Piratenpartij Delft

voor een vrije informatiesamenleving

Opinie

Opgelost: Open Dag TU Delft, alleen toegankelijk als je niet om privacy geeft

door Reageer

Update 24-02-2023: de gemelde problemen zijn nu opgelost 🙂

De TU Delft organiseert voor potentiële nieuwe studenten op vrijdag 21 en maandag 24 oktober 2022 de Open Campus Dagen. Hiervoor moeten zij zich registreren: “Tijdens de Open Campus Dagen maak je gebruik van een app om jouw programma samen te stellen. Registreer je eerst en download daarna de TU Delft Open Campus Dagen app in de App Store of Play Store.” De TU Delft wil mogelijk modern en technisch overkomen bij aankomende studenten met een app in plaats van een folder. Gebruik van de Google of Apple app lijkt verplicht om naar de open dag te kunnen komen.

WebApp

Het staat niet in de registratietekst maar het blijkt dat er (gelukkig) ook een WebApp is. Deze WebApp deelt echter ook gretig je gegevens met Google, laadt cookies en trackers en heeft scripts van doubleclick.net aan boord voor gericht adverteren. De WebApp is dus niet echt een oplossing als je iets om privacy geeft. De WebApp maakt daarnaast ook nog eens gebruik van Google Maps in plaats van het veel betere, fexibelere OpenStreetMap. De TU Delft moet en zal jouw gegevens, inclusief je locatie en je interesse met Google delen.

Android App

Door naar de Android App. Deze is natuurlijk niet opensource, aankomende technische studenten zouden daar toch niets van snappen, dus niet in de F-Droid store, maar alleen in de Google Play store waarin gelijk opvalt: “Contains ads“, Een app is immers niet compleet zonder gepersonaliseerde reclame.

Gegevens die o.a. via Google verzameld worden:

    – Name, User IDs, Phone number, and Other info, WTF?

    – Je aankoop geschiedenis?!? WTF?

    – Je “Other in-app messages” wat dat dan ook mag zijn?

    – De “Device or other IDs” kunnen ook met derde partijen gedeeld worden. WTF?!? Ik wil gewoon op de open dag komen kijken…

Ook wordt in de Play store voor meer info doorverwezen naar: https://tudelft.nl/privacy-statement, waar precies NULL van onze WTF’s worden beantwoord.

Check op trackers in de Android App. Slechts één, dat valt soort van mee: alleen Google die je gedrag in de App analyseert. Google is niet “Evil” toch?

Dan de permissies… een gedrukt foldertje is zo gek nog niet, die vraagt er 0.  Onder andere: USE_FINGERPRINT, RECORD_AUDIO, WRITE_EXTERNAL_STORAGE, WRITE_SETTINGS etc. Dit zijn er genoeg voor een digitale strip-search van je telefoon.

Privacy is dood

Oké, dan registreren we ons toch liever via de WebApp. Maar dan lezen we in de kleine lettertjes van de TU Delft dit: “During the Open Campus Days, photos and recordings are made which can be used on our Social Media channels.” Toestemming vragen? Nah, dat vind de TU Delft maar lastig, privacy is dood, net als de AVG. De Autoriteit Persoonsgegevens doet waarschijnlijk toch niets.

Apple app

Deze hebben we niet bekeken,  maar gezien de wijze waarop “progressive web apps” normaal gesproken ontwikkelt worden, verwachten wij niet dat deze wezenlijk anders zal zijn dan de WebApp.

Mocht je ondanks deze draad toch nog naar de TU Delft komen, kun je hier kijken waar de vele security camera’s op de campus staan.

Nog een camera gespot? Zet ‘m op de kaart.

Updates

20-10-2022: Reactie van de Functionaris Gegevensbescherming van de TU Delft: geeft toe dat het er zorgwekkend uitziet en gaat het intern navragen.

24-10-2022: In een voortgangsbericht schrijft de FG van de TU Delft dat:

  • Er met de beste bedoelingen een externe dienst is afgenomen voor de open dagen.
  • FG adviseert de TU Delft om dit in de toekomst anders te doen, bv met een webformulier.
  • Kritiek op Google en Meta wordt herkend.
  • Gebruik beeldmateriaal moet op andere manier worden opgezet.

We zijn blij met deze vlotte opvolging, is wel verfrissend dat het gewoon wordt erkend en opgepakt. (Wij maken vaak anders mee)

24-02-2023: Op 16 en 17 maart zijn er weer open dagen, dus wij hebben het aanmeldproces nog eens bekeken: De TU Delft heeft alle gemelde problemen opgelost! Alleen de link naar de privacy policy op visit.tudelft.nl zou nog even naar hier moeten wijzen. Policy hebben we gelezen, staan geen rare dingen in.

Nu nog de overvloed aan veel te geavanceerde surveillance camera’s van de campus af gooien.

Tikkie? Deze partijen kijken met je mee!

door Reageer

Erg handig, een bankieren app op je telefoon, even betalen, een tikkie sturen, zo gedaan! Helaas is jou gedrag in de app niet privé, er kijken meestal ’trackers’ met je mee. Een tracker is een stukje software dat de taak heeft informatie te verzamelen over de persoon die de app gebruikt, hoe de app wordt gebruikt, of over de smartphone die wordt gebruikt.

Southpark-gifje waarin ze een hinderlijk volgende add niet weg kunnen klikken, gezien door het beeldscherm heen

Op Exodus Privacy kun je Android apps checken op trackers en rapporten bekijken over apps die al geanalyseerd zijn. (test zelf je favoriete app!) Helaas zijn iPhone’s een stuk minder open, dus is het minder eenvoudig om een dergelijke analyse te maken.

Hieronder vind je de trackers in de bankieren apps die iDEAL ondersteunen en de trackers in Tikkie.

Wil je je privacy behouden bij het betalen, betaal dan contant! (of met een privacy gerichte crypto coin als Monero, Dash of Z-cash )

Alleen in de ING bankieren-app zitten geen bekende trackers.

Zelfs de zich ‘duurzaam’ noemende banken als Triodos en ASN Bank schenden je privacy bij het gebruik van de app. Surveillance-kapitalisme is verre van duurzaam, dus dit is niet wat we hadden verwacht en conflicteert met de missie waar ze voor zeggen te staan.

We wachten met smart op de eerste bank die zijn tracker-vrije app opensource maakt en in de F-Droid store plaatst!

PS, als een bankieren app geen trackers heeft wil dat niet zeggen dat er verder geen privacy probleem is.

Resultaten

Tikkie
playstore id:id=com.abnamro.nl.tikkie
https://reports.exodus-privacy.eu.org/en/reports/285654/
5 trackers:
– AppsFlyer
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Bunq
playstore id:id=com.bunq.android
https://reports.exodus-privacy.eu.org/en/reports/285427/
7 trackers:
– Adjust
– Braze (formerly Appboy)
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– MixPanel
– Segment

Knab
playstore id:id=bvm.bvmapp
https://reports.exodus-privacy.eu.org/en/reports/285428/
5 trackers:
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– Microsoft Visual Studio App Center Crashes
– New Relic

N26
playstore id:id=de.number26.android
https://reports.exodus-privacy.eu.org/en/reports/284007/
9 trackers:
– Adjust
– AltBeacon
– GIPHY Analytics
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager
– Salesforce Marketing Cloud
– Snowplow

ABN Amro
playstore id:id=com.abnamro.nl.mobile.payments
https://reports.exodus-privacy.eu.org/en/reports/285429/
4 trackers:
– Appdynamics
– Google CrashLytics
– Google Firebase Analytics
– Tealium

ING
playstore id:id=com.ing.mobile
https://reports.exodus-privacy.eu.org/en/reports/280734/
0 trackers!

Rabobank
playstore id:id=nl.rabomobiel
https://reports.exodus-privacy.eu.org/en/reports/285430/
3 trackers:
– Google CrashLytics
– Google Firebase Analytics
– Split

ASN Bank
playstore id:id=nl.asnbank.asnbankieren
https://reports.exodus-privacy.eu.org/en/reports/285431/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Handelsbanken
playstore id:id=com.handelsbanken.mobile.android.nlpriv
https://reports.exodus-privacy.eu.org/en/reports/285432/
4 trackers:
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Regiobank
playstore id:id=nl.regiobank.regiobankieren
https://reports.exodus-privacy.eu.org/en/reports/285433/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

SNS
playstore id:id=nl.snsbank.snsbankieren
https://reports.exodus-privacy.eu.org/en/reports/285434/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Triodos Bank
playstore id:id=com.triodos.bankingnl
https://reports.exodus-privacy.eu.org/en/reports/285435/
2 trackers:
– Google Firebase Analytics
– Mapbox

Van Lanschot
playstore id:id=nl.vanlanschot.banking
https://reports.exodus-privacy.eu.org/en/reports/285436/
5 trackers:
– Adjust
– Bugsee
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager

Revolut
playstore id:id=com.revolut.revolut
https://reports.exodus-privacy.eu.org/en/reports/284302/
3 trackers:
– Branch
– Google CrashLytics
– Google Firebase Analytics

Delftse Gemeenteraad stopt met WhatsApp

door Reageer

Op de raadsvergadering van dinsdag 11 mei is besloten dat de gemeenteraad stopt met het gebruik van WhatsApp, zie aangenomen motie “Raad ruilt WhatsApp in voor privacy vriendelijk alternatief” (heel goed, dat zouden meer organisaties moeten doen!) Diverse media berichten over dit besluit waarbij de indruk wordt gewekt dat MS Teams een privacyvriendelijk alternatief is. Dat is het niet. En toch is dit een goede stap van de gemeenteraad, zij het een klein stapje.

Zoek je zelf een goede privacy respecterende berichten app? Kies dan voor opensource messenger apps als Signal of Element

Vanwege Corona zijn raadsvergaderingen online, hiervoor wordt nog MS Teams gebruikt, net als in de rest van de kantooromgeving waar Microsoft Windows en Microsoft Office draait. WhatsApp werd voornamelijk gebruikt tijdens online raadsvergaderingen om aan te geven dat iemand het woord wil. Dit gaat in het vervolg via de chat in Microsoft Teams, zolang de raadsvergaderingen nog online moeten plaats vinden. Dat Microsoft Teams nog niet over end-to-end encryptie beschikt is in dit specifieke geval niet erg; alle informatie is immers openbaar. Met de aankomende versoepelingen zal dit binnenkort weer in de raadszaal kunnen wat veel beter is dan welke online vergadertool ook. Voor online vergaderingen zijn Jitsi , Nextcloud Talk en BigBlueButton privacyvriendelijke oplossingen.
Microsoft diensten zijn niet privacyvriendelijk: 

  • Verzamelen veel te veel data onder het mom van “telemetrie”.
  • Iedere PC met Windows 10 is voorzien van een advertising-ID welke niet verwijderd kan worden.
  • Microsoft Teams heeft nog geen end-to-end encryptie.
  • Microsoft valt als Amerikaas bedrijf onder de US-Cloud act welke conflicteert met de GDPR/AVG. Ze zijn  verplicht om data aan USA inlichtingendiensten te verstrekken als die erom vragen, wat dan weer overtreding van de AVG is.
  • Is closed source proprietary software waarvan de werking niet precies gecontroleerd kan worden.
  • Surveillance is ingebouwd in Microsoft Office 365, ook al belooft Microsoft in haar verwerkersovereekomst netjes met deze data om te gaan.

Deze aangenomen motie is een goede eerste stap, maar betekent nog niet dat de hele gemeente inclusief communicatie met burgers stopt met WhatsApp (en Facebook en Instagram). Wat ons betreft is dat een goede volgende stap.
Uiteindelijk is het van belang om toe te werken naar een transparante, veiligere overheids ICT die de soevereiniteit van de gemeente waarborgt. Dit kan alleen door om te schakelen naar vrije opensource oplossingen. Dit is software die de gebruiker vier vrijheden geeft:

  1. Vrijheid om de software te gebruiken voor elk doel;
  2. Vrijheid om de software te bestuderen en te veranderen, daarom is de broncode van vrijesoftware vrij beschikbaar;
  3. Vrijheid om de software aan iemand anders te geven zodat je iemand kunt helpen;
  4. Vrijheid om de software te veranderen en deze veranderde software te distribueren, zodat iedereen hiervan profiteert.

Uiteindelijk kan de gemeente alleen met vrije software de baas blijven over de digitale infrastructuur, de soevereiniteit behouden en leveranciersafhankelijkheid beperken.

Evaluatie deeldataverzamelfietsen

door Reageer

In de gemeente Delft loopt sinds december 2017 een pilot met deelfietsen. Op 6 februari 2020 werd de evaluatie hiervan besproken in de commissie vergadering Ruimte en Verkeer. (link)
Ondanks een eerder toezegging aan STIP dat privacy aspecten meegenomen zouden worden, ontbrak in de evaluatie alles wat in het digitale domein gebeurt.

Dit is alsof je een olifant gaat evalueren en dan alleen naar de poten kijkt.

Daarom vonden wij het zeer belangrijk te gaan inspreken. Zeker omdat in het geval van Mobike de privacyschendingen zover gaan dat het primair een dataverzamelbedrijf is in plaats van een deelfietsaanbieder.

De hele commissievergadering is hier terug te kijken. Het agendapunt over de deelfietsen is vanaf 19:45 (Opmerkelijk is dat vergaderingen van de gemeente Delft worden gehost bij Google en voorzien zijn van tracking door Google-analytics en Twitter, zie de raadsvragen die we samen met STIP hierover stelde)

Hier het verhaal dat we hebben ingebracht (3 min spreektijd):

Bedankt dat ik hier kan inspreken.
In mijn dagelijks leven werk ik als computer netwerkontwerper. Hierbij is aandacht voor security en privacy altijd een belangrijk onderdeel.
Ik benader zaken meestal met technische insteek en kijk daarbij naar het hele systeem.

Deelfietsen zijn een slim concept, dat vele voordelen met zich mee kan brengen. Ik heb de evaluatie bekeken en het viel me op dat er uitsluitend aandacht is voor de deelfietsen en het gebruik in de openbare ruimte. Voor het gedeelte dat zich in het digitale domein afspeelt is geen aandacht, terwijl dit een belangrijk onderdeel is van ieder deelfietsen systeem.

Binnen het digitale domein is het belangrijk om Privacy-by-design altijd mee te nemen bij het ontwerpen, inrichten en evalueren van deelsystemen. 

Data is immers het nieuwe goud: Daar moeten we zuinig op zijn. Ik vind dat ook de gemeente een verantwoordelijkheid heeft om de persoonsgegevens van haar burgers te beschermen.

Het is op Privacy dat de huidige deelfietsaanbieder in Delft, Mobike, ernstig tekort schiet.

Ik heb de app bekeken en ik zie allerlei overbodige permissies. Onder andere toegang tot opslag op de telefoon, bluetooth administrator rechten en zelfs toegang om Andere apps te kunnen installeren.
Bij het aanmaken van een account wordt ook nog onnodig het telefoonnummer geregistreerd.

Als je de app installeert en opstart vraag deze meteen om toegang tot locatie. Als je je locatie niet deelt, sluit de app af. De app legt direct contact met servers in China. China is geen onderdeel van de EER, dus hiervoor is in de AVG goed geïnformeerde expliciete toestemming vereist. Mobike wordt gehost in de Chinese cloud van het bedrijf Tencent (de Chinese Amazon).
Dit allemaal nog voordat de gebruiker de voorwaarden ook maar heeft kunnen zien. Ook op de website wordt verwezen naar de voorwaarden in de app.

Dit is allemaal niet toegestaan volgens de AVG. Ondanks dat dit eind 2018 breed in de media is geweest, lijkt Mobike op deze punten niet verbeterd te zijn (dit blijkt uit mijn eigen onderzoek waarbij ik het nu.nl onderzoek dunnetjes heb overgedaan).

Anoniem betalen is niet mogelijk. Dit verrijkt de data waardoor Mobike ook altijd over de echte naam beschikt. In Delft zijn veel interessante hightech bedrijven gevestigd. Dit is zeer waardevolle informatie, ook voor spionage.
Wie was er op bezoek bij het NIRI? of bij FoxIT? Dit is informatie die beschikbaar is op een server in China.

Kortom, Mobike is primair een dataverzamelbedrijf met maling aan de AVG, geen deelfietsverhuur.

Kijk in Delft dus naar andere deelfietsaanbieders, die zich wèl aan de wet willen houden en niet uit zijn op zoveel mogelijk data van gebruikers.

AD: Piratenpartij wil dat Delft overstapt op ‘vrije software’

door 1 Reactie

Piratenpartij Delft foto AD

De wereld raakt langzaam in de macht van de grote software-bedrijven. Die ontwikkeling moet stoppen vindt de Piratenpartij.

Hij bestaat al een jaar, maar viel nog niet erg op, de Piratenpartij Delft. Toch zijn de oprichters al een tijdje bezig met het bepleiten van een van hun speerpunten bij de gemeente Delft: het gebruik van ‘open source’- software. Dat zijn computerprogramma’s die vrij gebruikt en veranderd kunnen worden, zonder dat er een grote firma is die macht houdt over de gebruikers.

Lees verder op AD.nl.