De cyberweek | WiFi-me-niet, cookies en dwangmiddelen
WiFi-me-Niet
Als je wilt weten hoeveel personen er in je winkelstraat langskomen hoef je alleen maar de telefoons te tellen. Die zenden op allerlei frequenties uit: van 4G tot Bluetooth. WiFi tracking is de populairste manier om mensen te tellen. Of te volgen.
Je vangt de WiFi-signalen van de voorbijkomende telefoons op. Hoe onderscheid je daarbij de ene telefoon van de ander? Doordat elke telefoon een uniek nummer heeft, het zogenaamde Mac-adres. Op de hele wereld is geen tweede tweede telefoon met hetzelfde Mac-adres als van die van jou.
(OK, het zit iets gecompliceerder. Als je telefoon geen smartphone is, dan heeft hij geen Mac adres, is het er wel een, dan heeft hij er mogelijk zelfs meerdere. Maar wel unieke)
En daarmee is dat Mac-adres een persoonsgegeven. Het hoort bij jou voor de duur van je telefoon. En dat betekent dat het niet zomaar verzameld mag worden. Voor het tellen van voorbijgangers is dat in principe ook niet nodig, voor het volgen van mensen door de stad wel. En voor ontdubbelen (iemand staat een tijd stil en je wil hem maar een keer meten) ook.
Dat proberen de meters op te lossen door pseudonimisatie: daarmee wordt elk Mac adres vertaald naar een ander nummer zodat het oorspronkelijke Mac adres niet meer terug te vinden is. Als je dat goed uitvoert vermoed ik dat het wel aan de AVG kan voldoen.
Onder de hete adem van de AVG is de tracking industrie op zoek naar zelfregulatie. Lovenswaardig. De oplossing zou bestaan uit het aanbieden van een WiFi-me-Niet register. Net zoiets als het bel-me-niet-register. Ik denk niet dat dat gaat werken.
Ten eerste: dat betekent dat ik als consument het Mac-adres van mijn telefoon moet doorgeven. De meeste consumenten hebben terecht geen idee waar ze dat zouden moeten vinden. En dan bij elke telefoon opnieuw.
Ten tweede: hoe controleer ik of een voorbijkomende telefoon in het WiFi-me-niet register staat? Door het Mac-adres op te zoeken in een database. Dus alle mensen die niet getrackt willen worden staan ergens opgeslagen in een database. En dat zijn nou juist de mensen die dat niet op prijs stellen.
En ten derde: hoe maak ik kenbaar dat ik niet geWiFi’d wil worden? Moet ik persoonsgegevens meesturen om te bewijzen dat ik het ben, of kan het anoniem? In het eerste geval geef ik nog meer persoonsgegevens weg, en dat wil ik niet. In het tweede geval is het systeem nogal kwetsbaar voor willekeur.
Cookies
Over tracking gesproken. De AVG gaat in rap tempo naar zijn eerste verjaardag toe, en ik zie hele verschillende interpretaties van de cookieregels. Er zijn websites die zich gewoon aan de regels houden: heldere informatie, simpele keuze(s). Op het Nederlandstalige web zijn die gelukkig in de meerderheid. Maar er zijn ook sites die je eigenlijk geen keuze geven: alles accepteren of de site doet het niet. En dan zijn er natuurlijk ook nog steeds de gevallen waar je gedwongen wordt om de knopjes voor elke adverteerder apart uit te zetten.
Maar erger is nog: zeggen dat er geen tracking cookies worden geplaatst, en het dan toch doen. De NOS deed hier onderzoek naar en vond honderden sites die zich daaraan schuldig maakten.
Overigens niet altijd expres, het probleem zit vaak in de cookies van derden die nodig zijn om de website draaiend te houden.
Vooralsnog lijkt het erop of wij als consumenten nog weinig te willen hebben. De AVG is weliswaar op 25 mei 2018 in werking getreden, de handhaving ervan is nog niet op gang.
Dwangmiddelen
Over in werking treden gesproken. Op 1 maart is de wet Cybercriminaliteit III van kracht geworden. Met daarin de mogelijkheid voor de politie om verdachten van zware misdrijven te hacken. De ‘terughackwet’ waar flink over gediscussieerd is. Het is natuurlijk geen terughacken maar heenhacken, en alleen van verdachten van zware misdrijven. Bij een goede implementatie en rechterlijke controle een opsporingshulpmiddel van deze tijd. We gaan de komende jaren zien hoe die implementatie en controle geregeld worden.
En tenslotte afgelopen week in het nieuws: de politie mag verdachten dwingen om met hun vingerafdruk hun telefoon te ontsluiten. Dat lijkt raar: de verdachte hoeft immers niet mee te werken aan zijn of haar eigen veroordeling. Maar de redenering van de rechter was dat de verdachte ook helemaal niet mee hoeft te werken: de politie mag de telefoon gewoon tegen zijn of haar duim aandrukken om ‘m te openen. Dus dat wordt als crimineel gewoon weer je pincode gebruiken…
No Comments :