Gemeente Enschede stapt naar rechter vanwege AVG-boete voor wifitracking

De gemeente Enschede gaat de AVG-boete die ze van de Autoriteit Persoonsgegevens kreeg, aanvechten bij de rechter. De gemeente zegt dat ze geen persoonsgegevens verzamelde en dat de AP 'onbehoorlijk bestuur' heeft verricht.

De gemeente Enschede kreeg in april vorig jaar een boete van 600.000 euro van de Autoriteit Persoonsgegevens. De gemeente schakelde een extern bedrijf in om wifitracking in de binnenstad in te zetten om bezoekersstromen te meten. Enschede is het nooit eens geweest met die boete. De gemeente zegt nu dat ze naar de rechter stapt. Enschede ontkent met de wifitracking persoonsgegevens te hebben verzameld. Bij de wifitracking werden mac-adressen verzameld. Volgens de gemeente Enschede werden die 'versleuteld en afgeknipt', maar de AP concludeerde tijdens het onderzoek dat de gegevens slechts gepseudonimiseerd werden. De pseudonimiseringsmethode werkte bovendien op iedere wifiteller hetzelfde en zou in de twee jaar dat de metingen liepen, nooit zijn veranderd. Het afknippen van de mac-adressen gebeurde volgens het boetebesluit ook pas sinds 1 januari 2019, terwijl het onderzoek keek naar de periode van mei 2018 tot april 2020.

De kritiek van de gemeente Enschede ligt vooral bij dat deel van de boete. "De verzamelde gegevens zijn in dit specifieke geval niet te herleiden tot personen", schrijft de gemeente. Daar is de Autoriteit Persoonsgegevens het niet mee eens. Dat stelt dat er patronen uit de mac-adressen kunnen worden gehaald die aan specifieke mobiele apparaten toe te schrijven zijn. "De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens, zoals bezoeken aan medische instellingen", schreef de AP. De toezichthouder nam in 2020 al het standpunt in dat locatiedata per definitie niet anoniem kunnen zijn, omdat daar patronen uit kunnen worden gehaald over iemands woonadres.

De gemeente Enschede zegt dat 'de AP op geen enkele wijze heeft aangetoond hoe het identificeren van personen in de praktijk bij de passantentellingen mogelijk was'. Dat deed de privacytoezichthouder in het boetebesluit dus wel degelijk. Sterker nog, de AP noemde drie specifieke voorbeelden waarbij een burger kon worden geïdentificeerd op basis van verschillende soorten verzamelde gegevens, zowel lang als kort bewaard. De gemeente zegt verder dat 'daadwerkelijke identificatie nooit heeft plaatsgevonden'.

Enschede noemt het ook 'zeer kwalijk' dat de AP 'de suggestie wekte' dat bezoekers geïdentificeerd of gevolgd werden. "Dat wilden wij niet. Dat konden wij ook niet", zegt wethouder Jurgen van Houdt, hoewel de AP dus drie duidelijke identificatiemogelijkheden benoemde.

Van Houdt zegt verder: "Het gemeentebestuur van Enschede blijft van mening dat het besluit van de AP niet voldoet aan meerdere beginselen van behoorlijk bestuur, zoals evenredigheid, zorgvuldigheid en gelijkheid." Hij bedoelt daarmee dat verschillende Nederlandse gemeenten wifitracking uitvoerden en dat Enschede de boete zonder waarschuwing en overleg vooraf kreeg. Dat klopt; de AP vroeg wel eerst informatie op bij de gemeente en het bedrijf, maar stuurde in mei 2020 een 'voornemen tot handhaving'. Wel kregen gemeenten al in 2016 een algemene waarschuwing dat wifitracking onder de Wet bescherming persoonsgegevens niet was toegestaan. Dat was de voorloper van de AVG.

De gemeente Enschede heeft zich altijd fel verzet tegen de boete. Ze tekende daar al bezwaar tegen aan bij de AP zelf. Die verklaarde de klacht ongegrond. De boete is een van de hoogste AVG-boetes in Nederland tot nu toe. Het was ook de eerste boete die voor rekening kwam van een overheidsinstelling. Tweakers schreef vorig jaar een achtergrondartikel over wat er gebeurt als de overheid zichzelf een boete geeft.

Door Tijs Hofmans

Redacteur

06-07-2022 • 15:52

150 Linkedin

Reacties (150)

Wijzig sortering
"Dat wilden wij niet. Dat konden wij ook niet"
Juist, dus volgens die logica mag ik ook een wapen voorhanden hebben, want ik heb niet de intentie om iemand neer te schieten, en ik kan niet mikken?

De vergelijking is een beetje extreem misschien, maar hiermee gaan ze het toch niet redden? Ze zijn op de vingers getikt voor iets waarvan ze de consequenties niet konden overzien, maar dat betekent nog niet dat ze er dan maar mee weg moeten komen omdat ze niet wisten dat het niet mocht.
De gemeente schakelde een extern bedrijf in om wifitracking in de binnenstad in te zetten om bezoekersstromen te meten.
Iemand heeft hier dus zijn huiswerk niet goed gedaan en is even vergeten om de ethische bezwaren van deze methode mee te wegen in de beslissing. Ze hadden deze situatie kunnen voorkomen door zorgvuldiger te zijn in hun anonimiseringsmethode. En als dit soort data-collectie jouw core-business is als bedrijf dien je hier ook van op de hoogte te zijn als bedrijf.

Daarom snap ik niet zo goed dat de gemeente zich tegen de AP richt in plaats van het bedrijf waar ze zaken mee deden, die hebben de risico's simpelweg niet goed gecommuniceerd.
Wij leveren ook wifi-"trackers" en we zijn destijds ook door de gemeente Enschede benaderd.
Wifi-tracking om verkeersstromen in kaart te brengen kan, maar wat de gemeente Enschede wilde kan niet en dat hebben we ook laten weten. De gemeente Enschede heeft onze manier van werken afgekeurd.

De gemeente wilde echt individuele personen door de stad kunnen volgen. Daarvoor moeten Mac-adressen verzameld worden en (tijdelijk) centraal opgeslagen en verwerkt worden. Wij leveren een service waarbij we ook wifi-"trackers" inzetten. Die "trackers" gebruiken we als tellers. De Mac-adressen worden alleen op het device zelf onthouden. Daarvoor gebruiken we maar de helft van het nummer. Zodra een Mac-adress meer dan 5 of 10 minuten (afhankelijk van de locatie) niet meer gezien gaat die uit het geheugen. Het adres wordt niet opgeslagen of met andere "trackers" gedeeld. Zodra een wifi-"tracker" wordt geopend zal de spanning van de logica afgaan en is het geheugen leeg.
Wij gebruiken de "trackers" ook puur als tellers waarmee we tellen hoeveel mensen binnen een tijdsbestek van 10 minuten tot een uur (afhankelijk van de opdracht) in een willekeurige richting langs een "tracker" gaan. Door op goed gekozen plekken te tellen en de tel periode goed op de locatie af te stemmen kan je de globale verkeersstromen redelijk goed berekenen.
Onze methode is volledig anoniem en voldoet aan de AVG. Er zij echter meerdere spelers op de markt die wel bereid zijn om mac-adressen langere tijd te volgen en centraal op te slaan. Zij kunnen ook mensen langs verschillende klanten volgen. Het bedrijf kan daarop ook aangesproken worden, maar in principe zijn de opdrachtgevers verantwoordelijk. De gemeente Enschede weet wat er, in hun opdracht, opgeslagen wordt en moet bedenken wat je daarmee kunt. Of de gemeente toegang krijgt tot alle data doet er niet toe. Ik neem aan dat ze alleen krijgen wat ze gevraagd hebben (verkeersstromen per kwartier). De gemeente kan dan niet beschikken over de Mac adressen. Dat zij dan niet in staat zijn om personen te volgen klopt dan, maar de partij die hun opdracht heeft uitgevoerd kan dat zeer zeker wel.

Personen volgen kunnen we wel, maar dan gebruiken we camera's. Die maken van passanten een code (soort hash) wat met de andere camera's wordt gedeeld. Als die iemand zien waarvoor ze dezelfde code berekenen, dan wordt doorgegeven dat iemand in x minuten van punt A naar B is gegaan. We gebruiken 2.1 mpixel camera's met afstanden van 10 tot 25 meter. De beelden zijn niet goed genoeg om iemand (goed) herkenbaar in beeld te brengen. Beelden worden ook niet opgeslagen. Van de codes is het ook niet mogelijk om een beeld terug te berekenen. Naar details in gezichten wordt niet gekeken.
Dit systeem herkent maar 10 tot 15% van de mensen die langs meerdere camera's gaan, maar dat is ruim voldoende om verkeersstromen en efficiënties van routes te berekenen. Hashes langer dan 15 minuten bewaren is voor ons onzin. De kans dat we een zelfde persoon een paar dagen later opnieuw kunnen herkennen is aanwezig, maar de kans dat we een ander persoon aan die code koppelen is vele malen groter.
Wij verliezen nu nog veel potentiële klanten die niet zo moeilijk doen met het opslaan van Mac adressen of zelfs gezichtsherkenning inzetten, maar wij blijven liever klein en respecteren ieders privacy, dan dat we ten koste van andermans privacy groeien. Verkeersstromen tellen is ook niet onze core-buisiness.
Wifi-tracking om verkeersstromen in kaart te brengen kan, maar wat de gemeente Enschede wilde kan niet en dat hebben we ook laten weten. De gemeente Enschede heeft onze manier van werken afgekeurd.
Dit was inderdaad exact de strekking van mijn originele bericht. Een gezond bedrijf neemt het risico niet om de opdrachtgever in gevaar te brengen, zelfs niet als ze daar zelf voor kiezen.

Bij dit soort kwesties is de opdrachtgever inderdaad verantwoordelijk voor datgene wat de aannemer uitvoert. Daarbij valt nog de discussie te voeren of die aannemer naar eer en geweten heeft verklaard te voldoen aan de wet met hun methode, maar als we de reactie van @Tijs Hofmans op mijn bericht even voor waarheid aannemen is dat hier dus waarschijnlijk niet het geval geweest. Of de gemeente heeft moedwillig gekozen voor een methode die niet conform de AVG is. In dat laatste geval ziet het er slecht uit voor een hoger beroep.

Ik krijg met alle extra informatie steeds meer het idee dat de boete voor de gemeente terecht is, en dat ze zelf goed moeten onderzoeken hoe dit heeft kunnen gebeuren. Als uit dat onderzoek blijkt dat de aannemer ze heeft voorgelogen, dan lijkt me dat reden genoeg om een procedure te starten voor een schadevergoeding.

Interessant verhaal verder, dit is een duidelijk voorbeeld van dat het wel degelijk mogelijk is om je doelen te halen én de privacy te waarborgen. Maar dan moet je als opdrachtgever dus zorgvuldig zijn en de scope van je onderzoek klein houden. "Verzamel alles maar, en dan kijken we ooit wel wat we ermee kunnen" is dus niet meer een optie, en dat is misschien maar goed ook.
[...].
Als uit dat onderzoek blijkt dat de aannemer ze heeft voorgelogen, dan lijkt me dat reden genoeg om een procedure te starten voor een schadevergoeding.
De AP heeft de gemeente voor het starten van de tracking geïnformeerd dat wifi-tracking niet is toegestaan.

De informatie van @WillySis wekt de indruk dat zelfs 3e partijen die deelnamen aan de aanbesteding de gemeente vooraf hebben geïnformeerd over wat wel en niet wettelijk is toegestaan m.b.t. wifi-tracking.

De gemeente lijkt meer
geïnteresseerd in het volhouden van de juistheid van zijn eigen mening dan in de vraag of zijn mening ook daadwerkelijk juist is.
...
Het is een vorm van volhouden
dat niets te maken heeft met juistheid van gedrag.
De persoon die dit doet kan alleen geholpen worden als hij/zij/x feitelijk en in detail beschrijft op welk moment wat gebeurt is tijdens het besluit en van daarvoor, een eerdere gebeurtenis die er toe leidde dat er tijdens het besluit over wifi-tracking gerechtvaardigd werd de alarmbellen - die er onomstotelijk en overduidelijk waren - te negeren.

Zonder dat zal de persoon zichzelf en de gemeente steeds dieper ingraven. Niet letten op de impact op en kosten voor de gemeente Enschede en haar burgers en het rechtssysteem onnodig veel tijd kosten.

[Reactie gewijzigd door djwice op 7 juli 2022 07:20]

Interessant is dat naast het AP ook andere partijen bij e gemeente langs zijn geweest om aan te geven dat de wifitracking echt niet in orde was. Onder andere Dave B en los daarvan ikzelf hebben de gemeente aangegeven dat deze manier gewoonweg niet goed is.
De gemeente heeft toendertijd duidelijk aangegeven dat ze weldegelijk wisten dat het in het "grijze" gebied was wat ze deden, maar dat het allemaal in het kader van de digitale stad stond en dat ze het risico accepteerde.
Wel hebben we voor elkaar gekregen dat citytraffic zijn poorten dicht heeft gezet en de toegang tot hun admin portal heeft gesloten. Dat was wel aardig.
Jep, de personen waren hun ethisch foute besluit dus toen al aan het goed praten.
Doordat ze steeds meer informatie kregen uit verschillende hoeken hoe fout het is en geen ruimte voelde om op hun besluit terug te komen, zijn ze zichzelf gaan overtuigen met steeds extremere irrationele argumenten om het gevoel van 'dit is echt niet goed wat ik heb gedaan' weg te drukken.

Was het eerst nog 'grijs'-gebied, nu zijn ze er van overtuigd dat de wet handhaver (AP), met duidelijk overtuigend bewijst, niet gelijk heeft, of dat zelfs de wetgeving niet goed is.

Dat zal doorgaan, totdat ze ruimte krijgen tot inzicht. Iemand die zegt 'ok dus jij ziet het zo', en dat ze hun schuld omlaag kunnen doen, ook voor hunzelf.
Dit was inderdaad exact de strekking van mijn originele bericht. Een gezond bedrijf neemt het risico niet om de opdrachtgever in gevaar te brengen, zelfs niet als ze daar zelf voor kiezen.

Bij dit soort kwesties is de opdrachtgever inderdaad verantwoordelijk voor datgene wat de aannemer uitvoert.
Niet precies. De AVG/GDPR stelt dat het de plicht van de verwerker (aannemer) is om de verwerkingsverantwoordelijke (opdrachtgever) wanneer deze de verwerker verzoekt bepaalde handelingen te verrichten, meteen te informeren wanneer de verwerker vermoedt dat deze handelingen in strijd zijn met de AVG.

Als je als aannemer doet alsof je neus bloedt, overtreedt je zelf ook de AVG en kun je zelf ook het haasje zijn.
Het begrip "gerechtvaardigd belang" wordt steeds meer opgerekt. En gebruikt als argument naar anderen, zonder te onderbouwen in de communicatie wat die rechtvaardiging dan is.
Het is steeds meer een 'goed praat' een 'ik vind wel dat'-je geworden.

V: "Ik vindt wel dat we hier een gerechtvaardigd belang hebben, toch?"
B: "Ja, eigenlijk wel, ja"
V:"Mooi, juridisch medewerker (C), jij verwerkt dat even in de stukken."
V: "Goed, volgende punt..."

[Reactie gewijzigd door djwice op 8 juli 2022 07:05]

De uitvoerende partij heeft gewoon in de werkwijze staan dat ze de Mac-adressen opslaan om de exacte routes te kunnen bepalen. Men biedt zelfs de mogelijkheid aan om regelmatig terugkerende personen in kaart te brengen. Daarvoor is langdurigere opslag van de Mac adressen nodig.

De gemeente kon weten dat de Mac adressen voor langere tijd zouden worden opgeslagen op een centraal systeem buiten hun beheer. Daar hebben we ze ook voor gewaarschuwd, ook dat zij volledig zelf verantwoordelijk zijn voor de werkwijze van de uitvoerende partij.
Helaas zullen we nooit het onderste van de kan zien maar er is meer gaande zoals je zelf al aangeeft. De gemeente heeft zoals je aangeeft willes en wetens de wet overtreden ondanks dat ze erop gewezen zijn. Dat ze zich verschuilen dat een andere partij het deed ook hier wordt weer weerlegd dat dit geen reden is tot hetgeen wat ze deden. Het bloeden van hun neus is dan ook niets meer dan een excuus.

Ik maak me dan ook sterk dat zelfs voor de tender de gemeente niet wist wat ze deden. Het is niet een kleine opdracht dus ik neem aan dat een third party hun bij deze tender heeft bijgestaan. Daarnaast is het ook niet zo dat een opdracht niet van alle kanten wordt bekeken inclusief door hun legal department al dan niet extern. Zeker iets wat toch wel heel gevoelig ligt kan dit gewoon niet gebeuren.

Maar zoals we hier ook zien, de gemeente doet het toch, legt advies naast zich neer, overtreed moedwillig de wet, krijgt een straf en vecht dat weer aan met dure advocaten. Je mag je afvragen buiten de boete hoeveel tonnen overboord wordt gesmeten naar nog meer advies en advocaten.

En diegene die hiervoor verantwoordelijk zijn bij de gemeente, zitten nog lekker op hun plekje of worden gepromoveerd. Het wordt dan ook hoogtijd dat individuele ambtenaren worden bestraft. Hoe kunnen zij tonnen zo niet in dit geval een miljoen moedwillig verspillen en daar blivjen? Dit is toch schandalig wat hier gebeurd. En we hoeven ook geen verbetering te verwachten immers er zijn toch geen consequenties. Dus het belet geen enkele ambtenaar om zich misdragen, waarom ook niet.
Maar zoals we hier ook zien, de gemeente doet het toch, legt advies naast zich neer, overtreed moedwillig de wet, krijgt een straf en vecht dat weer aan met dure advocaten. Je mag je afvragen buiten de boete hoeveel tonnen overboord wordt gesmeten naar nog meer advies en advocaten.
Wellicht kun je als burgers van Enschede namens de gemeente een rechtzaak starten tegen de betrokken personen en ze persoonlijk aansprakelijk stellen?

Welke mogelijkheden heb jij daarnaast als burger om de oorzaak van het onethisch handelen te verwijderen uit het bestuursorgaan?
"moedwillig"
jij weet wel hoe de wereld in elkaar steekt he.

"Kun je zorgen dat deze informatie gedeeld wordt met de rechter die die deze zaak van Enschede versus AP onder zich krijgt?"
Eng klinkt dit. Een gemeente bestaat uit ambtenaren en mensen zoals jij en ik. Ze willen gewoon een betere gemeente. AP neemt haar taak serieus, prima, maar kan ook over grenzen gaan. Wedden dat jij ook iets doet wat ergens wel de gegevens van een ander schaadt?

Weet je wat een beproeft demonstratie-middel is: stiptheidsacties; alles strikt volgens de regels uitvoeren, dan staat namelijk alles stil en blijkt de goed uitgedachte bureaucratie niet te werken.
"Kun je zorgen dat deze informatie gedeeld wordt met de rechter die die deze zaak van Enschede versus AP onder zich krijgt?"
Eng klinkt dit. Een gemeente bestaat uit ambtenaren en mensen zoals jij en ik. Ze willen gewoon een betere gemeente.
Klopt, dus zijn ze er bij gebaat dat de rechter zo goed mogelijk een besluit kan nemen. Dus alle informatie krijgt.
Ik heb er vertrouwen in dat een rechter de juiste afweging kan maken als de feiten in al haar facetten op tafel liggen.
Dat is niet eng.
Wedden dat jij ook iets doet wat ergens wel de gegevens van een ander schaadt?
Het gaat hier om het bewust opslaan en lang bewaren van bijzondere persoonsgegevens, zonder dat de persoon zelf daar bezwaar tegen kan maken. De enige mogelijkheid is verhuizen om het te voorkomen.

En dat weegt niet op tegen het belang van de gemeente om te willen weten hoe groepen mensen zich in de stad verplaatsen.

Zou je het goed vinden dat de gemeente al jouw transacties in de binnenstad met dag, plaats, tijd en waarde zou gebruiken voor dit doel? Zonder jouw toestemming en zonder dat je nee kunt zeggen. Of alleen opt-out, dat je al je gegevens op een lijst moet zetten zodat ze de data kunnen filteren?
En die lijst ook voor andere doeleinden gaan gebruiken, aanmerkelijk belang, bijvoorbeeld bij opsporing van misdrijven, omdat jij anoniem wilde blijven bij tracking, ben je ineens altijd verdacht, dus wordt je om de week ondervraagd waar je was, door mensen die niet geloven wat je zegt.
Weet je wat een beproeft demonstratie-middel is: stiptheidsacties; alles strikt volgens de regels uitvoeren, dan staat namelijk alles stil en blijkt de goed uitgedachte bureaucratie niet te werken.
Het demonstratie-model kun je toepassen om te leren waar je het proces kunt verbeteren. Blijkbaar zie jij het meer als een bewijs dat je wetten aan je laars moet lappen.
Een bijzonder standpunt.

[Reactie gewijzigd door djwice op 8 juli 2022 07:28]

Denk je dat de rechter *alle* informatie krijgt, of dat hij "perspectieven" krijgt?

Punt is, jij wilt de gemeente graag de boetekleed ziet aantrekken, terwijl ik aangeef dat je ze moet laten dealen met het AP en de rechter, en dat het een gemeenschapsvorm is die erover meot nadenken. Daar hebben ze veel meer aan.

Straf is niet de oplossing voor alles in deze wereld. Dat is eng.

En neen, je verdraait mijn woorden. Ik zeg dat het uiterste tot een deadlock leidt, niet dat je altijd de regels aan je laars moet lappen. Dus dat moet je meewegen (perspectieven). De wereld bestaat niet alleen uit de waarheid van het AP.
Een rechter heeft niet als doel te straffen. Daarom is het belangrijk dat de rechter de informatie krijgt.

De gemeente is naar de rechter gestapt, ik neem aan om duidelijkheid van de rechter te krijgen m.b.t. haar perspectief t.o.v. die van het AP.

Ik wil dat de personen die toch door gingen met onnodig en zonder toestemming van de betrokkene vastleggen van de persoonsgegevens tot inzicht komen, en gedrag aanpassen, dat is iets heel anders dan straf.

Het is niet voor niets dat Android nu standaard 'fake' en 'random' Mac-address uitzend. Het gedag van de gemeente is een van de oorzaken.
Tot die tijd was een Mac-address uniek in de wereld - elk stukje hardware had haar eigen Mac-adres dat je niet kon wijzigen.

Dat iemand met die informatie - dat Google op honderden miljoenen telefoons het onmogelijk maakt als gevolg van het onethisch gedrag van de gemeente - nog niet toch inzicht komt, geeft aan dat de persoon irrationeel handelt.

Zoals je in m'n andere conversaties kunt lezen hebben we een overeenkomstig beeld bij hoe de gemeente tot inzicht kan komen.
De gemeente kiest zelf nu voor een 'deadlock' aanpak: rechter vragen of AP feitelijk gelijk heeft, in plaats van zelf achterhalen wat er gebeurt is, waarom ze de signalen steeds negeerden. En dan tot inzicht komen, de benadeelden duidelijk maken dat je onethisch naar hen gehandeld hebt, en de consequenties van je daden accepteren en je gedrag ethisch maken in lijn met het nieuwe inzicht.

Dat is geen boete kleed, het in realiseren dat het onethisch gedrag anderen heeft geraakt op een manier dat niet past bij gemeente zijn. Er zijn mensen bewust straten gaan vermeiden er zijn mensen die zich thuis onprettig voelde, etc.

De huidige reactie van de personen in de gemeente die dit veroorzaakt hebben lijkt nog niet gericht op het herstellen van de pijn die zij bij haar inwoners en bezoekers heeft aangericht. Nog niet gericht op het wegnemen van wantrouwen dat die mensen daardoor hebben gekregen naar anderen en andere overheden. Het ondermijnen van 'samenleving', het tegenovergestelde van het doel van de gemeente.

Ik hoop dat de personen in de gemeente dit inzicht zal krijgen, en herstellend zal handelen. Ik ben er van overtuigd dat je juist de samenleving wilt opbouwen en mensen niet angstig en wantrouwend willen maken.

[Reactie gewijzigd door djwice op 10 juli 2022 08:18]

Zullen we het er over hebben dat ik helemaal niet gevolgd wil worden door wie dan ook. Wat jullie bedrijf ook doet en hoe jullie het doen, interesseert me helemaal niet.

Ik heb hier helemaal geen stem in en vind dit zwaar kut en er wordt niks gevraagd.

Nu het zelfs via camera's gebeurt waar ik geen invloed op heb. Mijn telefoon heb ik nog iets van controle op. Ik kan hem thuis laten, maar mijn gezicht niet.

De tyfus met jullie bedrijven, jullie vragen niks. En doen maar. En zeker de manier waarop je het aangeeft, alsof jullie een maatschappelijk doel hebben. Nou ik heb nieuws voor je. Dat doen jullie niet. Een mannetje met een bloknote en een pen kan prima tellen.

Keihard aanpakken. Die 600k had nog veel hoger gemoeten. Wees blij de ik niet de AP. De gemeente kwam er niet zo makkelijk af. Want uit eindelijk betalen de burgers er toch voor.

[Reactie gewijzigd door Spiritobserver op 7 juli 2022 06:39]

Ik wil ook niet gevolgd worden maar er zijn zeker scenario's die dit wel rechtvaardigen. Het is ondoenlijk en zelfs onrealistisch om iedereen vooraf te vragen of hij of zij geanonimiseerd mag tracken waarbij het paradoxaal is hoe je dit gaat verwerken.
Kortom het is niet te voorkomen dat je gevolgd wordt, het is goed dat we een AVG hebben die strikte voorwaarden stelt en het is goed dat er bedrijven zijn die dit respecteren.
Het probleem is dat niemand weet wat we niet zien, dus wat doen andere bedrijven/instellingen illegaal. Zodra ze betrapt worden krijgen ze gelukkig en flinke boete.
Wij volgen nooit iemand. Dat bieden wij ook nooit aan. Wij doen uitsluitend aan passanten tellingen. Daarin is iedereen precies gelijk (+1). Richting bepalen doen we alleen als dat echt noodzakelijk is.
Voor een aantal opdrachten is er zeker een maatschappelijk doel. Dat kan gaan om herinrichting van wegen, fiets en wandelpaden, maar ook drukte meters, metingen van overlast, inrichting van noodroutes bij werkzaamheden, enz..

Wie er langs een teller gaat interesseert ons echt niet. Standaard weken we ook met het aantal passanten per uur indien noodzakelijk gaan we naar perioden van een kwartier. Wifi-"trackers" zetten we alleen in als simpelere methodes niet werken. Exacte tijden van passanten slaan we niet op. het enige wat we doen is een tellertje ophogen en dat laten we eens in het uur doorsturen. Een mannetje met een pen zetten we ook wel eens in, maar dat mannetje kan mensen herkennen en dat kunnen onze sensoren niet.
We hebben ook met het AP overlegd en ook die konden geen methode vinden om gegevens tot personen te herleiden. Zij kennen ook onze sensoren en onze manier van data opslag.
Een mannetje met een bloknote en een pen kan prima tellen.
Die man-met-een-bloknote heeft ook een camera in zijn hoofd (meestal 2 stuks). Die camera's doen ook nog eens aan gezichtsherkenning en zijn gekoppeld aan een geheugen dat in staat is bepaalde data jaren lang te bewaren.

Ik weet niet of dat nu een verbetering is t.o.v. een camera die een vage hash maximaal een kwartier opslaat.
Klopt maar de data delen gaat een stuk lastiger
Nou..... Hij kan praten, schrijven, typen, tekenen...
Genoeg manieren om info te delen.
Kun je zorgen dat deze informatie gedeeld wordt met de rechter die die deze zaak van Enschede versus AP onder zich krijgt?
De AP kent ons en onze werkwijze. Ze weet ook dat de gemeente Enschede bij ons offerte heeft aangevraagd.
Ik ben blij te lezen hoe jullie werken en dat jullie bedrijf is gebaseerd op ethiek en integriteit. Alleen dat zorgt voor voortbestaan en groei van de samenleving.
Aanbestedingen van de overheid zijn openbaar en de informatie over de besluitvorming is door alle burgers op te vragen.

Mijn indruk is dat @WillySis ethisch handelt en aankaart dat dit niet zo bij alle aanbieders van wifi-tracking zo is.
AP heeft al, zoals het artikel van @Tijs Hofmans aangeeft, aangetoond dat de partij die wifi-tracking aan de gemeente Enschede leverde niet ethisch heeft gehandeld.
En er is informatie dat de besluitvormer van Enschede daar al van op de hoogte was voor het sluiten van het contract.
Wij hebben de gemeente vooraf gewaarschuwd en alle stukken zijn ook gewoon op te vragen via WOB verzoeken. Het is dus gewoon openbare informatie. Ik noem verder geen namen dan die al bekend zijn. De enige aanvulling is dat de Gemeente Enschede bewust voor een bepaalde werkwijze heeft gekozen en op de hoogte was van potentiële risico's. Dat staat ook in het arrest van de AP.
Iemand heeft hier dus zijn huiswerk niet goed gedaan en is even vergeten om de ethische bezwaren van deze methode mee te wegen in de beslissing
Een saillant detail is dat de gemeente nu letterlijk zegt 'wij verzamelden geen persoonsgegevens', maar dit is wat er in het boetebesluit staat toen de AP naar dat externe bedrijf keek:
De AP merkt verder op dat Bureau RMC in haar privacyprotocol, dat specifiek ziet op verwerkingen via de
City Traffic-methode, heeft opgenomen dat zij en/of haar partners vanaf in ieder geval 25 mei 2018
persoonsgegevens verwerken in de zin van de AVG.
Zelfde met GPS posities, die koppelen we niet aan pesoon gegevens, Dat mijn navigatie heel veel aangeeft dat ik thuis bent en dat de GPS posities om die reden al niet anoniem kunnen zijn wordt dan vergeten.
Als jij een "domme" navigatie hebt als zo'n TomTom kastje wat we vroeger gebruikte dan weet niemand waar jij bent. Die ontvangt alleen maar, en zend niets. Het is dus niet de GPS die iets met de gegevens doet, maar een applicatie die daar iets mee doet.
Behalve dat hij wel alle locaties die je invoert opslaat en je geen wachtwoord hebt op de TomTom.

Zeker als je ook nog je 'thuis' instelt, lekker handig.

En ja, dan moet iemand fysiek toegang hebben tot je TomTom, maar als die in je rugzak zit bij je huissleutels en die wordt gestolen of raak je kwijt.

Hebben ze je sleutels en thuisadres.
"Organic Maps" op fdroid kan je gewoon op android offline gebruiken, mits je dus een recente OS hebt zonder play services etc. en geen troep software met cross-app tracking, of iig isolated van je open source applicaties, bijv. hoe grapheneOS dat doet.

Dan kan je daar ook een wachtwoord op zetten iig.

Geen idee of het evengoed werkt in de auto, maar die optie is er wel en de app ziet er zeer goed uit vind ik.
De techniek achter hoe het werkt is iig exact hetzelfde als bij de tomtom.

Als je toch al google maps gebruikt kan je het gewoon uitproberen (neem aan dat je standaard android gebruikt) en kijken wat je ervan vindt, als je interesse hebt.

Je kan eigenlijk de map data van shared memory overzetten op private in de app instellingen, waardoor andere apps je eigenlijk niet meer kunnen tracken via cross-app tracking.

Google services tracken je sowieso dus dat moet echt wel weg en andere apps met locatie permissions ook (=

Ter herinnering, android helemaal kaal zonder play services meuk is 100% open-source en gebaseerd op de linux kernel. En lager dan kernel niveau hebben Intel en AMD ook dingen zoals de closed-source "Intel Management Engine", dus android per definitie minder privacy-friendly zien dan x64 platforms lijkt eigenlijk een beetje onzin voor mij. Kaal android is iig beter dan bijv. Windows :+

Maar als je dit alles doet en je hebt gewoon een sim kaart in je telefoon weet je provider zelf via 3g/4g/5g sowieso eigenlijk altijd gewoon je locatie en ze hebben je NAW gegevens ook nog. _/-\o_
En zonder vpn tunnel ook je browse gedrag 8)7

FUN FACT:
Als je android 10 of nieuwer hebt werkt wat deze gemeente probeerde kwa tracking via mac-adressen sowieso eigenlijk niet:
https://source.android.co...ac-randomization-behavior
https://source.android.co...ct/wifi-mac-randomization

[Reactie gewijzigd door jwywy17276 op 7 juli 2022 04:19]

Die app kwam ik een tijdje geleden tegen in mijn speurtocht naar een trackingsvrije navigatie. Leek mij voornamelijk voor wandel- en fietsroutes. Maar ik zie dat ze nu een experimentele navigatie hebben. Eens even testen of het een beetje fatsoenlijk werkt.

Nu nog een open source gratis alternatief op Android Auto, want je bent verplicht Google toestemming tot van alles te geven en extra apps te installeren. Melding maken bij het AP heeft dusver niets gedaan.
Gps staat denk ik hier los van. Als je een applicatie hebt waarbij er geen gegevens naar een centrale locatie gaan, dan krijg je nog steeds te horen dat je thuis bent en kan niemand die gegevens inzien. Die worden lokaal bewaard.

Als je locatie gegevens, bijvoorbeeld Google, niet lokaal maar ergens bij Google worden opgeslagen, dan heb je wel een uitdaging als je dat wilt anonimiseren.
Bij Google kun je in je account prima terugzien waar je overal geweest bent de afgelopen tijd.

Dus dit is ook nog eens gekoppeld aan jouw persoonlijke account.
Klopt, een als je op je mobiel gaat kijken welke apps allemaal je locatie kunnen opvragen dan is dat best een ding. Je weet nooit wat er met die data gebeurd. Daarom is het verstandig om de locatie toegang van je apps door te lopen en de toegang weigeren. Als een app toegang wilt dan krijg je vanzelf wel de melding en kun je het alsnog weigeren.
De grap is dat google hier wel de laatste tijd zogenaamd veel beter mee omgaat bij recentere versies van android kwa permissions, maar het is allemaal schijn door 1 trukje. En dat is dat als 1 app met lokale opslag van gps data dat bij de "shared data" locatie doet, wat standaard alle apps doen, dan kunnen alle andere apps zonder locatie permissions daar gewoon dood leuk bij ;)

Dit heet "cross-app tracking" en google doet al heel lang alsof ze het helemaal gaan fixen, maar het is allemaal schijn, omdat het letterlijk hun eigen inkomen is.

Als je hier een oplossing voor zoekt; zie bijv grapheneOS en hun manier van apps isoleren van elkaar. Zie mijn andere comment hier, anders typ ik alles dubbel 8)7

[Reactie gewijzigd door jwywy17276 op 7 juli 2022 04:12]

GPS werkt alleen met zenders op de satellieten.
De miljarden apparaten die dat gebruiken hebben geen antenne die sterk genoeg is om de ruimte te bereiken. Laat staan dat die satellieten dat kunnen verwerken.

De mogelijkheid dat jouw apparaat die locatie gegevens vervolgens via een internet verbinding opstuurt heeft niks met GPS zelf te maken.
Iemand heeft hier dus zijn huiswerk niet goed gedaan....
Er zijn veel gemeenten die wifi telling doen (of deden) : Hengelo, Deventer, Haarlem, Dordrecht, Tilburg, Den Haag, Apeldoorn, Zutphen, Arnhem, Groningen, Leeuwarden.
Daarnaast natuurlijk in verschillende winkel centra, en ook de NS is er pas recent meegestopt.

Dit is dus niet iemand die zijn huis werk niet goed heeft gedaan, maar een soort grijs gebied, waar nu eindelijk door de rechter een duidelijk grens kan worden getrokken.
Het zou verboden moeten worden elke vorm van tracking in te zetten als het überhaupt meer telemetrie bevat dan aantallen.

Dat een apparaat, zeg 24 uur, een database bijhoud van mac's om te ontdubbelen snap ik nog wel, maar dan daarna alleen aantallen doorsturen en de cache legen.
Ik niet. Als het gaat om tellingen, het aantal apparaten in de buurt, dan kun je gewoon bijv. iedere 5 minuten het aantal apparaten in de buurt tellen en dat opslaan. Waarschijnlijk staan die mac-adressen dan inderdaad in het geheugen van zo'n apparaat, maar ze hoeven niet in een database terecht te komen. En dus is er ook geen noodzaak om iets te ontdubbelen, te anonimiseren of te pseudonimuseren. En om te bepalen hoe druk het is in de stad, hoef je echt niet veel vaker dan om de vijf minuten te meten.
Volgens mij gebeurt het opslaan juist met het oog op ontdubbelen.
Voor een goede telling wil je voorkomen dat al die mensen die kris-kras door de winkelstraat lopen meerdere keren worden geteld.
Want? Mensen die kris-kras door de winkelstraat lopen veroorzaken geen extra drukte?
Al loopt dezelfde persoon er 10 keer langs om wat voor reden dan ook, dan moet je die bij de telling gewoon meenemen.
Het is niet zomaar een grijs gebied omdat een aantal organisatie of bedrijven eigen belangen al langere tijd waardevoller vinden dan (andere) wetgeving die ze (ook) na horen te leven. Het is ook niet zomaar een grijs gebied door dat soort keuzes te kunnen blijven gebruiken zolang niemand ze stopt. Waarbij het negeren van feiten natuurlijk niet redelijk kan zijn om maar te doen alsof iets maar wel kan. Dat is juist waarom er strenge wetgeving is gekomen en er toezichthouders in de EU zijn.

Dat dan sommigen alsnog naar de rechter gaan om eigen gelijk te proberen te halen kan eerder opgevat worden als gebruik maken van gelegenheid om alsnog gelijk te halen. Maar dat lijkt eerder onenigheid bij de partij te zijn die daar belang bij heeft, niet omdat het een grijs gebied is.
"NS is er pas recent meegestopt." Oja? Kan dat nergens vinden...
"Dat wilden wij niet. Dat konden wij ook niet"
Ik begin me zo af te vragen welke belangen spelen tussen dat bedrijf en de gemeente.

Dat het niet om intent gaat is geen nieuwe informatie en heeft blijkbaar geen rol gespeeld in de beoordeling.

Om als gemeente te erkennen dat je niet aan de regels voldoet en vervolgens aanpassingen maakt is ook prima, maar dat kan niet alleen op basis van de blauwe ogen van het bedrijf dat je eerder onvoldoende heeft ingelicht, niet correct op de hoogte was van regelgeving of het eigenlijk wel wist maar niet z'n businesscase getorpedeerd wilde zien.

Ergens zou ik denken dat het toch logisch moet zijn als je uniek passanten wilt tellen dat daarvoor een identificatie nodig is waar de passant geen invloed op heeft.
Ergens zou ik denken dat het toch logisch moet zijn als je uniek passanten wilt tellen dat daarvoor een identificatie nodig is waar de passant geen invloed op heeft.
Het zit hem in dit geval voornamelijk in de informatie die gelogd wordt. Een MAC-adres is een hardware-specifiek nummer en valt tot op zekere hoogte wel te spoofen, maar dat is zeker niet voor iedere gebruiker van WiFi apparaten de norm.

Je kunt beargumenteren dat het publieke informatie is, omdat het nou eenmaal door de ether gaat en een onderdeel uitmaakt van hoe deze draadloze communicatiestandaarden werken. Maar dat is wat de AP betreft te kort door de bocht.

Door de manier waarop je informatie opslaat, en vooral door strikt binnen je scope te blijven, kun je ook met WiFi tracking voorkomen dat je langdurig informatie voorhanden hebt die de privacy van een individu kan schaden. Je kunt er bijvoorbeeld voor kiezen om een MAC-adres te hashen, en de gehashte versie dan een uur lang te bewaren om iemand met een unieke ID te kunnen volgen. Na het eind van dat uur vervang je het ID door een nieuwe entry bijvoorbeeld gebaseerd op het uur en het ID-nummer, en gooi je elke referentie naar het originele MAC-adres weg.

Maar voor crowd analysis zou je ook een computer vision-methode kunnen gebruiken voor het detecteren van mensen, maar niet voor het identificeren van de personen.

Door niet meer informatie te verzamelen dan je nodig hebt voor datgene wat je hebt afgekaderd, voorkom je dat je met dit soort problemen te maken krijgt. Als je je methode van tevoren ook nog eens goed doorlicht met ethische afwegingen, zie ik niet waarom je dit niet zou kunnen doen zonder de privacy van mensen in gevaar te brengen.
Dat is het argument van de gemeente.

Je kunt zeggen dat het doeleinde detectie is maar je verzamelt unieke data (identificatie) van personen zonder toestemming, exact de reden waarom Android sinds Oreo MAC randomization heeft en wat volgens GDPR niet mag.
[...]
De vergelijking is een beetje extreem misschien, maar hiermee gaan ze het toch niet redden? Ze zijn op de vingers getikt voor iets waarvan ze de consequenties niet konden overzien, maar dat betekent nog niet dat ze er dan maar mee weg moeten komen omdat ze niet wisten dat het niet mocht.
Het risico is dat rechters er dus compleet anders over kunnen oordelen op basis van hoe ze de argumenten en bewijs van dat moment kunnen interpreteren. Met mogelijk het gevolg dat een mac adres straks geen persoonsgegeven is, of dat pseudonimiseren anononiem zou zijn.
Pseudonimiseren is per definitie niet anoniem. Het is altijd terug te herleiden (met meer of minder moeite) naar de informatie voor de pseudonimisatie. Bij anonimiseren haal je zoveel informatie weg dat het niet meer terug te herleiden is.
Het voorbeeld gaat niet om wat anderen van mening zijn wat de definitie is, maar wat een rechter er mogelijk van kan vinden hoe het juridisch gezien moet worden en dat voor gevolgen gaat hebben voor deze situatie maar ook andere.
Het voorbeeld gaat niet om wat anderen van mening zijn wat de definitie is, maar wat een rechter er mogelijk van kan vinden hoe het juridisch gezien moet worden en dat voor gevolgen gaat hebben voor deze situatie maar ook andere.
Op dat moment kan er geescaleerd worden naar het Europese hof. Het betreft hier EU wetgeving; een verordening zelfs, en het Europese hof bepaalt hoe deze geinterpreteerd dient te worden. En als de EU zegt; nee, deze term hoort anders geinterpreteerd te worden, dan heeft die ene Nederlandse rechter die het anders wil, het nakijken.

[Reactie gewijzigd door R4gnax op 7 juli 2022 09:08]

Zolang een ip-adres als persoonsgegeven wordt gezien zal een mac-adres dat zeker zijn.
Die zekerheid is er helaas niet. Er is geen plicht dat een uitspraak over een bepaalde situatie zomaar van toepassing is voor een andere situatie met andere gegevens.
Je zou bijna denken dat rechters consistent te werk moeten gaan.
Omdat de gemeente eindverantwoordelijke is. Ze mogen het dan evt. verhalen bij de uitvoerende entiteit.
Jouw gebruikte logica en symboliek is niet correct en vals.
Ze hadden dat middel nodig voor hun doel, niet voor hun lol / om mensen af te schieten. Wapens zijn in deze context een nuttig middel.

De gemeente heeft nooit doelbewust mensen gevolgd geeft ze aan, hoewel jij dat in twijfel trekt. Dat mag de rechter uitmaken.

"Ze hadden deze situatie kunnen voorkomen door zorgvuldiger te zijn in hun anonimiseringsmethode. " Eens.
Maar de bewegingsgegevens zijn cruciaal voor ruimtelijke ordening, en daarom snap ik de gemeente wel. Ze moeten het zo aanpassen dat het wel werkbaar is.
Leuk van de gemeente Enschede! Voor de grap vergeten ze even te vermelden dat ze deze gegevens (let wel: in theorie, dat wil dus niet zeggen dat het daadwerkelijk is gebeurd!) hebben kunnen combineren met bijvoorbeeld camerabeveiliging in de binnenstad en daarmee dus daadwerkelijk een device aan een persoon konden koppelen en vervolgens dus iemand hebben kunnen tracken.

Ze hadden bij het opzetten van dit project beter moeten beredeneren hoe om te gaan met de privacy van de burgers van Enschede, ongeacht of er daadwerkelijk misbruik is gemaakt van deze data. Privacy by default & privacy by design, kernprincipes van de AVG.

Even slikken en weer door! Nu geven ze alleen maar nog meer geld uit aan dure advocaten van ons belastinggeld....Enschede kan het wel beter gebruiken ;)

[Reactie gewijzigd door Colionidas op 6 juli 2022 16:03]

De operationele regie wat betreft camerabeveiliging in de binnenstad van Enschede wordt gedaan door de politie, en niet de gemeente Enschede.
"Bijvoorbeeld" en dat klinkt leuk in theorie maar we weten allemaal hoe de lokale driehoek samenwerkt als het erop aankomt met veiligheid. Zie ook inval Home Vak-P als voorbeeld voor hoe zij data (kunnen) delen.
Tja dat is een te eenvoudige redenatie: Je dient altijd een helder doel te kunnen omschrijven waarom je deze middelen (zoals camera's) inzet; De nut en noodzaak. Je kunt niet zomaar camera's inzetten en dat is eigenlijk een laatste redmiddel. Dit wordt onderandere uitgevoerd en inzichtelijk gemaakt door het maken en meermaals evalueren van een DPIA.

Wij hebben een dergelijk issue in Hilversum waarbij er commerciële partijen (lees bedrijventerreinen) zelf handhaving doen doormiddel van camera's op de openbare weg. Dat is conform de wetgeving onacceptabel en hier loopt ook een case over bij de autoriteit.

Deze partij kan ook alle bewegingen van bepaalde bewoners en straten in de gaten houden, zonder dat dit eigenlijk zou mogen

Het is of publiek cameratoezicht waarbij de gemeente een rol heeft of het is privaat toezicht waarbij dit uitsluitend op eigen terrein wordt gefilmd.

Je ziet hierbij dat gemeentes totaal geen idee hebben hoe met dit soort wetgeving/richtlijnen om te gaan.

[Reactie gewijzigd door jongerenchaos op 6 juli 2022 16:23]

En als jij denkt dat Gemeente Enschede geen toegang heeft tot deze cameras dan.......
Of andersom: de politie die de gegevens in kwestie bij de gemeente opeist.

Wil iets kwalificeren als een persoonsgegeven, dan is het criterium dat het aannemelijk moet zijn dat iemand die gegevens zou kunnen gebruiken om deze, mogelijk in combinatie met andere gegevens, in te zetten om een natuurlijk persoon te kunnen identificeren.

Wie - maakt niet uit.
Of ze het ook echt gedaan hebben - maakt ook niet uit.

En strikt genomen hoeven ze je echte identiteit niet te kunnen achterhalen. De term 'identificeren' wordt uitgelegd als het terug kunnen herkennen van dezelfde individuele persoon, ongeacht welke echte identiteit er achter schuil gaat.

(Dat is dus ook waarom unieke online identifiers zoals vastgelegd in bijv. tracking cookies, per definitie persoonsgegevens zijn.)
Als jij claimt dat ambtenaren zonder tussenkomst van de rechter op beelden van de polite kunnen meekijken, graag bewijs daarvoor.
Alleen via de rechter. Maar als jij bewijzen hebt dat iemand van de gemeente een vriendje bij de politie heeft die de content van die camera's geeft, dan moet je met dat bewijs op z'n minst naar de lokale media gaan. Die houden daar wel van.
De politie staat onder directe verantwoordelijkheid van de burger meester
Dus de gemeente kan en mag alles wat de politie kan en mag? De burgemeester in Enschede draagt een pistool en rijdt rond in een politieauto?
Dit soort camera’s worden niet uitgelezen door de gemeente, maar door de politie. De gemeente beslist alleen over de plaatsing, maar de politie is verantwoordelijk voor het uitlezen.
Er staan ook camera's van de gemeente in het centrum van Enschede.
Ja, maar de beelden worden niet beheerd door de gemeente, maar door de politie. Dat heet ''de driehoek''. Dat is een samenwerking van de politie, de burgemeester en het OM.

De burgemeester beslist op basis van de Gemeentewet over de inzet van de camera's, maar de beelden worden beheerd en uitgelezen door de politie. De gemeente mag zelfs niet zélf over de beelden beschikken.

[Reactie gewijzigd door WouterL op 6 juli 2022 20:02]

Je mag (zonder toestemming) niet zomaar mensen tracken... Dacht ik.
Het verweer van Enschede is ook dat ze dat niet deden omdat de gegevens niet tot de persoon te herleiden waren. De AP toonde aan dat dat wel zo was.
Hun verweer klinkt eerder als 'Wij hadden geen intentie om mensen te volgen en dus is de boete onterecht, ook al konden wij theoretisch/technisch wel mensen volgen".

Je moet ze op hun blauwe ogen geloven dat niemand in de hele keten dus geen mensen gaat volgen omdat het niet mag van de regels. Ook niet de medewerker die bij de database kan en even gaat kijken of zijn partner die thuis op de kinderen past niet ergens in de binnenstad gepinged word.
Hun specifieke verweer is dat ze ook geen mensen kónden volgen en dat de AP niet kon aantonen dat dat mogelijk was. De gemeente dacht het met (onder andere) pseudonimisering onmogelijk te hebben gemaakt.
Tracking op de door jouw geschreven manier was ook niet mogelijk. Althans, niet zo simpel.
in dit geval heeft de gemeente simpelweg niet de software om daadwerkelijk iemand eruit te vissen ook al zou het theorieties mogelijk zijn met de data die vergaard is.
De gemeente stelt dat ze dat ook niet hebben gedaan.
Wat ik mij afvraag; waar zijn de opstelpunten voor deze "scanners" gepositioneerd?

[Reactie gewijzigd door JeroenT op 6 juli 2022 16:09]

Ik heb wel eens gehoord dat dit bij supermarkten gewoon bij de access points van de gratis wifi inzit. Is er in het centrum van Enschede ook gratis wifi?
Zover ik weet is er in de binnenstand 'Enschede_Stad_Van_Nu" als open gratis wifi-netwerk en er is sowieso 'eduroam' voor studenten.
Klinkt logisch, maar zoveel supermarkten zijn er niet in de binnenstad. Er is inderdaad wel een gratis WiFi netwerk in Enschede. Maar ook die devices zie ik niet direct terug.
Ik bedoel ook niet dat de stad Enschede je zou tracken via de wifi van supermarkten. Maar dat supermarkten dat zelf doen voor hun eigen data. De gemeente zou dit wellicht met hun eigen access points kunnen doen.

[Reactie gewijzigd door jrswgtr op 6 juli 2022 16:33]

Ik kan je met zekerheid zeggen, dat er nog een hele hoop in de doofpot zit wat menig niet weet.
Ieder openbaar netwerk, wifi in de stad,, de supermarkt noem ze maar op, al die data is informatie
waar en wanneer, tijd of het nu voor de supermarkt, gemeente, bieb politie, access points enzzz.. Als de politie of overheid informatie wil zullen ze dat ook moeten afgeven, laten inzien.
Vergeet ook niet dat we heden van daag de dag in een mega chaos leven.
Blijf verreweg van dit soort gratis wifi.
Spreek en hoor nog met regelmaat mensen die rond lopen met een phone richting 600E en meer maar toch even gebruik maken van deze gratis wifi points Nee want als ze hun data aanzetten kost het geld.
Gaat uiteraard niet om hoe duur je phone was maar om het feit waar o.a Enschede nu mee zit.
Zo liep ik hier vorig jaar in Ede in de stad, kwam langs een foto zaak waar een groene houten stoel buiten stond ook zag ik in de etalage een scherm hangen waar ieder voorbij liep en zelf ik een groen blokje had. ben naar binnen gelopen met de vraag wat dit voor moet stellen.
Als antwoord Oww het systeem leert een stoel van mensen onderscheiden.
Ik heb de beste man ook verteld Of je zet die cam uit of ik bel de politie, of ik flikker die stoel door je ruit naar binnen. Ben je helemaal besodemieterd.
Uiteindelijk arriveert politie fotoschop kon alles uitzetten.
Ben er vanaf het beging werkzaam bij geweest (dat o.a Prodata systems ) de eerste bussen voorzag van (OV, en er 3-4 cams in iedere bus hangen. Alles wordt geregistreerd !!!
En zo stap je b.v uit op centraal Arnhem, stapt daar op de trein naar locatie X en daar begint het
en zo wordt je hele rit vast gelegd. ook in de trein hangen Cams Maar dat wisten we al
Gratis wifi moet je inderdaad nooit gebruiken. Zelfs niet via een VPN. Maar ik denk dat er hier op tweakers ook genoeg zijn die het doen. "Want providers zijn oplichters dus je gaat geen betaalde 4G/5G access gebruiken als je ook gratis internet kan krijgen" of iets van die strekking.
Bij ons in BE kan ik me dat nog voorstellen met onze tarieven maar in NL waar je 20GB per DAG krijgt bij onbeperkt (wij 40 p/maand) ?
Daarom gebruik je ook nooit gratis wifi want het is niet gratis !
Je hoeft niet verbonden te zijn met de gratis wifi om getrackt te worden via je mac-adres. Het helpt wel om je wifi uit te schakelen.

[Reactie gewijzigd door jrswgtr op 6 juli 2022 16:51]

Nee absoluut, maar zeker niet verbinden met openbare wifi accesspoints want dat maakt het alleen maar erger
Het verbinden met die openbare wifi zou niets veranderen aan deze situatie.
Je kunt overigens op alle moderne smartphones willekeurige MAC-adressen gebruiken, juist om deze onzin te voorkomen. Voor scannen staat het standaard zelfs al meestal aan, voor verbonden apparaten wordt vaak wel op een vast MAC-adres teruggevallen (al hoeft dit niet per se).

Als je je privacy-opties goed hebt staan en niet verbindt met een WiFi-netwerk/Bluetooth-apparaat, kun je gewoon het spul in standby laten staan. Handig voor locatiebepaling op plekken waar je geen goed GPS-signaal kunt krijgen.
vanwaar je vraag?
Ik kom vaak in de binnenstad, maar zie, buiten de camera's, geen dedicated palen met eventuele WiFi trackers. Voornamelijk benieuwd hoe ze dat technisch doen.

[Reactie gewijzigd door JeroenT op 6 juli 2022 16:51]

Voor wifitracking wordt over het algemeen geen bluetooth gebruikt 8)7
WiFi signaal is uiteindelijk gewoon radio, dus er hoeft nergens iets zichtbaar te zijn.

Hoe het technisch werkt kun je gewoon op tweakers lezen: reviews: Wifi-tracking: winkels volgen je voetsporen. In principe kun je dit op ieder apparaat doen waar je wat meer low-level toegang hebt tot de WiFi radio.

Ik zie dat veel mensen fixeren op het Mac adres (wat in de probe berichten zit), maar wat waardevoller is is de unieke lijst van netwerken die daarbij afgegaan wordt, waar je een "unieke handtekening" van kunt opbouwen. Deze lijst veranderd over tijd niet zoveel, dus waarschijnlijk kun je met enige zekerheid mutaties traceren.

Ik denk dat sommige mensen zich niet realiseren hoeveel open (onbeveiligde) netwerken in hun lijst bekende netwerken staat. Je kunt dan ook een "evil access point" maken wat willekeurige SSIDs uit de probe berichten pakt, om zich vervolgens voor te doen als dat netwerk. Voor alle open netwerken verbind je apparaat dan gewoon met dat malicious netwerk, om vervolgens vrolijk zonder beveiliging te communiceren. Dan mag je maar hopen dat al je gevoelige gegevens over https/ssh gaan.

Ik vind het daarom ook erg jammer dat iOS nergens laat zien welke "known networks" je hebt. Het lijkt er op alsof je alleen "Forget this network" kunt doen als je ermee verbonden bent. Ik vind het ook gevaarlijk dat standaard "automatically connect to this network" aanstaat voor netwerken zonder enige beveiliging (zoals gangbaar bij hotels, winkels, restaurants etc.).
Wat een onzinboete. Snap heel goed dat Gemeente Enschede dit aanvecht. Ze hebben echt de intentie niet gehad ik ken ze toevallig en nu worden ze opgezadeld met een boete van 6 ton die uiteindelijk bij de burgers vandaan gehaald wordt. Laat het bij een voorwaardelijke boete en besteed de 6 ton aan jeugdzorg of weet ik wat.
De gemeente heeft 240k aan een illegaal project uitgegeven, daar een boete van 600k voor gekregen en is onderhand al 150k kwijt aan verdedigingskosten.

Als ze zo doorgaat houden ze pas op zodra ze even veel geld aan verdediging hebben weggegooid als dat ze aan boete moeten betalen. 40% van de miljoen euro aan weggegooid geld is door keuzes van de gemeente zelf verdwenen.

Dit is de gemeente die drie jaar terug 14 miljoen schuld aan het financieel falende FC Twente heeft kwijtgescholden na ze 25 miljoen publieksgeld te lenen. Ze hebben overduidelijk geld zat om hun boete te betalen als ze dat soort trucs kunnen uithalen.
De gemeente heeft 240k aan een illegaal project uitgegeven,
Dat claimt de ene partij. De andere partij claimt wat anders. Ook hier: even wachten op de rechter. Het is hier geen telegraaf waar een verdachte al direct schuldig is bevonden.
De autoriteit persoonsgegevens is de instantie die toeziet op privacy. De boete is al uitgeschreven, ik zou daarmee zeggen dat het illegaal is tenzij de rechter de gemeente de gemeente gelijk geeft.
Niet mee eens! De gemeente dient binnen de wet te opereren en dienen de wetgeving en richtlijnen te kennen. Dat hebben ze niet gedaan dus consequentie een boete.
Laten we even wachten op de uitspraak van de rechter. Dan weten we of het binnen of buiten de wet is. Niet direct veroordelen op basis van een artikel op tweakers.

[Reactie gewijzigd door Frame164 op 6 juli 2022 20:10]

Wat een onzinboete. Snap heel goed dat Gemeente Enschede dit aanvecht. Ze hebben echt de intentie niet gehad ik ken ze toevallig
Als je te snel rijdt en je krijgt een boete, dan kom je daar voor de rechter ook niet mee weg met 'ik had niet de intentie om te snel te rijden'. Bovendien heeft de overheid een voorbeeldfunctie.
en nu worden ze opgezadeld met een boete van 6 ton die uiteindelijk bij de burgers vandaan gehaald wordt.
Laat de burgers dan ook de gemeenteraad straffen bij de volgende verkiezingen.
Laat het bij een voorwaardelijke boete en besteed de 6 ton aan jeugdzorg of weet ik wat.
Waardoor andere zaken waar die zes ton heen zouden gaan benadeeld worden? Dat is oneerlijk en stuurt een verkeerd signaal.

[Reactie gewijzigd door The Zep Man op 6 juli 2022 16:47]

Ik woon in Enschede en vindt eigenlijk dat (als de uitspraak stand houdt) de gemeente de boete wel moet betalen, omdat de AVG anders nooit serieus genomen wordt. Wel vind ik dat de AP de geincasseerde boete moet uitkeren aan de inwoners van Enschede, omdat zij zowel de gedupeerden zijn (als in, blijkbaar hadden ze mijn identiteit kunnen achterhalen) als degene die de boete uiteindelijk betalen.

Als dat laatste niet gaat gebeuren, dan vind ik dat de boete moet worden teruggebracht naar een symboolbedrag (bijv 1 euro), omdat ik anders dubbel genaaid ben.

Overigens vind ik het ook wel raar dat slechts 1 gemeente de boete krijgt; dat zou bij burgers wel rechtsongelijkheid gelden (als al mijn buren structureel door rood mogen rijden terwijl de politie er naast staat en mij wel aanhouden zou ik ook pissig worden en het proberen aan te vechten)

[Reactie gewijzigd door jurjen_g op 6 juli 2022 16:48]

Wel vind ik dat de AP de geincasseerde boete moet uitkeren aan de inwoners van Enschede, omdat zij zowel de gedupeerden zijn (als in, blijkbaar hadden ze mijn identiteit kunnen achterhalen) als degene die de boete uiteindelijk betalen.
Aan de andere kant is dit ook weer niet eerlijk voor bepaalde andere mensen. Dan denk ik aan mensen die bijvoorbeeld vaak in Enschede komen omdat ze daar werken maar niet in Enschede wonen. Als ze dus zien de een mac adres langer als een paar uur in een winkel/bedrijf zit is het waarschijnlijk wel een werknemer. Dat beperkt bij veel winkels en bedrijven al de mogelijkheid wie het zou zijn.

Edit: Daarnaast is 1 euro natuurlijk ook geen motivatie om te gaan verbeteren.

[Reactie gewijzigd door Daoka op 6 juli 2022 16:57]

Ja, eigenlijk zou de AP ff alle identiteiten moeten achterhalen van alle Mac adressen, dan hebben ze
A ) aangetoond dat dat inderdaad kon
B ) kunnen ze de boete als schadebedrag uitkeren aan die mensen

:+

[Reactie gewijzigd door jurjen_g op 6 juli 2022 16:58]

Ik stel voor een hunted Enschede editie te maken die de data bij elkaar schraapt.

Met alleen wifi locaties moet je al wat woon/ werk mensen vinden (de gemeente weet al wie waar woond, alleen nog niet welk is er aan hangt.)

Met de roosters van de gemeente medewerkers moet je vast ook wel vrij vlot kunnen achterhalen welk anoniem id dij wie hoort als je het werk rooster weet.
Het is een boete en dus geen schadevergoeding.
Voor de gemeente is het een boete, maar ik heb schade geleden. Feitelijk wil ik die schade ergens verhalen, maar als ik die weer op de gemeente verhaal, betaal ik hem wederom zelf... Kom ik niet uit helaas. Daarom uiteindelijk beter om het een symbolische boete te maken, hopelijk hebben gemeenten nu wel ingezien dat dit soort "leuke technische dingetjes" niet meer moeten worden bedacht.
Waarom denk je dat gemeenten iets leren van een symbolische boete? Dan gaan ze in de toekomst alleen maar meer van dat soort fratsen uithalen. Ze komen er immers ongestraft mee weg met een symbolische boete, omdat degene die de boetes uitdeelt de burgers niet extra wil treffen.

Dat ze in beroep gaan geeft wel voldoende aan dat ze niks ingezien hebben.
Leuk dat je ze kent, maar doet niets af aan AP's oordeel.
De gemeente hoort gewoon de wet te kennen, al de rest is larie ! Als burger kom je ook niet onder een boete uit met dit soort redenering
Ik snap niet dat de gemeente blijft volhouden dat dit geen persoonsgegevens zijn. Iedereen met een beetje verstand van zaken ziet toch zo dat je diet kunt herleiden tot individuen?
En dat bedrijf dat ze hiervoor hebben ingehuurd mag van mij ook een boete krijgen, als je met data bezig bent moest je dit toch weten?
Laat die boete een voorbeeld zijn voor anderen. Hopelijk gaan ze er allemaal zo snel mogelijk mee stoppen om dit soort boetes te voorkomen. Al die tracking is nergens voor nodig.
Ik vind het prima dat de gemeente hiertegen in beroep gaat. De privacyauthoriteiten in de EU (waaronder de AP) rekken de betekenis van wat een 'persoonsgegevens' is vrij ver op (overigens deels om begrijpelijke redenen), en het zou voor iedereen goed zijn daar bevestiging (of juist een ontkenning) van te krijgen van de rechter. Maar het zal wel jaren gaan duren eer we die duidelijkheid hebben.

Overigens lijkt het volgende stukje uit het artikel mij wat misleidend:
De gemeente Enschede zegt dat 'de AP op geen enkele wijze heeft aangetoond hoe het identificeren van personen in de praktijk bij de passantentellingen mogelijk was'. Dat deed de privacytoezichthouder in het boetebesluit dus wel degelijk. Sterker nog, de AP noemde drie specifieke voorbeelden waarbij een burger kon worden geïdentificeerd op basis van verschillende soorten verzamelde gegevens,
Dit wekt (althans bij mij) de indruk dat de AP 3 met name genoemde personen geïdentificeerd heeft aan de hand van de gegevens, zoals in de befaamde AOL case uit 2006.
Maar wat zijn die 3 voorbeelden uit het besluit van de AP?

1. "Tegelijk met een nieuwe detectie van een mobiel apparaat door een sensor is het bijvoorbeeld voor iemand van [VERTROUWELIJK] mogelijk om ter plaatse of via een camera waar te nemen welke persoon binnen het bereik van de sensor komt lopen;"
2. "Als voor langere tijd een status 2 record uitblijft dan is het bij [VERTROUWELIJK] bekend dat de betreffende bewoner of winkelmedewerker zich nog steeds binnen het bereik van de sensor bevindt. Iemand van [VERTROUWELIJK] kan vervolgens ter plaatse vaststellen om welke persoon het gaat en de persoon identificeren."
3. "Aan de hand van een patroon is het voor [VERTROUWELIJK] mogelijk om te voorspellen wanneer de betreffende natuurlijke persoon zich ergens bevindt, bijvoorbeeld de persoon die elke nacht tussen 04:00 en 05:00 zich beweegt tussen sensoren in de binnenstad van Enschede. In de nacht lopen er nauwelijks andere mensen op straat en is derhalve voor [VERTROUWELIJK] mogelijk om ter plaatse of via een camera deze persoon te identificeren."


Dit zijn dus algemene constateringen van wat theoretisch mogelijk is, en zeker geen praktijkgevallen.

[Reactie gewijzigd door berzerker op 6 juli 2022 17:36]

Ik vind het ook prima dat de gemeente hiertegen in beroep gaat omdat dat in onze democratie zo werkt en het hun recht is. Ik vind het echter ook prima dat ze een heel flinke tik op de vingers krijgen omdat AVG geen prutswetje is, maar een zeer belangrijk goed verdedigt, namelijk je privacy. Hier had de gemeente beter over moeten nadenken wat de gevolgen kunnen zijn van tracking OF als ze daar geen verstand van hadden zich zeer goed moeten laten informeren waarbij mogelijk vervelende gevolgen kunnen worden afgewenteld op hun leverancier, inclusief ethische toetsing. Als stom voorbeeld ... Als ik een straatrace organiseer en een omstander raakt zwaar gewond, bestaat er zoiets als aansprakelijkheid, oorzaak en gevolg. Deze case is exact hetzelfde. Dat het niet de intentie was van de gemeente wil ik wellicht nog geloven, maar dit kan gewoon niet. Het is meer dan een hellend vlak.
Wat jammer is is dat de boete eigenlijk gewoon weer op de burgers verrekend wordt. Als ze de boete nu aan de ambtenaren die verantwoordelijk waren gaven.
Aan de andere kant, in overheid en semi-overheid durven de meeste ambtenaren al nauwelijks iets te ondernemen. Boetes zullen in zo'n geval averechts werken.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee