Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 133 reacties
Submitter: mithe

De Autoriteit Persoonsgegevens heeft een last onder dwangsom aan het Nederlandse bedrijf Bluetrace opgelegd. Het bedrijf moet stoppen met wifi-tracking van omwonenden van winkelgebieden en moet verzamelde gegevens meteen verwijderen of anonimiseren.

autoriteit persoonsgegevensOok moet het bedrijf personen duidelijk informeren over het feit dat er tracking plaatsvindt via wifi, schrijft de privacytoezichthouder. Bluetrace moet deze maatregelen binnen zes maanden doorvoeren en is als het dat niet doet een dwangsom van vijfduizend euro per week verschuldigd, zolang er geen oplossing is. Het maximumbedrag dat op die manier opgelegd kan worden is 100.000 euro, blijkt uit de bijbehorende brief. De Autoriteit Persoonsgegevens had in 2015 al geconstateerd dat het bedrijf de privacywetgeving overtrad door personen te volgen.

Naar aanleiding van het toenmalige onderzoek zijn maatregelen genomen, onder andere door de tracking-activiteiten te beperken tot winkelopeningstijden en de gegevens voor maximaal 24 uur te bewaren. Ook heeft Bluetrace een poging ondernomen om personen te informeren met stickers en brochures. Deze maatregelen zijn volgens de Autoriteit Persoonsgegevens echter niet voldoende, omdat de gegevens bijvoorbeeld meteen na het verzamelen verwijderd of geanonimiseerd moeten worden. Ook de informatie die door het bedrijf is verstrekt, bleek onjuist of onvolledig te zijn. Daardoor overtreedt Bluetrace in de ogen van de waakhond nog steeds de wet.

Uit de brief van de Autoriteit Persoonsgegevens is op te maken dat Bluetrace het mac-adres van smartphones of andere apparaten van personen in de buurt van winkels opvangt en vervolgens opslaat. Aan de hand van de sterkte van het opgevangen wifi-signaal is het bedrijf in staat om de locatie van personen binnen en buiten de winkel te berekenen. Ook worden datum en tijdstip van het opgevangen signaal gebruikt om de verblijftijd van personen vast te stellen. De combinatie van deze gegevens zorgt ervoor dat Bluetrace bij het op deze manier tracken volgens de Wbp persoonsgegevens verwerkt.

Uit de brief, waarin het verloop van het onderzoek is beschreven, komt verder naar voren dat Bluetrace niet betwist dat het persoonsgegevens verwerkt. Het bedrijf is het echter niet eens met de conclusie dat het deze opslaat. Na het verzamelen worden de gegevens namelijk gehasht met een onbekend algoritme. Daarna stuurt Bluetrace deze gegevens naar een centrale server. Hoewel deze hashes niet kunnen worden teruggerekend naar mac-adressen, kunnen deze volgens de Autoriteit Persoonsgegevens wel worden herberekend, door het hashproces te herhalen. Daarbij is de kans op dubbele uitkomsten, oftewel collisions, zo klein dat er geen sprake is van anonimisering. Personen kunnen immers nog steeds geïdentificeerd worden aan de hand van de hash van hun mac-adres.

Tijdens het verzamelen van gegevens via wifi-tracking is er volgens de toezichthouder ook sprake van een zogenaamde bijvangst, waardoor bijvoorbeeld omwonenden en passanten in winkelgebieden ook worden gevolgd, hoewel daar geen noodzaak toe is. Uit de door Bluetrace aangevoerde argumenten zou niet blijken dat dit verschijnsel effectief wordt tegengegaan.

Het bedrijf heeft in een reactie op zijn website laten weten dat het op de wensen van de Autoriteit Persoonsgegevens reageert en personen beter gaat informeren. Een woordvoerder laat aan Tweakers weten dat ook op de andere punten van de toezichthouder actie zal worden ondernomen. Zo zijn er 'verschillende oplossingsrichtingen' voor het voorkomen van het opvangen van signalen van omwonenden. Een concrete oplossing was echter nog niet te noemen, aldus de woordvoerder. Ook de eis voor het verwijderen of anonimiseren zal worden opgepakt. Dat laatste zou op dit moment al gebeuren, maar over de precieze techniek achter dit proces wilde de woordvoerder niet in detail treden.

Moderatie-faq Wijzig weergave

Reacties (133)

Voor de mensen die er zelf wat tegen willen doen en een gerootte Android telefoon hebben:
nieuws: Nederlander ontwikkelt anti-tracking-app Pry-fi
Het artikel gaat over de gegevens van omwonenden van winkelgebieden. Die connecteren dus thuis met WiFi en de winkels registreren dus of die mensen thuis zijn of niet.

Bij zo'n thuis connectie wordt wel het echte MAC adres gebruikt. Die tool helpt daar niet tegen.. Die tool kan die veranderen maar dat heeft ook weer nadelen.
De tool helpt wel op de momenten dat je geen bereik hebt met een bekend netwerk en je telefoon loopt te zoeken.

Bij iOS zou je ook zoiets hebben. Namelijk een concealed mac adres. Maar dat lijkt volgens het volgende, niet recente, artikel niet zo goed te werken.

[Reactie gewijzigd door Sepio op 1 september 2016 16:39]

Serieus? Dus ik, een bewoner boven een aardig groot winkelcentrum in een aardig grote stad, heb al tijden een ''profiel'' bij deze bastaardonderneming?

En ze gaan nog even 6 maanden de tijd krijgen mijn (en andere) gegevens ''anoniem'' te maken? En als ze door blijven gaan ontvangt de -overheid- (/een vertakking vd overheid) de boette/het schade bedrag?

Ik heb overigens nog nooit ook maar enige informatie van ze ontvangen.

''Mooi'' stukje op hun website:
Over Bluetrace
Bluetrace ontwikkelt sinds 2010 baanbrekende Business Intelligence systemen op basis van wifi en bluetooth signalen. We helpen bedrijven, openbare instellingen en overheden bij het bereiken van betere resultaten door het verstrekken van gegevens. Overal waar verkeer en mensen zijn, voeren wij analyses uit. Bluetrace hecht aan bescherming van de anonimiteit en privacy van consumenten en opdrachtgevers.
Idd 6 maanden de tijd.

Je bent dus in overtreding hebt iets gedaan wat niet mag maar je krijgt 6 maanden de tijd om alles in orde te brengen. Pas als je dat niet doet krijg je een boete.

Zo wil ik ook wel eens te hard rijden. Nu hopen dat het OM mij dan ook 6 maanden de tijd geeft om niet meer te hard te rijden. Mocht ik na 6 maanden toch te hard rijden krijg ik alsnog een boete. Dit klinkt toch logisch zo je zeggen maar ja toch niet want in Nederland lijkt men met 2 maten te maten.
Welke nadelen heeft het veranderen van je MAC-adres dan voor een thuisgebruiker? Alleen als je verbinding met een modem moet maken dat een whitelist van MAC-adressen gebruikt zul je nadelen ondervinden, toch? En dat is niet het geval bij een normaal huismodem.

Pry-Fi werkt volgens mij nog niet goed en wordt niet meer doorontwikkeld, maar als er een goede tool zou komen die het wel goed doet, zou ik daar heel blij mee zijn. Ik meen dat Iphones trouwens sowieso al MAC-adressen spoofen / constant veranderen.

Dan nog zijn er wel andere manieren om mensen te tracken via de Wifi-signalen van hun telefoon, maar het is een stap.
Thuis geef ik via de mac adressen een aantal apparaten een vast dhcp adres. Ook mac adres filtering e.d. maakt hier gebruik van. Dus er zijn zaken die je dan niet meer kunt doen.
O, okee, en wat hebben die vaste dhcp-adressen voor voordeel?
Als je fixed adressen insteld dan moet je dat doen op de apparaten zelf. Je moet dan buiten het ik ook de subnet mask ook de dns servers en gateway instellen. Ik vind dat altijd lastig.

Bij normale DHCP krijgen de apparaten een op adres voor een bepaalde tijd. Daarna kan het zijn dat het ik aan een andere apparaat wordt gegeven.

Veel routers bieden ook een tussenweg. Daar kunne bij de DHCP server apparaten een vast op adres geven op basis van het MAC adres. Dat is erg handig voor bijvoorbeeld een raspberry pi, een nas, een printer. Dus vooral de apparaten waar je vanaf je tablet, telefoon of laptop mee wilt kunnen connecteren.

Mac adres filtering kun je, als je router dat ondersteund, gebruiken om bijvoorbeeld je kinderen op bepaalde tijdstippen de toegang tot internet te ontzeggen.
Mac-adresfiltering begrijp ik. Is inderdaad een nadeel als je dat gebruikt, maar ik doe dat niet, dus ik zou nog steeds blij zijn met MAC-adres-spoofing voor mijn telefoon.

Dat andere begrijp ik niet zo goed, ben beetje een leek. Gaat het erom dat sommige apparaten, zoals bepaalde printers, alleen goed verbinding met je telefoon kunnen maken als de telefoon een vast MAC-adres heeft?
Nee, de dhcp server geeft die apparaten altijd hetzelfde IP adres op basis van het unieke MAC adres dat elk apparaat heeft.

Zij bijvoorbeeld http://lifehacker.com/582...check-an-ip-address-again voor meer info.
Dank je, ik wilde hem delen maar je was me voor.

Lijkt me een mooi statement als je dit als buurtbewoners gewoon heel de dag laat draaien op een paar oude/reserve telefoontjes.
Hee super interessant! Ik heb alleen 1 vraag: als je even een kamer binnengaat waar je Wifimodem geen bereik heeft, en je loopt weer terug, verbindt hij dan automatisch weer? Of moet je dan elke keer een handeling verrichten (b.v. op "OK" drukken)?
Ja, dan verbindt hij automatisch.
Dat klinkt heel chill! Hoe weet hij dan dat het de goede is? Doet hij dat door middel van locatiebepaling? Kan geen andere manier bedenken.
Het lijkt erop dat Pry-fi nooit echt goed heeft gewerkt voor de meeste mensen en het niet meer ontwikkeld wordt? Maar het lijkt er ook op dat Android 6 zelf je MAC-adres randomiseert zoals waargenomen door andere apparaten, dus misschien is het al helemaal opgelost voor mensen die Android 6 draaien!
Ik snap niet zo goed waar al die heisa nu voor is, namelijk: Stel dat die MAC hash wél echt 'annoniemiseerd', dus uit de hash is geen MAC adres te herleiden. Dan pak je toch gewoon de bewakingscamera beelden er bij en kijk je: Ah, daar is Pietje, schrijft alle MAC hashes op die plek op op en kijkt dan wanneer Pietje naar de groente afdeling loopt, daar doe je hetzelfde. Uiteindelijk weet je welke hash bij Pietje hoort.

Dan nog, ik vind bewakingscamerabeelden vele malen privacy gevoeliger dan een MAC adres. Als de camera's goed genoeg zijn en je zet er een gezichtsherkenningsprogramma achter kun je iedereen tracken, ook oma die thuis alleen een morse zender heeft staan.
Ik snap niet zo goed waar al die heisa nu voor is, namelijk: Stel dat die MAC hash wél echt 'annoniemiseerd', dus uit de hash is geen MAC adres te herleiden. Dan pak je toch gewoon de bewakingscamera beelden er bij en kijk je: Ah, daar is Pietje, schrijft alle MAC hashes op die plek op op en kijkt dan wanneer Pietje naar de groente afdeling loopt, daar doe je hetzelfde. Uiteindelijk weet je welke hash bij Pietje hoort.
Dat is dus precies waar die 'heisa' om is. Een hash is niet anoniem. Sterker nog, het voegt hier niets toe, of je nou een uniek mac adres hebt of een unieke hash... Ik snap ook niet helemaal dat het bedrijf dacht hiermee aan de oorspronkelijke opdracht te voldoen.

Overigens zal iemand niet daadwerkelijk mensen op camera's gaan volgen. Maar met strategisch geplaatste tracking ontvangers en koppeling met apparatuur die de identiteit wel heeft, zoals pinkassa's. De correlatie van wie hoort bij welk MAC/hash is dan zo gebeurt, voor regelmatige klanten in elk geval.
Wat ik dus bedoel is dat het niet uit maakt of die hash nou wel of niet herleidbaar is tot een MAC adres. De hash is altijd herleidbaar tot een persoon.

Zo zijn bewakingscamera's ook geschikt om dit mee te doen en is het een kwestie van de link van himlims_ reactie implementeren en het achteraf-diefstal-opsporen-systeem gaat van handmatige privacy gevoeligheid naar automatische privacy gevoeligheid, daar hoor ik niks over.
Wat ik dus bedoel is dat het niet uit maakt of die hash nou wel of niet herleidbaar is tot een MAC adres. De hash is altijd herleidbaar tot een persoon.
En dat is dus ook precies de reden waarom de Autoriteit Persoonsgegevens heeft vastgesteld dat het hashen van de mac-adressen niet voldoende is. Dan is het toch terecht dat er heisa om wordt gemaakt?
Dit snap ik dan dus niet.

Die hash of zelfs het mac adres is toch niet herleidbaar naar een persoon? Dat kan volgens mij alleen als je NAW gegevens weet te koppelen aan een MAC adres en dat is voor zover ik kan zien niet het geval.
Puur op basis van een MAC-adres zal het inderdaad lastig worden. Een vingerafdruk is ook niet direct aan iemand te koppelen zolang je de persoon niet voor je hebt. Echter andersom werkt het wel. Als je de telefoon van iemand hebt kan je dat MAC-adres dus matchen met de opgeslagen data.

Maar waar het hier om gaat is dat het hashen van een MAC-adres de data niet anonimiseerd. Het vervangt alleen een string met karakters voor een andere string met karakters. Maar dit adres is nog net zo makkelijk te volgen.
Ahh ok, Ja inderdaad als je specifiek kijkt naar de vraag is een hash afdoende om een mac adres te anonimiseren snap ik dat.

Het gaat me dan wel meer om de vraag of de heisa die gemaakt wordt terecht is. Zoals je zelf ook al opmerkt

"Puur op basis van een MAC-adres zal het inderdaad lastig worden.".

Dat het wel kan als je andere systemen er bij gaat halen en er aan gaat koppelen. Tja dat is wel bekend maar gebeurd niet.

Vraag me sterk af of dit niet een voorbeeld is van het doorslaan van de "privacy wetgeving" in een richting die niet werkbaar is.
om je een voorbeeld te geven hoe dit wel herleid kan worden naar een persoon.
Een persoon voert een betaling uit bij de kassa op tijdstip X. Het bedrijf kijkt in de database en kijkt naar de hash ( of dus het MAC want hash is ook uniek) die op tijdstip X actief is bij de betreffende kassa. We hebben daar al een herleiding tussen hash en bankrekening nummer als er gepint is. Lukt dat niet de eerste keer omdat er bv meerdere hashes te dicht bij de kassa staan dat voer je dit meerdere keren uit als de hash in de winkel rondloopt en kom je vanzelf op een correcte koppeling uit. Kijk op de bankafschriften van het bedrijf met tijdstip x met de betreffende kassa en je weet de naam van de persoon behorende bij de hash.
Voila herleidbaarheid.
Ja dat snap ik en ik snap ook geheel dat dit door de koppeling mac met naw gegevens verkregen via pin transactie een privacy issue is en terecht.

Maar dat is hier toch niet aan de hand? Althans daar zie ik geen enkele mededeling over.
Als ik het goed begrijp gaat het hier om dat je als bedrijf niet zomaar persoongegevens mag verwerken. De tracking data op basis van MAC-adressen of hashes is niet anoniem genoeg en wordt dus als persoonsgegeven beschouwd.

Het wordt hier dus niet direct gekoppeld aan NAW-gegevens of gebruikt voor criminele doeleind maar de persoonsgegevens van deze mensen worden ongevraagd opgeslagen. En dat mag niet.
Totdat het 1 groot complot is.
Een mac adres staat niet direct gelijk aan bepaalde NAW gegevens.
Stel jij bent onderweg van jouw huis naar de albert heijn:
Jouw mac wordt gespot bij jou thuis,
Jouw mac wordt gespot bij de mac donalds (ook bij hun camera's, daar hebben ze foto/video nr1) (in mijn situatie kom je hier voorbij gelopen)
Jouw mac wordt gespot bij bakker bart (in mijn situatie kom je hier voorbij gelopen)
Jouw mac wordt gespot bij de AH, en daar sta je op ongeveer 20 verschillende camera's met je mac en je hoofd.

Mac is bij deze gekoppeld aan je gezicht. Koppel dit aan je twitter/facebook/instragram/whatsapp en ik weet niet wat voor meer onzin programma's er nog meer zijn en men weet precies wat jij doet, waar jij voorbij loopt en welke winkels jij leuk vind. Genoeg bedrijven die inmiddels gezichten kunnen herkennen en kunnen koppelen aan privé info.

Allemaal ver gezocht (ik loop niet met die gedachten over straat gelukkig, anders kan ik beter een ridderpak aan trekken xd), maar dit zijn situaties wat voor kunnen komen. Een situatie waarbij een MAC adres aan jou (hoofd) gekoppeld wordt.

Jij verdiend dus advertenties voor Bakker Bart want daar kom je regelmatig voorbij, dus ze hoeven je maar een actie te sturen en de kans is dat je onderweg naar de AH daar even naar binnenloopt om een broodje gezond voor 2,50 ipv 5 euro te kopen.

Of dit in de praktijk gebeurt? Ik denk dat heeeeel veeeeel zaken/bedrijven direct de deuren kunnen sluiten indien dat zo is en bekend wordt. Als bepaalde winkels voor advertenties hun video/foto beelden uitdelen aan bedrijven voor advertenties dan kunnen ze snel de deuren sluiten (zodra dat bekend wordt).

Daar waar momenteel vrijwel alles gehackt wordt (lijkt wel) zou ook bluetrace gehackt kunnen worden, en dan is zomaar bekend dat Bakker Bart hun videobeelden verkopen voor gepaste advertenties op basis van jouw mac.

Ondertussen loopt een heel groot deel van Nederland onder de 18 jaar non stop met GPS aan in combinatie met het spelletje Pokemon. Dat is pas data verzamelen, BlueTrace is daar niks bij ;) Account liefst gekoppeld aan hun email adres, en om ze nog een beetje meer te helpen gebruik je lekker het email adres die je ook voor je DIGID gebruikt.
Mja goed daar wordt uiteraard geen woord over gezegd want het is leuk:P

[Reactie gewijzigd door LopendeVogel op 1 september 2016 21:38]

Ik ben wat later maar dank voor je uitgebreide uitleg. En in de basis ben ik het roerende met je eens dat dit ongewenste voorbeelden zijn.

Dat is echter wat ik bedoel met "doorgeslagen". Zoals je zelf stelt "20 verschillende camera's met je mac en je hoofd."

Ofwel je moet iemands hoofd met "gezichtsherkenning" gaan verwerken. Dat lijkt me inderdaad duidelijk een "persoonsgegeven".

Een MAC adres op zich zelf is dat niet en wordt dat pas als deze "gekoppeld" wordt aan daadwerkelijk persoonsgegevens. Naam, Adres, Woonplaats, Telefoonnummer, gezicht of de manier van verwerken.

Ok de uitspraak in deze ligt er natuurlijk dus men zal er wat aan moeten doen maar heb wel vraagtekens bij de uitvoering van de wet in deze.

Zoveel geld en mankracht is er nu ook weer niet om de werkelijke "privacy" overtreders aan te pakken.
Zucht.. Nee. Het argument van de AP is dat hashing onvoldoende is. Ik zeg: Het maakt niet uit of je het hasht of niet, zelfs niet als ze ipv hash een willekeurig ID gebruiken. Er zijn belangrijker dingen om je zorgen over te maken, b.v. wat je allemaal met bewakingscamera's zou kunnen.
Okay, dus je bent het met AP eens dat hashing onvoldoende is. Maar omdat er volgens jou belangrijkere privacy issues zijn, moeten we dit maar laten gaan?

Waar het mee te maken heeft is dat er aan het opslaan van persoonsgegevens (bijvoorbeeld ook voor videobeelden)bepaalde regels verbonden zitten. Bluetrace handelde echter alsof dit geen persoonsgegevens waren. Hier was de AP (en ik geloof wij allebei ook) het niet mee eens omdat het niet anoniem genoeg was.

Ik snap niet wat dit met beveiligingscamera's te maken heeft? Als er meer slachtoffers vallen door automobilisten die door rood rijden dan door mensen die te hard rijden, dan moet de politie maar geen boetes meer uitdelen voor te hard rijden want het andere is een grotere issue? Of volgens jou hoeven we er dan in ieder geval geen heisa over te maken.

Bluetrace hield zich niet aan de regels en is op de vingers getikt. Prima toch?
Blijkbaar kan ik niet duidelijk maken wat ik bedoel. Ik ben het helemaal met je commentaar eens.

Laatste keer dat ik het probeer: AP gebruikt als argument dat hashes niet voldoende zijn. Ik zeg: dat is geen argument tegen het tracken. Het maakt niet uit of de hash voldoende is of niet, het tracken zélf is al dusdanig privacy gevoelig dat het niet uit maakt of er een persoonlijk herleidbaar ID bij zit. Zolang een 'gebruiker' elk winkel bezoek onder het zelfde ID geregistreerd wordt is dat ID net zo privacy gevoelig als het MAC adres, ook als dat ID willekeurig gegenereerd wordt. Je kan namelijk andere informatie bronnen (zoals camera bewaking) gebruiken om geautomatiseed(!) achteraf dat ID aan een MAC adres (of foto van persoon) te koppelen.
Hieruit kun je afleiden dat ik vind dat de AP aan het mierenneuken is terwijl ze eigenlijk kokend water in het nest moeten gieten, de tuin om moeten spitten en eventueel de grond af moeten voeren als chemisch afval. Dus in concrete woorden: Tracken zoals blue trace wil (niet alleen hoe bluetrace het nu doet maar het hele doel er van en dus alle manieren die ze nu weer gaan verzinnen om onder de AP uit te komen) is privacy gevoelig.
Wat zou kunnen (maar dat haal ik niet uit het nieuwsbericht) is dat elke Bluetrace punt een eigen algoritme heeft waardoor een persoon alleen maar te identificeren is bij 1 winkel en niet meer te volgen is langs meerdere winkels.
Ik denk dat het punt waarop de autoriteit persoonsgegevens reageert het feit is dat voor hun het berekenen van een hash niet gelijk staat aan anonimiseren van gegevens. Alhoewel de hash niet toestaat dat uit het eindresultaat weer het oorspronkelijke MAC adres te halen is, is wel elke hash uniek en dus net zo een persoonsgegeven als het MAC adres is.
Laten we nog even buiten beschouwing dat het niet zo heel lastig zal zijn om een rainbowtable met alle MAC adressen te maken...
Dat snap ik, daar ben ik het helemaal mee eens en daar reageer ik dus op. Voor de privacy maakt het niet uit of je een MAC adres koppelt aan tijd/locatie gegevens of een willekeurig ID (of minder willekeurig zoals een MAC hash) indien er ook een camerasysteem hangt wat in vrijwel alle winkels zo is.
Het punt is dat de uitkomst van de hash, steeds hetzelfde is. Hierdoor heb je een 1:1 relatie tussen de hash en een persoon. Net zoals je een 1:1 relatie hebt tussen het mac adres en een persoon en bijv. een BSN nummer en een persoon. De 1:1 relatie is het probleem, hiermee is het niet anoniem.

Het anonimiseren van de gegevens moet gebeuren door het creëren van steeds nieuwe hashes bij hetzelfde mac address. Dus als ik elke dag langs de sensor loop, met mijn zelfde mac address is de opgeslagen hash steeds verschillend. Dan hebben ze geen idee meer wie er achter welke hash zit op welk moment en is het anoniem.

Echter, dit wil Bluetrace natuurlijk niet doen, want op deze manier valt er geen profiel op te bouwen van de personen want de data is volledig anoniem. Je kan er dan niet zoveel mee. Je kan alleen maar zeggen, er waren vandaag 1000 personen die gemiddeld 12 minuten naar binnen gingen. Liever willen ze natuurlijk zeggen, van die 1000 personen, was 20% er voor de tweede keer en 5% komt hier elke week.
Precies, dat is wat ik zeg: zolang je er een ID aan koppelt, willekeurig, hash of MAC adres, is het privacy gevoelig. Het maakt niet uit hoe dit ID gegenereerd wordt.
Rainbow tabellen werken slechts als je het hashing algoritme kent en als je eventuele gebruike salt(s) weet... voor het gemak ga ik ervanuit dat ze een 'standaard' hash gebruiken als SHA1 maar daar een salt gebaseerd op locatie of klant bij gebruiken waardoor bruteforcen eigenlijk geen zin heeft..
Mij gaat het niet zozeer om privacy. Ik wil de winkeleigenaren en reclame makers niet helpen met het vernielen van mijn leven met (nog meer) reclame en leuke aanbiedingen.

"By the way if anyone here is in advertising or marketing…"
"this is not joke, borrow......."
Ja ik weet niet wat voor domme idioten op die reclame afdelingen werken maar de 'gerichte' reclame die ik krijg is vaak iets wat ik net bij die zelfde winkel voor dezelfde prijs gezien/gekocht heb.. |:(
Het bedrijf heeft in een reactie op zijn website laten weten dat het op de wensen van de Autoriteit Persoonsgegevens reageert en personen beter gaat informeren.
Ik wil niet geïnformeerd worden, ik wil niet gevolgd worden! |:(
Dit is de reden dat ik mijn telefoon en tablet zo min mogelijk bij me heb als ik me in winkels begeef.
Misschien een domme vraag, maar kunnen ze je niet alleen tracken als je verbonden met hun WiFi netwerk?
ik weet niet helemaal hoe het technisch in elkaar zit maar je wifi nic/radio is eigenlijk continu op zoek en in elk geval niet stil...

[Reactie gewijzigd door r.heijnen op 1 september 2016 12:35]

Als een telefoon geen wifi-signaal heeft dan stuurt het constant verzoeken uit op zoek naar een bekend netwerk ( of algehele scan naar aanwezige netwerken ). Dan wordt ook het MAC meegestuurd anders kunnen netwerken geen antwoord sturen.

Kan je prima zien als je bv Wireshark draait op je PC. Een telefoon die opgeslagen netwerken heeft zie je gewoon per naam voorbij komen ( 'Pietjes netwerk', 'bij oma', 'Pietjes werk', 'Pietjes kroeg','Pietjes vakantie hotel' etc ) over het algemeen.
Inderdaad, en hetzelfde geldt ook voor Bluetooth (met name BT 4.0/LE).

Ik heb een sniffer gekocht voor Bluetooth Low Energy, en het valt me echt op hoe vaak mijn telefoon loopt te kwetteren. Echt meerdere malen per seconde, continu. Dat was veel vaker dan ik had verwacht. En de implicaties voor de privacy (tracking) dus ook ingrijpender.

Ik geloof wel dat recente versies van zowel Android als iOS je MAC adres randomiseren als je niet verbonden bent, maar ik weet niet hoe vaak dat verandert. Dat is een van de dingen die ik met die sniffer wil gaan controleren.

Het zou trouwens natuurlijk ook wel heel fijn zijn als je ook gewoon voor verbonden netwerken je MAC kan randomiseren, beveiliging op MAC niveau is immers toch compleet achterhaald. Maar dat kan nog niet zo out of the box.

Edit: En inderdaad, met wireshark en airodump-ng kan je echt veel zien over mensen. Sommige mensen hebben hun telefoon of wifi netwerk naar hun volledige naam genoemd.

[Reactie gewijzigd door GekkePrutser op 1 september 2016 13:20]

MAC randomizen lijkt me een vage beveiliging, zodra je een ander MAC krijgt kun je gaan herconnecten ... je telefoon moet gewoon stoppen met zoeken als je dat niet vraagt.
Ja niet tijdens een sessie natuurlijk.. Maar elke keer als je met een wifi netwerk verbindt zou hij het gewoon kunnen randomisen.
Nee, je telefoon zal periodiek een signaal uitzenden om te kijken of er bekende netwerken in de buurt zijn waar het mee kan verbinden. Die signalen worden opgevangen, en daar is dus je telefoon al mee te volgen.
Waarom werkt het niet met enkel het ontvangen van een signaal?
Dat je pas terug gaat praten wanneer je daadwerkelijk wil verbinden?
Comercie..

een winkelcentrum wil graag weten hoe lang een persoon in het centerum verblijft. en dus over alle gegevens een gemiddelde berekenen. Een winkel wil juist weten hoe lang een persoon gemiddeld in de winkel verblijft.

Zo kunnen ze inspelen als er een event is.. blijft een persoon dan langer of veel langer. Bij welk event verblijft een persoon gemiddeld het langst.

Met deze gegevens kunnen ze dus beter inspelen op de behoefte op het winkelende publiek, zorgen dat ze langer blijven en dus meer omzet maken.

Hierbij wil je niet weten wie er allemaal op je WIFI verbinding zit, maar gewoon scannen wie er in de buurt is..

Vervelende is nu dat bewoners rondom een WIFI access point ook mee genomen wordt in deze berekening. Zo zou je in theorie kunnen weten of een bewoner wel of niet thuis is.

[Reactie gewijzigd door To_Tall op 1 september 2016 14:14]

Dat kan ook wel, maar dat werkt niet met hidden-SSIDs. Helaas is een groot deel van de gebruikers geïndoctrineerd dat dat veiliger is, dus ben je wel verplicht actief te scannen.
Niet noodzakelijk. Ook een Hidden SSID AP stuurt beacon frames uit, maar de SSID is dan 00 00 00 00 00 en net zo lang als de SSID is. (bij verschillende modellen AP's gezien)
Dus "actief" connecten naar een AP is niet echt nodig.
In dat Beacon frame zit ook het MAC adres van het AP dat nogaltijd gebruikt kan worden voor identificatie van de hidden SSID.
Dit kan een uitdaging zijn bij Roaming gebruik van een (1) SSID met meerdere AP's, Dus het mobiele telefoon toestel moet een lijstje van MAC adressen kunnen opslaan bij een SSID

(update MAC)

[Reactie gewijzigd door tweaknico op 7 september 2016 14:30]

Als ik (op mijn Android) de optie Network Notification uitzet bij Wifi, dan is hij toch niet meer continu aan het zoeken naar netwerken?
Of misschien ook wel, om te kijken of er een bekend netwerk is... 8)7
Sterker nog, met recente Android versies blijft WiFi zelfs aan als je het uit zet. :X
Dat komt namelijk door de Google positiebepaling.
Dus ookal zet je je WiFi uit, heb je GPS uitstaan, dan nog blijft de WiFi op de achtergrond actief.

Hier lees je hoe je het uitzet (maar dan ook echt).
Thanks heb het uitgezet. Wist hier ook niet van :X
Network Notification vraagt of je wilt verbinden met een onbekend netwerk (als er geen bekend netwerk binnen bereik is).

Zet je dit uit, wordt er niet meer gevraagd, maar nog wel gezocht naar bekende netwerken. Onbekende netwerken worden dan ook bezocht om ze te kunnen elimineren...
Zolang je telefoon zijn Wifi aan staat zal hij signaal uitzenden om te zien welke Wifi netwerken er in de buurt zijn. Daar wordt het MAC adres in mee gezonden en daardoor is de telefoon dus traceerbaar.
Zoals hieronder / boven kan je inderdaad altijd een apparaat volgen als je in de buurt bent. Wat ik begrijp wordt dit dus ook gedaan :/ Dat is inderdaad niet erg prettig voor mensen :/
AIrplane mode kan ook. Of telefoon zo instellen dat hij niet actief op zoek gaat naar hotspots (zo verzamelen ze de data denk ik)
Er is denk ik geen verschil tussen zoeken naar bekende netwerken, en zoeken naar onbekende netwerken. Wat je denk ik bedoelt is dat je een telefoon via een instelling daadwerkelijk kunt laten verbinden met een open hotspot, maar dat veranderd niets aan de wifi adapter zelf die gewoon continue kijkt of er een wifi signaal te zien is waar je naar zou kunnen verbinden.
Als er in 2015 al geconstateerd wordt dat de privacy wetgeving overtreden wordt, maar pas in 2016 volgt er een dwangsom (met nog eens een termijn van 6 maanden). Dus privacy wetgeving wordt overtreden maar kan 2 jaar duren voordat de situatie verandert.... schokkend
Het bedrijf heeft toen direct maatregelen getroffen. Dus dat is prima. Die maatregelen worden dus later nogmaals geverifieerd ook.
wassen neus maatregelen, ze kunnen de mac adressen wel hashen, nog steeds kan gevolgd dat telefoon x 25 minuten bij de H&M op de vrouwenafdeling was en vervolgens 10 minuten bij de Blokker.
Verder is het bluetrace er alles aan te doen om zoveel mogelijk op te vangen (dus de bijvangst van passanten) zodat ze kunnen vaststellen hoeveel mensen er in de winkelstraat (bijvoorbeeld) waren en hoeveel % in winkel Y was
wassen neus maatregelen, ze kunnen de mac adressen wel hashen, nog steeds kan gevolgd dat telefoon x 25 minuten bij de H&M op de vrouwenafdeling was en vervolgens 10 minuten bij de Blokker.
Maar dat is natuurlijk het doel van de oefening en zolang deze data voldoende geanonimiseerd zal worden is dat legaal. De wet stelt heel duidelijk dat als jij iets in de ether stuurt je niet verbaasd moet zijn als iemand dat opvangt. Jij mag geheel legaal een wifiscanner hebben. Wie heeft er niet eens in een publiek ruimte gestaan met bluetooth open om te zien welke BT zenders er bij komen en weggaan. Erg leuk om te zien of je daar de persoon bij kan vinden. Onschuldig tijdverdrijf als je vliegtuig weer eens vertraging heeft en geheel legaal. Als je die data gaat opslaan en verwerken zijn er natuurlijk regels en de actie van AP is daarom geheel juist.

Ik heb bluetooth en wifi uitstaan tot ik het nodig heb. Kost een paar seconden om weer aan te zetten. Dat heb ik wel over voor een beetje meer privacy.
De vraag is dan alleen: Wat is er mis met weten hoeveel mensen er op een willekeurig moment in een winkelstraat zijn? Waarom zou het een probleem zijn om te weten hoeveel van die mensen in Winkel Y waren?
Natuurlijk is BlueTrace er alles aan gelegen zoveel mogelijk data te verzamelen om bovenstaande gegevens zo nauwkeurig mogelijk te weten. Maar daar is helemaal niets mis mee. Niemand zal er wakker van liggen dat BlueTrace exact weet wanneer er heel veel mensen bij welke winkel zijn, zodat die winkel zijn bemensing daar op kan aanpassen (bijvoorbeeld).
Nog sterker: Het is ook helemaal niet erg dat BlueTrace weet dat 80% van de klanten van H&M vervolgens bij de V&D naar binnen lopen. Ook dat is geen enkel probleem.

Wat wél een probleem is, is dat deze gegevens naar één apparaat te herleiden zijn. Dát is waar ze hier voor bestraft zullen gaan worden. Dat is het moment dat het om persoonsgegevens gaat en niet meer over "big data".
Natuurlijk is BlueTrace er alles aan gelegen zoveel mogelijk data te verzamelen om bovenstaande gegevens zo nauwkeurig mogelijk te weten. Maar daar is helemaal niets mis mee.
Niets mis mee? De gegevens zijn naar 1 apparaat te herleiden, wat niet mag. Ze vangen gegevens op waar ze geen reet mee te maken hebben omdat dat geen bezoekers van die betreffende winkel(gebied) zijn. Ze bewaren gegevens, wat niet mag. Ze lichten mensen niet of onjuist in, en dat noemen we in gewonemensentaal 'jokken'. Oftewel: ze doen gewoon waar ze zelf zin in hebben en hebben schijt aan de wet en doodgewone fatsoensnormen.
Niemand zal er wakker van liggen dat BlueTrace exact weet wanneer er heel veel mensen bij welke winkel zijn, zodat die winkel zijn bemensing daar op kan aanpassen
Ik heb daar wel problemen mee, want ze doen het op een manier die ingaat tegen zo ongeveer elke afspraak die daarvoor staat. Dat ze a. niet even zelf vantevoren hebben nagedacht over of het allemaal wel zo netjes is wat ze doen en b. nadat ze op de vingers getikt zijn, en op de hoogte zijn gesteld dat ze die afspraken schenden, wat halfslachtige maatregelen nemen geeft bij mij aan dat ze ofwel niet weten wat ze aan het doen zijn, of het interesseert ze geen flikker. Een bedrijf met zo'n mentaliteit hoeft van mij helemaal niet door te gaan met wat ze aan het doen zijn, ongeacht hoe veel of weinig last ik daarvan heb. Hoe moeilijk is het nou om je als bedrijf gewoon fatsoenlijk te gedragen?
Dat de manier waarop niet juist is, is iedereen het over eens. Dat ze moeten zorgen dat het niet naar één apparaat te herleiden is, is duidelijk.
Maar in de basis is er niets mis met het doel wat ze nastreven. Namelijk patronen ontdekken en die gebruiken om de diensten te verbeteren.

Het feit dat ze moeten anonimiseren staat vast. Maar het verzamelen van de geanonimiseerde gegevens is verder weinig mis mee.
ThaStealth deed voorkomen alsof de basis al fout was, en dat spreek ik tegen. Ik zie daar geen probleem in.
Maar in de basis is er niets mis met het doel wat ze nastreven. Namelijk patronen ontdekken en die gebruiken om de diensten te verbeteren.
Waarom is daar niets mis mee? Als ik zeg 'blijf van mijn gegevens af, ook al betekent dat dat jullie je dienst niet kunnen verbeteren (en ik dus duurder uit ben omdat het allemaal minder efficient gaat, blablabla)', dan is er wel degelijk wat mis mee als ze het gewoon toch doen. Of een dienst (in mijn ogen) goed genoeg is of niet is toch mijn overweging?

Het is voortdurend hetzelfde smoesje om je neus te steken in zaken waar je niks mee te maken hebt: "het is voor je eigen veiligheid / gemak / gebruikservaring / gezondheid / <vul-maar-een-flauwekul-reden-in>". Donder toch op, dat bepaal ik zelf wel. Vuistregel: als ik er niet zelf om vraag is het antwoord "nee". Dit soort bedrijven doet het andersom: als ik niet expliciet "nee" zeg is het dus "ja" (en soms is het zelfs "ja" als ik wel expliciet "nee" zeg); en dan is het dus het makkelijkst om het maar helemaal niet te vragen, want dan kan ik ook geen "nee" antwoorden.

[Reactie gewijzigd door Iknik op 1 september 2016 14:19]

Daarom ook dat ze niets met JOUW GEGEVENS doen.

In heel nederland liggen lussen in de weg om te meten hoeveel autos er rijden. Wil je dat ook niet meer doen?
In heel nederland zitten sensoren in deuren om te meten hoeveel mensen er in en uit gaan. Verbieden?

Het verzamelen van dit soort gegevens doen we al tientallen jaren. Wellicht zelfs al honderden. En nu plots vindt jij dat het JOUW GEGEVENS zijn?

Zolang ze te herleiden zijn mogen ze niet verzameld worden. Dat weten we, daarvoor is het CBP nu ook in actie gekomen. Maar gewoon "gegevens" verzamelen die niet te herleiden zijn heeft altijd gemogen, mag nogsteeds en kun jij niets aan doen omdat het concept "JOUW" daar niet meer van toepassing is.
Daarom ook dat ze niets met JOUW GEGEVENS doen.
Dat doen ze dus wel, daarom zijn ze op de vingers getikt.
In heel nederland zitten sensoren in deuren om te meten hoeveel mensen er in en uit gaan.
Als ze die gegevens al hebben is dat hele Bluetrace toch niet nodig?
Het verzamelen van dit soort gegevens doen we al tientallen jaren. Wellicht zelfs al honderden.
Als je normaal doet vind ik dat ook helemaal niet erg. Als je ineens vindt dat je zomaar allerhande gegevens mag verzamelen en in het wilde weg met elkaar mag combineren om allerlei tot mij herleidbare juist of onjuiste conlcusies te trekken vind ik dat wel erg. Als ze mijn MAC-adres hashen naar een 2-bits waarde vind ik het nog tot daar aan toe. Anders kappen ze er maar lekker mee.

Daarbij trek ik een redelijk harde grens tussen 'publieke' en 'private' doeleinden. Als jij uit puur commercieël oogpunt bij of van mij iets wil stel ik persoonlijk daar andere, behoorlijk veel strengere voorwaarden aan dan wanneer de overheid iets wil, omdat de overheid een ander doel heeft en 'wij' bovendien inspraak hebben in wat de overheid doet (in theorie, tenminste).

Dus nee, het is niet dat ik ineens iets anders wil, het is dat allerlei dataverzamelaars er ineens achter komen dat ze met al die nieuwe technieken allerlei leuks (voor hun, dan) kunnen, en daarmee pissen ze met de regelmaat van de klok buiten de pot, waarbij ze in het gunstigste geval niet snappen waar ze mee bezig zijn, of gewoon schijt hebben aan alles en iedereen. Gegevens die ik te goeder trouw afgeef voor dienstverlening worden niet zorgvuldig bewaard en komen op straat. Gegevens worden onder valse of met opzet onduidelijke voorwendselen van mij afgetroggeld. Gegevens die tot mij herleidbaar zijn worden illegaal verzameld, opgeslagen en verwerkt. Dat 'persoonlijke gegevens' het goud van de 21e eeuw zijn geloof ik best, maar dat is geen vrijbrief om je asociaal en crimineel te gaan gedragen. Als het zo moet kap je maar met je big data. Laat eerst maar eens zien dat je de begrippen 'fatsoen' en 'verantwoordelijkheid' kent, daarna praten we (misschien) verder.

[Reactie gewijzigd door Iknik op 1 september 2016 18:12]

Glad to see someone here who actually lives in 2016.

The privacy Horse left the Barn years ago. Everyone bitching because some evil shop might be able to sell you a pair of pants that you didn't know you need, meanwhile everyone is herp-derp, check out how cheap Amazon has these headphones.

Come on people. What the heck. Get with the times here instead of all the OMG the sky is falling.

The biggest threat to privacy is Government itself. BlueTrace got into trouble because they obviously pissed someone off, not because they are doing anything provably bad. Who did they piss off? Probably a Google, Facebook or any number of other protectionist entities. Ya know?

Also, I am using Google Translate to use this site. Shit they are probably already calling in the black helicopters as we speak!

[Reactie gewijzigd door Pentops op 2 september 2016 16:55]

Met andere woorden: Waarschijnlijk is het juridisch prima toegestaan om aan de deur met een papier bij te houden hoe laat iemand binnen komt, en zelfs bij te houden hoeveel mensen er op de straat een winkel passeren. Maar mag je daarbij niet vragen om een BSN nummer te noteren bij die personen of een foto van een persoon erbij op te slaan.
Jij denkt dat die zoemer-oogjes alleen maar zoemen als er iemand binnen komt?

Het aantal mensen wat binnen komt en uit gaat wordt al jaren geregistreerd. Het enige verschil is dat de methode wat meer high-tech geworden is en dat we meer weten over waar de mensen vandaan komen en naartoe gaan.
Dat heeft te maken met conversie: hoeveel mensen heb ik in de winkel gehad en hoeveel geld heb ik aan het einde van de rit omgezet/verdiend. Vrouwen zijn heel goed in de conversie naar beneden halen: wel kijken, niet kopen.

Het tellen van mensen door een tellertje is strikt anoniem. Het opslaan of verwerken van gegevens die te herleiden zijn naar een apparaat of persoon is niet meer anoniem.
Vrouwen zijn heel goed in de conversie naar beneden halen: wel kijken, niet kopen.
Om een ander vooroordeel maar meteen in te zetten om naar het vemoedelijke gemiddelde te komen: veel vrouwen lopen met tassen vol naar buiten.
Klopt ook. Maar voordat ze één tas in handen hebben zijn ze wel 5 winkels in geweest. #keuzestress
Natuurlijk tellen die wel, zonder te weten hoe lang een specifiek persoon binnen is. Die registreren op zijn minst nog mensen die echt binnen gaan.
Registratie van mensen op straat die niet een winkel inlopen is natuurlijk weer wat anders.
Winkels proberen zoveel mogelijk geld uit mijn zakken te kloppen. Ze zijn geen charitatieve instelling hé. Dus waarom zou ik ze daarmee helpen?

(Als je ooit een chagrijnig iemand door een winkelstraat ziet rennen als een terrorist op Zaventem dan ben ik het. Shoppen is geen leuk "event" ).
Het gaat erom dat uit Superkanjo's reactie blijkt alsof er in de genoemde periode niets is gedaan. En dat klopt gewoon niet. Je kunt ook moeilijk direct bij een eerste vergrijp een dwangsom opleggen in Nederland.
Je kunt ook moeilijk direct bij een eerste vergrijp een dwangsom opleggen in Nederland.
uhm... de eerste keer dat ik te hard reed kreeg ik toch gewoon een bekeuring hoor. Dus waarom zou dat niet kunnen?
Het is een dwangsom: dat wil zeggen dat er betaald moet worden, TENZIJ er afdoende maatregelen genomen worden. Dus niet alleen wordt geconstateerd dat ze in overtreding zijn, ze krijgen ook nog eens de kans om hun fout te herstellen. Dat kan dus prima na constatering van het eerste vergrijp! :)
Maar meneer de rechter het was slechts mijn eerste moord! ;)
Ik bedoel, ik denk niet dat een instantie als de Autoriteit Persoonsgegevens die mogelijkheden heeft.
Geen idee of ze die mogelijkheid hebben. Ik denk het eigenlijk wel: waarom zouden ze het wel kunnen na constatering van herhaling, en niet bij de eerste keer?
Maar het kan zijn dat de regels inderdaad opleggen dat het niet bij de eerste constatering kan. :)
jaja, maar alleen van (relatief kleine) NL bedrijven.

Whapsapp/Facebook heeft mijn persoonsgegevens ook (o.a. telefoonnummer), daar mag men wel eens wat aan doen.

Voor de duidelijkheid, ik heb bewust geen account bij Facebook/Whatsapp.
Daar is al wat aan gedaan. WhatsApp heeft de hashing algoritmes gewijzigd en toen is gebleken dat WhatsApp je telefoonnummer dusdanig veilig opslaat en zonder persoonsgegevens (naam, adres, email, etc) erbij dat het volledig legaal en veilig is, volgens de AP.
En 'anonimiseren of verwijderen', nou dan weet je het wel. Anonimiseren is erg relatief met big data, er zijn altijd patronen te herkennen en met een klein aanknopingspunt kun je (eigenlijk vergelijkbaar met connecties op Tor) toch iemand volgen.
Er staat letterlijk in het artikel dat er bij het toenmalige onderzoek al maatregelen zijn getroffen, maar dat die nu niet toereikend zijn bevonden.
Je kan wel merken dat privacy niet belangrijk is Nederland. Dit is veelte laat! Ik vind 1 maand voldoende om te zorgen dat het wel in orde is. Je kan nu gewoon onder een andere bv weer door gaan en dan kan je het weer heel lang rekken.
ik denk dat relatief weinigen bij mogelijke complicaties stil staan...
er over praten mag ook nooit want troll, paranoïde, confronterend, vervelend, etc.
voor dat type mens: GOTO surface

de meeste mensen hebben alleen een verantwoordelijkheidsgevoel wanneer het om hun eigen vrolijkheid gaat en vinden alles andere paranoïde...

de groep aan de andere kant slaan soms misschien door omdat de noodzaak verantwoordelijkheidsgevoel in de overdrive zet.

effectief betekent het dat er een compromis gevonden word die voor beiden een schijn wekken maar de oorzaak onopgelost blijft...
denk dan aan doodzwijgen van een probleem of een luchtig "vrijheid blijheid in mate"-wetgeving die politiek correct is maar de mens geen goed doet: "we laten effectief alles in het midden anders vinden mensen mij als mens/president niet lief".

namelijk zolang een mens/lijder denkt dat hij iedereen kan pleasen of de mens dat van hem verwacht,
is elke overlegging gewoon sowieso bezopen.
zelfs al zou hij alles onderbouwen je blijft altijd tegenstanders houden omdat mensen egoistisch zijn maar maatschappelijk verantwoord is het gewoon niet.

we willen allemaal gelijkwaardige papas en mamas spelen maar effectief respecteren we geen echte hogere autoriteit/wet, behalve de krachteloze schijn-autoriteit/wet van veel belofte met mooie woorden zonder echte verantwoording, één die zegt "alles mag wel een beetje", verbaasd het ons dan dat wolven de overhand nemen buiten het zicht van de grote meerderheid?

:surface
mensen volgen en onderzoeken, stiekem of niet, met het oog er op om er geld aan te verdienen...
dat is als handelen met voorkennis die je een ander niet beschikbaar stelt.
volledig buiten het zicht en begrip van de meerderheid worden mensen bewerkt en de omvang er van word onderschat.
sommigen zeggen dan "ja joh dat is vrije marktwerking, wet van de sterkste" maar de vormen die ze aannemen en de macht die het bij mensen met egoistische, geen maatschappelijke gezondheid, belangen neerlegt, dat zijn de complicaties.

[Reactie gewijzigd door r.heijnen op 1 september 2016 14:14]

1 maand om hetgeen wat voor dit bedrijf CORE BUSINESS is ff om te gooien?! Lekker reëel... Kan je ze net zo goed gelijk helemaal opdoeken.

[Reactie gewijzigd door jozuf op 1 september 2016 13:45]

Goed idee, het tracken van persoonsgegevens zonder opt-in mag van mij gewoon illegaal zijn (en volgens mij is het dat ook).

Ik heb geen probleem met het opdoeken van illegale praktijken.
Een bedrijf wordt geacht de relevante wetgeving te kennen, en niet via de ene tik op de vingers na de ander uiteindelijk te voldoen aan de wet (en ondertussen wel gewoon regels schendend).
Wat mij betreft voeren ze een strict zero tolerance beleid voor dit soort parasitaire bedrijven, want dat 'Pleading ignorance'-truuctje om de grenzen te blijven opzoeken en waar mogelijk te overschrijden is natuurlijk gewoon bullshit voor de hoogste orde: BlueTrace weet drommelsgoed waar ze mee bezig zijn. En als ze dat niet weten, dan heeft die toko natuurlijk al helemaal geen bestaansrecht.
Het moet verdomme maar eens afgelopen zijn met dat handjes boven het hoofd van het bedrijfsleven houden terwijl de consument steeds maar aan het kortste end trekt, de gebeten hond is en in wezen volstrekt machteloos staat.

[Reactie gewijzigd door w00t00w op 1 september 2016 14:27]

Ja dit hadden ze van tevoren goed uit moeten zoeken. Net zo als je een markt onderzoek doet van te voren. Waarom zou je dat juridisch niet doen? Omdat het bedrijf fout bezig is moet de burger hier de dupe van zijn?

Ze hadden eerst bij het CPB moeten aankloppen en om advies moeten vragen.

[Reactie gewijzigd door TheDudez op 1 september 2016 14:11]

Maar moet er verbinding worden gemaakt met een (openbaar) netwerk van Bluetrace of is enkel langslopen voldoende om het MAC adres van mijn telefoon door te geven?
zoals de meeste telefoons ingesteld staan is langs lopen voldoende, je telefoon probeert zolang hij op 3G/4G zit de hele tijd een Wifi netwerk te vinden en zal ook verbinding proberen te maken met een open netwerk.
BT werkt andersom, als jouw telefoon 'detecteerbaar' is zal hij een signaal uitsturen elke X seconden om zijn aanwezigheid bekend te maken.
Dat werkt met wifi ook ongeveer zo, telefoon stuurt ook regelmatig naar AP's in de buurt, dus wifi aan en 3/4G uit en je wordt ook gevolgd. Zolang wifi aan staat zien ze je...
Wat stuurt de telefoon dan naar AP's als hij niet met ze verbindt? Volgens mij kijkt een Wifi client naar de beacon pakketten en leidt dmv de SSID en encryptie af of die verbinding wil maken of niet. Als er geen geschikt AP in de buurt is, wat moet de client dan voor pakketten gaan uitzenden?
Client stuurt vergelijkbare beacons, ben op het moment te brak om het allemaal op te zoeken :p Maar edit deze post misschien later nog...
Ik kan iig op m'n wireless controller voor al mijn AP's zien dat dagelijks een paar duizend unieke MAC adressen gezien worden, dat zijn clients die niets met mijn netwerk doen maar wel gespot worden...

Edit: van wat ik me half herinner was het iets met verborgen SSIDs waar de client e.a. opstuurt...

[Reactie gewijzigd door RGAT op 1 september 2016 14:51]

Jouw controller kan ook gewoon het verkeer zien dat tussen clients en een ander AP gaat, daar is niks speciaals aan. Dat wil nog niet zeggen dat ook de clients willekeurig pakketten uitzenden als ze niet met een AP verbonden zijn.

Wikipedia's artikel over Beacon Frames zegt daar in ieder geval niks over.

Een verborgen SSID kan het ook niet zijn, dat betekent enkel dat er naast het BSSID geen SSID wordt gestuurd, er verandert verder niks aan het proces. Zonder SSID kan je hem niet in het SSID-lijstje tonen (logisch) maar dat neemt niet weg dat het AP nog steeds beacon frames uitzendt (met z'n BSSID en encryptie informatie) zodat clients kunnen verbinden.
je beantwoord 3 minuten later je eigen vraag :)
Ik gebruik de Android app Wi-Fi Privacy Police app hiervoor. Deze tool zorgt ervoor dat je phone geen lijst meer uitzendt met alle bekende netwerken, en verder kan je gebruik maken van de mogelijkheid om SSID proofing tegen te gaan (door per verschillend mac address eerst toestemming te geven of je wilt verbinden met dit netwerk)

Edit: deze maker heeft ook een interessante Tedtalk gehouden over deze 2 onderwerpen:
https://www.youtube.com/watch?v=2GpNhYy2l08

[Reactie gewijzigd door segil op 1 september 2016 13:24]

Leuk maar die tool helpt je totaal niet binnen deze context .
Jawel, want als je phone geen lijst van ssid's uitzendt, wordt daarmee ook je mac address niet periodiek verstuurt, en kan bluetrace jou phone niet tracen.
Het hangt er maar vanaf waar het netwerk zich bevind. Als ik het goed begrijp activeert de tool de WIFI pas wanneer het een bekende GPS locatie detecteert. Wanneer je dus vlakbij het "doel" zit helpt deze applicatie niet meer.

Tegen SSID spoofing helpt het alleen wanneer het MAC address niet gespoofed is. Wellicht een stap vooruit maar zeker niet waterdicht.
Erg interessante app, dankjewel voor het delen. Ga ik toch eens naar kijken!
Ikzelf gebruik de app Smarter WiFi Manager, is een iets andere aanpak: met deze app staat je WiFi altijd uit, behalve op locaties waarvan jij aangegeven hebt dat je er WiFi wil gebruiken. Je locatie wordt bepaald dmv. de zendmasten van het GSM-signaal.

Voordeel is dat je WiFi echt helemààl uit staat (maximale privacy en goed voor de batterijlevensduur), nadeel is dan weer dat de app niet erg effectief is als je heel veel publieke hotspots gebruikt (en dus veel locaties aanleert).
de één zijn dood is de ander zijn brood...

buiten dat vind ik dit soort stiekem tracking gedoe eigenlijk ook gewoon crimineel.
als het nou om volksgezondheid gaat zoals mogelijke verspreiding en overdracht van ziekten maar niet puur om geld...

en zelfs dan zullen veel mensen zich er niet eens prettig bij voelen.
waarom niet verbieden en behandelen als stalking/schaduwen?

[Reactie gewijzigd door r.heijnen op 1 september 2016 13:10]

Tja, maar hoe willen ze het controleren?

Als ik wifi-signalen die ik ontvang ga opslaan en daardoor gegevens kan koppelen maar dit aan niemand vertel, hoe komt de overheid er dan achter?

Volgens mij is er maar 1 oplossing: niks uitzenden als je niet wilt dat je ontvangen wordt.
Als ik wifi-signalen die ik ontvang ga opslaan en daardoor gegevens kan koppelen maar dit aan niemand vertel, hoe komt de overheid er dan achter?
Niet, maar dan heb jij er ook niks aan. Ja, je kunt verzamelen zoals een ander wuppies spaart. Zodra je de gevens en staistieken gaat verkopen loop je de kans dat iemand dat wereldkundig maakt.
Volgens mij is er maar 1 oplossing: niks uitzenden als je niet wilt dat je ontvangen wordt.
Het gaat om de omwonenden. Verhuizen dan maar ? :+
Als een winkelketen zelf wifisignalen registreert natuurlijk wel.

En ja als je niet wilt dat wordt ontvangen wat je uitzendt moet je niet uitzenden .

Verhuizen heeft geen nut, ook in je nieuwe omgeving kan ontvangen worden wat je zelf uitzendt.
Dus 5000 euro per week; stel dat ze in alle 390 gemeentes hun diensten verlenen, dan is dat 12,80 euro per gemeente per week. Hoe groot is Bluetrace en wat gebeurt er na 20 weken?
Waarom staat er in dit soort zaken altijd een maximum bedrag?

Als ik nu bij Bluetrace werkte pakte ik de rekenmachine er bij, keek naar de inkomsten over langere termijn als we toch doorgaan met tracken.

Inkomsten blijven doorgaan - maximaal bedrag van ¤100.000 = conclusie.

En die conclusie zal zijn: we zetten ¤100.000 apart. We hebben toch nog 6 maanden + 20 weken = 11 maanden om te sparen.

[Reactie gewijzigd door Martin-S op 2 september 2016 02:11]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True