De duistere zijde van smart cities: heimelijke wifitracking
De data zou door Tilburg enkel gedeeld zijn tussen 2015 en 2017 voor 17.000 euro. Een deel van dat geld werd gebruikt om de kosten van het wifi-netwerk te dekken, aldus berichtgeving van Trouw. De data werd vooral gebruikt voor het bijhouden van bezoekersaantallen. Die gegevens zijn erg nuttig voor ondernemers, want zo kunnen ze zien wanneer de drukke momenten zijn en kunnen ze daar hun openingsuren op aanpassen.
Wetgeving
Andere gemeenten, waaronder Enschede, blijven wel nog vasthouden aan wifi-tracking. Enschede balanceert op de grens van de grijze zone door data te anonimiseren zodat de gegevens niet meer te herleiden zijn tot een persoon. Door die manier van werken zou er niet gezondigd worden tegen de privacywet, maar de Autoriteit Persoonsgegevens (AP) onderzoekt nu of dat werkelijk zomaar kan.
Volgens de AP mag wifitracking en bluetoothtracking door bedrijven enkel worden ingezet als er een wettelijke grondslag voor is. De grondslagen kunnen zijn: toestemming, overeenkomst en gerechtvaardigd belang. Gemeenten daarentegen, kunnen via wifitracking en bluetoothtracking persoonsgegevens verwerken “als dit noodzakelijk is om hun taak uit te voeren, bijvoorbeeld het bewaken van de openbare orde of het handhaven van de veiligheid in de stad”.
Volgens de AP mag wifitracking en bluetoothtracking door bedrijven enkel worden ingezet als er een wettelijke grondslag voor is.
De AP vermeldt ook dat het hashen van MAC-adressen er niet toe leidt dat er geen persoonsgegevens meer worden verwerkt. Hashen is namelijk geen onmiddellijke en onomkeerbare anonimisering, maar eerder een vorm van pseudonimisering. Bij gehashte MAC-adressen kan je het originele MAC-adres namelijk opnieuw berekenen met de hashingformule. Er moet dus goed op worden gelet dat er volledige en onomkeerbare anonimisering is, dan is het namelijk wel toegestaan om de data te verzamelen.
De Belgische privacycommissie heeft in 2015 ook al geconcludeerd dat wifitracking in winkelketens, restaurants en andere handelszaken illegaal is. Klanten moeten erover geïnformeerd worden en moeten de mogelijkheid krijgen om zich uit te schrijven. In de praktijk is er echter geen controle op het gebruik van wifitracking bij winkelketens, dus is het de vraag hoeveel ondernemingen zich effectief aan de wetgeving houden.
Zelfregulering
De bureaus die zich bezighouden met wifitracking, willen deze zomer met een gezamenlijk, landelijk register komen in Nederland waarmee burgers zich kunnen uitschrijven. De branchevereniging voor Marketing-insights, Onderzoek & Analytics zal dat register voorstellen aan de Autoriteit Persoonsgegevens zodat het kan worden afgetoetst aan de regelgeving. Verder zou er volgens de MOA volledige anonimisering zijn. Gebruikers die zich uitschrijven, worden niet meer getraceerd door publieke wifipunten.
Technische werkwijze
Wellicht heb je al ontdekt dat je telefoon soms vraagt om zowel je wifi-netwerk als je GPS in te schakelen om de meest accurate locatiebepaling te krijgen. Op het eerste zicht lijkt het vreemd dat het inschakelen van wifi je kan helpen om je locatie beter te bepalen, maar wifi en locatiebepaling gaan hand in hand. Neem bijvoorbeeld een service zoals Google Maps. Stel dat Jan een winkel bezoekt met zowel wifi en GPS-signaal ingeschakeld op zijn telefoon. Google Maps detecteert het wifipunt van de winkel (je hoeft er niet eens mee te verbinden) en vraagt op basis van Jan zijn GPS de locatie van het wifi-punt op. Achterliggend schrijft Google vervolgens de locatie van dat wifipunt weg naar een database. Jan heeft op dat moment geen baat bij wifi-tracking, want zijn GPS werkt prima. Later bezoekt Amber dezelfde winkel, maar haar GPS-signaal werkt niet goed en kan niet worden gebruikt om haar locatie te bepalen. Haar wifi staat echter ook ingeschakeld en de telefoon detecteert het wifipunt van de winkel. Google Maps kijkt vervolgens in de database met welke locatie dat wifipunt overeenkomt en kan op die manier toch de locatie van Amber bepalen. Op die manier kunnen gebruikers dus steeds nauwkeurige routebeschrijvingen opvragen, ook wanneer er geen goed GPS-signaal is.
De wifi-tracking die gebruikt wordt door steden, werkt op een soortgelijke manier, met het verschil dat er geen GPS-signaal nodig is. Amber loopt door de stadspoort van Amsterdam en passeert daar langs een wifiscanner, haar MAC-adres (een numeriek adres dat uniek is voor haar toestel) wordt geregistreerd. Er wordt weggeschreven naar een database dat ‘02:17:2a:94:5c:fd’ (het MAC-adres van Amber haar smartphone) Amsterdam is binnengelopen via de stadspoort, samen met een timestamp. De wifi-tracking gaat verder gedurende haar hele verblijf in de stad. Wanneer Amber een bepaalde winkel bezoekt waar een wifi-tracker is, weet de stad ook in welke winkel Amber is geweest en voor welke tijdsperiode.
Het schoentje knelt vooral in het feit dat een MAC-adres uniek is voor een bepaald toestel. Daarom wordt een MAC-adres door de privacywaakhond gezien als een persoonsgegeven. Daarnaast weten gebruikers ook meestal niet dat dergelijke informatie over hen wordt bijgehouden. Vaak blijft het bij gemeenten beperkt tot een vermelding op de website, maar volgens de AP is dat een abstracte manier van informeren.
Ook wanneer je niet verbindt met openbare wifi-netwerken, kan je worden getraceerd zolang je wifi ingeschakeld is op je telefoon. Zelfs wanneer je een VPN gebruikt, kan je MAC-adres worden geregistreerd. Hoe bescherm je je er dan tegen?
Wifi-signaal uitschakelen
De makkelijkste manier is om je wifi-verbinding simpelweg uit te schakelen wanneer je op publieke plaatsen bent. Op die manier kunnen wifipunten je niet detecteren en kan je locatie ook niet worden opgeslagen. Wanneer je echt ‘veilig’ wil zijn, kan je dan evengoed ook je bluetooth-verbinding uitschakelen. Ook via bluetooth kan je locatie namelijk worden bepaald. In de praktijk wordt echter de voorkeur gegeven aan wifi-tracking om de simpele reden dat de meeste gebruikers wifi hebben ingeschakeld. De groep mensen die bluetooth ingeschakeld heeft, is veel kleiner. Door deze twee dingen uit te schakelen, zorg je er dus voor dat de stad geen informatie over je kan verzamelen en bovendien komt het ook je batterijduur ten goede.
Spoofing
MAC spoofing houdt in dat je een verzonnen MAC-adres instelt voor je toestel. Hoe je dit precies doet, is afhankelijk van toestel tot toestel. Spoofing wordt bijvoorbeeld ook gebruikt door hackers wanneer ze zich willen voordoen als een ander apparaat. Wanneer een hacker het MAC-adres van Amber weet, kan de hacker ditzelfde MAC-adres instellen voor zijn eigen apparaat. Wanneer de hacker dan bijvoorbeeld op de plaats van een misdrijf is waar toevallig ook een wifipunt aanwezig is, zal in de database van de stad een vermelding zijn dat ‘Amber’ op de plaats van het misdrijf was. Ik geef toe dat dit scenario wel heel extreem en een beetje overdreven is, maar het is technisch wel perfect mogelijk. Pas dus op met het spoofen van je MAC-adres, het kan er bijvoorbeeld voor zorgen dat je wordt buitengesloten op bepaalde netwerken.
Randomization
MAC randomization zorgt er net zoals spoofing voor dat je een ander MAC-adres kan gebruiken, met het verschil dat er steeds geswitcht wordt tussen MAC-adressen. Wanneer je verbindt met een bepaald wifi-netwerk, krijg je eerst een nieuw MAC-adres toegewezen. Sommige apparaten hebben MAC randomization zelfs ingebouwd, zodat wifi-trackers een nietszeggend MAC-adres te zien krijgen. Wanneer je vervolgens verbinding maakt met een wifipunt, wordt echter wel je echte MAC-adres gebruikt. Hoe het precies in zijn werk gaat, is opnieuw afhankelijk van toestel tot toestel. Google is je vriend.
Data: de prijs van smart cities
We horen steeds vaker van smart cities, steden waar zowat alles een sensor bevat. Denk maar aan een melding wanneer een afvalcontainer vol is of straatlantaarns die automatisch worden ingeschakeld bij het detecteren van verkeer. Het lijkt er echter alsmaar meer op dat we allemaal een prijs betalen voor die vernuftige steden. Niet in de vorm van harde cash, maar wel via onbetaalbare data.
De data zou door Tilburg enkel gedeeld zijn tussen 2015 en 2017 voor 17.000 euro. Een deel van dat geld werd gebruikt om de kosten van het wifi-netwerk te dekken, aldus berichtgeving van Trouw. De data werd vooral gebruikt voor het bijhouden van bezoekersaantallen. Die gegevens zijn erg nuttig voor ondernemers, want zo kunnen ze zien wanneer de drukke momenten zijn en kunnen ze daar hun openingsuren op aanpassen.
Wetgeving
Andere gemeenten, waaronder Enschede, blijven wel nog vasthouden aan wifi-tracking. Enschede balanceert op de grens van de grijze zone door data te anonimiseren zodat de gegevens niet meer te herleiden zijn tot een persoon. Door die manier van werken zou er niet gezondigd worden tegen de privacywet, maar de Autoriteit Persoonsgegevens (AP) onderzoekt nu of dat werkelijk zomaar kan.
Volgens de AP mag wifitracking en bluetoothtracking door bedrijven enkel worden ingezet als er een wettelijke grondslag voor is. De grondslagen kunnen zijn: toestemming, overeenkomst en gerechtvaardigd belang. Gemeenten daarentegen, kunnen via wifitracking en bluetoothtracking persoonsgegevens verwerken “als dit noodzakelijk is om hun taak uit te voeren, bijvoorbeeld het bewaken van de openbare orde of het handhaven van de veiligheid in de stad”.
Volgens de AP mag wifitracking en bluetoothtracking door bedrijven enkel worden ingezet als er een wettelijke grondslag voor is.
De AP vermeldt ook dat het hashen van MAC-adressen er niet toe leidt dat er geen persoonsgegevens meer worden verwerkt. Hashen is namelijk geen onmiddellijke en onomkeerbare anonimisering, maar eerder een vorm van pseudonimisering. Bij gehashte MAC-adressen kan je het originele MAC-adres namelijk opnieuw berekenen met de hashingformule. Er moet dus goed op worden gelet dat er volledige en onomkeerbare anonimisering is, dan is het namelijk wel toegestaan om de data te verzamelen.
De Belgische privacycommissie heeft in 2015 ook al geconcludeerd dat wifitracking in winkelketens, restaurants en andere handelszaken illegaal is. Klanten moeten erover geïnformeerd worden en moeten de mogelijkheid krijgen om zich uit te schrijven. In de praktijk is er echter geen controle op het gebruik van wifitracking bij winkelketens, dus is het de vraag hoeveel ondernemingen zich effectief aan de wetgeving houden.
Zelfregulering
De bureaus die zich bezighouden met wifitracking, willen deze zomer met een gezamenlijk, landelijk register komen in Nederland waarmee burgers zich kunnen uitschrijven. De branchevereniging voor Marketing-insights, Onderzoek & Analytics zal dat register voorstellen aan de Autoriteit Persoonsgegevens zodat het kan worden afgetoetst aan de regelgeving. Verder zou er volgens de MOA volledige anonimisering zijn. Gebruikers die zich uitschrijven, worden niet meer getraceerd door publieke wifipunten.
Technische werkwijze
Wellicht heb je al ontdekt dat je telefoon soms vraagt om zowel je wifi-netwerk als je GPS in te schakelen om de meest accurate locatiebepaling te krijgen. Op het eerste zicht lijkt het vreemd dat het inschakelen van wifi je kan helpen om je locatie beter te bepalen, maar wifi en locatiebepaling gaan hand in hand. Neem bijvoorbeeld een service zoals Google Maps. Stel dat Jan een winkel bezoekt met zowel wifi en GPS-signaal ingeschakeld op zijn telefoon. Google Maps detecteert het wifipunt van de winkel (je hoeft er niet eens mee te verbinden) en vraagt op basis van Jan zijn GPS de locatie van het wifi-punt op. Achterliggend schrijft Google vervolgens de locatie van dat wifipunt weg naar een database. Jan heeft op dat moment geen baat bij wifi-tracking, want zijn GPS werkt prima. Later bezoekt Amber dezelfde winkel, maar haar GPS-signaal werkt niet goed en kan niet worden gebruikt om haar locatie te bepalen. Haar wifi staat echter ook ingeschakeld en de telefoon detecteert het wifipunt van de winkel. Google Maps kijkt vervolgens in de database met welke locatie dat wifipunt overeenkomt en kan op die manier toch de locatie van Amber bepalen. Op die manier kunnen gebruikers dus steeds nauwkeurige routebeschrijvingen opvragen, ook wanneer er geen goed GPS-signaal is.
De wifi-tracking die gebruikt wordt door steden, werkt op een soortgelijke manier, met het verschil dat er geen GPS-signaal nodig is. Amber loopt door de stadspoort van Amsterdam en passeert daar langs een wifiscanner, haar MAC-adres (een numeriek adres dat uniek is voor haar toestel) wordt geregistreerd. Er wordt weggeschreven naar een database dat ‘02:17:2a:94:5c:fd’ (het MAC-adres van Amber haar smartphone) Amsterdam is binnengelopen via de stadspoort, samen met een timestamp. De wifi-tracking gaat verder gedurende haar hele verblijf in de stad. Wanneer Amber een bepaalde winkel bezoekt waar een wifi-tracker is, weet de stad ook in welke winkel Amber is geweest en voor welke tijdsperiode.
Het schoentje knelt vooral in het feit dat een MAC-adres uniek is voor een bepaald toestel. Daarom wordt een MAC-adres door de privacywaakhond gezien als een persoonsgegeven. Daarnaast weten gebruikers ook meestal niet dat dergelijke informatie over hen wordt bijgehouden. Vaak blijft het bij gemeenten beperkt tot een vermelding op de website, maar volgens de AP is dat een abstracte manier van informeren.
Ook wanneer je niet verbindt met openbare wifi-netwerken, kan je worden getraceerd zolang je wifi ingeschakeld is op je telefoon. Zelfs wanneer je een VPN gebruikt, kan je MAC-adres worden geregistreerd. Hoe bescherm je je er dan tegen?
Wifi-signaal uitschakelen
De makkelijkste manier is om je wifi-verbinding simpelweg uit te schakelen wanneer je op publieke plaatsen bent. Op die manier kunnen wifipunten je niet detecteren en kan je locatie ook niet worden opgeslagen. Wanneer je echt ‘veilig’ wil zijn, kan je dan evengoed ook je bluetooth-verbinding uitschakelen. Ook via bluetooth kan je locatie namelijk worden bepaald. In de praktijk wordt echter de voorkeur gegeven aan wifi-tracking om de simpele reden dat de meeste gebruikers wifi hebben ingeschakeld. De groep mensen die bluetooth ingeschakeld heeft, is veel kleiner. Door deze twee dingen uit te schakelen, zorg je er dus voor dat de stad geen informatie over je kan verzamelen en bovendien komt het ook je batterijduur ten goede.
Spoofing
MAC spoofing houdt in dat je een verzonnen MAC-adres instelt voor je toestel. Hoe je dit precies doet, is afhankelijk van toestel tot toestel. Spoofing wordt bijvoorbeeld ook gebruikt door hackers wanneer ze zich willen voordoen als een ander apparaat. Wanneer een hacker het MAC-adres van Amber weet, kan de hacker ditzelfde MAC-adres instellen voor zijn eigen apparaat. Wanneer de hacker dan bijvoorbeeld op de plaats van een misdrijf is waar toevallig ook een wifipunt aanwezig is, zal in de database van de stad een vermelding zijn dat ‘Amber’ op de plaats van het misdrijf was. Ik geef toe dat dit scenario wel heel extreem en een beetje overdreven is, maar het is technisch wel perfect mogelijk. Pas dus op met het spoofen van je MAC-adres, het kan er bijvoorbeeld voor zorgen dat je wordt buitengesloten op bepaalde netwerken.
Randomization
MAC randomization zorgt er net zoals spoofing voor dat je een ander MAC-adres kan gebruiken, met het verschil dat er steeds geswitcht wordt tussen MAC-adressen. Wanneer je verbindt met een bepaald wifi-netwerk, krijg je eerst een nieuw MAC-adres toegewezen. Sommige apparaten hebben MAC randomization zelfs ingebouwd, zodat wifi-trackers een nietszeggend MAC-adres te zien krijgen. Wanneer je vervolgens verbinding maakt met een wifipunt, wordt echter wel je echte MAC-adres gebruikt. Hoe het precies in zijn werk gaat, is opnieuw afhankelijk van toestel tot toestel. Google is je vriend.
Data: de prijs van smart cities
We horen steeds vaker van smart cities, steden waar zowat alles een sensor bevat. Denk maar aan een melding wanneer een afvalcontainer vol is of straatlantaarns die automatisch worden ingeschakeld bij het detecteren van verkeer. Het lijkt er echter alsmaar meer op dat we allemaal een prijs betalen voor die vernuftige steden. Niet in de vorm van harde cash, maar wel via onbetaalbare data.