Wordt het WiFi signaal van je smartphone op straat, in winkelcentra of op stations getraceerd? Dat mag niet zomaar…

Ooit van wifitracking gehoord? Wist je dat marketeers aan de hand van het wifi-signaal van je smartphone weten hoe vaak jij op bepaalde plekken bent geweest? Over privacy gesproken…

Sommige gemeenten monitoren het winkelend publiek in het centrum aan de hand van wifi-signalen van smartphones.

Sommige supermarkten volgen je ook als jij je winkelmandje bij hun in de zaak vult.

En op stations wordt aan de hand van wifisignalen gemeten hoeveel mensen bepaalde reclameborden hebben gezien.

Mag dat zo maar?

Nee, dat mag niet zo maar. Zodra er persoonsgegevens worden verwerkt komt de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. De Autoriteit Persoonsgegevens (AP) geeft toelichting.

Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan, meldt de AP.

Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.

Bedrijven kunnen het digitaal volgen van mensen in de (semi-)openbare ruimte in theorie op drie wettelijke gronden baseren. Naast toestemming zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst. Bedrijven moeten dan wel aan strikte voorwaarden voldoen.

Ze kunnen echter ook op andere manieren zonder persoonsgegevens en digitale volgapparatuur hun doelen bereiken. De AP heeft na vragen een nadere uitleg over deze normen op haar website gepubliceerd.

Wifitracking

Het gaat onder meer om de toepassing van wifitracking, waarbij het signaal van mobiele telefoons wordt gebruikt om groepen mensen in de gaten te houden.

In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken.

“Het is een groot goed om je in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering gebruikt mag worden”, aldus AP-bestuursvoorzitter Aleid Wolfsen. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”

De privacyregels schrijven voor dat organisaties die persoonsgegevens verwerken, een goede grondslag moeten hebben voor die verwerking.

Bij wifitracking zou het bijvoorbeeld kunnen gaan om het uitvoeren van een contract of om het handhaven van de veiligheid.

In beide gevallen is het dan altijd de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn. Het vragen van toestemming aan mensen die in het gebied lopen is in theorie een laatste mogelijkheid, maar is in de praktijk vooralsnog niet uitvoerbaar. 

Ook als de gegevens gepseudonimiseerd worden verwerkt en bewaard, is de Algemene verordening gegevensbescherming van toepassing.

83 procent van de WiFi-routers is onveilig. Firmware kwetsbaar. 186 lekken per router

83 procent van de Wifi-routers is onveilig, blijkt uit onderzoek van het American Consumer Institute.186 wifi-routers van 14 verschillende fabrikanten werden geanalyseerd met een programma dat de firmware scant.

De firmware van 155 routers bevatte kwetsbaarheden. Gemiddeld ging het om 186 beveiligingslekken per kwetsbare router. De lijst met onderzochte routers vind je hier.

De kwetsbaarheden bevinden zich vooral in de opensource-onderdelen van de routerfirmware.

Hoewel de betreffende opensourceprojecten deze beveiligingslekken patchen, worden de patches niet altijd door de routerfabrikanten in hun producten doorgevoerd.

Verder blijkt dat veel fabrikanten geen gebruiksvriendelijke manier bieden voor het updaten van de routerfirmware.

Volgens het American Consumer Institute moeten fabrikanten meer doen om opensourcekwetsbaarheden binnen hun producten te vinden en verhelpen.

Tegenstrijdig Europees beleid. Nu subsidie voor volgens GDPR ‘onveilige’ openbare WiFi hotspots

Bij Privacy Awareness trainingen, die in het kader van de Europese privacywet GDPR momenteel bij tal van organisaties gegeven worden, wordt voortdurend op de gevaren van datalekken door surfen via openbare WiFi hotspots gewezen.

Ondertussen heeft de EU nu subsidie beschikbaar voor de aanleg van nieuwe openbare WiFi hotspots. Gemeenten kunnen 15.000 Euro subsidie per WiFi hotspot krijgen.

Dat lijkt op tegenstrijdig verwarrend Europees beleid. Waarom subsidieert de EU openbare hotspots die ondernemers in verband met veiligheidrisico’s van de GDPR niet zouden moeten gebruiken?

En dan is er nog een pijnlijk betrouwbaarheidsdingetje voor de EU. De link in de officiële tweet van de Europese commissie voert naar de website WiFi4EU.eu. Er worden technische problemen gemeld.