Wifi-tracking: winkels volgen je voetsporen

| AE 6325 | Innovatie, Privacy | 67 reacties

wifi-satelliet-draadloos-auto.pngSteeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à twee jaar aan populariteit wint: het tracken van telefoons.” Maar, eh, ja, mág dat dan?

Elke telefoon zendt signalen uit: in ieder geval gsm (om bereikbaar te blijven voor telefoontjes), meestal ook wifi (op zoek naar een netwerk, of communicerend daarmee) en ook Bluetooth hoewel dat niet vaak aanstaat. Met name wifi is interessant: wanneer een telefoon een wifi netwerk zoekt, stuurt hij onversleuteld zijn mac adres mee in de hoop dat een netwerk zegt “kom erbij, hier is een ip-adres”.

Het opvangen van die signalen is op zich niet verboden. Het opvangen van vrije signalen uit de ether is een grondrecht, deel van de informatievrijheid waar ook de vrijheid van meningsuiting onder valt (art. 10 EVRM). Je mag informatie en ideeën verzamelen en verspreiden. Ook in het strafrechtartikel dat aftappen van datacommunicatie verbiedt (art. 139c Strafrecht), staat dit als uitzondering genoemd.

Mac-adressen zijn persoonsgegevens. Ze zijn te herleiden tot een mobiele telefoon (in deze context) en mobieltjes hebben vrijwel altijd een 1-op-1 relatie tot een persoon, hun eigenaar. Alle gegevens die worden verkregen in combinatie met een mac-adres zijn dan ook persoonsgegevens, en deze gegevens mogen dan alleen worden verwerkt (binnengehaald, opgeslagen, aangepast, geanalyseerd of wat je maar wilt doen) binnen de context van de Wet bescherming persoonsgegevens.

Ik lees bij Retecool dat het mac-adres gehasht wordt, maar of dat de boel verandert? Ook het gehashte nummer is uniek voor de telefoon. En zodra een nummer uniek is voor een persoon, is het een persoonsgegeven.

Hoofdregel uit de Wbp is dat je toestemming nodig hebt van de telefooneigenaar. Dat gebeurt hier niet, en ik zou ook niet weten hoe je dat werkbaar kunt maken. Je kunt immers moeilijk een popup tonen op een telefoon wanneer je iemands mac-adres uit een bak wifi-signalen vangt.

Als exploitant van zo’n dienst* heb je dus maar één manier om dit privacytechnisch legaal te kletsen: de eigen dringende noodzaak. Wanneer toestemming vragen niet kan, de gegevens noodzakelijk zijn voor jouw belang én je de privacy van de betrokkenen maximaal beschermt, dan handel je legaal ook zonder toestemming.

*Let wel: dat is de wínkel die het apparaatje aanzet. Tenzij de apparaatjesleverancier zelf de gegevens verzamelt en exploiteert.

We weten uit de Google Streetview-zaak dat het sniffen van wifi netwerken en daar persoonsgegevens uit halen in principe mag, mits je maar een opt-out aanbiedt en duidelijk aankondigt dat je dit doet. Een winkel (de exploitant) moet dus een bordje ophangen en moet eigenlijk ook nog eens zorgen dat geen wifi signalen van buiten het pand worden opgevangen. En er moet een opt-out worden aangeboden, oftewel een plek waar je je mac-adres mag invullen zodat je niet meer gevolgd wordt.

Bij die Streetview-zaak herinner ik me veel opmerkingen in de trant van “je zendt je SSID toch al uit, wat is het probleem”. Hoewel het hier technisch-juridisch hetzelfde is volgens mij, krijg ik hier toch een heel ander gevoel bij. Zit hem dat in het gevolgd worden ipv een statisch access point? In dat een telefoon persoonlijker voelt dan een router? In dat je de Streetview-auto nooit ziet maar de Albert Heijn niet te vermijden is?

Arnoud

3D dinsdag: Mag ik producten scannen?

| AE 2563 | Innovatie | Er zijn nog geen reacties

3d-scan-print-trimensional.pngWorden 3D-printers de nieuwe Napster? Met die vraag in het achterhoofd bespreek ik elke dinsdag een aspect van het intellectueel eigendomsrecht en waar dat botst met de mogelijkheden van 3D printen. Op basis van deze blogs en jullie feedback daarop wil ik hier uiteindelijk een boek van maken. En natuurlijk publiceer ik dan geen comments van jullie daarin zonder aparte toestemming.

Tot nu toe hebben we het in deze serie steeds gehad over het printen van IE-beschermde producten, en of dat wel of niet mag onder de verschillende IE-rechten. Maar er is een aspect dat essentieel is voor elk printje: het bestand met de data waar de printer mee aan de slag gaat. Hoe kom je daaraan, als de IE-houder niet zelf een bestand beschikbaar stelt? Dan zul je een zelf verkregen exemplaar moeten scannen.

Hiervoor zijn allerlei producten beschikbaar. Zo is er de goedkope DAVID laserscanner, die met een speciale opstelling en laserlicht werkt om een scan te maken. Een wat duurder alternatief is de Next Engine. Maar het schijnt ook te kunnen met je iPhone of zelfs met een gewone camera en voldoende foto’s, die door speciale software aan elkaar geknoopt worden tot een 3D model.

De vraag is dan, mag je zo’n scan wel maken? Bij Gizmodo merkten ze al bijdehand op:

You may have some trouble snapping 40 photos of something without being detected by the hovering museum curator or shop assistant, to say the least.

Dat is juridisch zeker een probleem. Op grond van het eigendomsrecht mag een bedrijf of instelling regels stellen aan wat je mag doen met camera’s. Ook als er geen IE-recht rust op de objecten die je wilt fotograferen. Is fotograferen verboden, dan moet je camera in de tas blijven. De Hoge Raad bepaalde in 2007 (na het Staat/Den Ouden arrest uit 1987) dat voetbalstadions

uit hoofde van hun eigendoms- of gebruiksrecht van het stadion of het terrein in beginsel de vrijheid [hebben] om aan hun toestemming tot het betreden ervan beperkingen te verbinden, ook met het oog op het tot stand brengen van radio- en/of televisieuitzendingen.

Dat het daarbij ging om nieuwsgaring -toch een grondrecht- kon dit niet anders maken. En als een recht op filmen van een belangwekkende wedstrijd in andermans gebouw niet bestaat, dan een recht op scannen van een belangwekkend object in andermans gebouw al helemaal niet.

Koop of leen je een object, dan staat het je vrij om het object te scannen en zo een bestand te maken waarmee 3D geprint kan worden. Bij een geleend of gehuurd object zouden de algemene voorwaarden van het leen/huurcontract dit wellicht kunnen verbieden, maar bij koop lijkt me een dergelijke contractuele eis op zijn zachtst gezegd ongebruikelijk.

Kun je tegen een IE-recht (octrooien, modellen, merken en auteursrecht) aanlopen bij het scannen? Als particulier niet snel. Een scan maakt namelijk geen nieuw product maar alleen een blauwdruk of foto van het product. Met octrooien, modelrecht of merkenrecht heb je dan niets te maken. Het is wel een inbreuk op het auteursrecht om een werk te fotograferen (en dus ook om het te scannen) maar dat kan worden verexcuseerd onder de thuiskopie-exceptie. Die geldt namelijk ook voor verveelvoudigingen in andere vorm: of je nu muziek van WAV naar MP3 omzet, of een driedimensionaal kunstobject fotografeert of inscant, het is voor strikt eigen gebruik toegestaan.

Een bedrijf dat scandiensten aanbiedt, zal ook weinig last hebben van intellectuele eigendomsrechten. Een scanapparaat is een generieke tool, dat alles scant dat je ervoor zet. Dat is moeilijk op te vatten als een inbreuk op een specifiek intellectueel eigendomsrecht. Heel misschien ontstaat er een zorgplicht voor zo’n bedrijf wanneer ze (moeten) weten dat er structureel en grootschalig beschermde zaken gescand worden, maar dat kan – net als vorige week het printen in opdracht – wederom als “thuiskopie in opdracht” worden gezien. Maar met alle discussies over auteursrechtenfilter- en blokkadeplichten voor internetproviders zou het me niets verbazen als hier toch grenzen aan gesteld gaan worden.

Dan blijft er eigenlijk nog één grote vraag over voor deze reeks: hoe zit het met een website (3dpiratebay.org?) die scans of handgemaakte 3D CAD bestanden aanbiedt? Mag dat eigenlijk wel van het intellectueel eigendomsrecht?

Arnoud<br/> De scan/print rechtsboven is een screenshot van Trimensional, de iPhone scanner-app.