In de wereld van informatie-voorziening zijn fysieke-bezoekers -stromen een goudmijn. Het is dan ook niet gek dat we steeds vaker lezen dat gemeentes wifi-tracking (willen) gebruiken.
Hoewel het volgens de Privacywet vaak niet toegestaan is om deze techniek te gebruiken, zien we steeds vaker dat bedrijven de regels te buigen zodat ze aan uw bewegingen/verplaatsingen kunnen verdienen.
Zoals met zoveel dingen ga je je pas interesseren in een onderwerp als je er mee te maken krijgt. Dit gebeurde toen ik op twitter vernam dat er in mijn woonplaats ook van wifi-tracking gebruik zou worden gemaakt.
Enschede.
Op 5 September 2017 informeert de gemeente Enschede over wifi-tracking. Op 6 September 2017 startte de wifi-tracking, wat bij veel mensen vragen over de privacy opleverde. Dave Borghuis van de PiratenPartij vondt dat dit een inbreuk is op zijn privacy, hij begon vragen te stellen in 2017 en deed op 17 Juli 2018 een handhavings-verzoek bij de Autoriteit persoonsgegevens. ( lees het hele dossier hier)
U raad het al, dit traject loopt nog steeds.
Haarlem.
In Haarlem wilde men ook Wifi-tracken. Dit werd zwaar bekritiseerd, en nu heeft men recentelijk in alle wijsheid besloten om in plaats van wifi-tracking nu privacy-proof camera’s te gaan gebruiken. Het gaat hier waarschijnlijk om infrarood camera’s. Wifi-tracking is in Haarlem dus permanent van de baan!
Opt-Out register
Als blijk van goede wil, heeft het MOA (*brancheverenging voor Marketing-insights, Onderzoek & Analytics) een opt-out register voor de wifi-tracking in het leven geroepen. Een nobele geste, zou je zeggen. Hoewel er toch nog flink wat onduidelijkheid is rond dit opt-out register, is sinds 2019 het wifi-me-niet register online.
Wat meteen opvalt is de plaatsings-datum. Wanneer ik de video’s bekijk blijken zij 1 jaar geleden te zijn geplaatst. Ook kun je zien hoeveel ‘views’ beide filmpjes hebben. Het totaal is 63 views – niet bijster veel.
Dan het opt-out register zelf maar even bekijken. Na wat klikken door de instructies kan ik mij eindelijk uitschrijven.
Bijzonder genoeg wil het formulier wel erg veel informatie van mij hebben. Mijn Mac-adress, mijn email en het liefst ook mijn telefoonnummer. Verder nog vragen of je periodiek email wilt ontvangen, het lijkt eerder op een inschrijf- i.p.v een uitschrijf-formulier.
Het kostte wat moeite, maar uiteindelijk heb ik 1 apparaat op de opt-out lijst van het Moa gezet. Mocht ik morgen een andere telefoon kopen, dan kan ik dezelfde routine herhalen. Niet erg gebruiksvriendelijk om je uit te schrijven voor iets wat per definitie niet is toegestaan. Maar als u denkt dat dit het enige opt-out register is, dan heeft u het fout. Er zijn meer leveranciers, met eigen opt-out registers.
De verscheidenheid van registers, de (bijna niet te vinden) informatie van deze optout-registers, en de kwaliteit hiervan maakt dat deze ‘tools’ onvindbaar en niet makkelijk te gebruiken zijn.
En toen… Maassluis
Sinds april is het dan ook zo ver in Maassluis waar CityTraffic de metingen gaan verzorgen. Onduidelijk is of de tracking daadwerkelijk actief is, en op welke plekken. Want ondanks dat werd aangekondigt dat men in April zou starten, word er op de beoogde tracking locaties de passanten (nog) niet geinformeerd.
Na mijzelf snel te hebben ingelezen in de diverse online media, kwam ik al snel tot de conclusie dat er genoeg mensen druk maken om deze vorm van tracking in de openbare ruimte.
Ook realiseerde ik me dat er – afgezien van wat boze socials- weinig effectiefs gedaan kan worden tegen deze tracking.
Natuurlijk stellen de lokale partijen vragen, maar de raderen van de bureaucratie draaien langzaam – en als er dan een antwoord komt, werpt dat alleen maar meer vragen op.
Op mijn simpele vraag aan de gemeente ‘Wordt wifi tracking in Maassluis nu al actief ingezet’ heb ik na 5 dagen nog geen antwoord.
Robin ‘2.4ghz’ Hood
Zoveel geduld heb ik niet, en gezien de 3 jaar die Dave Borghuis al bezig om duidelijkheid te krijgen – besloot ik het om het over een andere boeg te gooien. Ik wil dezelfde wifi-tracking techniek tegen de tracking bedrijven gebruiken.
Gewapend met een singleboard computer van 28 euro, en een wifi-adapter van 18 euro had ik een duivels plannetje bedacht: Vang mac-addressen op, en verstuur deze naar de opt-out lijst. Wetende dat ik met dit plannetje ook de privacy-wet overtreed, voel ik me als een soort Robin-Hood in het schimmige rijk van data-verzamelaars.
Voor zover mogelijk, heb ik geprobeert dezelfde technieken te gebruiken. Er is zelfs een optout! In grove lijnen komt het op het volgende neer :
- We vangen wifi-signalen op.
- We anonimiseren het mac-adres ‘op de sensor’ door het 2x te hashen, en een deel van de hash ‘af te knippen’
- We checken of de hash al bestaat.
- Indien de hash niet bestaat, sturen we de MAC over een beveiligde verbinding naar het MOA opt-out register.
- We verwerken het resultaat van het toegevoegde mac-adres. Wanneer succesvol, word de hash opgeslagen in de database.
- We informeren mensen over deze vorm van tracking, en bieden een opt-out aan.
Het geluk wil, dat ik aan een redelijk drukke verkeersader woon, waardoor 70/80 procent van het lokale verkeer langs mijn huis rijd waardoor de kans dat ik veel mac-adressen zou opvangen redelijk groot is.
Boot Up or Shut Up!
Op 19 April start ik na wat tests de wifi-scanner. Als een malle zie ik de wifi-probe requests binnenstromen, en direct komen de afmeldingsresultaten binnen. Honderden zijn het, en het blijft maar doorgaan.
Voor de zekerheid check ik of het mac-adres van mijn telefoon, tablets en andere wireless apparaten in de opt-out list van het Moa zijn gekomen. Ja hoor – Success!
Waar in Enschede men al 3 jaar bezig is, en de bewoners er nog niet veel mee opgeschoten zijn, heb ik in slechts een aantal dagen voor het grootste deel van de gemeente een nieuwe realiteit gecreeerd. Van opt-out Tracking, naar automatisch op-out Tracking.
Tellingen
Volgens wikipedia heeft de gemeente Maassluis ongeveer 30.000 inwoners. Op dag 7 van het wifi-me-niet opt-out project is de stand 54.400 opt-outs. Dat betekend in theorie dat de wifi-scanner bijna de hele gemeente heeft afgemeld voor wifi-tracking!
50.000 apparaten automatisch afgemeld.
https://wifi-me-niet.jerryhopper.com/
Los van het feit dat er mensen zijn die 2 telefoons of andere wifi-apparaten bij zich dragen en het goed mogelijk is dat er slechts 1/3 van de gemeente is afgemeld, leveren bovenstaande cijfers wel een interessant vraagstuk op: Hoe bruikbaar is de informatie die nu gemeten word?
CityTraffic levert voor € 399,- toegang tot het dashboard van een stad. Dit betekend dat degene die toegang hebben tot het dashboard van Maassluis, zouden na 19 april een aanzienlijke daling moeten zien in de statistieken.
Als dit niet zo is, heb ik mijn twijfels over de beloftes die gedaan worden als het gaat om beschermen van uw privacy en het nut van een Opt-out in een systeem dat zonder uw toestemming uw bewegingen omzet naar een commercieel product.
Een andere vraag is hoelang blijft het technisch mogelijk om ongelimiteerd mac-adressen te versturen naar het opt-out register. Ook ben ik zeer benieuwd hoe men omgaat met de door dit project verstuurde mac-adressen als men merkt dat deze via een geautomatiseert proces zijn toegevoegd. Zouden ze worden verwijderd?
“At the end of the day, I fight for those who cannot fight for themselves. If that makes me an outlaw, so be it. I’ve been called worse.”
Angela Parkhurst
Hoewel mijn acties mogelijk het buisinesmodel van citytraffic schaden, blijf ik het gek vinden dat er voor cookies expliciet toestemming moet worden gevraagd, en voor het volgen van mac-adressen -hoe nobel de intenties ook- er nog steeds geen duidelijkheid is hoe in de praktijk om te gaan met dit vraagstuk.
Apple & Wifi-tracking
Een andere interessante ontwikkeling tegen wifi-tracking is dat apple de gebruiker de mogelijkheid bied om de mac-adressen te randomiseren. Een interessante gegeven als een opt-out register daadwerkelijk word geaccepteerd door de autoriteits persoonsgegevens als rechtmatig opt-out instrument tbv wifi-tracking.
Politiek aan zet?
Hoewel de Autoriteit persoonsgegevens duidelijk is, is er nog steeds geen duidelijkheid omtrent wifi-tracking, of de rechtmatigheid van het door brancheverenging voor Marketing-insights, Onderzoek & Analytics opgetuigde Opt-out register.
Hoewel in 2019 er in het nieuws aandacht was voor dit wifi-me-niet register, wist Minister Sander Dekker wist van niets. In de laatste brief met betrekking tot Wifi-Tracking van de Minister van Rechtsbescherming word geen woord gewijd aan het Opt-out-register. Veel meer licht de minister niet toe, dus echt wijzer worden we er niet van. Wel verwijst hij naar het reeds bekende artikel van Autoriteit Persoonsgegevens.
Na 3 jaar niets verandert
En zo is er na 3 jaar nog weinig veranderd op het gebied van Wifi-Tracking. Zoals Dave Borghuis al in 2018 in het Hackerhotel het probleem omschreef, is deze situatie tot op de dag vandaag nog steeds hetzelfde.
Ondertussen zullen gemeentes en bedrijven blijven schermen met ‘avg-proof’ telling-systeem en zal de wifi-tracking techniek blijven worden toegepast. Wellicht zal er voor Enschede -na 3 jaar- binnenkort duidelijkheid komen omtrent wifi-tracking.
Tot die tijd kunt u zoals de politiek al opperde: Uw wifi-uitzetten….. Of uw eigen anti-wifi-tracker tracker maken! De techniek die word gebruikt voor wifi-tracking is zeer toegankelijk, de code gebruikt voor dit project is te vinden in een git-repository.
Bekijk de wifi-me-niet-tracker project-pagina met live-telling op :
https://wifi-me-niet.jerryhopper.com/
Bekijk de gebruikte code op github :
https://github.com/jerryhopper/wifi-me-niet
Bekijk de opt-out pagina van het MOA:
https://www.wifi-me-niet.nl
