Door Anoniem: Lastig volgen als de data wordt geanonimiseerd.
Exact. Volledig anonimiseren zou betekenen dat bedoelde gemeentes smartphones niet kunnen volgen.
Uit
https://citytraffic.nl/site/metingen:
In een standaard passantentelling worden bezoekers meermaals meegeteld, bijvoorbeeld omdat men terugkomt. Onze apparatuur is in staat deze dubbeltellingen uit de resultaten te filteren en zo tot unieke bezoekersaantallen te komen.
Dat laatste kan alleen als er aan elke smartphone een unieke identifier wordt gekoppeld, waarbij diezelfde unieke identifier weer genereerd moet worden als later hetzelfde MAC-adres wordt ontvangen.
In
https://citytraffic.nl/site/page/privacy staat onder meer:
Bovendien worden de benodigde MAC-adressen voor deze berekeningen automatisch versleuteld zodat er onmogelijk een link naar een individueel persoon gelegd kan worden.
Als CityTraffic grondig versleutelt - d.w.z. met een fatsoenlijke nonce en een veilig algoritme- is de output niet van random te onderscheiden, en heeft niemand daar ooit nog wat aan - tenzij CityTraffic over een (decryptie-) sleutel beschikt. In dat geval is het woord "onmogelijk" een leugen; sleutels kunnen immers in verkeerde handen vallen.
Ik sluit niet uit dat CityTraffic jokt over versleutelen om het woord "hash" niet te hoeven gebruiken. Mocht CityTraffic hashen bedoelen i.p.v. versleutelen: de entropie van MAC-adressen is te laag om brute force aanvallen redelijkerwijs te kunnen weerstaan.
Maar er klopt meer niet. In laatstgenoemde CityTraffic pagina wordt verwezen naar "onze speciale privacy-pagina"
https://www.rmc.nl/privacy/. Daarin staat onder meer:
Wat is het verschil tussen wifitracking en het tellen van passanten via wifi?
Bij wifitracking worden individuen gevolgd, aaneengesloten in tijd en plaats. Een passantentelling is gericht op het tellen van groepen op een bepaald moment op een bepaalde plaats. Passanten worden dus niet gevolgd. Er is niet bekend waar zij naar toe gaan en welke winkels zij bijvoorbeeld binnen gaan. Bureau RMC en de CityTraffic-methode doen nooit aan wifitracking en doen slechts passantentellingen.
Iemand liegt hier dus, want zonder wifitracking kun je niet zien of iemand terugkomt - en CityTraffic zegt dat
wel vast te kunnen stellen.
Verderop in die pagina staat:
Alleen als u uw wifi op uw apparaat aan heeft staan, wordt u dus geteld.
In de opt-out pagina van CityTraffic kun je ook het BlueTooth MAC adres opgeven. Het woord "bluetooth" komt niet voor op de RMC pagina.
Ook op die RMC pagina:
Hoe werkt de versleuteling of de anonimisering?Om te voorkomen dat dit MAC-adres kan worden herleid naar één specifiek apparaat, wordt dit direct omgezet naar een ander verzonnen nummer op de sensor. Hierdoor versturen de sensoren nooit MAC-adressen naar de server waar de tellingen worden verwerkt. Bureau RMC werkt alleen met deze verzonnen/niet bestaande nummers. Zodra dit nummer aankomt op de server, wordt het geanonimiseerd. Dat betekent dat het voor de tweede keer wordt veranderd. We kunnen daarna nooit het nummer meer herleiden naar één apparaat.
[...]
Hoe kan ik voorkomen dat ik word geteld?U kunt dit op twee manieren doen: u kunt uw wifi uitzetten wanneer u in een winkelgebied loopt of u kunt in ons opt-outregister (
https://citytraffic.nl/site/page/opt-out) aangeven dat u niet langer meer geteld wilt worden. Daarvoor heeft u wel uw MAC-adres nodig. Hoe u dit kunt vinden, is hier (
https://citytraffic.nl/site/page/opt-out) te lezen.
Wacht even... Stel ik voer de MAC-adressen van mijn smartphone in op die opt-out pagina. Als het anonimiseren werkt zoals in de eerste paragraaf beschreven (met een "verzonnen nummer"), zouden die MAC-adressen in elke sensor bekend moeten zijn om niet als passant geregistreerd te worden!
Kortom:
- CityTraffic zegt dat wifitracking mogelijk is, maar RMC zegt dat zij en CityTraffic dat nooit doen;
- RMC zegt dat WiFi uitzetten volstaat om niet gevolgd te worden, maar (partner?) CityTraffic noemt ook BlueTooth;
- Voor een opt-out moet je privacy-gevoelige informatie aan CityTraffic geven en maar hopen dat zij jouw vraag honoreren en niet op andere wijze misbruik maken van deze gegevens;
- Om opt-out überhaupt mogelijk te maken moet CityTraffic ergens filteren op de MAC-adressen van opt-outers. Hoe en waar dat gebeurt is niet duidelijk. Zeker is echter dat anonimiseren niet zo werkt als wordt voorgespiegeld, en het kunnen opt-outen zou het voor iedereen (niet in de laatste plaats de opt-outers) wel eens een stuk risicovoller kunnen maken.