Bezwaar gemeente Enschede

Gemeente Enschede heeft (zoals al aangegeven bij bekendmaking boete) bezwaar ingediend tegen besluit van AP.

Kort samengevat gaat gemeente volledig tegen het besluit in. Gemeente Enschede geeft in hun bezwaarschrift met 10 argumenten aan waarom zij de boete niet zouden moeten ontvangen. Meest tekende vind ik het argument dat er niet voldoende (technisch) onderzocht word en dat er aannames gemaakt zijn. Als je het rapport leest vind ik het juist wel goed technisch onderlegt. Er word gekeken wat er op de acces point zelf gebeurt en er is zelfs gekeken naar de broncode van het programma die deze opstuurt naar de server. Naar mijn inzicht kun je niet veel verder gaan dan dat.

Ik ben niet thuis in rechtelijke processen en hoe deze verlopen, maar ik krijg wel een beetje de indruk dat gemeente Enschede hier alles uit de kast haalt en tegen de muur gooit in de hoop dat er iets blijft plakken. In artikel ‘tijdschrijft voor internetrecht’ verscheen artikel waarin rechtelijk naar deze situatie gekeken werd en AP gelijk werd gegeven mbt de opgelegde boete.

Dit bezwaar word in eerste instantie behandeld door AP zelf, als hierover een uitspraak komt zul je het natuurlijk van me horen.

Uitslag AP handhavingsverzoek

Featured

Na 1017 dagen (2 jaar, 9 maand en 12 dagen) krijg ik eindelijk antwoord op mijn handhavingsverzoek aan Autoriteit Persoonsgegevens (AP). Kort samengevat lijkt AP me in alle punten gelijk te geven en geeft de gemeente Enschede een bestuurlijke boete van € 600.000 . gemeente gaat hierin nog wel in beroep, maar de uitspraak van AP is vandaag officieel gepubliceerd. Al met al ben ik vanaf 24 Oktober 2017 hiermee bezig geweest, dus 1283 dagen, (3 jaar en 6 maanden)

Mijn mening over rapport AP

Volledig rapport kun je downloaden via AP.

Zelf ben ik blij dat deze uitspraak er ligt. De boete was niet mijn doelstelling, ik wou alleen dat gemeente Enschede / Bureau RMC (marketing bedrijf dat de uitvoering doet en rapporten maakt) zou stoppen met de wifi tracking. De boete laat wel zien dat AP van mening is dat dit een ernstige overtreding is. Persoonlijke gegevens (hash MAC + locatie + datum / tijd) word voor 6 maanden opgeslagen zonder dat hiervoor een noodzaak is, een ernstige overtreding van de privacy van Enschedese burgers.

Met deze uitspraak ga ik van uit dat veel gemeenten per direct zullen stoppen met wifi tracking. Een mooie overwinning voor de privacy in heel Nederland en wellicht ook in Europa (Ik ga de europese Piraten hierover informeren).

Hieronder vind je uitleg over het gehele proces en meer inhoudelijk commentaar van mij.

Verkort historisch overzicht

Volledige dossier kun je hier vinden, hieronder staan de belangrijkste gebeurtenissen.

Op 6 september 2017 start gemeente Enschede met wifi tracking om dagelijkse bezoekersaantallen te verkrijgen. De gemeente wil met deze gegevens zien welke maatregelen welk effect hebben en de ondernemers over bezoekersaantallen informeren.

Vanaf het begin zijn hierbij vragen gesteld in verband met privacy. Raadsleden van CDA en SP stelden vragen en ik ging ook in gesprek met de gemeente. Naar mijn mening was het volgen van mensen 24/7 in de stad een grove inbreuk van de privacy. In de stad moet je onbespied kunnen rondbewegen, zonder dat je zelf hiervoor maatregelen moet nemen (zoals wifi op je telefoon uitzetten). Indien men wifi-tracking in een winkel toepast kan men er nog voor kiezen om die winkel niet in te gaan, de keuze om bijvoorbeeld de binnenstad niet in te gaan is wel een hele grote beperking in je vrijheden.

Op 10 november 2017 had ik een klacht bij de gemeente ingediend, dit gaf niet mijn beoogde resultaat. Op 17 juli 2018 heb ik een handhavingsverzoek ingediend bij autoriteit persoonsgegevens.

Op 30 november 2018 heeft AP aan alle gemeentes een brief gestuurd dat “wifi-tracking alleen in uitzonderlijke omstandigheden zijn toegestaan “. Naar aanleiding hiervan had gemeente Enschede de wifi tracking tijdelijk gestopt. Na aanpassing in het systeem (volgens RMC is er overgegaan van pseudonimiseren naar anonimiseren) word de wifi-tracking vanaf 1 januari 2019 in Gemeente Enschede weer voortgezet.

Vandaag 29 april 2021 is rapport van AP gepubliceerd waarbij ik in al mijn punten gelijk word gegeven. gemeente Enschede krijgt een boete opgelegd van € 600.000

Enkele punten uit rapport handhavingsverzoek

  • Gemeente was van mening dat het aanspraak kon maken op ‘gerechtvaardigd belang’ en daardoor via wifi-tracking statistieken zou mogen bijhouden. Echter volgens AP moet dit worden afgewogen tegen belang van privacy van de burgers, AP is van mening dat statistieken op een minder privacy ingrijpende manier ook bijgehouden kan worden en dat de burger zich onbespied door de stad moet kunnen bewegen.
  • Gemeente Enschede wordt door zijn active rol gezien als verwerkingsverantwoordelijke en dus ook verantwoordelijk voor wat er met alle data gebeurt. Deze verantwoordelijkheid kan men dus niet eenvoudig contractueel doorschuiven naar uitvoerende partijen. De gemeente had moeten nagaan of de privacy voldoende werd gewaarborgd door de gebruikte technieken. Gemeente heeft dit nagelaten en op vertrouwd dat de leverancier dit naar behoren regelt.
  • Ook na ‘anonimiseren’ zijn de gegevens persoonsgegeven volgens AP. Dit wordt ook heel mooi aangetoond door de analyse door AP dat enkele leefpatronen uit de data kon worden gedestilleerd (zie vanaf pg. 47).

    Dus ondanks alle beloftes van RMC is de “CityTraffic-methode” dus geen goede manier om gegevens te anonimiseren. (Zie ook mijn opmerking bij techniek)
  • Opmerkelijke feit : er word verwezen naar “Breyer” veroordeling (zoek op ECLI:EU:C:2016:779), dit ging of een dynamisch IP-adres een persoonsgegeven is. Patrick Breyer is tevens een Piraat en zit nu in het Europese parlement. Mooie bevestiging dat er meer piraten voor privacy opkomen.

Over de gebruikte technieken

Ondanks vele vragen aan RMC is me tot nu toe nooit echt duidelijk geworden hoe men precies de hash berekende of hoe de pseudonimiseerde gegevens worden geanonimiseerd. Door het rapport van AP is het eindelijk meer duidelijk wat er gebeurt. Hieronder beschrijf ik kort de stappen die RMC met de data uitvoerde.

Op een consumenten Wifi router is openWRT geïnstalleerd en wordt met behulp van ‘airodump-ng’ bijgehouden welke MAC-adressen er voorbij komen. Deze gegevens word naar een eigen geschreven stukje software gestuurd, berekend de hash (12 tekens lang) en verstuurt dit naar de server als het MAC-adres voor de eerste keer gezien wordt en als het MAC-adres langer dan 2 minuten niet meer gezien is.

Van de binnengekomen hash op de server worden de laatste 3 tekens verwijderd (‘geanonimiseerd’) en opgeslagen in een tijdelijke tabel. Deze wordt dagelijks overgezet naar de database na het filteren op de opt-out adressen en de bewonersfilters. Hierin blijven de gegevens 6 maanden staan. Vanuit deze database worden dan de diverse rapportages gemaakt voor gemeente Enschede.

Opmerkingen over de techniek:

  • Berekening van hash (eigen methode gebaseerd op sha256) is nog steeds onduidelijk, maar dit maakt voor de discussie niet uit. Wat wel belangrijk is dat de hash volgens de ‘CityTraffic Methode’ 12 tekens lang is, terwijl normaal een sha256 een string geeft van 64 tekens. Een normaal MAC adres is ook 12 tekens lang, maar dat zal vast toeval zijn.
  • Voor het anonimiseren van de gegevens verwijdert men de laatste 3 tekens, dus van 12 tekens naar 9 tekens. Er word nergens duidelijk gemaakt waarom dit voldoende zou moeten zijn (bijvoorbeeld door middel van onderzoek privacy expert) om te anonimiseren. Zie ook de blogpost van AP over afknippen van hashes. In een semi-onderzoek van mezelf zou je minimaal naar 4 tekens of minder moeten gaan. Disclaimer, ook dit geeft nog steeds geen 100% garantie dat gegevens dan anoniem zijn!!
  • De bewonersfilters word er dagelijks gekeken of hash van MAC word gezien tussen 5:00-7:00 EN 22:00-24:00. Als je op een van deze tijdstippen dus niet thuis bent of je MAC-adres word niet gezien kom je alsnog in de database terecht.

Wat had men kunnen doen?

Goed anonimiseren van data is een vakgebied, door een beetje te rommelen met getallen of een string in te korten ben je er niet. Er zijn genoeg gevallen bekend dat men een database geanonimiseerd en gepubliceerd heeft en dat wetenschappers er toch weer personen uit konden identificeren, helemaal als je dit kunt combineren met andere data. Zie de onderstaande tips dan ook niet als een officieel advies, raadpleeg een expert als je hiermee bezig gaat! Dit gezegd hebbende toch wat tips die ik zelf zo kan bedenken :

  • Je zou alleen de drukte van betreffende acces point kunnen versturen naar database. Omdat dit alleen een totaal is en geen persoonsgegeven (MAC/hash) is privacy dan geen problemen meer.
  • Voor heel Enschede (en Nederland) is er 1 methode gebruikt om hash te berekenen. Hierdoor kan men 1 persoon over een periode van 6 maanden volgen (door Nederland). Men zou een ‘salt’ kunnen gebruiken die per lokatie en/of dag wijzigt. Hierdoor zou men een persoon voor max. 1 dag kunnen volgen. Nadeel is natuurlijk wel dat men niet meer kan zien of een bezoeker eerder is geweest.
  • Indien men een hash gebruikt deze inkorten naar 4 tekens of minder, waardoor je ‘collissions’ krijgt en dus mensen bij elkaar optelt en daardoor niet individueel meer zijn te volgen.
  • Andere methode gebruiken dan wifi-tracking, genoemd wordt infrarood telling maar er zijn vast wel meerdere anonieme technieken te bedenken. Hierin had ik in start de project ook suggesties gedaan aan gemeente Enschede.

Reactie op commentaar gemeente Enschede

Inmiddels heeft gemeente Enschede reactie gegeven op besluit, hier wil ik graag even op ingaan.

Ze geven aan dat ze graag eerst een waarschuwing zouden willen krijgen.

Eerste signaal was de vragen over privacy van SP en CDA (en mij) tijdens de invoering, dan weet je dat je zorgvuldig hiermee om moet gaan. Daarna heb ik een klacht ingediend bij de gemeente, waar niks uitkwam. Vervolgens hebben alle gemeenten in Nederland op 30 november 2018 een brief ontvangen van AP, waarin aangegeven word dat wifi tracking alleen in uitzonderlijke gevallen mocht. Naar aanleiding van deze brief heeft de gemeente de wifi tracking inderdaad tijdelijk gestopt, maar men heeft er voor gekozen om (na aanpassingen van leverancier) weer verder te gaan met wifi-tracking. Was men op dat moment niet doorgegaan met de wifi tracking hadden ze waarschijnlijk ook geen boete gekregen.

Tevens geeft de gemeente aan dat men wifi tracking nodig heeft om een innovatieve stad te kunnen zijn, een ‘smart city’. Ik heb geen bezwaren tegen het idee om een stad slim te maken, maar zorg er dan wel voor dat de privacy van je burgers heel goed gewaarborgd word. Met andere woorden, je kunt prima innoveren EN privacy veilig zijn, dat zijn geen tegengestelde waarden.

In de media

Wifi tracking – verweer gemeente Enschede

Ik heb 3 Juni bericht van AP ontvangen dat het onderzoek is afgerond en dat het rapport nu bij de gemeente Enschede ligt zodat zij hun reactie / verweer kunnen geven.

Als deze reactie door het AP is ontvangen zullen zij een eindrapport maken waarin een eindconclusie te vinden is. Deze zal dan ook openbaar zijn.

Met andere woorden het lijkt er op dat na 2 jaar het einde van dit proces in zicht is. De bal ligt nu bij de gemeente Enschede en zou niet zo heel lang moeten duren voordat zij een reactie hebben geformuleerd (hopelijk hooguit een paar maanden).

City Traffic methode

De methode van City Traffic om gegevens te anonimiseren blijft me toch bezig houden. Hoe ze precies van een MAC adres hun eigen hash maken die opgeslagen wordt in de database is me ondanks vele vragen nog steeds niet duidelijk. Om toch iets te kunnen doen doe ik hieronder wat aannames, als het ander is hoor ik graag van de specialisten hoe het dan wel moet ( of beter laat het zien in deze github code). Wat ik van ze begrijp doen ze het volgende :

  • Pseudo anonimiseren door hashen het MAC adres naar ‘op sha256 gebaseerde eigen methode’. Normaal geeft een sha256() een hex string van 64 tekens, dus ga ik hier van uit.
  • Nogmaals iets met de hash doen wat een resultaat geeft van 17 tekens. Ondanks meerdere malen te hebben gevraagd hoe/wat ze het terug brengen naar 17 teken heb ik geen idee wat ze precies doen. Voor nu ga ik van uit dat ze van de 64 tekens de eerst 17 tekens gebruiken.

Als ik van de hierboven gestelde methode uitga en ik ga voor 17.000.000 ‘adressen’ (ALLE inwoners van Nederland) de eerste 17 tekens van sha256 opslaan in een database, hoeveel dubbele hashes denk je dat ik dan heb? Ik heb het programma gemaakt die precies dit doet, het antwoord is dat ik 0 (!!) dubbele hashes heb. Dus als we deze methode vertalen naar de ‘City Trafic’ methode betekent dit dat het ‘dubbel hashen’ van getallen leuk is maar nog steeds 1 persoon is, en dus een persoonlijk gegeven. Als ik uitga van een stad van Enschede met 5000 bezoekers moet je het aantal karakters terugbrengen naar 4 of minder om een beetje te anonimiseren , (met 4 tekens 184 dubbele records (nog steeds te weinig naar mijn mening), met 5 krijgt men 8 dubbele records, met 6 is iedere record uniek).

Toby Kuiper heeft ook wat meer inhoudelijk naar deze getallen gekeken en komt tot de conclusie dat kans op een dubbel hash wel heel erg klein is (gelijk aan 1500000 x achter elkaar de staatsloterij winnen).

MOA en mijn site telmeniet.nl

Van de week heb ik een leuk gesprek gehad met de MOA (belangen vereniging marketing bureau) over mijn site ‘telmeniet.nl‘. In een per email gestuurde brief geven ze aan dat ik deze site heb geregistreerd na die van hun (klopt maar wat dan nog?) en dat deze site inbreuk zou maken op hun merk. In de eerste regel van mijn site geef ik aan dat het niet het officiële register is maar uitleg waarom dit naar mijn mening een slecht idee zou zijn. Ik doe me niet voor als MOA of het echte register, dus ik heb geen idee waar deze verwarring dan vandaan zou kunnen komen. De MOA directeur beschuldigde me van ‘fake nieuws’ en eiste min of meer dat ik mijn site aanpast naar mening van MOA (en Citty Trafic) dat ze niet aan wifi tracking doen maar wifi telling. Bovendien stelde hij dat onderzoek vrijgesteld was aan toestemming vooraf vragen (later per email gevraagd in welke wet dit dan precies staat, maar hier heb ik nog geen antwoord op gekregen). Wel even bij een onderzoeker op UT nagevraagd of zoiets bestaat, deze gaf aan dat de regels voor onderzoek eerder veel strikter is ipv vrijgesteld van privacy regels. Als het vrijgesteld zou zijn waarom heeft MOA dan een site voor het uitschrijven voor onderzoeken ?

Als je de site zelf bekijkt zijn er wel wat opmerkingen te maken :

  • Indien je inschrijft en je verstuurd de aanvraag krijg je een php foutmelding. Je weet dan niet of het wel/niet gelukt is (je krijgt dan wel een email om je inschrijving te bevestigen. Deze fout zit er al minstens 2 maanden in, dus is niet een tijdelijke fout.
  • Je bent verplicht je email (en telefoonnummer ?) achter te laten, ook als je geen herinneringen wilt ontvangen en dus email niet nodig is.
  • Zoals een deelnemer van TkkLab aangaf er wordt nergens aangegeven wat en hoe het wordt opgeslagen. Indien men het MAC adres zelf opslaat ontstaan hierdoor weer privacy risico’s (helemaal met combinatie van je email adres & telefoonnummer). Men zou dit kunnen voorkomen door het MAC adres te hashen, of zoals City Traffic het noemd “pseudo anonimiseren”.

Ik vraag me dus echt af of ze zelf wel naar de site hebben gekeken en of ze getest hebben of het werkt. Als je in de basis functionaliteit al dit soort fouten maakt kun je vraagtekens zetten bij de (kwaliteit) van de rest van de site.

Het zou heel vervelend voor de MOA zijn als mijn site hoger in de zoekresultaten van google staat als hun eigen site. Om dit te voorkomen wil ik je vragen om niet een link op je site/blog/etc te plaatsen naar telmeniet.nl

Landelijk Wifi opt-out register

Op 2 Maart meld nu.nl dat de Wifi tracking bureau’s gebruik willen gaan maken van een landelijk opt-out register.

Dit lijkt een goede stap maar hierbij wordt volledig voorbij gegaan aan de oorspronkelijk probleem. Je moet volgens de AVG VOORAF toestemming vragen of je prive gegevens (zoals je MAC adres) wil delen met derden. Pas NA deze toestemming zou iemand getrackt mogen worden in de stad. In de praktijk is hiervoor geen techniek om dit voor wifi tracking mogelijk te maken, maar dat betekent niet dat je dan maar zonder deze toestemming mensen moet gaan tracken.

Een ander zwaarwegend punt is dat mensen zich onbespied moeten kunnen rondbewegen, met wifi tracking is die niet het geval. Dit is dan een zware inbreuk op je privacy waar niet te licht overheen gestapt moet worden.

Mijn bezwaren tegen opt-out register

Met een opt-out register moet de consument actie ondernemen als hij niet gevolgd wil worden in de stad. Al klinkt het ‘privacy vriendelijk’ hiermee komt de verantwoordelijkheid bij de consument te liggen in plaats van de wifi tracking bureau. Dit is het omkeren van de huidige wettelijke regels. In gesprekken die ik met CityTraffic heb gehad weet ik ook dat erg weinig mensen gebruik van maken van deze mogelijkheid (denk aan tientallen voor een stad zoals Enschede). Je moet namelijk je MAC adres op je telefoon opzoeken en deze ingeven in een site, dit is voor veel mensen toch wel een lastige opgave.

Naar mijn mening proberen de wifi bureau’s op deze manier hun illegale werkwijze te legaliseren. Ook met de opmerking dat gegevens nu geanonimiseerd zijn ben ik nog aan het onderzoeken, hiermee heb ik wel contact met Citytraffic maar de exacte technische details boven water krijgen gaat nog moeizaam. Op dit moment heb ik nog sterk de indruk dat dit vooral marketing praat is, niet iets wat cijfermatig of door wetenschappelijk onderzoek onderbouwd is.

Wil je meer over wifi tracking weten lees dan dossier wifi tracking

Uitleg nieuwe methode CityTraffic

Edit 9-1-2019 : Inmiddels met CityTraffic gesproken en er gebeurd wat meer dan 2x hashen. Er worden ook gegevens getruncate, dit zou dan voor voldoende privacy moeten zorgen. Hiermee kunnen ze niet meer de tijdsduur in de stad of zien of iemand nieuw is zien.  Ik probeer nog meer technische details te achterhalen en zal het hier aanvullen.

CityTraffic geeft aan dat zij van een pseudo geanonimiseerde data naar geanonimiseerd data. Als ik de informatie goed begrijp doen ze dit door een extra hash of versleuteling uit te voeren op de gegevens die van de sensor binnen komen en in de database gezet wordt.

Anonimiseren van data heeft een lange geschiedenis en blijkt in de praktijk ook tegen te vallen om dit goed te doen. Er zijn vele gevallen bekend dat een anonieme dataset is vrijgegeven waarbij de onderzoekers er toch in slaagden om deze te koppelen met personen. In het kort zou het voor wifi telling alleen kunnen als je op het sensor al genoeg gegevens cummeleerd (waardoor meteen individuele gegevens verdwijnt). In het huidige verhaal van CityTraffic wordt eerst alle gegevens van de sensor doorgestuurd naar de database, dus 1 regel in de database is nog steeds 1 persoon. Dat daar een dubbel hash / versleuteld nummertje bijstaat die niet terug te voeren naar een MAC adres maakt niet uit, dit is niet wezenlijk anders dan in de oude situatie waarbij MAC adres dmv hash SHA265 wordt berekend.

In mijn optiek heeft CityTraffic de methode niet voldoende aangepast om echt te kunnen spreken van anonieme gegevens. Ze versleutelen de MAC adres 2x, een keer op de sensor en vervolgens op de server. Maar als de gegevens van 1 persoon nog steeds individueel in de database komt maakt dit allemaal niet uit, hoe vaak je ook het MAC adres hash / versleuteld.

 

 

Herstart wifitracking Enschede 1 Jan 2019

Vandaag heeft de gemeenteraad Enschede een brief ontvangen waarin wordt aangegeven dat men in Enschede per 1 januari 2019 weer herstart met wifi telling. Volgens City Trafic zijn de problemen met AP opgelost door over te gaan van pseudonimiseren naar anonimiseren. Helaas wordt niet toegelicht hoe ze dit precies gaan doen, ik ga hier nog wel achteraan om te vragen naar (technische) uitleg.

Hierbij wordt nog steeds aan andere punten van de AVG voorbijgegaan, namelijk dat je VOORAF toestemming moet vragen. Tevens geeft AP in brief van 30 November aan dat wifitracking alleen in uitzonderlijke situaties mag, het lijkt er op dat City Traffic / Gemeente Enschede ook deze regel naast zich legt en doorgaat met 24/7 volgen van hun burgers.

Zelf vraag ik me af waarom een Europese partij (Locatus) naar aanleiding van de brief 30 November wel stopt en waarom City Trafic dan niet stopt. Mij lijkt me dat Locatus hetzelfde zou kunnen doen, of ze hebben daar de conclusie getrokken dat dit niet mogelijk is.

Enschede stopt voorlopig met wifi tracking

Op 30 November heeft AP een persbericht gestuurd waarin kort samengevat wordt aangegeven dat wifi tracking alleen is toegestaan in uitzonderlijke omstandigheden. Hierbij kun je denken aan drukke evenementen waarbij het ivm veiligheid van belang is om de drukte in de gaten te houden. Belangrijk hierbij is dan dat dit voor een korte periode gaat en beperkt gebied.

Naar aanleiding van dit persbericht zijn diverse gemeenten gaan nadenken over hun wifi tracking in de binnenstad. Gemeente Leeuwarden had afgelopen donderdag al aangegeven om te stoppen met wifi tracking. Vandaag bereikte me het goede nieuws dat Gemeente Enschede in een brief aan de gemeenteraad aangeven (voorlopig) ook te stoppen met wifi tracking. Op dit moment wil gemeente Enschede verder kijken wat de consequenties is van het persbericht van AP, natuurlijk hoop ik dat ze tot inzicht komen dat wifi tracking een te grote inbreuk is op de privacy van de burgers.

Mijn handhavingsverzoek die ik aan de AP had gestuurd is nog in behandeling, nav het persbericht had ik gevraagd of dit persbericht door mijn handhavingsverzoek kwam en of er nog nieuws was over de situatie in Enschede. Hier konden ze me geen extra informatie over verschaffen, dus moet ik nog wachten tot een officieel antwoord. AP had al eerder aangegeven dat ze meer tijd nodig hadden, het officiële antwoord zou ik voor 19 Januari moeten ontvangen.

Zie ook dit persbericht in Tubantia

Brief gemeente aan raadsleden op site gemeente