DigiNotar: de stemmingen

CityTraffic is watching you!

Datalek: Psychologen website lek door SQL-injectie

Het bedrijf CityTraffic biedt systemen aan om het druktebeeld in Nederlandse winkelstraten en winkelcentra in kaart te brengen. Door middel van bluetooth-, infrarood- en camerasystemen worden passantengegevens verzameld en gerapporteerd. Mag dit zomaar of is dit in strijd met de wet?

Bluetooth-scanners

CityTraffic plaatst bluetooth-scanners. Deze scanners zijn onzichtbaar voor passanten en zijn zeven dagen per week, vierentwintig uur per dag actief. Er kan gevarieerd worden met de reikwijdte van de scanners. Een bereik van 1 tot 100 meter is mogelijk.  Enkel telefoons waarbij de bluetooth-verbinding aan staat kunnen worden gescand en geteld. Omdat dit bij één op de vijf telefoons het geval is, wordt het getelde aantal vermenigvuldigd met vijf. Dit zou een accuraat beeld moeten geven van het aantal bezoekers van een bepaalde winkelstraat.

MAC-adressen

De scanners tellen niet enkel het aantal telefoons met bluetooth-verbinding, maar leggen ook het aantal unieke MAC-adressen vast. Een MAC-adres is een uniek identificatienummer dat door de fabrikant is vastgelegd in de hardware van apparatuur, zoals op geheugenchips of netwerkkaarten in computers, telefoons, laptops of routers.

Wanneer iemand vijf keer langs dezelfde straat loopt, zal de scanner dus kunnen registreren dat het gaat om één persoon die vijf keer langsloopt, in plaats van om vijf verschillende personen die elk één keer langslopen. Door meerdere meetpunten te plaatsen kan de looproute van een bepaald persoon gevolgd worden.

Berichten

Via de scanners kunnen berichten worden verstuurd naar de telefoons met bluetooth-verbinding. Dit kan reclame zijn, maar ook informatie over omleidingen of waarschuwingen. Wanneer zo’n bericht wordt verzonden, zal de ontvanger eerst toestemming moeten geven voor de ontvangst ervan. Ondanks dat er van tevoren toestemming gegeven moet worden, is deze manier van handelen in strijd met het spamverbod uit de Telecommunicatiewet. Het bericht waarin om toestemming wordt gevraagd kan aangemerkt worden als ongevraagde communicatie.

Rapportages

De gegevens die de scanner oppikt – het aantal telefoons met bluetooth-verbinding en de unieke MAC-adressen van deze telefoons – worden via internet naar de server van CityTraffic verzonden en verwerkt in algemene rapportages, zoals tabellen en grafieken. Organisaties kunnen een abonnement nemen op deze rapportages. Door gegevens te vergelijken met gegevens van eerdere weken, maanden of jaren kunnen trends in de tijd zichtbaar gemaakt worden.

Google

Eerder dit jaar tikte het College Bescherming Persoonsgegevens Google op de vingers omdat ze de locatie van 3,6 miljoen wifi-routers in kaart hadden gebracht. Google legde de MAC-adressen van elk van deze routers vast.

Het College Bescherming Persoonsgegevens bepaalde dat de MAC-adressen in combinatie met de locatie van de hardware persoonsgegevens zijn. MAC-adressen onderscheiden unieke hardware en die hardware is onverbrekelijk verbonden met de locatie van de houder. Individuele houders kunnen op die manier via MAC-adressen geïdentificeerd worden.
Het verzamelen van gegevens over wifi-routers leverde een schending van de Wet bescherming persoonsgegevens op. Naast het ontbreken van een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde zijn de betrokkenen niet van tevoren geïnformeerd.

Schending

CityTraffic slaat MAC-adressen van telefoons met een actieve bluetooth-verbinding op. Daarnaast worden locatiegegevens en looproutes opgeslagen. Gezien het rapport van het College Bescherming Persoonsgegevens over het verzamelen van de gegevens van wifi-routers door Google is het waarschijnlijk dat ook CityTraffic de Wet bescherming persoonsgegevens schendt. Doordat de scanners onzichtbaar worden opgehangen, weten passanten niet dat ze gescand worden. Wanneer ze dit wel zouden weten, zouden ze er voor kunnen kiezen om hun bluetooth-verbinding uit te schakelen.

Klik hier voor een overzicht van alle scanners van CityTraffic.

  1. Willem

    Maar melden jullie deze potentiële overtreding ook bij CBP?

  2. aerique

    Het is erg hoe bepaalde schrikbeelden van vroeger langzaam maar zeker te samenleving binnensijpelen. Erger nog vind ik dat mensen (familie, collega’s) in mijn omgeving het over het algemeen geen fluit interesseert.. ze zijn over het algemeen van die “als je niks te verbergen hebt, heb je niks te vrezen”-types.

    Al moet ik wel zeggen dat de “mensen” zoals ik ze eerder noemde van mijn (+/- 40 jaar) en een oudere generatie zijn. Ik ben blij dat er bij jongeren wel een besef aan het ontstaan is over de gevaren en ben ook erg blij om zaken als Occupy te zien. 20 jaar te laat, maar goed.

  3. dosch

    ik ben toch wel benieuwd naar hoe zo’n scanner eruit ziet?
    Kunnen jullie er niet eentje lokaliseren in fotograferen in Amsterdam?

  4. Arjan

    Ik wil best een klacht indienen bij CBP indien gewenst. Heb wel eens met bluetooth aan op mobiel langs meerdere van deze plekken gelopen.
    Is er overigens ook een recht van inzage op basis van MAC-adres bij City Traffic?

  5. Alice

    En hoe zit het als je je bleutooth wel aan hebt staan, maar op onzichtbaar heb gezet?

  6. Martijn

    Als ze geen MAC adressen registreren dan was er geen probleem geweest, denk ik.
    Maar ik vind het nog al een punt dat Google voor iets op de vingers is getikt, en dat een bedrijf in opdracht van de overheid het gewoon kan doen…

  7. Dennis

    Vreselijk argument altijd, “Als je niets te verbergen hebt…..”. Erg naïef en kortzichtig. Soms is je woonplek al voldoende excuus om je privacy aan de kant te schuiven. Of het kantoor waar je werkt bevind zich in een uitgaansgebied en dan is het opeens de normaalste zaak dat de politie je dwingt om je tas te laten doorzoeken en is noodzakelijk gereedschap als een schroevendraaier opeens een mogelijk moordwapen. Of er vliegt een vliegtuig een gebouw in en er ontstaan een hoop overheidsinstanties die het liefst iedereen van een bepaalde afkomst een gps chip implanteren….. Of er komt opeens een schilder uit Oostenrijk aan de macht en je bent verdacht omdat je regelmatig bij een joodse slager betaald hebt met je pin pas….

  8. John

    Je kunt hier op wachten natuurlijk. Ik verwacht dat er nog meer van dergelijke systemen zijn (of komen). Ik kan me voorstellen dat er zelfs binnen de supermarkt scanners zijn/komen om te monitoren hoe klanten zich door de winkel bewegen. Er moeten dus duidelijke richtlijnen komen over hoe om te gaan met dit soort informatie. Het opslaan van MAC-adressen i.c.m. locatie lijkt me inderdaad onwenselijk. Maar mogelijk kunnen deze adressen gedeeltelijk opgeslagen worden, of kan een bepaalde hash gebruikt worden.
    En het versturen van reclame berichten zonder opt-in zou natuurlijk verboden moeten zijn/worden. Dit is niet anders dan e-mail spam.

  9. Chris

    GeoTagging en LocationFinding komt steeds vaker voor, dit zal nog maar het begin zijn. Kijk naar applicaties zoals FourSquare, Facebook Places, Google Places, steeds vaker willen ze je locatie weten en de meeste mensen zijn in begin nieuwsgierig hoe zoiets werkt. Ook een veelgehoorde reactie is “maar ik hoef toch niet in te checken, of mijn wifi, bluetooth aan te zetten”. Merendeel van de mensen zijn naief in hun gebruik van GeoTagging, dat is nu eenmaal een feit.

  10. Gspot

    Er staan er bij mij op elke grote kruising minstens 1. Ik fiets daar elke dag van en naar mijn werk. Wat maakt mij toch zo interessant om gespot te worden? Kijken ze pas weg als ik er naakt voor ga staan?

  11. HoerenSloep

    Het “grappige” is dat de medewerkers van dit bedrijf ook met naam en toenaam op hun site vermeld staan. En een simpel googletje vertelt je dat ze op alle mogelijke vormen van “sociale media” voorkomen. Men is zich klaarblijkelijk niet eens bewust van het -op z’n minst- dicutabele karakter van hun product; zij hebben geen privacy meer. En men vindt het zo te zien niet eens erg. Privacy is in de ogen van jonge mensen “zóó 20-ste eeuw..” Een trieste en nare ontwikkeling.

  12. Michiel

    Als je wat verder zoekt zie je dat ze de oplossing van een firma genaamd bluetrace gebruiken. Recent kwam ik ook tegen in de krant dat deze oplossing ook bij de NS gebruikt wordt via weer een andere toko die ook weer bij de eerder genoemde firma afneemt. Als het al gehashed wordt zal het op een dergelijke manier gedaan zijn zodat je alsnog zonder al teveel moeite het reversed en terug kunt leiden naar MAC, fabrikant enz enz.

  13. Emanuel Hoffmann

    Flucon en City Traffic zijn nauw met elkaar verbonden. Flucon gebruikt dezelfde technologie. De gemeente Amsterdam overweegt om deze techniek te gebruiken t.b.v. wachtrij management bij de stadkantoren. Dus je privacy is in het geding als je voor een loket van de gemeente staat. En wat doet de gemeente met deze gegevens?
    E. Hoffmann

  14. Lot

    Inmiddels zet ik wifi en bluetooth standaard uit als ik op weg ga. Behalve als in standbydienst heb, dan gebruik ik een bluetooth-oortje. Ik heb een hekel aan bengelende snoertjes op de fiets. Ben ik dus toch regelmatig te traceren, verdikkeme. Waar kan ik inzage eisen, protest aantekenen en wat dies meer zij?

Laat een reactie achter op Emanuel Hoffmann Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.