Wat ik me afvraag in het kader van deze discussie is wat voor invloed heeft MAC Address Randomization op de mogelijkheid om bijv. bezoekers van de binnenstad te tracken? Vermindert dit de mogelijkheid tot tracken, of zijn er manieren om tocht te bepalen welke route iemand heeft gelopen en welke winkels er bezocht zijn? Maw. werkt MAC Address Randomization.

Ik maak mij een miljard keer meer zorgen over het aftappen en afluisteren door onze eigen overheid, waar deze hopeloze partij ook deel van uitmaakt.

WiFi-tracking kan ik tegengaan, het continue meeluisteren en meekijken door overheden niet.

Kortom, kansloos D66-gezwam.

Sluit me aan bij jullie. Wifi blue-tooth kan ik uitzetten. Fysieke winkels zouden niets mogen doen om te weten waar klanten naar kijken en op het web wordt alles getracked zonder enige controle. Dan ben je met concurrentievervalsing bezig.

De AP heeft https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-wijst-winkels-en-gemeenten-op-voorwaarden-wifi-tracking. Overheden wordt daarin ruimere mogelijkheden gegeven, bedenk dat de AP onder bestuur van BZK valt en op dat deel niet onafhankelijk is.
Wat typisch is: we vinden de file-meldingen en kenteken volgen (spitsmijding regio Arnhem/nijmegen) wel gewoon. Is dat wel gewoon? De bron gegevens worden als tracking verzameld. Tom Tom had daar een twijfelachtig eer mee. er is meer bijvoorbeeld FCD https://www.computable.nl/artikel/achtergrond/mobility/1360656/1444691/van-a-naar-beter.html

Zo'n tracker hoeft niet negatief te zijn. Sta je met autopech dan kan een app (ANWB) zo je GPS locatie doorgeven.
Ook de gps hoeft alleen maar aan als je dat wilt (duur dan wel even). Staat hij ingebouwd in de auto altijd aan.

Zeker wel, door bv. te bellen via Signal of Whatsapp. Dan kunnen overheden niet meeluisteren.

Je bent wel erg stellig.

WhatsApp versleutelt, voor zover ik weet, van telefoonnummer naar telefoonnummer. Wat nu als een MitM een IMSI catcher gebruikt en zich naar beide kanten toe als het andere telefoonnummer voordoet. Heb jij er bewijs voor dat afluisteren in zo'n situatie onmogelijk is?

Purmerend is onlangs gestopt met aanbieden van gratis WiFi:

http://rtvpurmerend.nl/artikel/30313203/geen-gratis-wifi-meer-in-binnenstad

D66 is fel tegenstander van dit ongerichte aftappen door de overheid, maar heeft onvoldoende medestanders om hier iets aan te doen. Zolang VVD aan de touwtjes trekt, gaan we hier weinig verandering in krijgen.

Er is geen contract met diegenen die gevolgd worden. Dat is het punt.
Dat Locatus de gegevens zorgvuldig vergaard is (als dat bedrijf aan tracking doet) net zoiets als: "Ik reed met de plaatselijk toegestane snelheid door rood."

Verder kan het juridisch juist zijn dat de gemeente Arnhem geen directe partij in deze is.
Dat neemt niet weg dat ze geen sturende of handhavende rol kunnen vervullen.

Ik werk aan een project waar wij MAC-gegevens verzamelen, mijn ervaringen hiermee zijn:
- Op Android: niet mogelijk, toestel moet geroot zijn of het is een (default-off) setting.
- op iOS is er sprake van MAC-randomisation, maar gebrekkig geïmplementeerd. Wij kunnen detecteren of een MAC-gespoofd is. Als wij merken dat mensen een gespoofd MAC adres gebruiken passen we een andere trackingmethodiek toe. Je telefoon spuugt namelijk ook elke X seconden uit met welke wifi netwerken je ooit verbonden bent geweest, dat is prima te gebruiken als tracker.
- Er schijnt zoiets te zijn als Windows Phone. Heeft MAC-randomisation maar is een (default-off) setting. Dus geen probleem want mensen snappen het niet of verdiepen zich er niet in.

Als het gaat op traffic analytics maakt het niet heel veel uit of je een gespoofd MAC-adres gebruikt. Zolang het maar uniek is kan je gevolgd worden. Als je de klanten toch wil herkennen kan je gewoon de methode gebruiken die ik bij iOS bespreek.

Als we echt heel graag je MAC-adress willen weten spoofen we gewoon een WiFi-netwerk waarmee je eerder verbonden ben geweest. Bij een daadwerkelijke WiFi-verbinding gebruik je namelijk altijd je echte MAC-adres.

Bespaar jezelf alle commentaren over privacy etc, etc. Er is momenteel toch geen enkele handhaving dus iedereen heeft vrij spel. BlueTrace is in oktober 2015 op de vingers getikt, en dat betekent dat er een voorbeeld is gesteld en de prioriteit wegvalt.
(zie: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/rapport_db_bluetrace.pdf)
De bedoeling was dat ze een mogelijkheid zouden bieden voor een opt-out, en bijna een jaar later ligt er nog steeds niks en er gebeurt ook niks.
Als het wel gebeurd wordt het zo slecht gedaan dat je nog een groter risico loopt. Om je bijvoorbeeld bij CityTraffic af te melden (http://citytraffic.nl/site/page/opt-out) moet je je MAC-adressen over HTTP versturen, geweldig! Dit is overigens in januari al gemeld bij het AP en die vinden het allemaal wel best. Dit terwijl ze in de zaak Bluetrace MAC-adressen bestempelen als persoonsgegevens en dus normaliter nooit over HTTP mogen.

Het MAC-spoofen werkt ook in ons voordeel. Als de AP besluit dat er 'zonder toestemming' MAC-adressen getapt worden kunnen wij nu bezwaren dat het geen persoonsgegevens zijn (want "dit zijn gespoofde MAC-adressen"). Een groot feest!

Het lijkt me dat je dat daarmee door rood rijd en van mij de boete krijgt. Ok dat was humor/sarcasme.
In een rechtstaat, wat Nederland nog is , heb je heldere lijnen wie wat handhaaft en wier daarover recht spreekt.
Dat de gemeente geen eigen rechter speelt en geen handhaver is vastgelegd. Zo wat moois worden als iedereen eigen rechter zou gaan spelen. Het is de reden van mijn twijfel bij de AP wegens de vermenging van meerdere rollen.

Dank je, daar was ik me van bewust. Als je met een vlag wilt rondlopen met adres (fysieke wereld) weet je dat herkenbaar bent. De batterij er uit geen pokemon whatsapp en facebook tijdens het winkelen wil ik dat je men niet volgt. Het is niet zo veel anders dan tante mien die de hele buurt vanaf haar raam in de gaten hield.
Voor mij ligt de grens ongeveer waar de AP hem ook trekt koppel jij het aan namen van elders, ga je dat gebruiken en het lekt uit dan ben je zuur.

Ik moest een paar keer lezen om te begrijpen wat je bedoelde: met "niet mogelijk" verwijs je naar MAC randomization, niet naar jouw ervaringen met het verzamelen van MAC-adressen van Android devices (dat is dus zo goed als probleemloos).

Hmm, dat wist ik niet.

Dank voor jouw eerlijke uitleg!

Inderdaad enigszins onduidelijk. Voor zover ik weet ondersteunt Android nog geen native MAC-spoofing. Hiervoor zijn wel apps beschikbaar, maar die vereisen root toegang. Dit brengt weer andere risico's met zich mee en de huis-tuin-keuken gebruiker haakt hier al af.

Dit is hoe MAC-spoofing nu werkt op de meeste mobieltjes. Ik wil graag even verduidelijken dat wij dit niet echt toepassen in productie, het is meer een theoretische mogelijkheid.