CityTraffic is één van de bedrijven dat winkelende mensen via hun mobiele telefoon volgt. Haar tagline: We know where people go. Daar hoef je niets voor te doen. Sterker nog, daar kun je niet zo veel tegen doen. Ja, je draadloze internet en bluetooth op je mobiele telefoon uitzetten. CityTraffic’s zegt geen toestemming nodig te hebben, ‘want we tellen gewoon mensen‘. Dat is te kort door de bocht: ze registreert persoonsgegevens.
Iedereen heeft het recht om bij een bedrijf aan te kloppen met een verzoek om een overzicht van de gegevens die het bedrijf van je heeft. Dat recht is vastgelegd in de Wet bescherming persoonsgegevens. En met dat recht in de hand verzocht ik eind juni 2016 CityTraffic om ‘een volledig overzicht in begrijpelijke vorm’. Omdat CityTraffic er prat op gaat alles direct te ‘anonimiseren’, legde ik in mijn verzoek direct uit dat dat geen excuus is om het overzicht te weigeren:
‘Het MAC-adres van de WIFI-adapter in mijn telefoon is [MAC-adres]. Het MAC-adres van mijn Bluetooth-adapter in mijn telefoon is [MAC-adres]. […] In uw Privacy Protocol staat over deze MAC-adressen:
Wij versleutelen hiervoor het MAC-adres van het Apparaat onomkeerbaar naar een ander nummer en verwijderen daarna het originele MAC-adres van het Apparaat uit onze systemen. Wij voeren onze analyses alleen uit op basis van de aldus versleutelde persoonsgegevens en niet basis van de oorspronkelijke MAC-adressen.
Ik ga er dan vanuit dat u deze bewerking op de door mij hier vermelde MAC-adressen toepast alvorens u uw systemen doorzoekt op gegevens die op mij betrekking hebben.’
Het antwoord van CityTraffic laat zich raden. Het is een weigering en het negeert mijn expliciete verzoek om mijn MAC-adres eerst te versleutelen, alvorens hun databases te doorzoeken. De directeur van het bedrijf schrijft:
‘MAC-adressen versleutelen wij onomkeerbaar tot een nieuw nummer waardoor onmogelijk een link naar een individueel persoon gelegd kan worden. Wij hebben derhalve ook geen digitaal dossier van uw MAC- adres, en komt uw MAC-adres in onze database niet voor.’
Met dat antwoord neem ik uiteraard geen genoegen. Natuurlijk heeft CityTraffic geen digitaal dossier van mijn MAC-adres, maar natuurlijk heeft CityTraffic wel een digitaal dossier van een afgeleide van mijn MAC-adres. Dat leg ik de directeur dan ook graag uit.
‘In uw Privacy Protocol staat het volgende over uw gebruik van MAC-adressen:
Wij versleutelen hiervoor het MAC-adres van het Apparaat onomkeerbaar naar een ander nummer en verwijderen daarna het originele MAC-adres van het Apparaat uit onze systemen. Wij voeren onze analyses alleen uit op basis van de aldus versleutelde persoonsgegevens en niet basis van de oorspronkelijke MAC-adressen.
In uw brief schrijft u verder:
MAC-adressen versleutelen wij onomkeerbaar tot een nieuw nummer waardoor onmogelijk een link naar een individueel persoon gelegd kan worden.
Hieruit begrijp ik dat u een zogenaamde cryptografische hashfunctie toepast. Zodra u tijdens een meting een MAC-adres van een mobiele telefoon onderschept, past u hierop een mathematische berekening toe die het MAC-adres omzet in een ‘nieuw nummer’. Zo’n cryptografische hashfunctie heeft een aantal kenmerken die het uitermate geschikt maken voor uw toepassing. In de eerste plaats zal het toepassen van dezelfde cryptografische hashfunctie op hetzelfde MAC-adres ook elke keer hetzelfde ‘nieuwe nummer’ opleveren – dat stelt u in staat om op basis van die ‘nieuwe nummers’ berekeningen te maken ten aanzien van het gedrag van individuen. In de tweede plaats is het ‘nieuwe nummer’ niet terug te rekenen naar het ‘MAC-adres’, zodat u kunt stellen alleen geanonimiseerde gegevens te verwerken.
Toch betekent dat laatste niet dat het niet mogelijk is om de geregistreerde gegevens aan specifieke MAC-adressen te koppelen. Immers, gegeven het eerstgenoemde kenmerk van zo’n cryptografische hashfunctie betekent dat bij het opgeven van hetzelfde MAC-adres hetzelfde ‘nieuw nummer’ verkregen wordt. Voor mijn verzoek tot inzage betekent dat dat u uw cryptografische hashfunctie op mijn MAC-adressen moet toepassen en met de aldus verkregen ‘nieuwe nummers’ uw gegevensbestanden moet doorzoeken.’
Een interessant detail is dat het totale aantal variaties van MAC-adressen beperkt is en dat het dus op voorhand berekenen van alle mogelijke ‘nieuwe nummers’ bijzonder eenvoudig is. CityTraffic beheert dus gewoon een grote database met persoonsgegevens, zij het in een alternatieve representatie. Ook dat leg ik uit:
‘Een MAC-adres bestaat uit zes groepen (bytes) van twee hexadecimale cijfers, gescheiden door een dubbele punt of liggend streepje. Het totaal aantal MAC-adressen dat ooit kan bestaan is daarmee (16 x 16)^6 = 256^6 = 281.474.976.710.656. De eerste drie bytes van het MAC-adres is gereserveerd voor een aanduiding voor de fabrikant van het netwerkapparaat, de network device vendor prefix. De resterende bytes wordt toegewezen door de fabrikant. Op dit moment zijn er 22.308 network device vendor prefix uitgegeven. Dat maakt het totaal aantal MAC-adressen dat men onder normale omstandigheden kan tegenkomen 22.308 x 256^3 = 374.266.134.528.
Stel dat u de standaard SHA256 als cryptografische hashfunctie gebruikt. Op het Amazon EC2-platform is het op basis van die functie mogelijk om 290 miljoen hashes per seconde per graphics processing unit te berekenen. Uitgaande van één graphics processing unit betekent dit dat het berekenen van alle ‘nieuwe nummers’ in 374.266.134.528 / (290 x 10^6) = 1.291 seconden, dus minder dan 22 minuten, gedaan kan worden. Dat kost niet meer dan een paar US Dollar en kan bovendien versneld worden door de parallelle inzet van meerdere graphics processing units.
Dat is bij andere cryptografische hashfuncties niet wezenlijk anders. Mocht u de standaard SHA512 gebruiken, dan is het mogelijk om ongeveer 70 miljoen hashes per seconde per graphics processing unit te berekenen. Met één graphics processing unit berekent u alle ‘nieuwe nummers’ in 374.266.134.528 / (70 x 10^6) = 5.347 seconden, dus binnen anderhalf uur. Ook dat kost niet meer dan een paar US Dollar en kan desgewenst versneld worden.
Het resultaat is een tabel met in één kolom het ‘nieuwe nummer’ en in de tweede kolom het bijbehorende MAC-adres. Uw gegevensbestanden bestaan daarmee wel degelijk uit tot natuurlijke personen herleidbare persoonsgegevens.’
En met die uitleg is CityTraffic om en verschaft me het gevraagde antwoord. Het resultaat blijkt echter beperkt:
‘De door u opgegeven MAC-adressen hebben wij door deze hashfunctie gehaald. Deze versleutelde MAC-adressen zien wij niet terug in de beperkte dataset die wij tot onze beschikking hebben. Wellicht zijn de apparaten waarvan u de MAC-adressen heeft doorgegeven aan ons niet in de buurt van een van onze scanners geweest, of heeft het apparaat op het moment van passeren van een scanner geen signaal afgegeven.’
Dat kan. Ik kom zelden of nooit in populaire winkelstraten. En als ik al in het binnenste van de stad ben, dan meestal in hoog tempo op de fiets. Goed mogelijk dat CityTraffic mij niet gezien heeft. Ook vertelt de directeur welke gegevens er vastgelegd worden als iemand wel in het bereik van zijn antennes komt:
‘Indien wij de uit het MAC-adres verkregen hashcode wel hadden gedetecteerd in onze database dan hadden wij de onderstaande gegevens van dit adres ontvangen: Tijdstip van scan; Locatie van de scan; [en de] Signaalsterkte het gehashte MAC-adres in relatie tot de scanner.’
En ben ik dus benieuwd: welke van mijn lezers komt wel op plaatsen waar waarschijnlijk antennes van CityTraffic hangen en wil ook eens zo’n verzoek doen?
*) Rejo Zenger werkt bij digitale burgerrechtenbeweging Bits of Freedom, maar schreef dit artikel op persoonlijke titel.