Privacywaakhond CBP schendt privacy
Gepubliceerd: Donderdag 21 april 2011
Auteur: Andreas Udo de Haes
In zijn ijver te bewijzen dat Google privacy schendt, heeft het College Bescherming Persoonsgegevens (CBP) zelf privacygevoelige data gepubliceerd. De toezichthouder gaat diep door het stof.
Het College bescherming persoonsgegevens (CBP) is ironisch genoeg zelf over de scheef gegaan door adressen te publiceren. Dit gebeurde om te bewijzen dat Google het MAC-adres van wifi-routers koppelt aan andere persoonsgegevens. De toezichthouder verontschuldigt zich voor de privacyblunder.
Tooltje verraadt exacte locatie
Eerder deze week legde het CBP Google een last onder dwangsom op wegens het schenden van de privacywet door het sniffen van miljoenen Nederlandse wifi-routers.
In het bijzonder grondige onderzoeksrapport presenteert het CBP verschillende voorbeelden hoe met enkel een MAC-adres de exacte locatie van de router en dus ook de eigenaar daarvan is te achterhalen. Een MAC-adres is een uniek identificatienummer van apparaten in een netwerk zoals pc's, routers en smartphones.
Het achterhalen van de locatie van routers (met het MAC-adres) kan bijvoorbeeld met het tooltje van hacker Samy Kamkar, waar Webwereld vorig jaar al over schreef. Die tool heeft namelijk toegang tot de database van miljoenen door Google gesnifte wifi-routers.
Familie Rolink
In het rapport had het CBP weliswaar de MAC-adressen gewist, maar niet de volledige resultaten uit deze database, inclusief huisadressen. Eén voorbeeld springt eruit: "Door in te zoomen op de lengte- en breedtegraad in Google Maps blijkt dat het om één boerderij gaat (met stal) in een ruraal gebied in Overijssel," schrijft het CBP behulpzaam. Waar? Bavelsweg 2 in De Lutte, gemeente Losser.
Een beetje googelen geeft meteen naam en telefoonnummer prijs. Het gaat om Jos en Susette Rolink, die samen met zoon Mark de Bed & Breakfast boerderij 'Erve Dalhoes' uitbaten.
Wie verder inzoomt met Google Maps belandt vanzelf in Google Street View. Behalve registratie van MAC-adres, SSID en locatiedata nam de Street View auto twee jaar geleden ook panoramafoto's.
Zwaaiend op Street View
Het toeval wil dat niet alleen de boerderij in volle glorie zichtbaar is, maar op het erf staat een vrouw met een jongeman tuinstoeltjes af te spoelen. Zijn dat Susette en Mark?
"Ja, klopt", zegt Mark Rolink, die de telefoon opneemt. "Dat herinner ik me nog inderdaad." Mark heeft destijds nog een praatje gemaakt met de chauffeur van de Street View auto. "Hij zei dat die 360 graden foto's maakte met dat apparaat. Maar dat ze ook wifi-data verzamelden zei hij er niet bij."
Netwerkexpert
En het treft dubbel, want Mark studeert ict-beheer op de Saxion hogeschool. "Dus ik weet wel wat een MAC-adres en een SSID is, ja," aldus Mark lachend.
Hij is niet echt geschokt dat Webwereld hem zo eenvoudig via Google's kon achterhalen. "Maar misschien mijn ouders wel. Het is sowieso een schending van de privacy." Overigens wil hij graag meewerken aan dit artikel.
Hij weet in elk geval zeker dat Google bij hem geen payload data (zoals e-mails, chats en andere 'inhoudelijke' internetdata) heeft opgezogen. Bij talloze andere Nederlanders heeft Google jarenlang ook flarden van deze payload data verzameld. Per ongeluk, verzekert Google.
Rolink heeft zijn draadloze netwerk echter grondig dichtgetimmerd. "Als ze hier langs rijden zien ze het SSID en het MAC-adres van mijn routertje. Maar voor de rest kunnen ze niks. Hun MAC-adres wordt namelijk direct gebanned op het moment dat ze proberen verbinding te maken. Ze kunnen niet verder in het netwerk kijken, ze krijgen geen pakketjes, ook niet van de DHCP-server."
Geen ontkomen aan
Mark vindt het optreden van het CBP tegen Google op zich wel een goede zaak. Wel wijst hij er op dat Google bepaald niet uniek is. Ook bijvoorbeeld Microsoft via Windows en de internetprovider via de internetverbinding kunnen enorm veel gevoelige data buit maken, stelt hij.
"Ik denk dat er wel eens op de rem getrapt mag worden. Anderzijds, er is ook geen ontkomen meer aan. Ik maak me er zelf in ieder geval niet echt druk om. Zulke dingen gebeuren overal. We zijn aangesloten op het Bel-Me-Niet register, maar daar wordt ook geen gehoor aan gegeven", aldus de nuchtere tukker.
CBP zegt sorry, Google ontkent
Het CBP reageert geschrokken op de privacyschending en heeft direct actie ondernomen. "We hebben de gegevens direct verwijderd en een nieuwe, geanonimiseerde versie van het rapport online gezet. Ook hebben we enkele personen gebeld om excuses aan te bieden voor eventuele overlast", aldus de woordvoerster van de toezichthouder. Mark Rolink heeft naar eigen zeggen geen telefoontje van het CBP gekregen.
Webwereld legde bovenstaande casus voor aan Google. Maar de internetgigant wil er niet inhoudelijk op reageren en is zich van geen kwaad bewust. "Wij blijven bij ons statement dat wij geen personen willen en kunnen identificeren. We gaan echter niet op ieder detail van het rapport van het CBP in zolang wij nog geen positie hebben over onze vervolgstappen," aldus Google Nederland.
