Landelijk Wifi opt-out register

Op 2 Maart meld nu.nl dat de Wifi tracking bureau’s gebruik willen gaan maken van een landelijk opt-out register.

Dit lijkt een goede stap maar hierbij wordt volledig voorbij gegaan aan de oorspronkelijk probleem. Je moet volgens de AVG VOORAF toestemming vragen of je prive gegevens (zoals je MAC adres) wil delen met derden. Pas NA deze toestemming zou iemand getrackt mogen worden in de stad. In de praktijk is hiervoor geen techniek om dit voor wifi tracking mogelijk te maken, maar dat betekent niet dat je dan maar zonder deze toestemming mensen moet gaan tracken.

Een ander zwaarwegend punt is dat mensen zich onbespied moeten kunnen rondbewegen, met wifi tracking is die niet het geval. Dit is dan een zware inbreuk op je privacy waar niet te licht overheen gestapt moet worden.

Mijn bezwaren tegen opt-out register

Met een opt-out register moet de consument actie ondernemen als hij niet gevolgd wil worden in de stad. Al klinkt het ‘privacy vriendelijk’ hiermee komt de verantwoordelijkheid bij de consument te liggen in plaats van de wifi tracking bureau. Dit is het omkeren van de huidige wettelijke regels. In gesprekken die ik met CityTraffic heb gehad weet ik ook dat erg weinig mensen gebruik van maken van deze mogelijkheid (denk aan tientallen voor een stad zoals Enschede). Je moet namelijk je MAC adres op je telefoon opzoeken en deze ingeven in een site, dit is voor veel mensen toch wel een lastige opgave.

Naar mijn mening proberen de wifi bureau’s op deze manier hun illegale werkwijze te legaliseren. Ook met de opmerking dat gegevens nu geanonimiseerd zijn ben ik nog aan het onderzoeken, hiermee heb ik wel contact met Citytraffic maar de exacte technische details boven water krijgen gaat nog moeizaam. Op dit moment heb ik nog sterk de indruk dat dit vooral marketing praat is, niet iets wat cijfermatig of door wetenschappelijk onderzoek onderbouwd is.

Wil je meer over wifi tracking weten lees dan dossier wifi tracking

Uitleg nieuwe methode CityTraffic

Edit 9-1-2019 : Inmiddels met CityTraffic gesproken en er gebeurd wat meer dan 2x hashen. Er worden ook gegevens getruncate, dit zou dan voor voldoende privacy moeten zorgen. Hiermee kunnen ze niet meer de tijdsduur in de stad of zien of iemand nieuw is zien.  Ik probeer nog meer technische details te achterhalen en zal het hier aanvullen.

CityTraffic geeft aan dat zij van een pseudo geanonimiseerde data naar geanonimiseerd data. Als ik de informatie goed begrijp doen ze dit door een extra hash of versleuteling uit te voeren op de gegevens die van de sensor binnen komen en in de database gezet wordt.

Anonimiseren van data heeft een lange geschiedenis en blijkt in de praktijk ook tegen te vallen om dit goed te doen. Er zijn vele gevallen bekend dat een anonieme dataset is vrijgegeven waarbij de onderzoekers er toch in slaagden om deze te koppelen met personen. In het kort zou het voor wifi telling alleen kunnen als je op het sensor al genoeg gegevens cummeleerd (waardoor meteen individuele gegevens verdwijnt). In het huidige verhaal van CityTraffic wordt eerst alle gegevens van de sensor doorgestuurd naar de database, dus 1 regel in de database is nog steeds 1 persoon. Dat daar een dubbel hash / versleuteld nummertje bijstaat die niet terug te voeren naar een MAC adres maakt niet uit, dit is niet wezenlijk anders dan in de oude situatie waarbij MAC adres dmv hash SHA265 wordt berekend.

In mijn optiek heeft CityTraffic de methode niet voldoende aangepast om echt te kunnen spreken van anonieme gegevens. Ze versleutelen de MAC adres 2x, een keer op de sensor en vervolgens op de server. Maar als de gegevens van 1 persoon nog steeds individueel in de database komt maakt dit allemaal niet uit, hoe vaak je ook het MAC adres hash / versleuteld.

 

 

Herstart wifitracking Enschede 1 Jan 2019

Vandaag heeft de gemeenteraad Enschede een brief ontvangen waarin wordt aangegeven dat men in Enschede per 1 januari 2019 weer herstart met wifi telling. Volgens City Trafic zijn de problemen met AP opgelost door over te gaan van pseudonimiseren naar anonimiseren. Helaas wordt niet toegelicht hoe ze dit precies gaan doen, ik ga hier nog wel achteraan om te vragen naar (technische) uitleg.

Hierbij wordt nog steeds aan andere punten van de AVG voorbijgegaan, namelijk dat je VOORAF toestemming moet vragen. Tevens geeft AP in brief van 30 November aan dat wifitracking alleen in uitzonderlijke situaties mag, het lijkt er op dat City Traffic / Gemeente Enschede ook deze regel naast zich legt en doorgaat met 24/7 volgen van hun burgers.

Zelf vraag ik me af waarom een Europese partij (Locatus) naar aanleiding van de brief 30 November wel stopt en waarom City Trafic dan niet stopt. Mij lijkt me dat Locatus hetzelfde zou kunnen doen, of ze hebben daar de conclusie getrokken dat dit niet mogelijk is.

Enschede stopt voorlopig met wifi tracking

Op 30 November heeft AP een persbericht gestuurd waarin kort samengevat wordt aangegeven dat wifi tracking alleen is toegestaan in uitzonderlijke omstandigheden. Hierbij kun je denken aan drukke evenementen waarbij het ivm veiligheid van belang is om de drukte in de gaten te houden. Belangrijk hierbij is dan dat dit voor een korte periode gaat en beperkt gebied.

Naar aanleiding van dit persbericht zijn diverse gemeenten gaan nadenken over hun wifi tracking in de binnenstad. Gemeente Leeuwarden had afgelopen donderdag al aangegeven om te stoppen met wifi tracking. Vandaag bereikte me het goede nieuws dat Gemeente Enschede in een brief aan de gemeenteraad aangeven (voorlopig) ook te stoppen met wifi tracking. Op dit moment wil gemeente Enschede verder kijken wat de consequenties is van het persbericht van AP, natuurlijk hoop ik dat ze tot inzicht komen dat wifi tracking een te grote inbreuk is op de privacy van de burgers.

Mijn handhavingsverzoek die ik aan de AP had gestuurd is nog in behandeling, nav het persbericht had ik gevraagd of dit persbericht door mijn handhavingsverzoek kwam en of er nog nieuws was over de situatie in Enschede. Hier konden ze me geen extra informatie over verschaffen, dus moet ik nog wachten tot een officieel antwoord. AP had al eerder aangegeven dat ze meer tijd nodig hadden, het officiële antwoord zou ik voor 19 Januari moeten ontvangen.

Zie ook dit persbericht in Tubantia

Brief gemeente aan raadsleden op site gemeente

Makerspace TwenSpace

makerspace enschede twenspace

Enschede is een makerspace rijker, namelijk TwenSpace. Deze door mij opgerichte makerspace zou ik uiteindelijk professioneel diverse apparatuur willen aanbieden zoals lasercutter, 3d printer en ook een hout- en metaalwerkplaats.

lasercutter TwenSpace

De eerste tool heb ik al aangeschaft, een 60x90cm 100W laser cutter. Deze staat voor nu nog bij TkkrLab, zolang ik nog geen eigen plek heb zal ik vanuit hier mijn activiteiten uitvoeren. Er staat voor 19 september ook een workshop “introductie 3d printen” op de planning als voorproefje van de TkkrLab 3d printer bouwweekend.

Mocht je op de hoogte willen blijven van mijn activiteiten bij TwenSpace volg me via Twitter, Facebook of via de nieuwsbrief.

Hopelijk tot binnenkort bij TwenSpace !

Handhavingsverzoek aan Autoriteit Persoonsgegevens

Ik heb gisteren (16 juli) een handhavingsverzoek aan Autoriteit Persoonsgegevens gestuurd met het verzoek dat ze bij gemeente Enschede willen kijken naar de wifi tracking.

De AP heeft al een ontvangstbevestiging gestuurd met de mededeling dat ze binnen 3 maanden een reactie geven.

De volledige brief aan AP :

Dave Borghuis ook genaamd op de Borg
XXXXXXXXXXXXX
XXXX XX  Enschede

Autoriteit persoonsgegevens
Postbus 93374
2509 AJ Den Haag

16 Juli 2018

Betreft : Handhavingsverzoek Wifi tracking Gemeente Enschede

Geachte mevrouw / mijnheer,

Autoriteit Persoonsgegevens heeft op 15 Juni 2017 (kenmerk z2016-00087) een brief gestuurd aan alle gemeenten waarin een aantal aandachtspunten werden genomen voor Wifi tracking in de steden (publieke ruimte). Vanaf 25 mei is tevens de AVG van toepassing in Nederland, hierdoor moeten ook gemeenten aan deze nieuwe wetgeving voldoen.

Sinds 6 september 2017 wordt door CityTrafic in Gemeente Enschede aan Wifi tracking gedaan. Ik heb hierover op 10 November 2017 een klacht ingediend bij Gemeente Enschede, waarbij ik aangeef dat Wifi tracking op diverse vlakken een ernstige inbreuk is op de privacy van de inwoners en bezoekers van de binnenstad. Na het antwoord heb ik nog een gesprek gevoerd met Karin Ligthart van Gemeente Enschede, echter zijn we niet tot een oplossing gekomen. Op 5 januari 2018 heb ik contact met de Autoriteit Persoonsgegevens hierover gehad waarbij deze case geregistreerd is.

Mijn bezwaren tegen de handelswijze van de Gemeente Enschede zijn:

1) De gemeente beroept zich op gerechtvaardigd belang als grondslag voor de verwerking. Voor zover mijn AVG kennis reikt zijn overheden expliciet uitgesloten voor het gebruik van deze grondslag. De gemeente Enschede mag dus, volgens mij, geen beroep doen op een gerechtvaardigd belang.

2) Indien de gemeente zich inderdaad niet kan beroepen op het uitvoeren van de tellingen als onderdeel van de publiekrechtelijke taak blijft toestemming als mogelijke grondslag over. Echter worden de bezoekers van de binnenstad van Enschede niet vooraf en duidelijk naar een “ondubbelzinnige toestemming” gevraagd om te mogen tracken via wifi.

Wel geeft Gemeente Enschede aan dat men de bezoekers informeert door middel van bordjes bij ingang van stad, met een link naar opt-out, maar dit is niet gelijk aan vooraf toestemming verkrijgen. Mijns inziens is het informeren via bordjes en een tekst op de website onvoldoende en daarmee zal wifi-tracking zal voor de meeste bezoekers onopgemerkt blijven. Tevens staat de wijze van informeren niet niet in verhouding tot het continue volgen van de bezoekers.

3) CityTraffic verzamelt 24/7 van de gehele binnenstad informatie over alle voorbijgangers. In de brief van aan de VNG wordt genoemd dat wifi tracking aan beginselen van proportionaliteit moet voldoen. Gemeente Enschede wil graag bezoekersaantallen inzichtelijk hebben, mijn inziens is om daarvoor alle burgers 24/7 in binnenstad te volgen hiervoor niet proportioneel. Men zou bezoekersaantallen ook kunnen bepalen door bv de bezetting van locale garages of verkeersstromen te meten of op de Wifi “Stad van Enschede” (waarvoor je wel vooraf toestemming geeft om op in te loggen). Tevens is het niet een primaire taak van een gemeente om de winkeliers of anderen geïnteresseerden van deze gegevens te voorzien.

4) De MAC adressen van de Wifi worden door CityTraffic (actief voor gemeenten in 30 steden) versleuteld door een eigen op SHA256 gebaseerde hash. Deze hash is niet terug te rekenen naar MAC adres, maar nog wel steeds uniek en dus een herleidbaar gegeven. Ik heb begrepen dat CityTraffic landelijk hash op dezelfde methode gebruikt word waardoor het mogelijk is om een persoon in meerdere steden te volgen. Dit lijkt me een ernstige inbreuk van de privacy van de betreffende bezoeker, aan de hand van de hash kun je 1 persoon indivudueel volgen.

Op basis van bovenstaande bezwaren is de verwerking van deze gegevens zonder expliciete toestemming van de betrokkenen en zonder andere rechtmatige verwerkingsgrond onrechtmatig en zou om die reden onmiddellijk moeten worden beëindigd.

Daarom verzoek ik de Autoriteit Persoonsgegevens om handhavend op te treden bij de Gemeente Enschede rondom de Wifi tracking. Deze Wifi tracking maakt een grote inbreuk op de privacy van de inwoners en bezoekers van Enschede en andere steden waar CityTraffic en soortgelijke bedrijven actief zijn. Men moet zich volgens jullie brief, dd 15 Juni 2017, “onbespied kunnen bewegen”. In de stad met Wifi tracking is dit per definitie niet mogelijk.

Ik hoor graag of jullie dit verzoek in behandeling willen nemen. Mochten jullie nog aanvullende informatie nodig hebben kunt u mij mailen op xxxxxx@xxxxxxxxxx.xx of bellen op xxxxxxxxxx.

Voor mijn volledige dossier en contacten met CityTraffic en Gemeente Enschede kunt u terug vinden op mijn site http://daveborghuis.nl/wp/wifi-tracking/

Met vriendelijke groet,

Dave Borghuis ook genaamd op de Borg

Bijlagen :
– Mijn klacht aan gemeente Enschede dd 10 November 2017
– Antwoord van gemeente Enschede dd 21 December 2017
– Verzoek aan Gemeente Enschede verdere uitleg dd 16 Januari 2018

Copyright Europa Artikel 11 & 13

TL;DR email of bel voor 20 juni je MEP  in Europese parlement en leg ze uit waarom je tegen Artikel 11 en Artikel 13 bent.

Op 20 juni word er door “Legal Affairs Committee” gestemd over Europese wetgeving voor nieuwe Europese copyright regels. Het doel van deze wetgeving is om de wetten van de 28 deelstaten op een lijn te krijgen, wat op zich een goed doel is.. In het huidige voorstel zitten echter 2 artikelen (Artikel 11 en Artikel 13) die niet goed stroken met huidige daadwerkelijk internet gebruik.

Europese piraat Julia Reda is actief aan het tegen lobbyen, indien je meer wil lezen lees haar blog of specifiek artikel over deze wet.

Artikel 11 Link tax

Anyone using snippets of journalistic online content must first get a license from the publisher. This new right for publishers would apply for 20 years after publication.

Voorstel is dat iedereen voor iedere uittreksel een (betaalde) licentie  zou moeten hebben, zelfs indien deze maar uit een paar woorden bestaan. Uitdaging hierin is dat in de link zelf meestal de titel staat en dus zou hiervoor ook betaald moeten worden, dus ook voor het weergeven van zoekresultaten (een link) zou men een licentie nodig hebben.

Dit gaat niet werkt laat een soortgelijke wet in Spanje en Duitsland zien. Door deze wet had google links naar nieuwssites verwijderd maar hierdoor zagen vooral locale media 70% van de bezoekers wegblijven. Uiteindelijke hebben de media een licentie aan google gegeven en worden de zoekgegevens weer in google weergegeven. Resultaat is dan dus dat grote bedrijven een ‘gratis’ licentie krijgen en juist de kleine bedrijven moeten gaan betalen. Precies tegenovergestelde wat men wou bereiken.

Meer over Artikel 11

 

Artikel 13 uploadfilter

Internet platforms hosting “large amounts” of user-uploaded content must monitor user behavior and filter their contributions to identify and prevent copyright infringement.

Op het uploaden van commerciële content te voorkomen zou ‘grote’ platforms een upload filter moeten implementeren die deze content herkend en upload voorkomt. Er zijn legale uitzonderingen die niet door dit soort filters komt, denk aan parodie, memes en remixes. Omdat deze filter werken voordat iets gepubliceerd word hebben deze ook impact op  vrijheid van meningsuiting.

Het ontwikkelen van een upload filter is een kostbare zaak en zal alleen door de grote bedrijven uitgevoerd kunnen worden. Hierdoor krijgen veel kleinere sites een vrijwel onmogelijke taak om aan artikel 13 te voldoen en zou het kunnen zijn dat zij er mee stoppen.  Een verarming van het veelzijdige aanbod op internet.

Meer over Artikel 13

 

Verslag gesprek 6 Februari

23 Februari heb ik naar aanleiding van mijn gesprek met de Gemeente Enschede een brief ontvangen met daarin samenvatting van ons gesprek. Kort samengevat heeft de Gemeente en ik verschillende standpunten waar we waarschijnlijk niet bij elkaar komen.

Gemeente gaat nog wel onderzoeken of ze de gegevens van “Enschede stad van nu” wifi netwerk kunnen gebruiken voor eventueel bezoekers aantallen te bepalen. Voordeel hiervan zou zijn dat je alleen mensen telt die vooraf toestemming hebben gegeven.

De gemeente rond met deze brief deze kwestie af, ik wacht tot 25 mei als de nieuwe AVG van toepassing is en vraag dan met AP hier verder naar te kijken. Ik ben dus nog niet helemaal klaar met de Wifi Tracking.

Tubantia : De Sleepwet: een zegen of een zorg?

Is de Sleepwet een zegen voor de veiligheid in Nederland of zet de nieuwe wetgeving juist onze privacy zwaar onder druk? In het Balengebouw kruisen deskundigen Paul Abels en Dave Borghuis maandagavond de degens.

WILCO LOUWES

ENSCHEDE

Tegelijk met de gemeenteraadsverkiezingen op 21 maart, mogen Nederlanders ook hun stem uitbrengen op het referendum over de vernieuwde Wet op de inlichtingen – en veiligheidsdiensten (Wiv). Die wet wordt ook wel de Sleepwet genoemd, omdat het veiligheidsdiensten in staat stelt zonder toestemming een ‘sleepnet’ te trekken.

Dat wil zeggen dat massaal online communicatie afgeluisterd mag worden in een wijk als er een verdacht persoon woont en dat apparaten als televisies, computers en telefoons, gehackt mogen worden. Er kan een DNA-bank worden aangelegd en verzamelde gegevens mogen met buitenlandse inlichtingendiensten gedeeld worden.

Volgens de overheid is de Sleepwet noodzakelijk om adequaat en snel op te treden bij terroristische dreiging. Oud-Almeloër Paul Abels werkte bij diensten als de Nationaal Coördinator Terrorismebestrijding en de AIVD. Hij is maandagavond te gast bij het debat van Pakhuis Oost in het Balengebouw. Abels zei onlangs in een interview in deze krant dat hij begrijpt dat er mensen zijn die de Sleepwet niet willen, “maar dat komt mede doordat er met angstbeelden wordt gewerkt die niet terecht zijn.” Vergelijkingen met de Überwachungsstaat van de DDR gaan voor hem niet op. “Als je de wet goed leest, staat daar dat van het willekeurig afluisteren van burgers geen sprake is.”

Ook Dave Borghuis van Hackerspace Tkkrlab is er maandag bij. De Enschedeër is lid van de Piratenpartij. Borghuis diende eerder een klacht in tegen wifitracking in de binnenstad, waarbij bezoekers geteld worden via telefoonsignalen. “Net als bij wifitracking maak ik me bij de Sleepwet zorgen over de privacy”, zegt Borghuis. Gegevens van niet-verdachte burgers worden volgens hem wel gefilterd, “maar daar mogen inlichtingendiensten drie jaar over doen. Ondertussen kan die informatie worden gedeeld met het buitenland.” Het kan volgens Borghuis gaan om gevoelige informatie. “Gesprekken of e-mails. Of uitspraken van iemand die voor of tegen Erdogan is.”

Net als bij wifitracking maak ik me bij de Sleepwet zorgen over de privacy

Sleepwetdebat: maandag, aanvang 20.00 uur in het Balengebouw. Entree gratis. Aanmelden via de site: concordia.nl/verdieping.

Gesprek gemeente Enschede 6 Feb 2018

Op dinsdag 6 Februari heb ik (weer) een gesprek gehad met de gemeente Enschede over de wifi tracking. Eerst het goede nieuws, gegevens worden bij CityTraffic 2 maanden opgeslagen (was 6 maanden) en Gemeente geeft opdracht om bij CityTraffic een pentest te laten uitvoeren.

Tevens gaat de gemeente serieus kijken of toch wellicht wat mogelijk is met hun eigen “Stad van Enschede” wifi netwerk. Saxion had hier al (gedeeltelijk) naar gekeken maar resultaat was niet helemaal duidelijk. CityTraffic heeft wel aangegeven dat er een correlatie is tussen deze data en hun eigen telling, dus zou men op deze manier de bezoekersaantallen kunnen bepalen.

Gemeente blijft bij standpunt dat er een grondslag is voor wifi tracking. CityTraffic doe dit volgens de voorwaarden van AP (hash MAC e.d.). Hierdoor hoef volgens gemeente geen toestemming vooraf worden gevraagd. Tevens vinden ze het hun taak om tellingen ter beschikking te stellen aan winkeliers. Gemeente wil graag de effecten zien van (tijdelijke) wijzigingen in de stad. Ze werken samen met CityTraffic omdat deze de gegevens ook kan vergelijken met andere gemeenten.

 

Samenvattend wil de gemeente wel meewerken maar blijven ze bij standpunt dat wifi tracking zoals CityTraffic dit doet binnen de regels is en een goede grondvest heeft. Hier ben ik het niet mee eens, ik ben van mening dat men VOORAF toestemming moet geven, als de techniek dit niet ondersteund (zoals wifi) is dat geen reden om dan toch maar te introduceren.

Ik zal binnenkort weer bellen met Autoriteit Persoonsgegevens en checken wat de mogelijkheden zijn.