Uitleg nieuwe methode CityTraffic

Edit 9-1-2019 : Inmiddels met CityTraffic gesproken en er gebeurd wat meer dan 2x hashen. Er worden ook gegevens getruncate, dit zou dan voor voldoende privacy moeten zorgen. Hiermee kunnen ze niet meer de tijdsduur in de stad of zien of iemand nieuw is zien.  Ik probeer nog meer technische details te achterhalen en zal het hier aanvullen.

CityTraffic geeft aan dat zij van een pseudo geanonimiseerde data naar geanonimiseerd data. Als ik de informatie goed begrijp doen ze dit door een extra hash of versleuteling uit te voeren op de gegevens die van de sensor binnen komen en in de database gezet wordt.

Anonimiseren van data heeft een lange geschiedenis en blijkt in de praktijk ook tegen te vallen om dit goed te doen. Er zijn vele gevallen bekend dat een anonieme dataset is vrijgegeven waarbij de onderzoekers er toch in slaagden om deze te koppelen met personen. In het kort zou het voor wifi telling alleen kunnen als je op het sensor al genoeg gegevens cummeleerd (waardoor meteen individuele gegevens verdwijnt). In het huidige verhaal van CityTraffic wordt eerst alle gegevens van de sensor doorgestuurd naar de database, dus 1 regel in de database is nog steeds 1 persoon. Dat daar een dubbel hash / versleuteld nummertje bijstaat die niet terug te voeren naar een MAC adres maakt niet uit, dit is niet wezenlijk anders dan in de oude situatie waarbij MAC adres dmv hash SHA265 wordt berekend.

In mijn optiek heeft CityTraffic de methode niet voldoende aangepast om echt te kunnen spreken van anonieme gegevens. Ze versleutelen de MAC adres 2x, een keer op de sensor en vervolgens op de server. Maar als de gegevens van 1 persoon nog steeds individueel in de database komt maakt dit allemaal niet uit, hoe vaak je ook het MAC adres hash / versleuteld.

 

 

Handhavingsverzoek aan Autoriteit Persoonsgegevens

Ik heb gisteren (16 juli) een handhavingsverzoek aan Autoriteit Persoonsgegevens gestuurd met het verzoek dat ze bij gemeente Enschede willen kijken naar de wifi tracking.

De AP heeft al een ontvangstbevestiging gestuurd met de mededeling dat ze binnen 3 maanden een reactie geven.

De volledige brief aan AP :

Dave Borghuis ook genaamd op de Borg
XXXXXXXXXXXXX
XXXX XX  Enschede

Autoriteit persoonsgegevens
Postbus 93374
2509 AJ Den Haag

16 Juli 2018

Betreft : Handhavingsverzoek Wifi tracking Gemeente Enschede

Geachte mevrouw / mijnheer,

Autoriteit Persoonsgegevens heeft op 15 Juni 2017 (kenmerk z2016-00087) een brief gestuurd aan alle gemeenten waarin een aantal aandachtspunten werden genomen voor Wifi tracking in de steden (publieke ruimte). Vanaf 25 mei is tevens de AVG van toepassing in Nederland, hierdoor moeten ook gemeenten aan deze nieuwe wetgeving voldoen.

Sinds 6 september 2017 wordt door CityTrafic in Gemeente Enschede aan Wifi tracking gedaan. Ik heb hierover op 10 November 2017 een klacht ingediend bij Gemeente Enschede, waarbij ik aangeef dat Wifi tracking op diverse vlakken een ernstige inbreuk is op de privacy van de inwoners en bezoekers van de binnenstad. Na het antwoord heb ik nog een gesprek gevoerd met Karin Ligthart van Gemeente Enschede, echter zijn we niet tot een oplossing gekomen. Op 5 januari 2018 heb ik contact met de Autoriteit Persoonsgegevens hierover gehad waarbij deze case geregistreerd is.

Mijn bezwaren tegen de handelswijze van de Gemeente Enschede zijn:

1) De gemeente beroept zich op gerechtvaardigd belang als grondslag voor de verwerking. Voor zover mijn AVG kennis reikt zijn overheden expliciet uitgesloten voor het gebruik van deze grondslag. De gemeente Enschede mag dus, volgens mij, geen beroep doen op een gerechtvaardigd belang.

2) Indien de gemeente zich inderdaad niet kan beroepen op het uitvoeren van de tellingen als onderdeel van de publiekrechtelijke taak blijft toestemming als mogelijke grondslag over. Echter worden de bezoekers van de binnenstad van Enschede niet vooraf en duidelijk naar een “ondubbelzinnige toestemming” gevraagd om te mogen tracken via wifi.

Wel geeft Gemeente Enschede aan dat men de bezoekers informeert door middel van bordjes bij ingang van stad, met een link naar opt-out, maar dit is niet gelijk aan vooraf toestemming verkrijgen. Mijns inziens is het informeren via bordjes en een tekst op de website onvoldoende en daarmee zal wifi-tracking zal voor de meeste bezoekers onopgemerkt blijven. Tevens staat de wijze van informeren niet niet in verhouding tot het continue volgen van de bezoekers.

3) CityTraffic verzamelt 24/7 van de gehele binnenstad informatie over alle voorbijgangers. In de brief van aan de VNG wordt genoemd dat wifi tracking aan beginselen van proportionaliteit moet voldoen. Gemeente Enschede wil graag bezoekersaantallen inzichtelijk hebben, mijn inziens is om daarvoor alle burgers 24/7 in binnenstad te volgen hiervoor niet proportioneel. Men zou bezoekersaantallen ook kunnen bepalen door bv de bezetting van locale garages of verkeersstromen te meten of op de Wifi “Stad van Enschede” (waarvoor je wel vooraf toestemming geeft om op in te loggen). Tevens is het niet een primaire taak van een gemeente om de winkeliers of anderen geïnteresseerden van deze gegevens te voorzien.

4) De MAC adressen van de Wifi worden door CityTraffic (actief voor gemeenten in 30 steden) versleuteld door een eigen op SHA256 gebaseerde hash. Deze hash is niet terug te rekenen naar MAC adres, maar nog wel steeds uniek en dus een herleidbaar gegeven. Ik heb begrepen dat CityTraffic landelijk hash op dezelfde methode gebruikt word waardoor het mogelijk is om een persoon in meerdere steden te volgen. Dit lijkt me een ernstige inbreuk van de privacy van de betreffende bezoeker, aan de hand van de hash kun je 1 persoon indivudueel volgen.

Op basis van bovenstaande bezwaren is de verwerking van deze gegevens zonder expliciete toestemming van de betrokkenen en zonder andere rechtmatige verwerkingsgrond onrechtmatig en zou om die reden onmiddellijk moeten worden beëindigd.

Daarom verzoek ik de Autoriteit Persoonsgegevens om handhavend op te treden bij de Gemeente Enschede rondom de Wifi tracking. Deze Wifi tracking maakt een grote inbreuk op de privacy van de inwoners en bezoekers van Enschede en andere steden waar CityTraffic en soortgelijke bedrijven actief zijn. Men moet zich volgens jullie brief, dd 15 Juni 2017, “onbespied kunnen bewegen”. In de stad met Wifi tracking is dit per definitie niet mogelijk.

Ik hoor graag of jullie dit verzoek in behandeling willen nemen. Mochten jullie nog aanvullende informatie nodig hebben kunt u mij mailen op xxxxxx@xxxxxxxxxx.xx of bellen op xxxxxxxxxx.

Voor mijn volledige dossier en contacten met CityTraffic en Gemeente Enschede kunt u terug vinden op mijn site http://daveborghuis.nl/wp/wifi-tracking/

Met vriendelijke groet,

Dave Borghuis ook genaamd op de Borg

Bijlagen :
– Mijn klacht aan gemeente Enschede dd 10 November 2017
– Antwoord van gemeente Enschede dd 21 December 2017
– Verzoek aan Gemeente Enschede verdere uitleg dd 16 Januari 2018

Reactie van Gemeente Enschede Wifi Tracking

De gemeente Enschede heeft netjes op tijd antwoord gegevens op de klacht die ik had ingediend. Heel kort samengevat vind gemeente Enschede dat zij binnen de opgestelde regels van AP blijft en dus dat men door kan gaan met Wifi Tracking.

Mijn reactie van op aantal punten :

Gemeente Enschede : CityTraffic voor wifi telling uit, geen wifi tracking

Dit lijkt me meer een semantische discussie, uiteindelijk gaat het er om wat je precies doet. Als je personen kunt volgen in de stad lijkt me dit tracking, ook al noem je het anders.

Loopstromen op site CityTraffic

Als je “meerdere meetpunten koppelt om personen te volgen ben je aan het tracken.

Gemeente Enschede : Er is sprake van proportionaliteit/subsidiariteit (we meten alleen in winkel- en uitgaansgebied van de binnenstad van Enschede)

In de brief van AP staat “Het afbakenen van gebieden en periodes waarbinnen gemeten wordt is een voorbeeld van een waarborg op het gebied van proportionaliteit.”, gemeente Enschede / CityTraffic doet dit dus 24/7 voor vrijwel gehele binnenstad. Mijn inziens is dit niet echt een afgebakend gebied, laat staan een periode.

Gemeente Enschede : Betrokkenen kunnen zich onttrekken aan de tellingen (door wifi uit te zetten of door opt-out)

In de brief van AP staat “Voorafgaande toestemming van de betrokkenen “, dus opt-in als eis en niet opt-out.

Gemeente Enschede heeft al wel aangegeven dat men met bordjes wil gaan aangeven dat er aan wifi tracking word gedaan met een duidelijke link naar de opt-out.

Ik moet verder kijken wat ik met deze antwoorden kan, Gemeente Enschede geeft wel antwoorden maar naar mijn mening vullen ze het wel erg naar hun eigen belang in. De genoemde punten zoals in de brief van AP word genoemd zijn niet opgelost, inhoudelijk zijn we dus net zover als 6 weken geleden.

Wifi Tracking / Deel 2

Donderdag 19 Oktober was ik door raadslid Vic van Dijk (D66) uitgenodigd om aanwezig te zijn bij de uitleg van de diverse vragen die raadsleden hebben aan City Traffic. Gemeente Enschede heeft het Wi-Fi tracking uitbesteed aan dit bedrijf om bezoekers aantallen te verzamelen. 
Na aanleiding van dit overleg hier een overzicht van punten die hieruit zijn voortgekomen:
  • Versleutelen van MAC adressen gebeurt op de sensor nog voordat het verstuurd wordt naar de database. In alle databases etc. staan dus alleen de versleutelde adressen. Voor het versleutelen wordt momenteel altijd dezelfde key gebruikt
  • Het versleutelen wordt beschreven in 10 pagina’s hoe dit gebeurt. deze is op aanvraag beschikbaar.  City Traffic heeft dit zelf ontwikkeld, normaal is dit in de wereld van veiligheid een red flag (omdat deze dan niet door onafhankelijke partijen zijn onderzocht). De gemeente gaat deze opvragen en indien dit kan krijg ik een exemplaar, eventueel kan ik dan hier een oordeel over geven of het veilig e.d. is.
  • Er word alleen WiFi getrackt (dus geen bluetooth of camera) en tot overkant van de straat. (Een sensor zou veel meer ontvangen, omdat deze dan te ver weg zijn worden deze niet ‘gemeld’)
  • Er zijn “Wi-Fi Tracking” stickers geplakt op diverse punten in Enschede, dus hieraan zou het publiek moeten zien dat Wi-Fi tracking plaats vind.
  • Gemeente Enschede heeft voor Wi-Fi tracking City Traffic opdracht gegeven om (wekelijks) inzicht te krijgen in bezoekers aantallen. In het verleden werd 1x per jaar de bezoekers aantallen geteld.
  • Gemeente Enschede heeft diverse opties overwogen om bezoekers aantallen te verkrijgen, hieruit is Wi-Fi tracking als de beste optie uitgekomen.
  • Weinig mensen nemen de moeite om uit te schrijven, is normaal rond de 20-30 personen per stad. Laten we dit voor Enschede iets meer maken, uitschrijven kan HIER !
Sinds 2014 heeft tracking van winkelend publiek de aandacht van Autoriteit Persoonsgegevens (AP), waarna het in 2016 deze brief heeft geschreven naar de gemeenten en winkeliers. In deze brief staan een aantal aandachtspunten waar je rekening mee moet houden. 
AP staat kritisch tegenover Wi-Fi Tracking omdat dit een te grote inbreuk maak op de privacy van de bezoekers. Enkele standpunten van de AP : 
  • Er mag alleen in díe periodes en in díe gebieden waarin het echt nodig is, worden gemeten. Op andere momenten en plaatsen zou de meetapparatuur uit moeten staan.
  • Tracking zou via opt-in moet plaatvinden (dus bv inloggen op Wi-Fi netwerk). Zonder opt-in mag je geen mensen volgen.
  • Dat men via Wi-Fi getrackt word moet duidelijk zichtbaar zijn dmv bordjes e.d.
  • In de openbare ruimte moeten mensen zich onbespied kunnen bewegen. De gegevens moeten dan bijvoorbeeld onmiddellijk en onomkeerbaar worden geanonimiseerd.
Disclamer, ik ben geen advocaat. Dit gezegd hebbende lijkt me dat Wi-Fi tracking van winkelend publiek voor een lange periode niet mag omdat dit een te grote inbreuk is op je privacy. Ik wil dit de komende tijd nog verder onderzoeken of binnen de wettelijke kaders is opgetreden en of hier de privacy kan worden gewaarborgd.
PS : Had je uit ingeschreven in de opt-out register? Doe het nu hier.
Bronnen:
 

Wifi tracking Enschede

 

Krantenartikel op tctubantia

Ik heb een interview gegeven aan Tubantia over de Wifi tracking in Enschede.  Voor de mensen die hiermee niet bekend zijn, indien je een met je telefoon of ander wifi apparaat rond loopt zal deze altijd zoeken naar bekende Wifi netwerken. Bij dit zoeken word je MAC adres meegegeven, dit is een wereldwijd uniek hardware adres. Je kunt voorkomen dat je dit uitzend door je wifi uit te zetten, je moet dan iedere keer dat je van huis gaat wifi uit zetten en als je weer thuis komt aanzetten.  Je kunt ook bij tracking bedrijf opt-out hier aangeven.

Het bedrijf dit dit in opdracht van gemeente Enschede uitvoert geeft aan dat ze je MAC adres versleutelen, maar helaas word hier niet aangegeven hoe ze dit doen. Ik heb het vermoeden dat men dit dmv een hash doen, nadeel hiervan is dat dit nog steeds uniek is. Naar gemeente Enschede word alleen totalen gegeven, dus deze krijgt geen inzicht in MAC of andere unieke gegevens.

Vandaag de dag word vrijwel alles wat geregistreerd kan worden zonder dat er een noodzaak voor is. Al onze gegevens worden verkocht voor ‘betere service’ of ‘gerichte reclame’ zonder dat de gebruiker echt een keuze in heeft. Ik zou graag in de toekomst zien dat producten ‘privacy by design’ heeft, ipv alles vastleggen en verkopen. Gelukkig komt dit besef langzamerhand.