Piratenpartij Delft

voor een vrije informatiesamenleving

Geert-Jan G-J

Tikkie? Deze partijen kijken met je mee!

door Reageer

Erg handig, een bankieren app op je telefoon, even betalen, een tikkie sturen, zo gedaan! Helaas is jou gedrag in de app niet privé, er kijken meestal ’trackers’ met je mee. Een tracker is een stukje software dat de taak heeft informatie te verzamelen over de persoon die de app gebruikt, hoe de app wordt gebruikt, of over de smartphone die wordt gebruikt.

Southpark-gifje waarin ze een hinderlijk volgende add niet weg kunnen klikken, gezien door het beeldscherm heen

Op Exodus Privacy kun je Android apps checken op trackers en rapporten bekijken over apps die al geanalyseerd zijn. (test zelf je favoriete app!) Helaas zijn iPhone’s een stuk minder open, dus is het minder eenvoudig om een dergelijke analyse te maken.

Hieronder vind je de trackers in de bankieren apps die iDEAL ondersteunen en de trackers in Tikkie.

Wil je je privacy behouden bij het betalen, betaal dan contant! (of met een privacy gerichte crypto coin als Monero, Dash of Z-cash )

Alleen in de ING bankieren-app zitten geen bekende trackers.

Zelfs de zich ‘duurzaam’ noemende banken als Triodos en ASN Bank schenden je privacy bij het gebruik van de app. Surveillance-kapitalisme is verre van duurzaam, dus dit is niet wat we hadden verwacht en conflicteert met de missie waar ze voor zeggen te staan.

We wachten met smart op de eerste bank die zijn tracker-vrije app opensource maakt en in de F-Droid store plaatst!

PS, als een bankieren app geen trackers heeft wil dat niet zeggen dat er verder geen privacy probleem is.

Resultaten

Tikkie
playstore id:id=com.abnamro.nl.tikkie
https://reports.exodus-privacy.eu.org/en/reports/285654/
5 trackers:
– AppsFlyer
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Bunq
playstore id:id=com.bunq.android
https://reports.exodus-privacy.eu.org/en/reports/285427/
7 trackers:
– Adjust
– Braze (formerly Appboy)
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– MixPanel
– Segment

Knab
playstore id:id=bvm.bvmapp
https://reports.exodus-privacy.eu.org/en/reports/285428/
5 trackers:
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– Microsoft Visual Studio App Center Crashes
– New Relic

N26
playstore id:id=de.number26.android
https://reports.exodus-privacy.eu.org/en/reports/284007/
9 trackers:
– Adjust
– AltBeacon
– GIPHY Analytics
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager
– Salesforce Marketing Cloud
– Snowplow

ABN Amro
playstore id:id=com.abnamro.nl.mobile.payments
https://reports.exodus-privacy.eu.org/en/reports/285429/
4 trackers:
– Appdynamics
– Google CrashLytics
– Google Firebase Analytics
– Tealium

ING
playstore id:id=com.ing.mobile
https://reports.exodus-privacy.eu.org/en/reports/280734/
0 trackers!

Rabobank
playstore id:id=nl.rabomobiel
https://reports.exodus-privacy.eu.org/en/reports/285430/
3 trackers:
– Google CrashLytics
– Google Firebase Analytics
– Split

ASN Bank
playstore id:id=nl.asnbank.asnbankieren
https://reports.exodus-privacy.eu.org/en/reports/285431/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Handelsbanken
playstore id:id=com.handelsbanken.mobile.android.nlpriv
https://reports.exodus-privacy.eu.org/en/reports/285432/
4 trackers:
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Regiobank
playstore id:id=nl.regiobank.regiobankieren
https://reports.exodus-privacy.eu.org/en/reports/285433/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

SNS
playstore id:id=nl.snsbank.snsbankieren
https://reports.exodus-privacy.eu.org/en/reports/285434/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Triodos Bank
playstore id:id=com.triodos.bankingnl
https://reports.exodus-privacy.eu.org/en/reports/285435/
2 trackers:
– Google Firebase Analytics
– Mapbox

Van Lanschot
playstore id:id=nl.vanlanschot.banking
https://reports.exodus-privacy.eu.org/en/reports/285436/
5 trackers:
– Adjust
– Bugsee
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager

Revolut
playstore id:id=com.revolut.revolut
https://reports.exodus-privacy.eu.org/en/reports/284302/
3 trackers:
– Branch
– Google CrashLytics
– Google Firebase Analytics

Definitieve verkiezingsuitslag

door Reageer

Op 14, 15 en 16 maart 2022 mocht iedereen weer stemmen voor een nieuwe gemeenteraad. STIP werd beloont voor de inzet en de behaalde resultaten van de afgelopen raadsperiode met het hoogste aantal stemmen:

bron: localfocuswidgets.net

Dat is ook niet zo gek als je bedenkt dat al die hele slimme studenten zich voor hun, al dan niet tijdelijke, woonplaats inzetten om zo voor iedereen een zo goed mogelijke leefomgeving te realiseren. Allen hoog geschoold en bedreven in de kunst van het afwegen van belangen, zetten de jonge mensen van STIP zich vol jeugdig enthousiasme en met een frisse blik in voor onze mooie stad.

De afgelopen jaren heeft de Piratenpartij Delft samen met STIP een werkgroep ICT gevormd waarmee mooie resultaten gehaald zijn op het gebied van Digitale Soevereiniteit en privacy waarmee Delft echt werk maakt van het beperken van de macht van de grote ICT leveranciers om zo goedkopere en betere oplossingen te krijgen die ook nog eens beter voor de privacy van de burgers zijn. Omdat het altijd beter kan en privacy zo belangrijk is zullen we ook de komende raadsperiode weer met STIP inzetten voor een beter Delft! 

Bekijk hier de volledige uitslag

Vooruitzicht 2022-2026

door 1 Reactie

Woensdag 16 maart zijn de gemeenteraadsverkiezingen! De Piratenpartij Delft en STIP zijn wederzijds tevreden over het verloop en de resultaten in de afgelopen raadsperiode. Dit heeft er onder andere toe geleid dat er door de gemeente kritisch is gekeken naar vele onderdelen van de digitale dienstverlening en dat er duidelijke handvatten en richtlijnen zijn opgesteld voor het doorontwikkelen en verbeteren van deze digitale dienstverlening. Dat betekent echter niet dat we nu achterover kunnen leunen! 

Ook voor de komende jaren staat de gemeente Delft voor grote uitdagingen in het digitale domein. Als Piratenpartij Delft blijven we opkomen voor de belangen van de inwoners van Delft. We zijn kritisch wanneer burgerrechten zoals vrijheid en privacy in het geding komen. We willen een gemeente die dienstbaar en transparant is, zodat iedere inwoner van Delft van de uitvoering van het gemeentelijke beleid kennis kan nemen en deze kan controleren. We willen een gemeente die uitgaat van vertrouwen in de burger in plaats van wantrouwen.

Daar gaan we ook na 16 maart voor blijven zorgen. Daarom steunen we weer de campagne van STIP. We blijven de raadsleden actief ondersteunen, in het bijzonder op het gebied van privacy en digitale soevereiniteit. De ondersteuning geldt voor alle actuele zaken maar ook zeker voor het realiseren van alle Piratenpunten in het STIP-verkiezingsprogramma (pdf).

Lijst met Piratenpunten in het STIP programma:

Publiek geld? Publieke code! Delft werkt samen met andere gemeenten aan transparante dienstverlening door in te zetten op opensourcesoftware en open standaarden. Dit bespaart op de lange termijn kosten en  beschermt de digitale soevereiniteit van Delft.

Free the data! STIP wil het Delftse open data platform (delft.dataplatform.nl) uitbreiden. Dit helpt innovatie, de economie en de lokale democratie. Metagegevens van sensoren in de openbare ruimte kunnen we bijvoorbeeld hier publiceren.

De gemeente toetst algoritmes die tot discriminatie kunnen leiden aan strenge richtlijnen.

Bij nieuwe ICT-producten of diensten let de Gemeente erop dat zo min mogelijk data wordt verzameld. Is het toch nodig? Dan moet het veilig. ‘Privacy and Security by Design” zijn hierbij dan ook belangrijke uitgangspunten.

We werken hard aan een veilige digitale wereld! Delft geeft het goede voorbeeld door geen trackers van derden te gebruiken op gemeentelijke websites.

De gemeente zorgt ervoor dat inwoners niet afhankelijk zijn van social media om op te hoogte te blijven. Daarom plaatst de gemeente alle informatie en actuele zaken op de eigen website, en verwijst op socialmedia kanalen slechts door.

De gemeente moet niet afhankelijk zijn van privacyonvriendelijke platforms zoals WhatsApp om makkelijk online bereikbaar te zijn, bijvoorbeeld door alternatieven via Signal en een chatfunctie op de website te bieden.

Met jouw stem op STIP gaan we Delft nog mooier maken! 

Elizabeth Turner of Pirates of the Caribbean saying Do The Right Thing

Heb je nog vragen? Aarzel dan niet om contact op te nemen via e-mail, Twitter of Mastodon. Even vrijblijvend langskomen bij de kroegmeeting kan natuurlijk ook!

‘Delftse principes voor digitale soevereiniteit’: Aangenomen!

door 3 Reacties

In de Delftse raadsvergadering van donderdag 18 november heeft de raad het initiatiefvoorstel ‘Delftse principes voor digitale soevereiniteit’ unaniem aangenomen. 

Op dit moment gaat er op het gebied van software bij overheden nog veel mis. Overheden kopen licenties van diensten en software in op de markt zonder dat ze de toegang krijgen tot de achterliggende code, en zo zorgen bedrijven dat gemeentes afhankelijk van hen worden.

Marcel Harinck (STIP): “Door in te zetten op open standaarden en opensourcesoftware houdt de gemeente zeggenschap over haar digitale infrastructuur en de gegevens van de Delftenaar”.

De vijf Delftse principes voor digitale soevereiniteit.

Het initiatiefvoorstel is ingediend door de fracties van STIP, Onafhankelijk Delft, D66 en GroenLinks. Het voorstel werd grotendeels opgesteld door de Werkgroep ICT van STIP waarin de Piratenpartij Delft actief meewerkt. De Piratenpartij Delft en STIP werken al sinds 2017 samen en het nu aangenomen initiatiefvoorstel is tot nu toe het belangrijkste resultaat van deze unieke samenwerking.

Geert-Jan Meewisse (Piratenpartij Delft): “Publiek geld hoort uitgegeven te worden aan software die het publieke domein ten goede komt. Doordat de code transparant is en vele ogen de code bekijken worden fouten sneller gevonden en verbeterd. Dat geeft  software van hoge kwaliteit.”

STIP, D66 en de Piratenpartij hopen dan ook dat meer gemeenten het voorbeeld van Delft zullen volgen. Melanie Oderwald (D66) “Door gezamenlijk deze stap te zetten kunnen overheden elkaars software hergebruiken en worden er op de langere termijn kosten bespaard.”

Op naar een digitaal soevereine gemeente!

Update: D66 heeft op 12 januari door middel van schriftelijke vragen het Amsterdamse college verzocht om de Delftse principes over te nemen.

Delftse Gemeenteraad stopt met WhatsApp

door Reageer

Op de raadsvergadering van dinsdag 11 mei is besloten dat de gemeenteraad stopt met het gebruik van WhatsApp, zie aangenomen motie “Raad ruilt WhatsApp in voor privacy vriendelijk alternatief” (heel goed, dat zouden meer organisaties moeten doen!) Diverse media berichten over dit besluit waarbij de indruk wordt gewekt dat MS Teams een privacyvriendelijk alternatief is. Dat is het niet. En toch is dit een goede stap van de gemeenteraad, zij het een klein stapje.

Zoek je zelf een goede privacy respecterende berichten app? Kies dan voor opensource messenger apps als Signal of Element

Vanwege Corona zijn raadsvergaderingen online, hiervoor wordt nog MS Teams gebruikt, net als in de rest van de kantooromgeving waar Microsoft Windows en Microsoft Office draait. WhatsApp werd voornamelijk gebruikt tijdens online raadsvergaderingen om aan te geven dat iemand het woord wil. Dit gaat in het vervolg via de chat in Microsoft Teams, zolang de raadsvergaderingen nog online moeten plaats vinden. Dat Microsoft Teams nog niet over end-to-end encryptie beschikt is in dit specifieke geval niet erg; alle informatie is immers openbaar. Met de aankomende versoepelingen zal dit binnenkort weer in de raadszaal kunnen wat veel beter is dan welke online vergadertool ook. Voor online vergaderingen zijn Jitsi , Nextcloud Talk en BigBlueButton privacyvriendelijke oplossingen.
Microsoft diensten zijn niet privacyvriendelijk: 

  • Verzamelen veel te veel data onder het mom van “telemetrie”.
  • Iedere PC met Windows 10 is voorzien van een advertising-ID welke niet verwijderd kan worden.
  • Microsoft Teams heeft nog geen end-to-end encryptie.
  • Microsoft valt als Amerikaas bedrijf onder de US-Cloud act welke conflicteert met de GDPR/AVG. Ze zijn  verplicht om data aan USA inlichtingendiensten te verstrekken als die erom vragen, wat dan weer overtreding van de AVG is.
  • Is closed source proprietary software waarvan de werking niet precies gecontroleerd kan worden.
  • Surveillance is ingebouwd in Microsoft Office 365, ook al belooft Microsoft in haar verwerkersovereekomst netjes met deze data om te gaan.

Deze aangenomen motie is een goede eerste stap, maar betekent nog niet dat de hele gemeente inclusief communicatie met burgers stopt met WhatsApp (en Facebook en Instagram). Wat ons betreft is dat een goede volgende stap.
Uiteindelijk is het van belang om toe te werken naar een transparante, veiligere overheids ICT die de soevereiniteit van de gemeente waarborgt. Dit kan alleen door om te schakelen naar vrije opensource oplossingen. Dit is software die de gebruiker vier vrijheden geeft:

  1. Vrijheid om de software te gebruiken voor elk doel;
  2. Vrijheid om de software te bestuderen en te veranderen, daarom is de broncode van vrijesoftware vrij beschikbaar;
  3. Vrijheid om de software aan iemand anders te geven zodat je iemand kunt helpen;
  4. Vrijheid om de software te veranderen en deze veranderde software te distribueren, zodat iedereen hiervan profiteert.

Uiteindelijk kan de gemeente alleen met vrije software de baas blijven over de digitale infrastructuur, de soevereiniteit behouden en leveranciersafhankelijkheid beperken.

Evaluatie deeldataverzamelfietsen

door Reageer

In de gemeente Delft loopt sinds december 2017 een pilot met deelfietsen. Op 6 februari 2020 werd de evaluatie hiervan besproken in de commissie vergadering Ruimte en Verkeer. (link)
Ondanks een eerder toezegging aan STIP dat privacy aspecten meegenomen zouden worden, ontbrak in de evaluatie alles wat in het digitale domein gebeurt.

Dit is alsof je een olifant gaat evalueren en dan alleen naar de poten kijkt.

Daarom vonden wij het zeer belangrijk te gaan inspreken. Zeker omdat in het geval van Mobike de privacyschendingen zover gaan dat het primair een dataverzamelbedrijf is in plaats van een deelfietsaanbieder.

De hele commissievergadering is hier terug te kijken. Het agendapunt over de deelfietsen is vanaf 19:45 (Opmerkelijk is dat vergaderingen van de gemeente Delft worden gehost bij Google en voorzien zijn van tracking door Google-analytics en Twitter, zie de raadsvragen die we samen met STIP hierover stelde)

Hier het verhaal dat we hebben ingebracht (3 min spreektijd):

Bedankt dat ik hier kan inspreken.
In mijn dagelijks leven werk ik als computer netwerkontwerper. Hierbij is aandacht voor security en privacy altijd een belangrijk onderdeel.
Ik benader zaken meestal met technische insteek en kijk daarbij naar het hele systeem.

Deelfietsen zijn een slim concept, dat vele voordelen met zich mee kan brengen. Ik heb de evaluatie bekeken en het viel me op dat er uitsluitend aandacht is voor de deelfietsen en het gebruik in de openbare ruimte. Voor het gedeelte dat zich in het digitale domein afspeelt is geen aandacht, terwijl dit een belangrijk onderdeel is van ieder deelfietsen systeem.

Binnen het digitale domein is het belangrijk om Privacy-by-design altijd mee te nemen bij het ontwerpen, inrichten en evalueren van deelsystemen. 

Data is immers het nieuwe goud: Daar moeten we zuinig op zijn. Ik vind dat ook de gemeente een verantwoordelijkheid heeft om de persoonsgegevens van haar burgers te beschermen.

Het is op Privacy dat de huidige deelfietsaanbieder in Delft, Mobike, ernstig tekort schiet.

Ik heb de app bekeken en ik zie allerlei overbodige permissies. Onder andere toegang tot opslag op de telefoon, bluetooth administrator rechten en zelfs toegang om Andere apps te kunnen installeren.
Bij het aanmaken van een account wordt ook nog onnodig het telefoonnummer geregistreerd.

Als je de app installeert en opstart vraag deze meteen om toegang tot locatie. Als je je locatie niet deelt, sluit de app af. De app legt direct contact met servers in China. China is geen onderdeel van de EER, dus hiervoor is in de AVG goed geïnformeerde expliciete toestemming vereist. Mobike wordt gehost in de Chinese cloud van het bedrijf Tencent (de Chinese Amazon).
Dit allemaal nog voordat de gebruiker de voorwaarden ook maar heeft kunnen zien. Ook op de website wordt verwezen naar de voorwaarden in de app.

Dit is allemaal niet toegestaan volgens de AVG. Ondanks dat dit eind 2018 breed in de media is geweest, lijkt Mobike op deze punten niet verbeterd te zijn (dit blijkt uit mijn eigen onderzoek waarbij ik het nu.nl onderzoek dunnetjes heb overgedaan).

Anoniem betalen is niet mogelijk. Dit verrijkt de data waardoor Mobike ook altijd over de echte naam beschikt. In Delft zijn veel interessante hightech bedrijven gevestigd. Dit is zeer waardevolle informatie, ook voor spionage.
Wie was er op bezoek bij het NIRI? of bij FoxIT? Dit is informatie die beschikbaar is op een server in China.

Kortom, Mobike is primair een dataverzamelbedrijf met maling aan de AVG, geen deelfietsverhuur.

Kijk in Delft dus naar andere deelfietsaanbieders, die zich wèl aan de wet willen houden en niet uit zijn op zoveel mogelijk data van gebruikers.