Verslag gesprek 6 Februari

23 Februari heb ik naar aanleiding van mijn gesprek met de Gemeente Enschede een brief ontvangen met daarin samenvatting van ons gesprek. Kort samengevat heeft de Gemeente en ik verschillende standpunten waar we waarschijnlijk niet bij elkaar komen.

Gemeente gaat nog wel onderzoeken of ze de gegevens van “Enschede stad van nu” wifi netwerk kunnen gebruiken voor eventueel bezoekers aantallen te bepalen. Voordeel hiervan zou zijn dat je alleen mensen telt die vooraf toestemming hebben gegeven.

De gemeente rond met deze brief deze kwestie af, ik wacht tot 25 mei als de nieuwe AVG van toepassing is en vraag dan met AP hier verder naar te kijken. Ik ben dus nog niet helemaal klaar met de Wifi Tracking.

Gesprek gemeente Enschede 6 Feb 2018

Op dinsdag 6 Februari heb ik (weer) een gesprek gehad met de gemeente Enschede over de wifi tracking. Eerst het goede nieuws, gegevens worden bij CityTraffic 2 maanden opgeslagen (was 6 maanden) en Gemeente geeft opdracht om bij CityTraffic een pentest te laten uitvoeren.

Tevens gaat de gemeente serieus kijken of toch wellicht wat mogelijk is met hun eigen “Stad van Enschede” wifi netwerk. Saxion had hier al (gedeeltelijk) naar gekeken maar resultaat was niet helemaal duidelijk. CityTraffic heeft wel aangegeven dat er een correlatie is tussen deze data en hun eigen telling, dus zou men op deze manier de bezoekersaantallen kunnen bepalen.

Gemeente blijft bij standpunt dat er een grondslag is voor wifi tracking. CityTraffic doe dit volgens de voorwaarden van AP (hash MAC e.d.). Hierdoor hoef volgens gemeente geen toestemming vooraf worden gevraagd. Tevens vinden ze het hun taak om tellingen ter beschikking te stellen aan winkeliers. Gemeente wil graag de effecten zien van (tijdelijke) wijzigingen in de stad. Ze werken samen met CityTraffic omdat deze de gegevens ook kan vergelijken met andere gemeenten.

 

Samenvattend wil de gemeente wel meewerken maar blijven ze bij standpunt dat wifi tracking zoals CityTraffic dit doet binnen de regels is en een goede grondvest heeft. Hier ben ik het niet mee eens, ik ben van mening dat men VOORAF toestemming moet geven, als de techniek dit niet ondersteund (zoals wifi) is dat geen reden om dan toch maar te introduceren.

Ik zal binnenkort weer bellen met Autoriteit Persoonsgegevens en checken wat de mogelijkheden zijn.

 

Reactie van Gemeente Enschede Wifi Tracking

De gemeente Enschede heeft netjes op tijd antwoord gegevens op de klacht die ik had ingediend. Heel kort samengevat vind gemeente Enschede dat zij binnen de opgestelde regels van AP blijft en dus dat men door kan gaan met Wifi Tracking.

Mijn reactie van op aantal punten :

Gemeente Enschede : CityTraffic voor wifi telling uit, geen wifi tracking

Dit lijkt me meer een semantische discussie, uiteindelijk gaat het er om wat je precies doet. Als je personen kunt volgen in de stad lijkt me dit tracking, ook al noem je het anders.

Loopstromen op site CityTraffic

Als je “meerdere meetpunten koppelt om personen te volgen ben je aan het tracken.

Gemeente Enschede : Er is sprake van proportionaliteit/subsidiariteit (we meten alleen in winkel- en uitgaansgebied van de binnenstad van Enschede)

In de brief van AP staat “Het afbakenen van gebieden en periodes waarbinnen gemeten wordt is een voorbeeld van een waarborg op het gebied van proportionaliteit.”, gemeente Enschede / CityTraffic doet dit dus 24/7 voor vrijwel gehele binnenstad. Mijn inziens is dit niet echt een afgebakend gebied, laat staan een periode.

Gemeente Enschede : Betrokkenen kunnen zich onttrekken aan de tellingen (door wifi uit te zetten of door opt-out)

In de brief van AP staat “Voorafgaande toestemming van de betrokkenen “, dus opt-in als eis en niet opt-out.

Gemeente Enschede heeft al wel aangegeven dat men met bordjes wil gaan aangeven dat er aan wifi tracking word gedaan met een duidelijke link naar de opt-out.

Ik moet verder kijken wat ik met deze antwoorden kan, Gemeente Enschede geeft wel antwoorden maar naar mijn mening vullen ze het wel erg naar hun eigen belang in. De genoemde punten zoals in de brief van AP word genoemd zijn niet opgelost, inhoudelijk zijn we dus net zover als 6 weken geleden.

Wifi Tracking / Deel 2

Donderdag 19 Oktober was ik door raadslid Vic van Dijk (D66) uitgenodigd om aanwezig te zijn bij de uitleg van de diverse vragen die raadsleden hebben aan City Traffic. Gemeente Enschede heeft het Wi-Fi tracking uitbesteed aan dit bedrijf om bezoekers aantallen te verzamelen. 
Na aanleiding van dit overleg hier een overzicht van punten die hieruit zijn voortgekomen:
  • Versleutelen van MAC adressen gebeurt op de sensor nog voordat het verstuurd wordt naar de database. In alle databases etc. staan dus alleen de versleutelde adressen. Voor het versleutelen wordt momenteel altijd dezelfde key gebruikt
  • Het versleutelen wordt beschreven in 10 pagina’s hoe dit gebeurt. deze is op aanvraag beschikbaar.  City Traffic heeft dit zelf ontwikkeld, normaal is dit in de wereld van veiligheid een red flag (omdat deze dan niet door onafhankelijke partijen zijn onderzocht). De gemeente gaat deze opvragen en indien dit kan krijg ik een exemplaar, eventueel kan ik dan hier een oordeel over geven of het veilig e.d. is.
  • Er word alleen WiFi getrackt (dus geen bluetooth of camera) en tot overkant van de straat. (Een sensor zou veel meer ontvangen, omdat deze dan te ver weg zijn worden deze niet ‘gemeld’)
  • Er zijn “Wi-Fi Tracking” stickers geplakt op diverse punten in Enschede, dus hieraan zou het publiek moeten zien dat Wi-Fi tracking plaats vind.
  • Gemeente Enschede heeft voor Wi-Fi tracking City Traffic opdracht gegeven om (wekelijks) inzicht te krijgen in bezoekers aantallen. In het verleden werd 1x per jaar de bezoekers aantallen geteld.
  • Gemeente Enschede heeft diverse opties overwogen om bezoekers aantallen te verkrijgen, hieruit is Wi-Fi tracking als de beste optie uitgekomen.
  • Weinig mensen nemen de moeite om uit te schrijven, is normaal rond de 20-30 personen per stad. Laten we dit voor Enschede iets meer maken, uitschrijven kan HIER !
Sinds 2014 heeft tracking van winkelend publiek de aandacht van Autoriteit Persoonsgegevens (AP), waarna het in 2016 deze brief heeft geschreven naar de gemeenten en winkeliers. In deze brief staan een aantal aandachtspunten waar je rekening mee moet houden. 
AP staat kritisch tegenover Wi-Fi Tracking omdat dit een te grote inbreuk maak op de privacy van de bezoekers. Enkele standpunten van de AP : 
  • Er mag alleen in díe periodes en in díe gebieden waarin het echt nodig is, worden gemeten. Op andere momenten en plaatsen zou de meetapparatuur uit moeten staan.
  • Tracking zou via opt-in moet plaatvinden (dus bv inloggen op Wi-Fi netwerk). Zonder opt-in mag je geen mensen volgen.
  • Dat men via Wi-Fi getrackt word moet duidelijk zichtbaar zijn dmv bordjes e.d.
  • In de openbare ruimte moeten mensen zich onbespied kunnen bewegen. De gegevens moeten dan bijvoorbeeld onmiddellijk en onomkeerbaar worden geanonimiseerd.
Disclamer, ik ben geen advocaat. Dit gezegd hebbende lijkt me dat Wi-Fi tracking van winkelend publiek voor een lange periode niet mag omdat dit een te grote inbreuk is op je privacy. Ik wil dit de komende tijd nog verder onderzoeken of binnen de wettelijke kaders is opgetreden en of hier de privacy kan worden gewaarborgd.
PS : Had je uit ingeschreven in de opt-out register? Doe het nu hier.
Bronnen:
 

Wifi tracking Enschede

 

Krantenartikel op tctubantia

Ik heb een interview gegeven aan Tubantia over de Wifi tracking in Enschede.  Voor de mensen die hiermee niet bekend zijn, indien je een met je telefoon of ander wifi apparaat rond loopt zal deze altijd zoeken naar bekende Wifi netwerken. Bij dit zoeken word je MAC adres meegegeven, dit is een wereldwijd uniek hardware adres. Je kunt voorkomen dat je dit uitzend door je wifi uit te zetten, je moet dan iedere keer dat je van huis gaat wifi uit zetten en als je weer thuis komt aanzetten.  Je kunt ook bij tracking bedrijf opt-out hier aangeven.

Het bedrijf dit dit in opdracht van gemeente Enschede uitvoert geeft aan dat ze je MAC adres versleutelen, maar helaas word hier niet aangegeven hoe ze dit doen. Ik heb het vermoeden dat men dit dmv een hash doen, nadeel hiervan is dat dit nog steeds uniek is. Naar gemeente Enschede word alleen totalen gegeven, dus deze krijgt geen inzicht in MAC of andere unieke gegevens.

Vandaag de dag word vrijwel alles wat geregistreerd kan worden zonder dat er een noodzaak voor is. Al onze gegevens worden verkocht voor ‘betere service’ of ‘gerichte reclame’ zonder dat de gebruiker echt een keuze in heeft. Ik zou graag in de toekomst zien dat producten ‘privacy by design’ heeft, ipv alles vastleggen en verkopen. Gelukkig komt dit besef langzamerhand.