Privacy

De Piratenpartij en STIP helpen jou om digitaal veiliger te zijn!

29 juni 2023 door Jos Sanders Reageer

We doen steeds meer digitaal. Online vergaderen, samenwerken in een online omgeving, of online een leuke selfie posten. Het is allemaal super gemakkelijk, maar het brengt ook risico’s mee. Weet jij wat er gebeurt met je gegevens? STIP en de Piratenpartij Delft organiseren op vrijdag 7 juli een workshop digitale zelfverdediging.

Het internet staat vol met allemaal super handige ‘gratis’ diensten. Een e-mail adres, foto’s delen, een videovergadering organiseren of een inschrijfformulier voor de buurt-bbq, het is zo aangemaakt en super gemakkelijk. Maar als je de kleine lettertjes zou lezen voor je op de ‘I agree’-knop klikt, zie je dat je eigenlijk betaalt met je persoonsgegevens. Veel mensen maken zich hier zorgen over. Hoe kun je jezelf daar goed tegen beschermen?

Hoe ziet de avond eruit?

STIP en de Piratenpartij Delft organiseren een workshop digitale zelfverdediging in het buurthuis Voorhof, vanaf 20:00 uur. Met een interactief programma leer je hoe je jezelf online beter kunt beschermen. Het grootste deel van de avond gaan we vooral aan de slag. We beantwoorden vragen zoals “Welke programma’s kan ik het beste gebruiken?” en “Hoe zorg ik dat mijn gegevens veilig zijn?”. Wij helpen je op weg. Bij de workshop worden verschillende privacy-vriendelijke en veiligere alternatieven geïntroduceerd voor de programma’s die je op dit moment gebruikt. Het belangrijkste is dus dat je je eigen laptop, telefoon en/of tablet meeneemt en aan de slag gaat!

Wil je meer weten! Stuur vooral een berichtje naar delft [at] piratenpartij [dot] nl!

Opgelost: Open Dag TU Delft, alleen toegankelijk als je niet om privacy geeft

19 oktober 2022 door Jos Sanders Reageer

Update 24-02-2023: de gemelde problemen zijn nu opgelost 🙂

De TU Delft organiseert voor potentiële nieuwe studenten op vrijdag 21 en maandag 24 oktober 2022 de Open Campus Dagen. Hiervoor moeten zij zich registreren: “Tijdens de Open Campus Dagen maak je gebruik van een app om jouw programma samen te stellen. Registreer je eerst en download daarna de TU Delft Open Campus Dagen app in de App Store of Play Store.” De TU Delft wil mogelijk modern en technisch overkomen bij aankomende studenten met een app in plaats van een folder. Gebruik van de Google of Apple app lijkt verplicht om naar de open dag te kunnen komen.

WebApp

Het staat niet in de registratietekst maar het blijkt dat er (gelukkig) ook een WebApp is. Deze WebApp deelt echter ook gretig je gegevens met Google, laadt cookies en trackers en heeft scripts van doubleclick.net aan boord voor gericht adverteren. De WebApp is dus niet echt een oplossing als je iets om privacy geeft. De WebApp maakt daarnaast ook nog eens gebruik van Google Maps in plaats van het veel betere, fexibelere OpenStreetMap. De TU Delft moet en zal jouw gegevens, inclusief je locatie en je interesse met Google delen.

Android App

Door naar de Android App. Deze is natuurlijk niet opensource, aankomende technische studenten zouden daar toch niets van snappen, dus niet in de F-Droid store, maar alleen in de Google Play store waarin gelijk opvalt: “Contains ads“, Een app is immers niet compleet zonder gepersonaliseerde reclame.

Gegevens die o.a. via Google verzameld worden:

– Name, User IDs, Phone number, and Other info, WTF?

– Je aankoop geschiedenis?!? WTF?

– Je “Other in-app messages” wat dat dan ook mag zijn?

– De “Device or other IDs” kunnen ook met derde partijen gedeeld worden. WTF?!? Ik wil gewoon op de open dag komen kijken…

Ook wordt in de Play store voor meer info doorverwezen naar: https://tudelft.nl/privacy-statement, waar precies NULL van onze WTF’s worden beantwoord.

Check op trackers in de Android App. Slechts één, dat valt soort van mee: alleen Google die je gedrag in de App analyseert. Google is niet “Evil” toch?

Dan de permissies… een gedrukt foldertje is zo gek nog niet, die vraagt er 0. Onder andere: USE_FINGERPRINT, RECORD_AUDIO, WRITE_EXTERNAL_STORAGE, WRITE_SETTINGS etc. Dit zijn er genoeg voor een digitale strip-search van je telefoon.

Privacy is dood

Oké, dan registreren we ons toch liever via de WebApp. Maar dan lezen we in de kleine lettertjes van de TU Delft dit: “During the Open Campus Days, photos and recordings are made which can be used on our Social Media channels.” Toestemming vragen? Nah, dat vind de TU Delft maar lastig, privacy is dood, net als de AVG. De Autoriteit Persoonsgegevens doet waarschijnlijk toch niets.

Apple app

Deze hebben we niet bekeken, maar gezien de wijze waarop “progressive web apps” normaal gesproken ontwikkelt worden, verwachten wij niet dat deze wezenlijk anders zal zijn dan de WebApp.

Mocht je ondanks deze draad toch nog naar de TU Delft komen, kun je hier kijken waar de vele security camera’s op de campus staan.

Nog een camera gespot? Zet ‘m op de kaart.

Updates

20-10-2022: Reactie van de Functionaris Gegevensbescherming van de TU Delft: geeft toe dat het er zorgwekkend uitziet en gaat het intern navragen.

24-10-2022: In een voortgangsbericht schrijft de FG van de TU Delft dat:

Er met de beste bedoelingen een externe dienst is afgenomen voor de open dagen.
FG adviseert de TU Delft om dit in de toekomst anders te doen, bv met een webformulier.
Kritiek op Google en Meta wordt herkend.
Gebruik beeldmateriaal moet op andere manier worden opgezet.

We zijn blij met deze vlotte opvolging, is wel verfrissend dat het gewoon wordt erkend en opgepakt. (Wij maken vaak anders mee)

24-02-2023: Op 16 en 17 maart zijn er weer open dagen, dus wij hebben het aanmeldproces nog eens bekeken: De TU Delft heeft alle gemelde problemen opgelost! Alleen de link naar de privacy policy op visit.tudelft.nl zou nog even naar hier moeten wijzen. Policy hebben we gelezen, staan geen rare dingen in.

Nu nog de overvloed aan veel te geavanceerde surveillance camera’s van de campus af gooien.

Tikkie? Deze partijen kijken met je mee!

22 augustus 2022 door Geert-Jan G-J Reageer

Erg handig, een bankieren app op je telefoon, even betalen, een tikkie sturen, zo gedaan! Helaas is jou gedrag in de app niet privé, er kijken meestal ’trackers’ met je mee. Een tracker is een stukje software dat de taak heeft informatie te verzamelen over de persoon die de app gebruikt, hoe de app wordt gebruikt, of over de smartphone die wordt gebruikt.

Southpark-gifje waarin ze een hinderlijk volgende add niet weg kunnen klikken, gezien door het beeldscherm heen

Op Exodus Privacy kun je Android apps checken op trackers en rapporten bekijken over apps die al geanalyseerd zijn. (test zelf je favoriete app!) Helaas zijn iPhone’s een stuk minder open, dus is het minder eenvoudig om een dergelijke analyse te maken.

Hieronder vind je de trackers in de bankieren apps die iDEAL ondersteunen en de trackers in Tikkie.

Wil je je privacy behouden bij het betalen, betaal dan contant! (of met een privacy gerichte crypto coin als Monero, Dash of Z-cash )

Alleen in de ING bankieren-app zitten geen bekende trackers.

Zelfs de zich ‘duurzaam’ noemende banken als Triodos en ASN Bank schenden je privacy bij het gebruik van de app. Surveillance-kapitalisme is verre van duurzaam, dus dit is niet wat we hadden verwacht en conflicteert met de missie waar ze voor zeggen te staan.

We wachten met smart op de eerste bank die zijn tracker-vrije app opensource maakt en in de F-Droid store plaatst!

PS, als een bankieren app geen trackers heeft wil dat niet zeggen dat er verder geen privacy probleem is.

Resultaten:

Tikkie
playstore id:id=com.abnamro.nl.tikkie
https://reports.exodus-privacy.eu.org/en/reports/285654/
5 trackers:
– AppsFlyer
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Bunq
playstore id:id=com.bunq.android
https://reports.exodus-privacy.eu.org/en/reports/285427/
7 trackers:
– Adjust
– Braze (formerly Appboy)
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– MixPanel
– Segment

Knab
playstore id:id=bvm.bvmapp
https://reports.exodus-privacy.eu.org/en/reports/285428/
5 trackers:
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager
– Microsoft Visual Studio App Center Crashes
– New Relic

N26
playstore id:id=de.number26.android
https://reports.exodus-privacy.eu.org/en/reports/284007/
9 trackers:
– Adjust
– AltBeacon
– GIPHY Analytics
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager
– Salesforce Marketing Cloud
– Snowplow

ABN Amro
playstore id:id=com.abnamro.nl.mobile.payments
https://reports.exodus-privacy.eu.org/en/reports/285429/
4 trackers:
– Appdynamics
– Google CrashLytics
– Google Firebase Analytics
– Tealium

ING
playstore id:id=com.ing.mobile
https://reports.exodus-privacy.eu.org/en/reports/280734/
0 trackers!

Rabobank
playstore id:id=nl.rabomobiel
https://reports.exodus-privacy.eu.org/en/reports/285430/
3 trackers:
– Google CrashLytics
– Google Firebase Analytics
– Split

ASN Bank
playstore id:id=nl.asnbank.asnbankieren
https://reports.exodus-privacy.eu.org/en/reports/285431/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Handelsbanken
playstore id:id=com.handelsbanken.mobile.android.nlpriv
https://reports.exodus-privacy.eu.org/en/reports/285432/
4 trackers:
– Google Analytics
– Google CrashLytics
– Google Firebase Analytics
– Google Tag Manager

Regiobank
playstore id:id=nl.regiobank.regiobankieren
https://reports.exodus-privacy.eu.org/en/reports/285433/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

SNS
playstore id:id=nl.snsbank.snsbankieren
https://reports.exodus-privacy.eu.org/en/reports/285434/
3 trackers:
– Adobe Experience Cloud
– Google CrashLytics
– Google Firebase Analytics

Triodos Bank
playstore id:id=com.triodos.bankingnl
https://reports.exodus-privacy.eu.org/en/reports/285435/
2 trackers:
– Google Firebase Analytics
– Mapbox

Van Lanschot
playstore id:id=nl.vanlanschot.banking
https://reports.exodus-privacy.eu.org/en/reports/285436/
5 trackers:
– Adjust
– Bugsee
– Google Analytics
– Google Firebase Analytics
– Google Tag Manager

Revolut
playstore id:id=com.revolut.revolut
https://reports.exodus-privacy.eu.org/en/reports/284302/
3 trackers:
– Branch
– Google CrashLytics
– Google Firebase Analytics

—

Evaluatie deeldataverzamelfietsen

11 februari 2020 door Geert-Jan G-J Reageer

In de gemeente Delft loopt sinds december 2017 een pilot met deelfietsen. Op 6 februari 2020 werd de evaluatie hiervan besproken in de commissie vergadering Ruimte en Verkeer. (link)
Ondanks een eerder toezegging aan STIP dat privacy aspecten meegenomen zouden worden, ontbrak in de evaluatie alles wat in het digitale domein gebeurt.

Dit is alsof je een olifant gaat evalueren en dan alleen naar de poten kijkt.

Daarom vonden wij het zeer belangrijk te gaan inspreken. Zeker omdat in het geval van Mobike de privacyschendingen zover gaan dat het primair een dataverzamelbedrijf is in plaats van een deelfietsaanbieder.

De hele commissievergadering is hier terug te kijken. Het agendapunt over de deelfietsen is vanaf 19:45 (Opmerkelijk is dat vergaderingen van de gemeente Delft worden gehost bij Google en voorzien zijn van tracking door Google-analytics en Twitter, zie de raadsvragen die we samen met STIP hierover stelde)

Hier het verhaal dat we hebben ingebracht (3 min spreektijd):

Bedankt dat ik hier kan inspreken.
In mijn dagelijks leven werk ik als computer netwerkontwerper. Hierbij is aandacht voor security en privacy altijd een belangrijk onderdeel.
Ik benader zaken meestal met technische insteek en kijk daarbij naar het hele systeem.

Deelfietsen zijn een slim concept, dat vele voordelen met zich mee kan brengen. Ik heb de evaluatie bekeken en het viel me op dat er uitsluitend aandacht is voor de deelfietsen en het gebruik in de openbare ruimte. Voor het gedeelte dat zich in het digitale domein afspeelt is geen aandacht, terwijl dit een belangrijk onderdeel is van ieder deelfietsen systeem.

Binnen het digitale domein is het belangrijk om Privacy-by-design altijd mee te nemen bij het ontwerpen, inrichten en evalueren van deelsystemen.

Data is immers het nieuwe goud: Daar moeten we zuinig op zijn. Ik vind dat ook de gemeente een verantwoordelijkheid heeft om de persoonsgegevens van haar burgers te beschermen.

Het is op Privacy dat de huidige deelfietsaanbieder in Delft, Mobike, ernstig tekort schiet.

Ik heb de app bekeken en ik zie allerlei overbodige permissies. Onder andere toegang tot opslag op de telefoon, bluetooth administrator rechten en zelfs toegang om Andere apps te kunnen installeren.
Bij het aanmaken van een account wordt ook nog onnodig het telefoonnummer geregistreerd.

Als je de app installeert en opstart vraag deze meteen om toegang tot locatie. Als je je locatie niet deelt, sluit de app af. De app legt direct contact met servers in China. China is geen onderdeel van de EER, dus hiervoor is in de AVG goed geïnformeerde expliciete toestemming vereist. Mobike wordt gehost in de Chinese cloud van het bedrijf Tencent (de Chinese Amazon).
Dit allemaal nog voordat de gebruiker de voorwaarden ook maar heeft kunnen zien. Ook op de website wordt verwezen naar de voorwaarden in de app.

Dit is allemaal niet toegestaan volgens de AVG. Ondanks dat dit eind 2018 breed in de media is geweest, lijkt Mobike op deze punten niet verbeterd te zijn (dit blijkt uit mijn eigen onderzoek waarbij ik het nu.nl onderzoek dunnetjes heb overgedaan).

Anoniem betalen is niet mogelijk. Dit verrijkt de data waardoor Mobike ook altijd over de echte naam beschikt. In Delft zijn veel interessante hightech bedrijven gevestigd. Dit is zeer waardevolle informatie, ook voor spionage.
Wie was er op bezoek bij het NIRI? of bij FoxIT? Dit is informatie die beschikbaar is op een server in China.

Kortom, Mobike is primair een dataverzamelbedrijf met maling aan de AVG, geen deelfietsverhuur.

Kijk in Delft dus naar andere deelfietsaanbieders, die zich wèl aan de wet willen houden en niet uit zijn op zoveel mogelijk data van gebruikers.

Gebruikersnaam
Wachtwoord

	Onthoud mij Wachtwoord vergeten?