitzondering en bovendien niet de doelgroep van Citytraffic.)

Dat hashen dan. Er heeft ooit iemand bij de toezichthouder wat gemompeld over dat een hash als niet-omkeerbare versleuteling wel eens gegevens buiten de Wbp kan plaatsen, dus nu is het een toverformule geworden (denk ik) dat als je hasht, er niets aan de hand is. Dat is onzin: wanneer je de hash in plaats van het MAC-adres gebruikt, houd je exact dezelfde informatie bij over een persoon. En je kunt vanaf een MAC-adres zo naar dat blokje informatie toe. Dus die zie ik niet. Ja, het is moeilijker om van het blokje informatie naar een MAC-adres te gaan, maar gezien de use case van Citytraffic komt dat niet voor. Het is altijd andersom: hee daar is MAC-adres 1::2 weer, wat weten we over die persoon.

Dus nee, alles bij elkaar blijf ik erbij dat het hier gewoon gaat om een verwerking van persoonsgegevens. Citytraffic moet dan dus voldoen aan de Wbp, en actief mensen informeren over wat zij doen. Bordjes in de Koopgoot dus, in plaats van een FAQ op de website. Toestemming vragen hoeft niet, mits ze het kunnen inkleden als een eigen dringende noodzaak én genoeg privacywaarborgen bieden. Een afmeldmogelijkheid is daarbij een vereiste, maar ook het snel wissen van individuele gegevens. De AP gaat zelfs zo ver dat ze zegt, bij gegevens op de openbare weg metéén anonimiseren. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.

Arnoud

Wifi-tracking rond winkels in strijd met de wet?

Het College bescherming persoonsgegevens heeft een van de grote aanbieders van wifi-tracking in Nederland op de vingers getikt, las ik bij Tweakers. Het bedrijf Bluetrace zou ten behoeve van wifi analytics mensen in en rond winkels via het wifi-signaal van hun smartphone volgen zonder hen daarover goed te informeren. In haar rapport meldt de toezichthouder dat er meer verzameld werd dan nodig, dat de gegevens te lang bewaard werden en dat ook mensen op de openbare weg gevolgd werden.

Wifi tracking is al een paar jaar in populariteit aan het toenemen. Kort gezegd meet een winkel dan langskomende wifi-signalen uit mobiele telefoons, om vervolgens te registreren waar die signalen heen gaan, hoe lang de telefoon ergens stilstaat et cetera. Via het MAC-adres zijn de metingen uniek te correleren aan één telefoon.

Het argument is dan altijd, dat is niet erg want het is maar je telefoon en ze weten niet hoe je heet. Maar het Cbp is daar snel klaar mee: dit zijn persoonsgegevens (want herleidbaar tot de eigenaar van de telefoon) en locatie-informatie is best wel gevoelig:

Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.

Dat je de náám niet weet van de persoon, doet er niet toe. Het is de vaste opvatting van de privacytoezichthouders dat het erom gaat dat de “gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.” Kort gezegd gaat het erom dat de gegevens over één persoon gaan.

Vervolgens moet Bluetrace maar aantonen waarom zij dit mag onder de Wbp. De enige reële optie is die van de eigen dringende noodzaak: het belang om de gegevens te verzamelen weegt zwaarder dan het privacybelang van de langslopende smartphone-eigenaren, én er is alles aan gedaan om de privacy zo veel mogelijk te waarborgen.

Op zich is het een legitiem belang om te willen weten hoe mensen door je winkel lopen. Maar de vraag wordt dan, moet dat dan wel op deze manier gemeten worden, kan het niet een onsje minder? Bijvoorbeeld door tijdens sluitingstijd de sensoren uit te zetten, of door in plaats van ruwe MAC-adressen hashes te bewaren die na 48 uur worden gewist.

Ook een probleem is dat men MAC-adressen vastlegt van mensen die langs de winkel lopen maar niet naar binnen gaan. “Ohooh een verwerking aan de openbare weg”, en dat mag dan categorisch niet. Nou nee, het ligt iets subtieler: je mag wel persoonsgegevens verzamelen aan de openbare weg maar je moet daar dan wel een specifiek belang voor hebben dat opweegt tegen dat privacybelang. En dat zal er zelden zijn. Welk legitiem belang ís er om te meten wie er over de weg loopt?

Verder ontbrak het aan adequate informatie over wat men doet met persoonsgegevens en hoe je als winkelbezoeker informatie kunt krijgen over deze gegevensvergaring.

Kort samengevat: leuk idee, mislukte uitvoering. Want het Cbp zegt letterlijk dat het zeker mogelijk is om legaal persoonsgegevens van smartphones te verzamelen om winkelbezoek te monitoren, mits je dat maar een stukje zorgvuldiger inkleedt. De pers maakt veel van het hashen van de MAC-adressen, maar dat is niet de kern: het gaat erom zo min mogelijk gegevens te verzamelen en dingen zo snel mogelijk weer weg te gooien.

Arnoud

Wifi-tracking: winkels volgen je voetsporen

wifi-satelliet-draadloos-auto.pngSteeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à twee jaar aan populariteit wint: het tracken van telefoons.” Maar, eh, ja, mág dat dan?

Elke telefoon zendt signalen uit: in ieder geval gsm (om bereikbaar te blijven voor telefoontjes), meestal ook wifi (op zoek naar een netwerk, of communicerend daarmee) en ook Bluetooth hoewel dat niet vaak aanstaat. Met name wifi is interessant: wanneer een telefoon een wifi netwerk zoekt, stuurt hij onversleuteld zijn mac adres mee in de hoop dat een netwerk zegt “kom erbij, hier is een ip-adres”.

Het opvangen van die signalen is op zich niet verboden. Het opvangen van vrije signalen uit de ether is een grondrecht, deel van de informatievrijheid waar ook de vrijheid van meningsuiting onder valt (art. 10 EVRM). Je mag informatie en ideeën verzamelen en verspreiden. Ook in het strafrechtartikel dat aftappen van datacommunicatie verbiedt (art. 139c Strafrecht), staat dit als uitzondering genoemd.

Mac-adressen zijn persoonsgegevens. Ze zijn te herleiden tot een mobiele telefoon (in deze context) en mobieltjes hebben vrijwel altijd een 1-op-1 relatie tot een persoon, hun eigenaar. Alle gegevens die worden verkregen in combinatie met een mac-adres zijn dan ook persoonsgegevens, en deze gegevens mogen dan alleen worden verwerkt (binnengehaald, opgeslagen, aangepast, geanalyseerd of wat je maar wilt doen) binnen de context van de Wet bescherming persoonsgegevens.

Ik lees bij Retecool dat het mac-adres gehasht wordt, maar of dat de boel verandert? Ook het gehashte nummer is uniek voor de telefoon. En zodra een nummer uniek is voor een persoon, is het een persoonsgegeven.

Hoofdregel uit de Wbp is dat je toestemming nodig hebt van de telefooneigenaar. Dat gebeurt hier niet, en ik zou ook niet weten hoe je dat werkbaar kunt maken. Je kunt immers moeilijk een popup tonen op een telefoon wanneer je iemands mac-adres uit een bak wifi-signalen vangt.

Als exploitant van zo’n dienst* heb je dus maar één manier om dit privacytechnisch legaal te kletsen: de eigen dringende noodzaak. Wanneer toestemming vragen niet kan, de gegevens noodzakelijk zijn voor jouw belang én je de privacy van de betrokkenen maximaal beschermt, dan handel je legaal ook zonder toestemming.

*Let wel: dat is de wínkel die het apparaatje aanzet. Tenzij de apparaatjesleverancier zelf de gegevens verzamelt en exploiteert.

We weten uit de Google Streetview-zaak dat het sniffen van wifi netwerken en daar persoonsgegevens uit halen in principe mag, mits je maar een opt-out aanbiedt en duidelijk aankondigt dat je dit doet. Een winkel (de exploitant) moet dus een bordje ophangen en moet eigenlijk ook nog eens zorgen dat geen wifi signalen van buiten het pand worden opgevangen. En er moet een opt-out worden aangeboden, oftewel een plek waar je je mac-adres mag invullen zodat je niet meer gevolgd wordt.

Bij die Streetview-zaak herinner ik me veel opmerkingen in de trant van “je zendt je SSID toch al uit, wat is het probleem”. Hoewel het hier technisch-juridisch hetzelfde is volgens mij, krijg ik hier toch een heel ander gevoel bij. Zit hem dat in het gevolgd worden ipv een statisch access point? In dat een telefoon persoonlijker voelt dan een router? In dat je de Streetview-auto nooit ziet maar de Albert Heijn niet te vermijden is?

Arnoud