In de gemeente Delft loopt sinds december 2017 een pilot met deelfietsen. Op 6 februari 2020 werd de evaluatie hiervan besproken in de commissie vergadering Ruimte en Verkeer. (link)
Ondanks een eerder toezegging aan STIP dat privacy aspecten meegenomen zouden worden, ontbrak in de evaluatie alles wat in het digitale domein gebeurt.
Dit is alsof je een olifant gaat evalueren en dan alleen naar de poten kijkt.
Daarom vonden wij het zeer belangrijk te gaan inspreken. Zeker omdat in het geval van Mobike de privacyschendingen zover gaan dat het primair een dataverzamelbedrijf is in plaats van een deelfietsaanbieder.
De hele commissievergadering is hier terug te kijken. Het agendapunt over de deelfietsen is vanaf 19:45 (Opmerkelijk is dat vergaderingen van de gemeente Delft worden gehost bij Google en voorzien zijn van tracking door Google-analytics en Twitter, zie de raadsvragen die we samen met STIP hierover stelde)
Hier het verhaal dat we hebben ingebracht (3 min spreektijd):
Bedankt dat ik hier kan inspreken.
In mijn dagelijks leven werk ik als computer netwerkontwerper. Hierbij is aandacht voor security en privacy altijd een belangrijk onderdeel.
Ik benader zaken meestal met technische insteek en kijk daarbij naar het hele systeem.
Deelfietsen zijn een slim concept, dat vele voordelen met zich mee kan brengen. Ik heb de evaluatie bekeken en het viel me op dat er uitsluitend aandacht is voor de deelfietsen en het gebruik in de openbare ruimte. Voor het gedeelte dat zich in het digitale domein afspeelt is geen aandacht, terwijl dit een belangrijk onderdeel is van ieder deelfietsen systeem.
Binnen het digitale domein is het belangrijk om Privacy-by-design altijd mee te nemen bij het ontwerpen, inrichten en evalueren van deelsystemen.
Data is immers het nieuwe goud: Daar moeten we zuinig op zijn. Ik vind dat ook de gemeente een verantwoordelijkheid heeft om de persoonsgegevens van haar burgers te beschermen.
Het is op Privacy dat de huidige deelfietsaanbieder in Delft, Mobike, ernstig tekort schiet.
Ik heb de app bekeken en ik zie allerlei overbodige permissies. Onder andere toegang tot opslag op de telefoon, bluetooth administrator rechten en zelfs toegang om Andere apps te kunnen installeren.
Bij het aanmaken van een account wordt ook nog onnodig het telefoonnummer geregistreerd.
Als je de app installeert en opstart vraag deze meteen om toegang tot locatie. Als je je locatie niet deelt, sluit de app af. De app legt direct contact met servers in China. China is geen onderdeel van de EER, dus hiervoor is in de AVG goed geïnformeerde expliciete toestemming vereist. Mobike wordt gehost in de Chinese cloud van het bedrijf Tencent (de Chinese Amazon).
Dit allemaal nog voordat de gebruiker de voorwaarden ook maar heeft kunnen zien. Ook op de website wordt verwezen naar de voorwaarden in de app.
Dit is allemaal niet toegestaan volgens de AVG. Ondanks dat dit eind 2018 breed in de media is geweest, lijkt Mobike op deze punten niet verbeterd te zijn (dit blijkt uit mijn eigen onderzoek waarbij ik het nu.nl onderzoek dunnetjes heb overgedaan).
Anoniem betalen is niet mogelijk. Dit verrijkt de data waardoor Mobike ook altijd over de echte naam beschikt. In Delft zijn veel interessante hightech bedrijven gevestigd. Dit is zeer waardevolle informatie, ook voor spionage.
Wie was er op bezoek bij het NIRI? of bij FoxIT? Dit is informatie die beschikbaar is op een server in China.
Kortom, Mobike is primair een dataverzamelbedrijf met maling aan de AVG, geen deelfietsverhuur.
Kijk in Delft dus naar andere deelfietsaanbieders, die zich wèl aan de wet willen houden en niet uit zijn op zoveel mogelijk data van gebruikers.