Amazon-patent moet prijsvergelijken via wifi van winkel tegenhouden

| AE 9493 | Octrooien | 10 reacties

Amazon heeft onlangs goedkeuring ontvangen voor een patent, waarin een methode is beschreven om het vergelijken van prijzen via de wifi-verbinding van fysieke winkels tegen te gaan. Dat meldde Tweakers vorige week. Doel van die methode is te zorgen dat je niet snel online bestelt wat je zojuist in de winkel hebt gezien. Maar het patent noemt ook de optie van een tegenbod door de winkel, wat commercieel iets slimmer lijkt. Denk je dat ze na de ophef over 1-click patenteren iets geleerd hebben, tsja.

Uiteraard wil het weinig zeggen dat een bedrijf ergens patent op krijgt. Dat betekent alleen maar dat de patentverlenende instantie geen bezwaren zag, met name niet ten aanzien van nieuwheid (bestond dit al), inventiviteit (is het meer dan een triviale variatie) en technisch karakter (is dit significant meer dan een wiskundig of economisch principe). Het is zeer zeker geen voornemen of teken dat een bedrijf dit wil doen – en ook geen erkenning dat het iets bijzonders is, wat sommige uitvinders nog wel eens lijken te denken.

Het ligt echter wel in de lijn van Amazons nieuwste tak van sport: het fysiek laten winkelen van mensen, gekoppeld aan een online afrekenproces. Je hoeft zo niet meer langs een kassa, alles gaat via je telefoon behalve het dingen in je mandje leggen. En dit is ook waarom “huh, dan gebruik je toch gewoon je 4g verbinding” niet werkt: het afrekenproces vereist dat je via het lokale wifi-netwerk verbonden bent met Amazon. Daarmee hebben ze je.

Het octrooi is alleen in de VS verleend, dus in Europa hoeven we hier niet voor te vrezen. Het verbaast me sowieso al dat het in de VS is toegekend – mij lijkt dit een vrij duidelijk voorbeeld van een sinds Alice niet meer octrooieerbaar softwarepatent. Uit het verleningsdossier haal ik dat het argument hem erin zat dat een browser wordt bestuurd, en dat dat meer zo zijn dan enkel het idee “ze mogen de prijzen niet zien”. Meh.

Bij Tweakers las ik nog de vraag hoe zich dit zou verhouden tot netneutraliteit. Het is nogal een forse ingreep en direct gericht op commercieel voordeel van de aanbieder. Maar onder de Europese Netneutraliteitsverordening gelden die regels alleen voor aanbieders van openbare internettoegang, en daar vallen winkels met wifi niet onder.

Arnoud

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

city-trafficMensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding van de Wbp meer zijn. Bovendien kun je op de website van het bedrijf (“We know where people GO”) nalezen hoe het werkt, want dat weet iedereen te vinden.

Dat kwam me bekend voor: in december werd Bluetrace op de vingers getikt door de toezichthouder, omdat ze MAC-adressen van winkelbezoekers (én langslopende passanten) gebruikte om vergelijkbare informatie op winkelniveau te vergaren. Dat ging te ver: die gegevens waren persoonsgegevens en ze werden voor onbepaalde tijd bewaard.

De Autoriteit Persoonsgegevens meldt tegen RTL Z dat wifi-tracking alleen mag worden uitgevoerd als dat wettelijk is toegestaan, bijvoorbeeld door toestemming aan mensen te vragen. Of – vul ik maar aan – als je een dringende noodzaak hebt en voldoende privacywaarborgen hebt ingericht. Het bijhouden van bezoeken zou best onder die grond te rechtvaardigen zijn als je het anoniem genoeg doet.

Citytraffic verzekert iedereen dat zij zich aan de wet houdt. Ik heb zo mijn twijfels. Het komt elke keer neer op dezelfde discussie: is een MAC-adres van je Wifi- of Bluetooth-chip een persoonsgegeven, en maakt het uit of je dat hasht. Het criterium is of je direct dan wel indirect het adres tot een persoon kunt herleiden, en ik neig naar wel: dat gegeven is aan jóuw telefoon gekoppeld, en telefoons zijn vandaag de dag een verlengstuk van mensen dus echt wel dat dat een persoon betreft.

Daar staat tegenover dat je niet weet hoe die persoon héét. Maar dat betekent alleen dat die persoon niet direct identificeerbaar is, en ook indirect identificeerbare gegevens zijn persoonsgegevens. Logisch ook: een persoon is meer dan een naam, en identificatie kan ook prima aan de hand van andere omschrijvingen. Zoals “de eigenaar van telefoon met MAC-adres 1::2”. (En ja natuurlijk zijn er telefoons en MAC-adressen die niet aan een persoon toebehoren, maar dat is de uitzondering en bovendien niet de doelgroep van Citytraffic.)

Dat hashen dan. Er heeft ooit iemand bij de toezichthouder wat gemompeld over dat een hash als niet-omkeerbare versleuteling wel eens gegevens buiten de Wbp kan plaatsen, dus nu is het een toverformule geworden (denk ik) dat als je hasht, er niets aan de hand is. Dat is onzin: wanneer je de hash in plaats van het MAC-adres gebruikt, houd je exact dezelfde informatie bij over een persoon. En je kunt vanaf een MAC-adres zo naar dat blokje informatie toe. Dus die zie ik niet. Ja, het is moeilijker om van het blokje informatie naar een MAC-adres te gaan, maar gezien de use case van Citytraffic komt dat niet voor. Het is altijd andersom: hee daar is MAC-adres 1::2 weer, wat weten we over die persoon.

Dus nee, alles bij elkaar blijf ik erbij dat het hier gewoon gaat om een verwerking van persoonsgegevens. Citytraffic moet dan dus voldoen aan de Wbp, en actief mensen informeren over wat zij doen. Bordjes in de Koopgoot dus, in plaats van een FAQ op de website. Toestemming vragen hoeft niet, mits ze het kunnen inkleden als een eigen dringende noodzaak én genoeg privacywaarborgen bieden. Een afmeldmogelijkheid is daarbij een vereiste, maar ook het snel wissen van individuele gegevens. De AP gaat zelfs zo ver dat ze zegt, bij gegevens op de openbare weg metéén anonimiseren. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.

Arnoud

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Beveiliging, Hacken | 15 reacties

wifi-hotel.pngEen lezer vroeg me:

Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk?

Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt, maar in de praktijk komt het daar vaak wel op neer. Het gaat er juridisch om of je ‘wederrechtelijk’ in die computer actief bent, oftewel dingen doet die niet mogen.

Meesurfen met andermans internetverbinding wordt gezien als binnendringen in de router, en daarmee als computervredebreuk. Dat bepaalde de Hoge Raad in 2013. Het binnendringen zit hem hier in het versturen en ontvangen van gegevens op een manier waar je niet toe geautoriseerd bent.

Los daarvan is het strafbaar om hulpmiddelen of gegevens om gratis toegang te krijgen tot betaaldiensten te gebruiken. Hetzelfde geldt voor het aanbieden of bewaren van dergelijke middelen, alleen moet dat dan wel uit winstbejag gebeuren. Een betaalde internetdienst gratis gebruiken lijkt me ook onder dit artikel strafbaar.

Natuurlijk is het maar zeer de vraag of je wordt betrapt met dergelijke diensten. Vrij weinig partijen loggen ICMP of DNS verkeer met het doel om dit soort meeliftdiensten op te sporen. Maar als men het doet én aangifte doorzet, dan heb je een serieus probleem.

Arnoud

Marriott wil hotspots van gasten in vergaderruimtes blokkeren

| AE 7282 | Netneutraliteit | 12 reacties

De Marriott-keten van hotels is niet van plan eigen wifi-netwerken van gasten te blokkeren, maar “vanwege de veiligheid(!!1!)” wil men wel hotspots van gasten in vergaderruimtes blokkeren. Dat verklaart de keten tegenover de Amerikaanse toezichthouder FCC naar aanleiding van een onderzoek naar haar blokkeerpraktijken een half jaartje terug. Uiteraard heeft die spin op het blokkeerplan… Lees verder

Amerikaans hotel krijgt boete voor blokkeren wifi-hotspots

| AE 7034 | Beveiliging, Netneutraliteit | 14 reacties

Het Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook… Lees verder

Mag UPC mijn internetverbinding delen via WifiSpots?

| AE 6480 | Innovatie | 65 reacties

Als internetklant van UPC beschikt u over WifiSpots van UPC, juichte de nieuwsbrief van mijn internetprovider onlangs. WifiSpots is UPC’s naam voor een nieuwe dienst waarbij je overal in Nederland gratis draadloos internet krijgt als je in de buurt bent van een andere UPC-modem. Die staan sinds kort standaard de internetverbinding te delen. Weliswaar op… Lees verder

BeWifi bundelt bandbreedte bij buren

| AE 6338 | Aansprakelijkheid, Innovatie | 9 reacties

Het Spaanse telecombedrijf Telefonica heeft onder de naam BeWifi een technologie ontwikkeld die het mogelijk maakt om extra bandbreedte van naburige modems te ‘lenen’ via wifi, meldde Tweakers zondag. Modems met BeWifi aan boord werken met elkaar samen; als een modem capaciteit over heeft, deelt hij die met een ander modem dat net hevig staat… Lees verder

Wifi-tracking: winkels volgen je voetsporen

| AE 6325 | Innovatie, Privacy | 67 reacties

Steeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à… Lees verder