Piratenpartij Delft

voor een vrije informatiesamenleving

opensource

Opgelost: Open Dag TU Delft, alleen toegankelijk als je niet om privacy geeft

door Reageer

Update 24-02-2023: de gemelde problemen zijn nu opgelost 🙂

De TU Delft organiseert voor potentiĂ«le nieuwe studenten op vrijdag 21 en maandag 24 oktober 2022 de Open Campus Dagen. Hiervoor moeten zij zich registreren: “Tijdens de Open Campus Dagen maak je gebruik van een app om jouw programma samen te stellen. Registreer je eerst en download daarna de TU Delft Open Campus Dagen app in de App Store of Play Store.” De TU Delft wil mogelijk modern en technisch overkomen bij aankomende studenten met een app in plaats van een folder. Gebruik van de Google of Apple app lijkt verplicht om naar de open dag te kunnen komen.

WebApp

Het staat niet in de registratietekst maar het blijkt dat er (gelukkig) ook een WebApp is. Deze WebApp deelt echter ook gretig je gegevens met Google, laadt cookies en trackers en heeft scripts van doubleclick.net aan boord voor gericht adverteren. De WebApp is dus niet echt een oplossing als je iets om privacy geeft. De WebApp maakt daarnaast ook nog eens gebruik van Google Maps in plaats van het veel betere, fexibelere OpenStreetMap. De TU Delft moet en zal jouw gegevens, inclusief je locatie en je interesse met Google delen.

Android App

Door naar de Android App. Deze is natuurlijk niet opensource, aankomende technische studenten zouden daar toch niets van snappen, dus niet in de F-Droid store, maar alleen in de Google Play store waarin gelijk opvalt: “Contains ads“, Een app is immers niet compleet zonder gepersonaliseerde reclame.

Gegevens die o.a. via Google verzameld worden:

    – Name, User IDs, Phone number, and Other info, WTF?

    – Je aankoop geschiedenis?!? WTF?

    – Je “Other in-app messages” wat dat dan ook mag zijn?

    – De “Device or other IDs” kunnen ook met derde partijen gedeeld worden. WTF?!? Ik wil gewoon op de open dag komen kijken…

Ook wordt in de Play store voor meer info doorverwezen naar: https://tudelft.nl/privacy-statement, waar precies NULL van onze WTF’s worden beantwoord.

Check op trackers in de Android App. Slechts Ă©Ă©n, dat valt soort van mee: alleen Google die je gedrag in de App analyseert. Google is niet “Evil” toch?

Dan de permissies… een gedrukt foldertje is zo gek nog niet, die vraagt er 0.  Onder andere: USE_FINGERPRINT, RECORD_AUDIO, WRITE_EXTERNAL_STORAGE, WRITE_SETTINGS etc. Dit zijn er genoeg voor een digitale strip-search van je telefoon.

Privacy is dood

OkĂ©, dan registreren we ons toch liever via de WebApp. Maar dan lezen we in de kleine lettertjes van de TU Delft dit: “During the Open Campus Days, photos and recordings are made which can be used on our Social Media channels.” Toestemming vragen? Nah, dat vind de TU Delft maar lastig, privacy is dood, net als de AVG. De Autoriteit Persoonsgegevens doet waarschijnlijk toch niets.

Apple app

Deze hebben we niet bekeken,  maar gezien de wijze waarop “progressive web apps” normaal gesproken ontwikkelt worden, verwachten wij niet dat deze wezenlijk anders zal zijn dan de WebApp.

Mocht je ondanks deze draad toch nog naar de TU Delft komen, kun je hier kijken waar de vele security camera’s op de campus staan.

Nog een camera gespot? Zet ‘m op de kaart.

Updates

20-10-2022: Reactie van de Functionaris Gegevensbescherming van de TU Delft: geeft toe dat het er zorgwekkend uitziet en gaat het intern navragen.

24-10-2022: In een voortgangsbericht schrijft de FG van de TU Delft dat:

  • Er met de beste bedoelingen een externe dienst is afgenomen voor de open dagen.
  • FG adviseert de TU Delft om dit in de toekomst anders te doen, bv met een webformulier.
  • Kritiek op Google en Meta wordt herkend.
  • Gebruik beeldmateriaal moet op andere manier worden opgezet.

We zijn blij met deze vlotte opvolging, is wel verfrissend dat het gewoon wordt erkend en opgepakt. (Wij maken vaak anders mee)

24-02-2023: Op 16 en 17 maart zijn er weer open dagen, dus wij hebben het aanmeldproces nog eens bekeken: De TU Delft heeft alle gemelde problemen opgelost! Alleen de link naar de privacy policy op visit.tudelft.nl zou nog even naar hier moeten wijzen. Policy hebben we gelezen, staan geen rare dingen in.

Nu nog de overvloed aan veel te geavanceerde surveillance camera’s van de campus af gooien.

Tikkie? Deze partijen kijken met je mee!

door Reageer

Erg handig, een bankieren app op je telefoon, even betalen, een tikkie sturen, zo gedaan! Helaas is jou gedrag in de app niet privĂ©, er kijken meestal ’trackers’ met je mee. Een tracker is een stukje software dat de taak heeft informatie te verzamelen over de persoon die de app gebruikt, hoe de app wordt gebruikt, of over de smartphone die wordt gebruikt.

Southpark-gifje waarin ze een hinderlijk volgende add niet weg kunnen klikken, gezien door het beeldscherm heen

Op Exodus Privacy kun je Android apps checken op trackers en rapporten bekijken over apps die al geanalyseerd zijn. (test zelf je favoriete app!) Helaas zijn iPhone’s een stuk minder open, dus is het minder eenvoudig om een dergelijke analyse te maken.

Hieronder vind je de trackers in de bankieren apps die iDEAL ondersteunen en de trackers in Tikkie.

Wil je je privacy behouden bij het betalen, betaal dan contant! (of met een privacy gerichte crypto coin als Monero, Dash of Z-cash )

Alleen in de ING bankieren-app zitten geen bekende trackers.

Zelfs de zich ‘duurzaam’ noemende banken als Triodos en ASN Bank schenden je privacy bij het gebruik van de app. Surveillance-kapitalisme is verre van duurzaam, dus dit is niet wat we hadden verwacht en conflicteert met de missie waar ze voor zeggen te staan.

We wachten met smart op de eerste bank die zijn tracker-vrije app opensource maakt en in de F-Droid store plaatst!

PS, als een bankieren app geen trackers heeft wil dat niet zeggen dat er verder geen privacy probleem is.

Resultaten

Tikkie
playstore id:id=com.abnamro.nl.tikkie
https://reports.exodus-privacy.eu.org/en/reports/285654/
5 trackers:
– AppsFlyer
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Bunq
playstore id:id=com.bunq.android
https://reports.exodus-privacy.eu.org/en/reports/285427/
7 trackers:
– Adjust
– Braze (formerly Appboy)
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– MixPanel
– Segment

Knab
playstore id:id=bvm.bvmapp
https://reports.exodus-privacy.eu.org/en/reports/285428/
5 trackers:
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– Microsoft Visual Studio App Center Crashes
– New Relic

N26
playstore id:id=de.number26.android
https://reports.exodus-privacy.eu.org/en/reports/284007/
9 trackers:
– Adjust
– AltBeacon
– GIPHY Analytics
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager
– Salesforce Marketing Cloud
– Snowplow

ABN Amro
playstore id:id=com.abnamro.nl.mobile.payments
https://reports.exodus-privacy.eu.org/en/reports/285429/
4 trackers:
– Appdynamics
– Google CrashLytics
– Google Firebase Analytics
– Tealium

ING
playstore id:id=com.ing.mobile
https://reports.exodus-privacy.eu.org/en/reports/280734/
0 trackers!

Rabobank
playstore id:id=nl.rabomobiel
https://reports.exodus-privacy.eu.org/en/reports/285430/
3 trackers:
– Google CrashLytics
– Google Firebase Analytics
– Split

ASN Bank
playstore id:id=nl.asnbank.asnbankieren
https://reports.exodus-privacy.eu.org/en/reports/285431/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Handelsbanken
playstore id:id=com.handelsbanken.mobile.android.nlpriv
https://reports.exodus-privacy.eu.org/en/reports/285432/
4 trackers:
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Regiobank
playstore id:id=nl.regiobank.regiobankieren
https://reports.exodus-privacy.eu.org/en/reports/285433/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

SNS
playstore id:id=nl.snsbank.snsbankieren
https://reports.exodus-privacy.eu.org/en/reports/285434/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Triodos Bank
playstore id:id=com.triodos.bankingnl
https://reports.exodus-privacy.eu.org/en/reports/285435/
2 trackers:
– Google Firebase Analytics
– Mapbox

Van Lanschot
playstore id:id=nl.vanlanschot.banking
https://reports.exodus-privacy.eu.org/en/reports/285436/
5 trackers:
– Adjust
– Bugsee
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager

Revolut
playstore id:id=com.revolut.revolut
https://reports.exodus-privacy.eu.org/en/reports/284302/
3 trackers:
– Branch
– Google CrashLytics
– Google Firebase Analytics

Definitieve verkiezingsuitslag

door Reageer

Op 14, 15 en 16 maart 2022 mocht iedereen weer stemmen voor een nieuwe gemeenteraad. STIP werd beloont voor de inzet en de behaalde resultaten van de afgelopen raadsperiode met het hoogste aantal stemmen:

bron: localfocuswidgets.net

Dat is ook niet zo gek als je bedenkt dat al die hele slimme studenten zich voor hun, al dan niet tijdelijke, woonplaats inzetten om zo voor iedereen een zo goed mogelijke leefomgeving te realiseren. Allen hoog geschoold en bedreven in de kunst van het afwegen van belangen, zetten de jonge mensen van STIP zich vol jeugdig enthousiasme en met een frisse blik in voor onze mooie stad.

De afgelopen jaren heeft de Piratenpartij Delft samen met STIP een werkgroep ICT gevormd waarmee mooie resultaten gehaald zijn op het gebied van Digitale Soevereiniteit en privacy waarmee Delft echt werk maakt van het beperken van de macht van de grote ICT leveranciers om zo goedkopere en betere oplossingen te krijgen die ook nog eens beter voor de privacy van de burgers zijn. Omdat het altijd beter kan en privacy zo belangrijk is zullen we ook de komende raadsperiode weer met STIP inzetten voor een beter Delft! 

Bekijk hier de volledige uitslag

Vooruitzicht 2022-2026

door 1 Reactie

Woensdag 16 maart zijn de gemeenteraadsverkiezingen! De Piratenpartij Delft en STIP zijn wederzijds tevreden over het verloop en de resultaten in de afgelopen raadsperiode. Dit heeft er onder andere toe geleid dat er door de gemeente kritisch is gekeken naar vele onderdelen van de digitale dienstverlening en dat er duidelijke handvatten en richtlijnen zijn opgesteld voor het doorontwikkelen en verbeteren van deze digitale dienstverlening. Dat betekent echter niet dat we nu achterover kunnen leunen! 

Ook voor de komende jaren staat de gemeente Delft voor grote uitdagingen in het digitale domein. Als Piratenpartij Delft blijven we opkomen voor de belangen van de inwoners van Delft. We zijn kritisch wanneer burgerrechten zoals vrijheid en privacy in het geding komen. We willen een gemeente die dienstbaar en transparant is, zodat iedere inwoner van Delft van de uitvoering van het gemeentelijke beleid kennis kan nemen en deze kan controleren. We willen een gemeente die uitgaat van vertrouwen in de burger in plaats van wantrouwen.

Daar gaan we ook na 16 maart voor blijven zorgen. Daarom steunen we weer de campagne van STIP. We blijven de raadsleden actief ondersteunen, in het bijzonder op het gebied van privacy en digitale soevereiniteit. De ondersteuning geldt voor alle actuele zaken maar ook zeker voor het realiseren van alle Piratenpunten in het STIP-verkiezingsprogramma (pdf).

Lijst met Piratenpunten in het STIP programma:

Publiek geld? Publieke code! Delft werkt samen met andere gemeenten aan transparante dienstverlening door in te zetten op opensourcesoftware en open standaarden. Dit bespaart op de lange termijn kosten en  beschermt de digitale soevereiniteit van Delft.

Free the data! STIP wil het Delftse open data platform (delft.dataplatform.nl) uitbreiden. Dit helpt innovatie, de economie en de lokale democratie. Metagegevens van sensoren in de openbare ruimte kunnen we bijvoorbeeld hier publiceren.

De gemeente toetst algoritmes die tot discriminatie kunnen leiden aan strenge richtlijnen.

Bij nieuwe ICT-producten of diensten let de Gemeente erop dat zo min mogelijk data wordt verzameld. Is het toch nodig? Dan moet het veilig. ‘Privacy and Security by Design” zijn hierbij dan ook belangrijke uitgangspunten.

We werken hard aan een veilige digitale wereld! Delft geeft het goede voorbeeld door geen trackers van derden te gebruiken op gemeentelijke websites.

De gemeente zorgt ervoor dat inwoners niet afhankelijk zijn van social media om op te hoogte te blijven. Daarom plaatst de gemeente alle informatie en actuele zaken op de eigen website, en verwijst op socialmedia kanalen slechts door.

De gemeente moet niet afhankelijk zijn van privacyonvriendelijke platforms zoals WhatsApp om makkelijk online bereikbaar te zijn, bijvoorbeeld door alternatieven via Signal en een chatfunctie op de website te bieden.

Met jouw stem op STIP gaan we Delft nog mooier maken! 

Elizabeth Turner of Pirates of the Caribbean saying Do The Right Thing

Heb je nog vragen? Aarzel dan niet om contact op te nemen via e-mail, Twitter of Mastodon. Even vrijblijvend langskomen bij de kroegmeeting kan natuurlijk ook!

Successen afgelopen raadsperiode!

door 1 Reactie

Wat beloofde de Piratenpartij Delft in 2018 en wat is daarvan terechtgekomen? In maart 2018 publiceerden wij over onze samenwerking met STIP en onze gezamenlijke speerpunten. In het STIP verkiezingsprogramma voor 2018-2022 werden vier concrete plannen voor Delft opgenomen:

Delft gebruikt zoveel als mogelijk vrije open source software. Andere ontwikkelaars en gemeenten kunnen hier dan ook mee aan de slag kunnen en de gemeente kan gemakkelijk functies toevoegen.

Afgelopen november heeft de Delftse gemeenteraad het initiatiefvoorstel ‘Delftse principes voor digitale soevereiniteit’ aangenomen. Het eerste fundamentele uitgangspunt in het initiatiefvoorstel is dat Delft voortaan gaat inzetten op vrije opensourcesoftware. Tezamen met de andere principes legt het initiatiefvoorstel een goede basis voor de vernieuwing en doorontwikkeling van de gemeentelijke IT en de overkoepelende dienstverlening.

STIP wil niet-persoonlijke data gemakkelijk toegankelijk maken als ‘open data’ om innovatie, transparantie en hergebruik te bevorderen.

Steeds meer datasets zijn als opendata beschikbaar, bijvoorbeeld op https://delft.dataplatform.nl en op https://delft.incijfers.nl. Hierdoor wordt de overheid transparanter en kan iedereen innoveren met de beschikbare data. Data geproduceerd door ons allemaal, hoort van ons allemaal te zijn! 

‘Privacy by design’ wordt een belangrijk uitgangspunt van de gemeente. Dit betekent dat we bij het realiseren van nieuwe producten of diensten allereerst aandacht besteden aan de veiligheid van persoonsgegevens.

‘Privacy by design’ is nu een belangrijk uitgangspunt van de gemeente bij het realiseren van nieuwe producten of diensten door de gemeente. Dit wordt ook expliciet benoemd in nieuwe beleidsdocumenten zoals de ‘Datastrategie Gemeente Delft’.

Een goed voorbeeld van privacy by design is het contactformulier op de website delft.nl. Het is hier door onze inzet niet langer nodig om meer persoonsgegevens in te vullen dan strikt noodzakelijk, alleen als je wil dat de gemeente je belt hoef je een telefoonnummer achter te laten, en alleen als je per e-mail op de hoogte gehouden wil worden hoef je een e-mailadres achter te laten. Nu Google analytics nog van de site af! Dit voldoet niet alleen op geen enkel manier aan privacy by design, ook de Oostenrijkse, Noorse en Franse toezichthouders zijn eindelijk tot de conclusie gekomen dat het illegaal is om zomaar gegevens van al je website bezoekers met een USA advertentie bedrijf te delen. Gelukkig zijn er privacyvriendelijke opensource alternatieven zoals Matomo of Plausible.

Delft heeft een ‘responsible disclosure’ pagina waarop vermeld staat dat ethische hackers niet vervolgd worden en nodigt via deze pagina hackers uit om als ze een lek gevonden hebben dit te melden, bijvoorbeeld door een eervolle vermelding op de site.

Responsible disclosure (vrij vertaalt naar “verantwoord melden”) wil zeggen dat ethische hackers, onder bepaalde voorwaarden, de mogelijkheid krijgen om de beveiliging van het gemeentelijke netwerk aan de tand te voelen. Als de hackers lekken in de beveiliging hebben gevonden, moeten ze deze melden aan de gemeente zodat de lekken zo snel mogelijk gedicht kunnen worden. Voor deze meldingen krijgen de hackers een beloning, een mooi en toepasselijk Delfts-blauw tegeltje. Sinds 2019 werden er ieder jaar wel een aantal responsible disclosure meldingen gedaan en werden de kwetsbaarheden verholpen. Deze goede samenwerking met ethische hackers heeft dus gezorgd voor een veiligere gemeente Delft!

4 uit 4 is een groot succes! Vandaar dat wij de samenwerking met STIP ook de komende raadsperiode voortzetten. In het volgende blog lees je meer hierover, of ga vast opzoek naar alle Piratenvlaggetjes in het STIP programma (Nu Julian Assange nog vrij krijgen, en de rest van de wereld op vrije opensourcesoftware laten overstappen. 😉 ).

Stem STIP!

‘Delftse principes voor digitale soevereiniteit’: Aangenomen!

door 3 Reacties

In de Delftse raadsvergadering van donderdag 18 november heeft de raad het initiatiefvoorstel ‘Delftse principes voor digitale soevereiniteit’ unaniem aangenomen. 

Op dit moment gaat er op het gebied van software bij overheden nog veel mis. Overheden kopen licenties van diensten en software in op de markt zonder dat ze de toegang krijgen tot de achterliggende code, en zo zorgen bedrijven dat gemeentes afhankelijk van hen worden.

Marcel Harinck (STIP): “Door in te zetten op open standaarden en opensourcesoftware houdt de gemeente zeggenschap over haar digitale infrastructuur en de gegevens van de Delftenaar”.

De vijf Delftse principes voor digitale soevereiniteit.

Het initiatiefvoorstel is ingediend door de fracties van STIP, Onafhankelijk Delft, D66 en GroenLinks. Het voorstel werd grotendeels opgesteld door de Werkgroep ICT van STIP waarin de Piratenpartij Delft actief meewerkt. De Piratenpartij Delft en STIP werken al sinds 2017 samen en het nu aangenomen initiatiefvoorstel is tot nu toe het belangrijkste resultaat van deze unieke samenwerking.

Geert-Jan Meewisse (Piratenpartij Delft): “Publiek geld hoort uitgegeven te worden aan software die het publieke domein ten goede komt. Doordat de code transparant is en vele ogen de code bekijken worden fouten sneller gevonden en verbeterd. Dat geeft  software van hoge kwaliteit.”

STIP, D66 en de Piratenpartij hopen dan ook dat meer gemeenten het voorbeeld van Delft zullen volgen. Melanie Oderwald (D66) “Door gezamenlijk deze stap te zetten kunnen overheden elkaars software hergebruiken en worden er op de langere termijn kosten bespaard.”

Op naar een digitaal soevereine gemeente!

Update: D66 heeft op 12 januari door middel van schriftelijke vragen het Amsterdamse college verzocht om de Delftse principes over te nemen.