Uitslag AP handhavingsverzoek

Featured

Na 1017 dagen (2 jaar, 9 maand en 12 dagen) krijg ik eindelijk antwoord op mijn handhavingsverzoek aan Autoriteit Persoonsgegevens (AP). Kort samengevat lijkt AP me in alle punten gelijk te geven en geeft de gemeente Enschede een bestuurlijke boete van € 600.000 . gemeente gaat hierin nog wel in beroep, maar de uitspraak van AP is vandaag officieel gepubliceerd. Al met al ben ik vanaf 24 Oktober 2017 hiermee bezig geweest, dus 1283 dagen, (3 jaar en 6 maanden)

Mijn mening over rapport AP

Volledig rapport kun je downloaden via AP.

Zelf ben ik blij dat deze uitspraak er ligt. De boete was niet mijn doelstelling, ik wou alleen dat gemeente Enschede / Bureau RMC (marketing bedrijf dat de uitvoering doet en rapporten maakt) zou stoppen met de wifi tracking. De boete laat wel zien dat AP van mening is dat dit een ernstige overtreding is. Persoonlijke gegevens (hash MAC + locatie + datum / tijd) word voor 6 maanden opgeslagen zonder dat hiervoor een noodzaak is, een ernstige overtreding van de privacy van Enschedese burgers.

Met deze uitspraak ga ik van uit dat veel gemeenten per direct zullen stoppen met wifi tracking. Een mooie overwinning voor de privacy in heel Nederland en wellicht ook in Europa (Ik ga de europese Piraten hierover informeren).

Hieronder vind je uitleg over het gehele proces en meer inhoudelijk commentaar van mij.

Verkort historisch overzicht

Volledige dossier kun je hier vinden, hieronder staan de belangrijkste gebeurtenissen.

Op 6 september 2017 start gemeente Enschede met wifi tracking om dagelijkse bezoekersaantallen te verkrijgen. De gemeente wil met deze gegevens zien welke maatregelen welk effect hebben en de ondernemers over bezoekersaantallen informeren.

Vanaf het begin zijn hierbij vragen gesteld in verband met privacy. Raadsleden van CDA en SP stelden vragen en ik ging ook in gesprek met de gemeente. Naar mijn mening was het volgen van mensen 24/7 in de stad een grove inbreuk van de privacy. In de stad moet je onbespied kunnen rondbewegen, zonder dat je zelf hiervoor maatregelen moet nemen (zoals wifi op je telefoon uitzetten). Indien men wifi-tracking in een winkel toepast kan men er nog voor kiezen om die winkel niet in te gaan, de keuze om bijvoorbeeld de binnenstad niet in te gaan is wel een hele grote beperking in je vrijheden.

Op 10 november 2017 had ik een klacht bij de gemeente ingediend, dit gaf niet mijn beoogde resultaat. Op 17 juli 2018 heb ik een handhavingsverzoek ingediend bij autoriteit persoonsgegevens.

Op 30 november 2018 heeft AP aan alle gemeentes een brief gestuurd dat “wifi-tracking alleen in uitzonderlijke omstandigheden zijn toegestaan “. Naar aanleiding hiervan had gemeente Enschede de wifi tracking tijdelijk gestopt. Na aanpassing in het systeem (volgens RMC is er overgegaan van pseudonimiseren naar anonimiseren) word de wifi-tracking vanaf 1 januari 2019 in Gemeente Enschede weer voortgezet.

Vandaag 29 april 2021 is rapport van AP gepubliceerd waarbij ik in al mijn punten gelijk word gegeven. gemeente Enschede krijgt een boete opgelegd van € 600.000

Enkele punten uit rapport handhavingsverzoek

  • Gemeente was van mening dat het aanspraak kon maken op ‘gerechtvaardigd belang’ en daardoor via wifi-tracking statistieken zou mogen bijhouden. Echter volgens AP moet dit worden afgewogen tegen belang van privacy van de burgers, AP is van mening dat statistieken op een minder privacy ingrijpende manier ook bijgehouden kan worden en dat de burger zich onbespied door de stad moet kunnen bewegen.
  • Gemeente Enschede wordt door zijn active rol gezien als verwerkingsverantwoordelijke en dus ook verantwoordelijk voor wat er met alle data gebeurt. Deze verantwoordelijkheid kan men dus niet eenvoudig contractueel doorschuiven naar uitvoerende partijen. De gemeente had moeten nagaan of de privacy voldoende werd gewaarborgd door de gebruikte technieken. Gemeente heeft dit nagelaten en op vertrouwd dat de leverancier dit naar behoren regelt.
  • Ook na ‘anonimiseren’ zijn de gegevens persoonsgegeven volgens AP. Dit wordt ook heel mooi aangetoond door de analyse door AP dat enkele leefpatronen uit de data kon worden gedestilleerd (zie vanaf pg. 47).

    Dus ondanks alle beloftes van RMC is de “CityTraffic-methode” dus geen goede manier om gegevens te anonimiseren. (Zie ook mijn opmerking bij techniek)
  • Opmerkelijke feit : er word verwezen naar “Breyer” veroordeling (zoek op ECLI:EU:C:2016:779), dit ging of een dynamisch IP-adres een persoonsgegeven is. Patrick Breyer is tevens een Piraat en zit nu in het Europese parlement. Mooie bevestiging dat er meer piraten voor privacy opkomen.

Over de gebruikte technieken

Ondanks vele vragen aan RMC is me tot nu toe nooit echt duidelijk geworden hoe men precies de hash berekende of hoe de pseudonimiseerde gegevens worden geanonimiseerd. Door het rapport van AP is het eindelijk meer duidelijk wat er gebeurt. Hieronder beschrijf ik kort de stappen die RMC met de data uitvoerde.

Op een consumenten Wifi router is openWRT geïnstalleerd en wordt met behulp van ‘airodump-ng’ bijgehouden welke MAC-adressen er voorbij komen. Deze gegevens word naar een eigen geschreven stukje software gestuurd, berekend de hash (12 tekens lang) en verstuurt dit naar de server als het MAC-adres voor de eerste keer gezien wordt en als het MAC-adres langer dan 2 minuten niet meer gezien is.

Van de binnengekomen hash op de server worden de laatste 3 tekens verwijderd (‘geanonimiseerd’) en opgeslagen in een tijdelijke tabel. Deze wordt dagelijks overgezet naar de database na het filteren op de opt-out adressen en de bewonersfilters. Hierin blijven de gegevens 6 maanden staan. Vanuit deze database worden dan de diverse rapportages gemaakt voor gemeente Enschede.

Opmerkingen over de techniek:

  • Berekening van hash (eigen methode gebaseerd op sha256) is nog steeds onduidelijk, maar dit maakt voor de discussie niet uit. Wat wel belangrijk is dat de hash volgens de ‘CityTraffic Methode’ 12 tekens lang is, terwijl normaal een sha256 een string geeft van 64 tekens. Een normaal MAC adres is ook 12 tekens lang, maar dat zal vast toeval zijn.
  • Voor het anonimiseren van de gegevens verwijdert men de laatste 3 tekens, dus van 12 tekens naar 9 tekens. Er word nergens duidelijk gemaakt waarom dit voldoende zou moeten zijn (bijvoorbeeld door middel van onderzoek privacy expert) om te anonimiseren. Zie ook de blogpost van AP over afknippen van hashes. In een semi-onderzoek van mezelf zou je minimaal naar 4 tekens of minder moeten gaan. Disclaimer, ook dit geeft nog steeds geen 100% garantie dat gegevens dan anoniem zijn!!
  • De bewonersfilters word er dagelijks gekeken of hash van MAC word gezien tussen 5:00-7:00 EN 22:00-24:00. Als je op een van deze tijdstippen dus niet thuis bent of je MAC-adres word niet gezien kom je alsnog in de database terecht.

Wat had men kunnen doen?

Goed anonimiseren van data is een vakgebied, door een beetje te rommelen met getallen of een string in te korten ben je er niet. Er zijn genoeg gevallen bekend dat men een database geanonimiseerd en gepubliceerd heeft en dat wetenschappers er toch weer personen uit konden identificeren, helemaal als je dit kunt combineren met andere data. Zie de onderstaande tips dan ook niet als een officieel advies, raadpleeg een expert als je hiermee bezig gaat! Dit gezegd hebbende toch wat tips die ik zelf zo kan bedenken :

  • Je zou alleen de drukte van betreffende acces point kunnen versturen naar database. Omdat dit alleen een totaal is en geen persoonsgegeven (MAC/hash) is privacy dan geen problemen meer.
  • Voor heel Enschede (en Nederland) is er 1 methode gebruikt om hash te berekenen. Hierdoor kan men 1 persoon over een periode van 6 maanden volgen (door Nederland). Men zou een ‘salt’ kunnen gebruiken die per lokatie en/of dag wijzigt. Hierdoor zou men een persoon voor max. 1 dag kunnen volgen. Nadeel is natuurlijk wel dat men niet meer kan zien of een bezoeker eerder is geweest.
  • Indien men een hash gebruikt deze inkorten naar 4 tekens of minder, waardoor je ‘collissions’ krijgt en dus mensen bij elkaar optelt en daardoor niet individueel meer zijn te volgen.
  • Andere methode gebruiken dan wifi-tracking, genoemd wordt infrarood telling maar er zijn vast wel meerdere anonieme technieken te bedenken. Hierin had ik in start de project ook suggesties gedaan aan gemeente Enschede.

Reactie op commentaar gemeente Enschede

Inmiddels heeft gemeente Enschede reactie gegeven op besluit, hier wil ik graag even op ingaan.

Ze geven aan dat ze graag eerst een waarschuwing zouden willen krijgen.

Eerste signaal was de vragen over privacy van SP en CDA (en mij) tijdens de invoering, dan weet je dat je zorgvuldig hiermee om moet gaan. Daarna heb ik een klacht ingediend bij de gemeente, waar niks uitkwam. Vervolgens hebben alle gemeenten in Nederland op 30 november 2018 een brief ontvangen van AP, waarin aangegeven word dat wifi tracking alleen in uitzonderlijke gevallen mocht. Naar aanleiding van deze brief heeft de gemeente de wifi tracking inderdaad tijdelijk gestopt, maar men heeft er voor gekozen om (na aanpassingen van leverancier) weer verder te gaan met wifi-tracking. Was men op dat moment niet doorgegaan met de wifi tracking hadden ze waarschijnlijk ook geen boete gekregen.

Tevens geeft de gemeente aan dat men wifi tracking nodig heeft om een innovatieve stad te kunnen zijn, een ‘smart city’. Ik heb geen bezwaren tegen het idee om een stad slim te maken, maar zorg er dan wel voor dat de privacy van je burgers heel goed gewaarborgd word. Met andere woorden, je kunt prima innoveren EN privacy veilig zijn, dat zijn geen tegengestelde waarden.

In de media

GOGBOT 2020

Mijn CoronaTeller is te bekijken tijdens de GOGBOT 2020 expositie. Ik sta in het programma genoemd (als nummer 14). De GOGBOT is tot zondag open, let er wel op dat ivm Corona je een ticket moet hebben.

De foto met getal 1971 is dus het aantal unieke beacons die de CoronaTeller al gezien heeft, dat is dus sinds woensdag avond. Als iemand gezien word en een uur later terug komt wordt deze dus 2x geteld, ik kan niet bijhouden wie ik al wel of niet gezien heb. Dit getal is wel hoger dan wat ik zou inschatten.

CoronaTeller / CoronaCounter

Ik heb op 16 Aug de CoronaTeller gepubliceerd en gepost op de sociale media. Vooral via Twitter krijg ik hierover de nodige vragen, aangezien 280 tekens een beetje weinig is om alles uit te leggen deze blog. Mocht er in de toekomst meer vragen komen zal ik deze post verder aanvullen.

Eerst korte uitleg wat de CoronaMelder op de telefoon doet. Het zend meerdere keren per seconde een beacon (uniek nummer, afgeleid van geheime key). Deze key kan ik via een Raspberry Pi ontvangen en “leuke dingen” mee doen. In mijn geval tel ik het aantal unieke beacons die ik ontvang over de afgelopen 5 minuten. Hiermee kan ik zien hoeveel telefoons de CoronaMelder app op te telefoon hebben staan. Voor de volledige werking van de CoronaMelder zie mijn vorige blog post.

Een beacon is dus een ‘random’ getal waaruit verder niks valt af te leiden. Volgens het protocol wordt deze iedere 10-25 minuten opnieuw gegenereerd. Tevens kun je zien hoe sterk iemand binnen komt, maar hier doe ik niks mee. De Pi houd verder geen gegevens bij in een database of via internet/cloud, alles word in geheugen gedaan en is weg als je de Pi uitdoet/reset.

Is een beacon een ID ?

Een beacon is dus geen ID, hiervoor wordt deze te vaak veranderd. Mocht je het toch voor elkaar krijgen om een beacon aan een persoon te koppelen kun je na iedere nieuw gegenereerde beacon (dus 10-25 min) opnieuw beginnen.

Word er ander gegevens bijgehouden?

Kort antwoordt, NEE. Dus ook geen locatiedata, persoonsgegevens zoals naam, email telefoonnummer, etc etc. Op de telefoon wordt alleen de beacons die deze gezien heeft over de laatste 14 dagen opgeslagen. Aan de hand hiervan kan de telefoon bepalen of je risico loopt, zie ook mijn blog over de technische details.

Batterij gebruik

De CoronaMelder maakt gebruik van BLE 4, dit is het laatste bluetooth protocol dat zeer energie efficiënt kan werken. In de praktijk zou je dus niet veel merken van de app, anders probeer het uit je kunt de app altijd weer verwijderen.

Spookmeldingen

Eens in de maand geeft de CoronaMelder een overzicht van totaal aantal meldingen. Als je hier op klik kom je in de app terecht. Ook kun je in je OS zelf een lijstje zien waarop de ziektemeldingen wordt opgehaald. Beide meldingen zijn dus geen meldingen dat je mogelijk geïnfecteerd bent. Deze ziet er als volgt uit :

De CoronaTeller wordt getoond tijdens de Gogbot 2020 expositie.

Copyright Europa Artikel 11 & 13

TL;DR email of bel voor 20 juni je MEP  in Europese parlement en leg ze uit waarom je tegen Artikel 11 en Artikel 13 bent.

Op 20 juni word er door “Legal Affairs Committee” gestemd over Europese wetgeving voor nieuwe Europese copyright regels. Het doel van deze wetgeving is om de wetten van de 28 deelstaten op een lijn te krijgen, wat op zich een goed doel is.. In het huidige voorstel zitten echter 2 artikelen (Artikel 11 en Artikel 13) die niet goed stroken met huidige daadwerkelijk internet gebruik.

Europese piraat Julia Reda is actief aan het tegen lobbyen, indien je meer wil lezen lees haar blog of specifiek artikel over deze wet.

Artikel 11 Link tax

Anyone using snippets of journalistic online content must first get a license from the publisher. This new right for publishers would apply for 20 years after publication.

Voorstel is dat iedereen voor iedere uittreksel een (betaalde) licentie  zou moeten hebben, zelfs indien deze maar uit een paar woorden bestaan. Uitdaging hierin is dat in de link zelf meestal de titel staat en dus zou hiervoor ook betaald moeten worden, dus ook voor het weergeven van zoekresultaten (een link) zou men een licentie nodig hebben.

Dit gaat niet werkt laat een soortgelijke wet in Spanje en Duitsland zien. Door deze wet had google links naar nieuwssites verwijderd maar hierdoor zagen vooral locale media 70% van de bezoekers wegblijven. Uiteindelijke hebben de media een licentie aan google gegeven en worden de zoekgegevens weer in google weergegeven. Resultaat is dan dus dat grote bedrijven een ‘gratis’ licentie krijgen en juist de kleine bedrijven moeten gaan betalen. Precies tegenovergestelde wat men wou bereiken.

Meer over Artikel 11

 

Artikel 13 uploadfilter

Internet platforms hosting “large amounts” of user-uploaded content must monitor user behavior and filter their contributions to identify and prevent copyright infringement.

Op het uploaden van commerciële content te voorkomen zou ‘grote’ platforms een upload filter moeten implementeren die deze content herkend en upload voorkomt. Er zijn legale uitzonderingen die niet door dit soort filters komt, denk aan parodie, memes en remixes. Omdat deze filter werken voordat iets gepubliceerd word hebben deze ook impact op  vrijheid van meningsuiting.

Het ontwikkelen van een upload filter is een kostbare zaak en zal alleen door de grote bedrijven uitgevoerd kunnen worden. Hierdoor krijgen veel kleinere sites een vrijwel onmogelijke taak om aan artikel 13 te voldoen en zou het kunnen zijn dat zij er mee stoppen.  Een verarming van het veelzijdige aanbod op internet.

Meer over Artikel 13

 

Tubantia : De Sleepwet: een zegen of een zorg?

Is de Sleepwet een zegen voor de veiligheid in Nederland of zet de nieuwe wetgeving juist onze privacy zwaar onder druk? In het Balengebouw kruisen deskundigen Paul Abels en Dave Borghuis maandagavond de degens.

WILCO LOUWES

ENSCHEDE

Tegelijk met de gemeenteraadsverkiezingen op 21 maart, mogen Nederlanders ook hun stem uitbrengen op het referendum over de vernieuwde Wet op de inlichtingen – en veiligheidsdiensten (Wiv). Die wet wordt ook wel de Sleepwet genoemd, omdat het veiligheidsdiensten in staat stelt zonder toestemming een ‘sleepnet’ te trekken.

Dat wil zeggen dat massaal online communicatie afgeluisterd mag worden in een wijk als er een verdacht persoon woont en dat apparaten als televisies, computers en telefoons, gehackt mogen worden. Er kan een DNA-bank worden aangelegd en verzamelde gegevens mogen met buitenlandse inlichtingendiensten gedeeld worden.

Volgens de overheid is de Sleepwet noodzakelijk om adequaat en snel op te treden bij terroristische dreiging. Oud-Almeloër Paul Abels werkte bij diensten als de Nationaal Coördinator Terrorismebestrijding en de AIVD. Hij is maandagavond te gast bij het debat van Pakhuis Oost in het Balengebouw. Abels zei onlangs in een interview in deze krant dat hij begrijpt dat er mensen zijn die de Sleepwet niet willen, “maar dat komt mede doordat er met angstbeelden wordt gewerkt die niet terecht zijn.” Vergelijkingen met de Überwachungsstaat van de DDR gaan voor hem niet op. “Als je de wet goed leest, staat daar dat van het willekeurig afluisteren van burgers geen sprake is.”

Ook Dave Borghuis van Hackerspace Tkkrlab is er maandag bij. De Enschedeër is lid van de Piratenpartij. Borghuis diende eerder een klacht in tegen wifitracking in de binnenstad, waarbij bezoekers geteld worden via telefoonsignalen. “Net als bij wifitracking maak ik me bij de Sleepwet zorgen over de privacy”, zegt Borghuis. Gegevens van niet-verdachte burgers worden volgens hem wel gefilterd, “maar daar mogen inlichtingendiensten drie jaar over doen. Ondertussen kan die informatie worden gedeeld met het buitenland.” Het kan volgens Borghuis gaan om gevoelige informatie. “Gesprekken of e-mails. Of uitspraken van iemand die voor of tegen Erdogan is.”

Net als bij wifitracking maak ik me bij de Sleepwet zorgen over de privacy

Sleepwetdebat: maandag, aanvang 20.00 uur in het Balengebouw. Entree gratis. Aanmelden via de site: concordia.nl/verdieping.

Reactie van Gemeente Enschede Wifi Tracking

De gemeente Enschede heeft netjes op tijd antwoord gegevens op de klacht die ik had ingediend. Heel kort samengevat vind gemeente Enschede dat zij binnen de opgestelde regels van AP blijft en dus dat men door kan gaan met Wifi Tracking.

Mijn reactie van op aantal punten :

Gemeente Enschede : CityTraffic voor wifi telling uit, geen wifi tracking

Dit lijkt me meer een semantische discussie, uiteindelijk gaat het er om wat je precies doet. Als je personen kunt volgen in de stad lijkt me dit tracking, ook al noem je het anders.

Loopstromen op site CityTraffic

Als je “meerdere meetpunten koppelt om personen te volgen ben je aan het tracken.

Gemeente Enschede : Er is sprake van proportionaliteit/subsidiariteit (we meten alleen in winkel- en uitgaansgebied van de binnenstad van Enschede)

In de brief van AP staat “Het afbakenen van gebieden en periodes waarbinnen gemeten wordt is een voorbeeld van een waarborg op het gebied van proportionaliteit.”, gemeente Enschede / CityTraffic doet dit dus 24/7 voor vrijwel gehele binnenstad. Mijn inziens is dit niet echt een afgebakend gebied, laat staan een periode.

Gemeente Enschede : Betrokkenen kunnen zich onttrekken aan de tellingen (door wifi uit te zetten of door opt-out)

In de brief van AP staat “Voorafgaande toestemming van de betrokkenen “, dus opt-in als eis en niet opt-out.

Gemeente Enschede heeft al wel aangegeven dat men met bordjes wil gaan aangeven dat er aan wifi tracking word gedaan met een duidelijke link naar de opt-out.

Ik moet verder kijken wat ik met deze antwoorden kan, Gemeente Enschede geeft wel antwoorden maar naar mijn mening vullen ze het wel erg naar hun eigen belang in. De genoemde punten zoals in de brief van AP word genoemd zijn niet opgelost, inhoudelijk zijn we dus net zover als 6 weken geleden.

Wifi Tracking / Deel 2

Donderdag 19 Oktober was ik door raadslid Vic van Dijk (D66) uitgenodigd om aanwezig te zijn bij de uitleg van de diverse vragen die raadsleden hebben aan City Traffic. Gemeente Enschede heeft het Wi-Fi tracking uitbesteed aan dit bedrijf om bezoekers aantallen te verzamelen. 
Na aanleiding van dit overleg hier een overzicht van punten die hieruit zijn voortgekomen:
  • Versleutelen van MAC adressen gebeurt op de sensor nog voordat het verstuurd wordt naar de database. In alle databases etc. staan dus alleen de versleutelde adressen. Voor het versleutelen wordt momenteel altijd dezelfde key gebruikt
  • Het versleutelen wordt beschreven in 10 pagina’s hoe dit gebeurt. deze is op aanvraag beschikbaar.  City Traffic heeft dit zelf ontwikkeld, normaal is dit in de wereld van veiligheid een red flag (omdat deze dan niet door onafhankelijke partijen zijn onderzocht). De gemeente gaat deze opvragen en indien dit kan krijg ik een exemplaar, eventueel kan ik dan hier een oordeel over geven of het veilig e.d. is.
  • Er word alleen WiFi getrackt (dus geen bluetooth of camera) en tot overkant van de straat. (Een sensor zou veel meer ontvangen, omdat deze dan te ver weg zijn worden deze niet ‘gemeld’)
  • Er zijn “Wi-Fi Tracking” stickers geplakt op diverse punten in Enschede, dus hieraan zou het publiek moeten zien dat Wi-Fi tracking plaats vind.
  • Gemeente Enschede heeft voor Wi-Fi tracking City Traffic opdracht gegeven om (wekelijks) inzicht te krijgen in bezoekers aantallen. In het verleden werd 1x per jaar de bezoekers aantallen geteld.
  • Gemeente Enschede heeft diverse opties overwogen om bezoekers aantallen te verkrijgen, hieruit is Wi-Fi tracking als de beste optie uitgekomen.
  • Weinig mensen nemen de moeite om uit te schrijven, is normaal rond de 20-30 personen per stad. Laten we dit voor Enschede iets meer maken, uitschrijven kan HIER !
Sinds 2014 heeft tracking van winkelend publiek de aandacht van Autoriteit Persoonsgegevens (AP), waarna het in 2016 deze brief heeft geschreven naar de gemeenten en winkeliers. In deze brief staan een aantal aandachtspunten waar je rekening mee moet houden. 
AP staat kritisch tegenover Wi-Fi Tracking omdat dit een te grote inbreuk maak op de privacy van de bezoekers. Enkele standpunten van de AP : 
  • Er mag alleen in díe periodes en in díe gebieden waarin het echt nodig is, worden gemeten. Op andere momenten en plaatsen zou de meetapparatuur uit moeten staan.
  • Tracking zou via opt-in moet plaatvinden (dus bv inloggen op Wi-Fi netwerk). Zonder opt-in mag je geen mensen volgen.
  • Dat men via Wi-Fi getrackt word moet duidelijk zichtbaar zijn dmv bordjes e.d.
  • In de openbare ruimte moeten mensen zich onbespied kunnen bewegen. De gegevens moeten dan bijvoorbeeld onmiddellijk en onomkeerbaar worden geanonimiseerd.
Disclamer, ik ben geen advocaat. Dit gezegd hebbende lijkt me dat Wi-Fi tracking van winkelend publiek voor een lange periode niet mag omdat dit een te grote inbreuk is op je privacy. Ik wil dit de komende tijd nog verder onderzoeken of binnen de wettelijke kaders is opgetreden en of hier de privacy kan worden gewaarborgd.
PS : Had je uit ingeschreven in de opt-out register? Doe het nu hier.
Bronnen:
 

Wifi tracking Enschede

 

Krantenartikel op tctubantia

Ik heb een interview gegeven aan Tubantia over de Wifi tracking in Enschede.  Voor de mensen die hiermee niet bekend zijn, indien je een met je telefoon of ander wifi apparaat rond loopt zal deze altijd zoeken naar bekende Wifi netwerken. Bij dit zoeken word je MAC adres meegegeven, dit is een wereldwijd uniek hardware adres. Je kunt voorkomen dat je dit uitzend door je wifi uit te zetten, je moet dan iedere keer dat je van huis gaat wifi uit zetten en als je weer thuis komt aanzetten.  Je kunt ook bij tracking bedrijf opt-out hier aangeven.

Het bedrijf dit dit in opdracht van gemeente Enschede uitvoert geeft aan dat ze je MAC adres versleutelen, maar helaas word hier niet aangegeven hoe ze dit doen. Ik heb het vermoeden dat men dit dmv een hash doen, nadeel hiervan is dat dit nog steeds uniek is. Naar gemeente Enschede word alleen totalen gegeven, dus deze krijgt geen inzicht in MAC of andere unieke gegevens.

Vandaag de dag word vrijwel alles wat geregistreerd kan worden zonder dat er een noodzaak voor is. Al onze gegevens worden verkocht voor ‘betere service’ of ‘gerichte reclame’ zonder dat de gebruiker echt een keuze in heeft. Ik zou graag in de toekomst zien dat producten ‘privacy by design’ heeft, ipv alles vastleggen en verkopen. Gelukkig komt dit besef langzamerhand.

Onzin van Sleepnet surveillance

De wet die sleepnet-surveillance mogelijk moet maken (wet inzake wijziging Wet op de inlichtingen- en veiligheidsdiensten) staat op het punt om aangenomen te worden. Deze wet is helaas al door de Tweede kamer en moet nog door de Eerste kamer goedgekeurd worden. Heel kort geeft deze wet AIVD en andere veiligheidsdiensten de mogelijkheid om grote groepen mensen tegelijkertijd af te tappen en deze gegevens voor 3 of 6 jaar op te slaan. Je hoeft dus geen verdachte te zijn of iets strafbaars gedaan hebben om in een dergelijke sleepnet terecht te komen.

Natuurlijk zegt de AIVD dat ze deze verruiming van de wet nodig hebben in verband met ‘terrorisme’ ™. Voorheen was het alleen toegestaan om gegevens uit de ether af te luisteren, maar dat is omdat iedere radioamateur dit kan. Om dit te ‘upgraden’ naar kabel omdat dit ouderwets zou zijn vind ik een hele slechte reden. Indien iemand verdacht is, zijn er genoeg middelen om deze persoon af te tappen of op een andere manier in de gaten te houden, helemaal indien er een verdenking van terrorisme is. Ook is het nog niet aangetoond dat dit daadwerkelijk aanslagen heeft voorkomen. Bij vrijwel alle bekende aanslagen waren de personen op de een of andere manier al bekend bij de politie.

Een Amerikaans onderzoek hiernaar gaf aan dat er in eerste instantie 54 gevallen waren waarbij gegevens uit sleepnet gebruikt werden. Bij nader onderzoek bleef hier 1 twijfelachtige zaak over van een taxichauffeur die geld heeft overgemaakt naar een organisatie. Als dit het resultaat is van een grootschalig sleepnet waarin vele onschuldige burgers hun privacy totaal verliezen dan is dit wel een heel hoge prijs.

De nadelen van een sleepnet konden wel eens groter zijn dan de zogenoemde voordelen. Indien een groot deel van de bevolking onder surveillance ligt, zal men bewust of onbewust niet meer vrijuit spreken. In beroepen waar vertrouwen van een privégesprek essentieel is zoals advocaten, artsen en ook journalisten kan niet meer gegarandeerd worden dat een gesprek ook echt privé is. De AIVD en andere (buitenlandse) diensten kunnen dan tot 3 (!) jaar terug kijken wie met wie gesproken heeft en ook de inhoud van deze gesprekken inzien. Indien een klokkenluider een misverstand in de overheid wil gaan melden moet men uitzonderlijke maatregelen nemen om er zeker van te zijn dat de persoonsgegevens van deze niet bekend word. Een klokkenluider bedenkt zich dan wel twee keer voordat deze daadwerkelijk gaat melden, terwijl deze een essentiële rol speelt in een goedwerkende maatschappij en democratie.

Ook jij kunt wat te verbergen hebben. Dit begint al met je identiteit, indien deze voor een crimineel inzichtelijk is kan hij zich als jou voordoen en bijvoorbeeld op jouw naam schulden aangaan of contracten afsluiten. Ook je persoonlijke mening die je aan je vrienden vertelt kan privé zijn, maar indien deze voor iedereen inzichtelijk wordt, kan het in een veranderend politiek klimaat gebeuren dat je ineens achtervolgd wordt door je eigen uitspraken. Voorbeelden hiervan zijn niet alleen in het verleden te vinden maar ook nu zoals wie de tegenstanders zijn van Trump of Erdogan.

Maar ook al heb jij persoonlijk ‘niks te verbergen’ hebt, zijn er genoeg mensen die dit wel hebben. Dit kan heel persoonlijke dingen zijn zoals je seksuele voorkeur of politiek keuze. Niet iedereen zal het prettig vinden dat dit bij de buurman bekend is. Ook hierom moeten we onze privacy beschermen, niet alleen voor jou maar voor de hele maatschappij.

Privacy is een essentieel burgerrecht waarvoor de Piratenpartij als kernpunt zich sterk maakt. Met de ontwikkelingen op digitaal gebied is het steeds belangrijker dat de privacy van de gebruikers gerespecteerd worden en zowel overheden als bedrijven dit inzien.

Informeer jezelf over :

Onderzoek naar effecten sleepnet (NSA) : New Yorker , New America, ACLU Rapport

Dit opiniestuk is ook gepubliceerd op site Piratenpartij.

Privacy lezing Bibliotheek Enschede

4-camera-surveillance-system

Afgelopen Zaterdag 19 November heb ik bij de bibliotheek Enschede gehouden. Het was een interessante interactieve lezing met goede vragen van de aanwezige mensen.

Enkele highlights uit de presentatie :

  • Privacy is een grondrecht, dus je zou niet hoeven te verklaren of verdedigen waarom je privacy nodig hebt.
  • Wat je wel te verbergen hebt.
  • Privacy vs Veiligheid
  • Wat praktische tips hoe je privacy zou beschermen, zie ook https://toolkit.bof.nl 

Volledige presentatie kun je hier vinden.