WiFi Tracking

OPINIE - Vorige week werd bekend dat een aantal winkelketens in Nederland de bewegingen van winkelende klanten volgt door ongevraagd het WiFi of Bluetooth signaal van hun telefoons te peilen. De aanbieders stellen dat ze wettelijk gezien niks verkeerd doen, en bovendien volgens webwinkels je toch ook met hun cookies. Toch maakt dit soort ongevraagd bespieden een ongemakkelijk gevoel bij mij los. Is er dan iets met mij, of met hoe we over dit soort privacy issues nadenken?

WiFi Tracking: wat en waarom

WiFi tracking houdt in dat aan de hand van het WiFi-signaal van de telefoon de positie en een identificatienummer van een telefoon worden gevolgd. Daarvoor hoeft de telefoon niet verbonden te zijn met een WiFi-hotspot, het gewoon aan hebben staan van de functie – wat de meeste gebruikers doen zodat je thuis direct met je eigen netwerk verbindt – is al genoeg.

Door op deze manier de locatie van het winkelend publiek te volgen kunnen winkeliers meten hoeveel van de mensen die langs hun etalage lopen naar binnen komen. En hoeveel extra klanten plaatsen van dat nieuwe reclamebord in de etalage oplevert. Ook binnen de winkel kunnen de bewegingen van klanten in kaart worden gebracht: Hoe lang personen in de winkel blijven hangen, welke looproutes ze volgen en in welke hoekjes veel aandacht trekken. Kom je binnen een bepaalde tijd terug dan wordt dat ook opgeslagen, om de loyaliteit van klanten te meten. WiFi tracking brengt Google Analytics van webshops naar de fysieke wereld.

Maar er gebeurt nog meer. Het Amerikaanse Euclid Analytics geeft winkeliers ook de mogelijkheid om hun gegevens te vergelijken tussen verschillende locaties waarin het systeem gebruikt wordt. Euclid biedt zelfs een gratis versie van haar software aan. En dat is als je er even over nadenkt helemaal niet zo’n gek idee. De winkels maken gratis gebruik van een basisversie van de software, en in ruil daarvoor geven ze Euclid miljarden data punten over de bewegingen van hun klanten, op dit moment komen er dagelijks 6 miljard data punten binnen schrijft The Guardian. Deze worden geanonimiseerd opgeslagen op de servers van Euclid. De gegevens gebruikt het bedrijf vervolgens weer om gegageerde statistieken en patronen te genereren die beschikbaar zijn aan de klanten die een premium abonnement bij Euclid afsluiten.

Privacy

Terug naar Nederland. Terug naar wat we hier nu eigenlijk van vinden. De bekendmaking dat ook bij ons verschillende winkels op deze manier gegevens over hun klanten verzamelen levert nogal wat onrust op. Terwijl we ons allemaal nog druk zaten te maken over onze nieuwe bonuskaart blijken we op veel geavanceerdere manieren gevolgd te worden zonder dat we het door hebben. Als de aanbieders wordt gevraagd om toelichting op de website Tweakers lees ik iets dat lijkt op een excuus van een twaalfjarig jongetje dat iets verkeerd heeft gedaan: ja, maar die webwinkels doen het ook!  En dan nog veel erger ook met hun cookies. In die uitspraak zit een soort omgekeerde logica. Terwijl we met grote moeite ons bestaande systeem van regels en normen toepasbaar proberen te maken op de digitale wereld, wordt nu de problematische situatie van privacy op het internet als voorbeeld genomen voor hoe we de fysieke wereld in zouden moeten richten. Dat lijkt me niet echt een wenselijke aanpak.

Wat is dan wel een stap voorwaarts. Een discussie of het gebruik van MAC-adressen van telefoons nu wel of niet als een persoonsgegeven moet worden gezien? Ontegenzeggelijk belangrijk, maar voor veel mensen grijpt dat denk ik niet waar het hierom gaat. Een tijdje geleden was er ophef rondom een Italiaans bedrijf dat paspoppen uitrust met gezichtsherkenningstechnologie en zo het geslacht en leeftijdscategorie van klanten kan bepalen. Er wordt gewerkt met niet tot de persoon herleidbare gegevens, dus wettelijk gezien zou deze werkwijze toegestaan zijn. Toch krijg ik de bibbers van dit soort poppen, en ik ben niet de enige. Het idee dat je op straat en tijdens het winkelen begluurd en gecategoriseerd wordt voelt niet fijn.

Data als waardevol bezit

Moeten u en ik daar dan maar mee leren leven? Of werkt de manier waarop we persoonlijke gegeven benaderen gewoon niet meer goed voor dit soort situaties? De laatste tijd wordt er veel gesproken over data als ‘de nieuwe olie’. Gegevens zijn geld waard, en sommige experts pleiten dan ook voor een benadering van persoonlijke gegevens als een ‘asset’, een bezit waar je zelf geld mee kunt verdienen. Als we vanuit deze bril de WiFi tracking en bespiedende mannequins bekijken zien we een andere situatie. Er worden waardevolle gegevens van mij afgenomen zonder dat ik daarvoor wordt gecompenseerd of daar überhaupt van op de hoogte ben gesteld. Als een winkel dit soort dingen van mij wil weten, als zij mij wil volgen, dan dient ze dat te vragen en ervoor te betalen. Waarom zou ik anders gratis meewerken aan een onderzoek waar winkelketens uiteindelijk geld aan verdienen?

Dit artikel van Jelte Timmer verscheen eerder op Datadenkers.

  1. 1

    Zolang het niet gaat om tot een persoon herleidbare gegevens zullen we er maar mee moeten leren leven (trouwens camera’s hangen er al langer). Dan is het ook geen privacy schending. Natuurlijk bestaat altijd het gevaar dat iemand een manier vindt om de gegevens wel naar een persoon te herleiden.

    Laten we ons concentreren op de verzameldrift van de overheid en op daadwerkelijke privacy schendingen van bedrijven.

  2. 3

    @0 “Toch maakt dit soort ongevraagd bespieden een ongemakkelijk gevoel bij mij los”

    En dat schrijf je op een site (Sargasso) die van iedere bezoeker alle gegevens rechtstreeks doorstuurt naar tenminste:

    DoubleClick
    Google Adsense
    Gravatar
    ScoreCard Research Beacon
    Bol.com
    picturepush.com (met dank aan Hans Verbeek)

  3. 5

    @4: Ik ben wel benieuwd naar de bewijsvoering van ” het gewoon aan hebben staan van de functie – wat de meeste gebruikers doen”. De meeste gebruikers hebben smartphomes met een verbruik dat hun batterij in geen tijd leeg trekt. Dan zet je wifi en BT wel uit als je ze niet gebruikt, want dat zijn alle twee nogal accuslurpers. Zelf heb ik beiden alleen aan staan als ik daar een goede reden voor heb (en die heb ik nog nooit in een winkel gehad).

  4. 6

    Ze moeten gewoon wettelijk verplicht worden dat kenbaar te maken aan het publiek, dan weet ik tenminste om welke winkels/gelegenheden ik met een grote boog heen moet lopen.

  5. 7

    @4: “wifi uitzetten”

    Dat kan natuurlijk ook, maar wie neemt die moeite… Sinds ik geen onbeperkt internet meer heb bij m’n tel-abo iig niet. M’n phone logt overal automatisch in (thuis, werk, kroegen, vrienden enz)

    Het is gewoon debiel dat smartphones ‘actief’ (zelf ook uitzenden) zoeken naar een bekende wifi verbinding. Dit is nergens voor nodig.
    Het is zelfs nog debieler: De meeste smartphones zenden een lijst met bekende (al eerder ingestelde) wifi netwerken uit.

    Niet alleen schendt dit je privacy (MyCom weet nu dus ook dat je inlogt bij bv de mcDonalds) maar is een ernstige beveiliging faal!

    Een slimmerik zet eenvoudig een access point op met een voor jou bekende SSID. Je phone zal daar automatisch op inloggen.

    Shame on you iPhone / Android / etc

  6. 8

    Zonder het hele artikel te lezen: als geinsinueerd wordt dat het somehow een goed idee zou zijn om beperkingen op te leggen aan het opvangen en verwerken van radiosignalen naar eigen goeddunken dan bent u wel bijzonder ver heen.

    Als u niet wil dat ik, een winkeluitbater, of wie dan ook wat dan ook doet met de radiosignalen die u zelf uitzendt EN DIE NOTA BENE DWARS DOOR MIJN LICHAAM HEEN GAAN dan stopt u maar lekker met radiosignalen uit te zenden.

    Privacy is een groot goed, maar daar waar het beschermen van die privacy mijn vrijheid aantast omdat bepaalde intellectueel minder bedeelden hun privacy te grabbel gooien behoort de weldenkende mens zonder ook maar 1 seconde te aarzelen te kiezen voor het grootste goed: vrijheid.

  7. 9

    Ik ben met de schrijver eens dat het zorgelijk is hoeveel digitale data wordt gelogd van consumenten. En het is jammer dat de waakhonden het telkens zo laten afweten. Wat stelt dat hele CBP nou eigenlijk voor? Links en rechts worden ze ingehaald, en af en toe wordt er voor de vorm wat met de wenkbrauwen gefronst. Maar echt een vuist maken lukt amper.
    Er valt gelukkig veel zelf te ondernemen. Je browser optuigen met plugins die het volgen van je surfgedrag voorkomen, bijvoorbeeld. Voor deze kwestie is er een hele simpele oplossing, althans voor android gebruikers: wifi matic. Zet je wifi uit zodra je het jouw geaccepteerde wifi ap verlaat, en zet wifi weer aan zodra je weer in bereik komt. Er zal vast wel een iOs app zijn die datzelfde doet. Dit is helaas een wedloop geworden, maar zorg dan ook dat je jezelf bewapent.

  8. 10

    @9:

    Het gaat hier om het passief bijhouden van signalen die niet naar een persoon herleid kunnen worden. Het is een geavanceerdere versie van een winkeluitbater die met zijn ogen bijhoudt hoeveel mensen er naar binnen komen en hoeveel er doorlopen. Daar heeft het CPB geen flikker mee te maken. Dat de overheid 1001 databses heeft met gegevens die wel naar een persoon herleid kunnen worden (waar dat vaak verboden is) lijkt me een veel belangrijker punt voor het CPB.

  9. 11

    @8: Er is idd vrijheid van nieuwsgaring. Echter is Google teruggefloten toen ze met hun streetview auto’s gelijk ook een database met SSID’s van wifi-routers aanlegden.

    Waar een SSID eenvoudig te veranderen is, is dit vrijwel onmogelijk met de MAC van je smartphone. Dit is dus een veel grotere schending van de privacy ivm persoonlijk.

    #10 “en zet wifi weer aan zodra je weer in bereik komt”
    Daarvoor moet de stroom vretende GPS constant aanstaan?

    “browser optuigen met plugins die het volgen van je surfgedrag voorkomen”
    Met onderstaande kom je een heel eind:
    https://adblockplus.org/nl/chrome
    http://www.ghostery.com/

  10. 12

    Echter is Google teruggefloten toen ze met hun streetview auto’s gelijk ook een database met SSID’s van wifi-routers aanlegden.

    Dat de Duitsers Google terugfloten maakt het nog geen goed idee. Sterker nog, Duitsland is een van de meest bizar slechte voorbeelden; daar mag je nog niet eens een foto maken op straat. Daarmee is het land samen met zo’n beetje enkel Spanje en Sudan vrij uniek in zijn onderdrukking van de informatievergarende medemens en in het volledig verbieden van de toch vrij algemeen geaccepteerde kunstvorm die we straatfotografie noemen. Ik stel voor dat we Duitsland even niet als gidsland zien op dit vlak…

    Het is geen schending van de privacy als je ergens met je appraat binnenkomt en dat apparaat begint onophoudelijk te schreeuwen “HOI IK BEN APPARAAT 3598735987” en ik noteer vervolgens in mijn logboekje “APPARAAT 3598735987” was hier. Als je niet wil opvallen is het in sommige gevallen verstandig om niet al te luidruchtig te zijn en/of je radiozender gewoon wat beter te temmen. Mensen die dat niet snappen of kunnen moet je niet willen beschermen door mijn vrijheid te beperken. Bescherm ze maar door de fabrikanten van hun radiozenders een betere oplossing te laten verzinnen.

    Which reminds me. Morgen maar weer eens wat rondjes rijden met Wigle aan op mijn telefoon! :-)

  11. 13

    @12:

    Dat de Duitsers Google terugfloten maakt het nog geen goed idee.

    Het gedoe met netwerkgesnuffel door Google speelde niet alleen in Duitsland maar in meerdere landen, waaronder ook Nederland:

    http://www.zdnet.be/news/126921/google-schendt-nederlandse-privacy/

    In Duitsland is men inderdaad soms voorzichtiger met privacy dan hier. Daarom werden de streetviewauto’s in eerste instantie zelfs helemaal niet toegelaten. Misschien was dat wel wat overdreven. Maar gezien de geschiedenis ben ik eigenlijk wel blij met zo’n voorzichtig buurland.

    Ik ben met je eens dat mensen zich bewust zouden moeten zijn van wat hun apparaat allemaal rondschreeuwt. Ik vind het soms ontstellend hoe weinig mensen eigenlijk begrijpen van de technologie die ze dagelijks gebruiken.

    Verder ken ik Wigle niet maar Kismet kan ook grappig zijn om te zien wat er zoal door je straat komt fietsen.

  12. 14

    Geen smartphone gebruiken( over spionage via bluetooth hoef ik het niet eens meer te hebben,dat is nu toch wel bekend mag ik hopen),veel beter voor jezelf en je omgeving.Zie je ook weer eens wat er om je heen gebeurt en je wordt niet zo gemakkelijk autistisch. Bovendien werken die krengen zwaar verslavend…

  13. 16

    @11: 1. Google logt juist je MAC adres (voor plaatsbepalingsdoeleinden) omdat je SSID elk moment veranderd kan worden.
    2. Google is niet teruggefloten voor het opslaan van MAC adressen (dat doen ze nog steeds), maar omdat ze naast het adres ook de inhoud van de datapakketten opsloegen. In het geval dat deze payload niet versleuteld was zouden hierdoor (fragmenten van) persoonlijke communicatie opgeslagen kunnen worden, wat blijkbaar een privacyschending is.