image

Juridische vraag: T-Mobile stuurt anonieme code mee

woensdag 23 december 2009, 09:54 door Arnoud Engelfriet, 19 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Ik las dit artikel dat telecomproviders zoals Vodafone en T-Mobile een anonieme code (X-Asid header) meesturen als je via hun mobiele netwerk op internet gaat met je telefoon. Dat lijkt me nogal een privacyschending, omdat website-eigenaren je dan aan de hand van die code kunnen volgen. Mag dat zomaar?

Antwoord: Inderdaad, enkele mobiele operators voegen een unieke code toe aan elke HTTP request die je via hun internetdiensten opstuurt. (Detecteer hem hier)

Deze code is een willekeurig gekozen getal, dat via de database van de provider te herleiden is tot de gebruiker. Vodafone zegt dat dit "uiteraard getoetst [is] aan de Nederlandse privacy-wetgeving", maar ik twijfel daar toch aan.

Er moet "ondubbelzinnige" toestemming worden gegeven voor elk gebruik van persoonsgegevens. Expliciet wordt hier niet naar gevraagd, maar het staat wel keurig in de privacystatement van Vodafone: Als u surft op het mobiele internet wordt door Vodafone tijdens de internetsessie de zogenaamd ASID (Anonymous Subscriber ID) meegegeven. Dit is een unieke alfanumerieke code, vergelijkbaar met het IP-adres van uw computer, die bevordert dat de mobiele content provider op een veilige manier u als bezoeker herkent en beter van dienst kan zijn. Hierdoor kunnen bijvoorbeeld uw voorkeuren worden vastgelegd zodat de internetpagina bij een volgend bezoek voor uw gemak automatisch deze voorkeuren weergeeft.

Je kunt dus zeggen, je wordt geacht zo'n verklaring te lezen als je abonnee wordt en in te stemmen met wat daarin gebeurt.

Alleen, de X-Asid header valt juridisch gezien onder een "nummer ter identificatie van personen". En daarvoor gelden strengere regels dan 'gewone' verwerkingen van persoonlijke gegevens. Zo'n verwerking moet worden aangemeld bij het CBP, en bovendien (artikel 31 Wbp) moet het CBP dan een voorafgaand onderzoek instellen.

Is zo'n onderzoek ingesteld? Geen idee. Het enige wat ik kan vinden, is dit zinnetje in Vodafone's privacyverklaring zoals gemeld bij het CBP: Het verstrekken van gegevens aan derden c.q. verwerken van gegevens van derden, voor commerciëlen charitatieve en ideële doelen

Ik denk niet dat dit het gebruik van de X-ASID header afdekt. Het lijkt me dan ook dat het CBP hiertegen zou moeten optreden. Alleen, die kunnen pas iets als er voldoende mensen een klacht hebben ingediend. Ga daarom naar Uw klacht en het CBP en doorloop het stappenplan. Belangrijkste is dat je geklaagd hebt bij de provider.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (19)
23-12-2009, 10:25 door Preddie
Mooi punt, ik was me hier helemaal niet bewust van maar uiteindelijk blijkt ook mijn toetstel z'on vieze TAG mee te sturen in de Header.

Vervolgens heb ik in het register van het CPB gezocht of de verwerking van die gegeven uberhaupt wel is aangemeld (aanmelding wil dus niet zeggen dat het getoetst en goed gekeurd is). Ook dit blijkt niet het geval (zover als ik heb kunnen zien) Vodafone heeft maar drie processen aangemeld bij het CPB, dat lijkt me wel erg weinig voor een dergelijk instantie.

als mensen zelf willen zoeken naar aangemelde processen die persoonsgegevens verwerken kunnen ze hier terecht:

http://www.cbpweb.nl/asp/ORSearch.asp

en hier een overzicht van de aangemelde processen (Let op, deze zijn niet getoetst en hoeven dus ook niet goedgekeurd te zijn):

http://www.cbpweb.nl/asp/ORDetail.asp?moid=808e8d8e88&refer=true&theme=purple
http://www.cbpweb.nl/asp/ORDetail.asp?moid=8f8f8f8484&refer=true&theme=purple
http://www.cbpweb.nl/asp/ORDetail.asp?moid=8f8f8f8d8f&refer=true&theme=purple

Nu ik hiervan op de hoogte ben, zie ik ook een koppeling tussen mijn surfgedrag en de scheit irritante reclame SMS'jes van vodafone ....
23-12-2009, 11:05 door Syzygy
@ Predjuh

Viagra ?? ;-)
23-12-2009, 12:15 door Knight Of The Post
Frappant niet, dat dit soort zaken al zo geïntegreerd is.
Zijn de ontwikkelaars van deze apparaten dan zulke eikels?
Dat ze hier niet aan gedacht hadden, deze feature is niet per ongeluk geïmplementeerd.

Zou toch zo moeten wezen dat dit soort zaken, de werking van programma's, getoetst worden door bepaalde partijen (privacy voorvechters) met verstand van zaken.
Je kan nu eenmaal niet zomaar meer een programma in de markt laten zetten. De kans dat iemand er alleen zichzelf mee wil verrijken of anderen duperen is te groot tegenwoordig - vind ik.
23-12-2009, 12:18 door Arnoud Engelfriet
Natuurlijk is dit opzettelijk geintegreerd. Vodafone en consorten denkt dat ze legaal handelen omdat ze het in de privacystatement vermelden en een opt-out bieden. Het CBP kan optreden maar heeft wel klachten nodig, dus willen jullie die alsjeblieft indienen? (Je moet wel abonnee zijn en ongevraagd een X-ASID toegewezen hebben gekregen.)
23-12-2009, 13:00 door Preddie
Door Syzygy: @ Predjuh

Viagra ?? ;-)

Sja nu weten waar ik opzocht kunnen ze me natuurlijk gerichte reclame aanbieden vanuit vodafone.....

Viagra ...
Penisvergroting ...
Tamilflu...
Adult enteraiment...

Vodafone die mij wil mee laten delen in een grote erfenis ... ik hoef alleen maar de transactie kosten over te maken voor het ontvangen van de erfenis ... misschien moet ik daar maar is op in gaan :P :P :P

ff serieus ... ben je aan het zoeken geweest naar een reisbureau op het internet, krijg je 2 min later een smsje van Vodafone. Dat ik goedkoop kan bellen in het buitenland.... toch wel toevallig heh ?

Door Arnoud Engelfriet: Natuurlijk is dit opzettelijk geintegreerd. Vodafone en consorten denkt dat ze legaal handelen omdat ze het in de privacystatement vermelden en een opt-out bieden. Het CBP kan optreden maar heeft wel klachten nodig, dus willen jullie die alsjeblieft indienen? (Je moet wel abonnee zijn en ongevraagd een X-ASID toegewezen hebben gekregen.)

Inmiddels heb ik er een klacht over ingedient bij het CBP, de brief richting vodafone zal één deze ook de deur uitgaan.
23-12-2009, 13:17 door Knight Of The Post
Door Arnoud Engelfriet: Het CBP kan optreden maar heeft wel klachten nodig, dus willen jullie die alsjeblieft indienen? (Je moet wel abonnee zijn en ongevraagd een X-ASID toegewezen hebben gekregen.)
'k Ben zelf geen klant maar zal dit eens ventileren de komende feestdagen.
23-12-2009, 14:24 door Preddie
Door Knight Of The Post:
Door Arnoud Engelfriet: Het CBP kan optreden maar heeft wel klachten nodig, dus willen jullie die alsjeblieft indienen? (Je moet wel abonnee zijn en ongevraagd een X-ASID toegewezen hebben gekregen.)
'k Ben zelf geen klant maar zal dit eens ventileren de komende feestdagen.

Mogelijk ben jij klant bij een andere provider, je zou dan op zijn minst de check kunnen uitvoeren op www.randysimons.nl/147 Surf er even naar toe met je mobiele telefoon en je weet of jij provider ook die soort vieze Tags aan jou header toevoegt.

Vervolgens zou je middels dit topic ons op de hoogte kunnen brengen van jou bevindingen en de keuze maken een klacht in te dienen bij zowel je provider als het CBP.
23-12-2009, 14:27 door Anoniem
Net getest met mijn iPhone via TMobile , en bij mij werd geen X-ASID meegestuurd. Ik vraag me af bij welke TMobile klanten dan wel.
23-12-2009, 15:50 door Knight Of The Post
Door Predjuh: Vervolgens zou je middels dit topic ons op de hoogte kunnen brengen van jou bevindt en de keuze maken een klacht in te dienen bij zowel je provider als het CPB.
Zojuist gecheckt blijkt dat Telfort (KPN) volgens de website geen X-ASID meegestuurd, wat volgens deze website dan nog geen garantie is dat er ook daadwerkelijk niks wordt verzonden.
23-12-2009, 16:55 door Anoniem
Misschien kan je als je handig bent met mobiele telefoons deze functie wel uitschakelen,en de X-asid code blokkeren en de rest wel doorlaten aan data wat je nodig hebt voor het gebruik met mobiele telefonie.
Ik zou het alleen niet weten of het mogelijk is dat te doen.
Het is van mij maar een sugestie.
23-12-2009, 18:43 door Anoniem
Ik heb een iPhone met t-mobile (geen iphone abbo btw) maar de check geeft mij geen X-ASID info.
23-12-2009, 18:49 door Anoniem
Dit gaat mensen die on-line kopen geld kosten. Eens zien hoe snel Vodafone en T-Mobile het gaan snappen zodra hun klanten dit doorkrijgen:

Als een shop (denk aan het boeken van een (vlieg)reis) je 2 maanden geleden een bod deed en de prijzen zijn ondertussen gedaald (nog veel vliegtuigstoelen vrij), gaan ze hun bod echt niet evenveel verlagen als ze kunnen achterhalen welk bod ze toen aan je deden. Al die reissites zijn donders goed op de hoogte van de aanbiedingen van elkaar en sommige sites zijn gewoon van dezelfde eigenaar. Aan het eind van de rit kom je dus weg met een slechtere deal dan dat ze iedere keer een aanbod moeten doen zonder kennis van vorige bezoekjes.

Het probleem met deze unieke code is niet anders dan met iedere andere manier van bezoekeridentificatie; alleen kan de gebruiker het versturen van deze code zelf niet voorkomen.

Dus: browser plugins gebruiken om te voorkomen dat er iets identificeerbaars wordt meegestuurd met iedere pagina aanvraag en niets on-line kopen via Vodafone en T-Mobile.
23-12-2009, 18:52 door Preddie
Door Anoniem: Misschien kan je als je handig bent met mobiele telefoons deze functie wel uitschakelen,en de X-asid code blokkeren en de rest wel doorlaten aan data wat je nodig hebt voor het gebruik met mobiele telefonie.
Ik zou het alleen niet weten of het mogelijk is dat te doen.
Het is van mij maar een sugestie.

Dan zou je onderzoek moeten doen met een sniffer op je telefoon, de vraag is alleen of er zo sniffers beschikbaar zijn die op je mobiel kunt draaien? Maar dit word te technisch voor dit topic, om daar verder over te babbelen zou ik een nieuw topic openen. Ik ben namelijk van mening dat in dit topic een heel goed punt wordt aangehaald.
24-12-2009, 08:34 door RobertoG
Door Anoniem: Misschien kan je als je handig bent met mobiele telefoons deze functie wel uitschakelen,en de X-asid code blokkeren en de rest wel doorlaten aan data wat je nodig hebt voor het gebruik met mobiele telefonie.
Ik zou het alleen niet weten of het mogelijk is dat te doen.
Het is van mij maar een sugestie.
Het lijkt me dat het technisch eenvoudiger is voor providers om de X-ASID code op hun eigen servers/routers toe te voegen ipv dat ze jouw mobieltje van extra code voor deze functie voorzien.
24-12-2009, 09:16 door Anoniem
TMobile stuurt de ASID code alleen mee naar bepaalde sites waar ze een overeenkomst mee hebben.
Om dit uit te zetten, sms : "ID Uit" naar 1310
24-12-2009, 09:53 door Anoniem
Door Predjuh:
Dan zou je onderzoek moeten doen met een sniffer op je telefoon.
Nee, want de X-ASID wordt door de provider toegevoegd aan je internet verkeer. Je weet het pas op het moment dat je provider besluit om die header te sturen naar iemand die het voor jou kan controleren.
Je kan altijd nog op basis van contractbreuk (het niet leveren van internet) vragen je webverkeer niet te filteren.
Bedenk gewoon een protocol die lijkt op http, over poort 80 gaat en essentiele informatie verstuurt via de X-ASID header. Het staat je rfc-technisch vrij om die te gebruiken naar eigen goeddunken.
Als de provider dan jouw X-ASID header verminkt zijn ze gewoon opzettelijk fout bezig.
Ik weet niet of dat juridisch wel of niet werkt, maar op technisch vlak is iedereen die mijn headers verminkt fout bezig.

Daarnaast raad ik iedereen aan om in je webbrowser een X-ASID header in te stellen met de content: "goatse goatse goatse".
Of bij elke request een random string. Als iedereen dat doet heeft X-ASID zowiezo geen waarde meer.
24-12-2009, 11:31 door Anoniem
@ Arnoud :

Wat is het verschil tussen het meesturen van X-ASID bij een mobiele internet connectie, en het meesturen van je IP adres, wat bij iedere internet connectie geschiedt ? Is X-ASID een verdergaande schending van privacy dan het meesturen van je IP adres, wat ook via je provider is te herleiden naar de identiteit van de klant ?
24-12-2009, 12:44 door Arnoud Engelfriet
Het verschil is dat je als internetgebruiker moet weten dat je IP-adres meegestuurd wordt, net zoals je als beller moet weten dat je nummer meegestuurd wordt. Bij de X-ASID is dat anders, dat is niet standaard en dus hoef je daar geen rekening mee te houden. Als een bedrijf dit dan toch mee wil sturen, dan moet daarvoor opt-in worden geregeld.
24-12-2009, 17:29 door mathijsk
Hm, mijn iphone stuurt volgens die test geen ASID mee volgens die test.
Zou dat komen doordat ik een custom profiel gebruik misschien? In dat geval is het dus gewoon zelf uit te schakelen.

Edit: Laat maar, ondertussen heb ik het stuk hier gelezen: http://randysimons.nl/113,overige/146,mobiele-privacy/

T-mobile stuurt het alleen mee naar bepaalde sites en het is simpel uit te zetten door een sms te sturen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.