Horsens tracker turisterne via mobilens wifi-signal

Illustration: Horsens Kommune
28 sensorer registrerer wifi-signaler fra mobiltelefoner i Horsens midtby for at kortlægge bevægelsesmønstre mellem butikker og turistattraktioner.

Den lokale handelsforening og turistorganisation vil rigtigt gerne vide, hvor folk bevæger sig rundt, når de besøger Horsens midtby. Derfor har de to organisationer sat gang i et big data-projekt, der skal kortlægge bevægelsesmønstre i midtbyen.

Det sker via 28 sensorer i midtbyen, der siden 2. marts har opfanget og registreret wifi-signalet og dermed MAC-adressen på forbipasserendes mobiltelefoner i en radius af 20 meter.

Det skriver turistorganisationen Kystlandet og City Horsens i en pressemeddelelse.

»I dag ved vi ikke meget om de de turister, der besøger Horsens en enkelt dag eller to. Vi vil gerne have bedre data til at forstå, hvordan turister bevæger sig rundt i byen? Den slags spørgsmål får vi nu besvaret, og det giver os helt andre muligheder for at arbejde målrettet,« forklarer turistchef i Kystlandet, Helle Berthold Rosenberg til Version2. Kystlandet dækker turisme i Odder og Horsens Kommune.

Den første sensor blev sat op ved Industrimuseet i Horsens.

Ifølge Helle Berthold Rosenberg bliver de indsamlede data ved indsamling omgående kørt gennem en hash-algoritme, som generer en værdi, der ikke kan føres tilbage til den oprindelige adresse, så det er ikke muligt at identificere enkeltpersoner på baggrund af målingerne.

Hashværdien af MAC-adressen er den samme i en periode på 30 dage. Man vil nemlig gerne kunne adskille almindelige borgere der bor i Horsens fra turisternes bevægelsesmønstre.

»Vi vil sortere almindelige borgere fra, da vi kun er interesserede i de besøgende der gæster Horsens i en kortere periode, fx en dag eller et par dage. Så hvis en MAC-adresse optræder mange gang i en periode, vil vi sortere dem fra resultaterne,« siger Helle Berthold Rosenberg.

Djursland er allerede godt i gang

Inspirationen til dataindsamlingen i Horsens kommer fra Visit Djursland, som siden sommeren 2017 har indhentet den samme type data fra 26 sensorer fordelt på naturområder, attraktioner, feriehusudlejere og byområder.

Ifølge branchemediet Turisme.nu har Visit Djursland i perioden primo juli 2017 til og med uge 42 samme år i alt indsamlet 10 millioner af målinger fra mere end 200.000 unikke gæster.

Det er ingeniørvirksomheden New Nordic Engineering der har udviklet sensor- og dataopsamlingsløsningen til både Visit Djursland og Kystlandet.

Trafikovervågning godkendt af Erhvervsstyrelsen

Erhvervsstyrelsen undersøgte en lignende sag tilbage i 2015, hvor det nordjyske Blip Systems indsamlede MAC-adresser fra mobiltelefoner til trafikovervågning, og her vurderede Erhvervsstyrelsen at det ikke var i strid med cookie-bekendtgørelsen, hvor der ellers er krav om, at der skal gives information og indhentes samtykke ved lagring eller adgang til oplysninger i slutbrugerens terminaludstyr, fx en mobiltelefon.

I sagen om Blip Systems vurderede Erhvervsstyrelsen at det ikke er nødvendigt. Styrelsen lagde vægt på, at selve adresserne ikke bliver lagret, men omgående kørt gennem en hash-algoritme, som generer en værdi, der ikke kan føres tilbage til den oprindelige adresse, og at hash-metoden ændres hvert døgn, således at den samme bilist ikke kan genkendes efter 24 timer.

Læs også: Erhvervsstyrelsen: System til trafikovervågning ikke omfattet af cookie-reglerne

Hvilke overvejelser gør I jer om privatlivsbeskyttelse?

»Det er vigtigt at slå fast at vi ikke kan se hvem der bevæger sig hvorhen. Alle data er anonyme, og bruges til statistik der viser tendenser om bevægelser. personligt er jeg nok mere bekymret over den dataindsmaling som Google og Facebook laver,« siger Helle Berthold Rosenberg.

Erhvervsstyrelsen undersøger salg af lokationsdata

I Aarhus har TDC og VisitAarhus gang i et lignende projekt, der kortlægger udenlandske turisters bevægelsesmønstre i Østjylland. Her bliver data registreret via TDC mastetårne, og ikke med sensorer.

Læs også: Sådan bruger TDC lokationsdata fra turister i Østjylland

Den sag bliver netop nu undersøgt hos Erhvervsstyrelsen, for at se om reglerne for brug af trafikdata bliver overholdt.

Læs også: Erhvervsstyrelsen undersøger TDC's salg af lokationsdata

»Vi har valgt en anden løsning end VisitAarhus, blandt andet fordi vi med dette system ejer de indsamlede data, fordi vi selv indsamler data, men måske vi kan kombinere med data fra teleselskaber på sigt«, siger Helle Berthold Rosenberg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Når jeg læser flg., så efterlades jeg med et indtryk af en, som ved at vedkommende er på tynd is:

»Det er vigtigt at slå fast at vi ikke kan se hvem der bevæger sig hvorhen. Alle data er anonyme, og bruges til statistik der viser tendenser om bevægelser. personligt er jeg nok mere bekymret over den dataindsmaling som Google og Facebook laver,« siger Helle Berthold Rosenberg.

Det, som jeg hører, er:

  1. Vi garanterer at det er helt sikkert
  2. Vi er i hvertfald ikke selv istand til at se problemer
  3. De andre er meget værre

I øvrigt forstod jeg ikke Erhvervsstyrelsen ræsonnementet vedr. Blip og de 24 timer; det virkede på mig som om at man havde regnet baglæns fra det resultat, som man ønskede, i stedet for at lave en reel vurdering. Og her bruges det så som undskyldning for at holde data i 30 dage. Og hvor Blips data angiveligt skulle bruges til at forbedre trafikafviklingen i vores byer, så er der her tale om rent kommercielle interesser.

Suk.

PS: jeg måtte lige checke op på MAC randomisering - The Register havde for et år siden en fin artikel, som konkluderer at det i praksis ikke virker, og ikke bliver brugt.

  • 17
  • 1
Anne-Marie Krogsbøll

"som generer en værdi, der ikke kan føres tilbage til den oprindelige adresse, ..."

Man omdanner adressen til en hash-værdi. Men gør det den ikke-identificerbar? Er hash-værdien ikke unik, så der kun hører én hash-værdi til én telefon? Er det i så fald ikke en slags pseudonymisering? Så det er vel mere et spørgsmål om, at man lover, at man ikke vil gøre den identificerbar igen?

Hvis jeg har forstået dette rigtigt ( det er absolut ikke sikkert): Plejer vi at have gode erfaringer med det, myndigheder lover i disse sammenhænge?

  • 20
  • 1
Marius Hartmann

Det der risikerer at blive sneget ind af bagdøren her, er det forhold at en kommune registrerer alle borgeres færden. I den konkrete anvendelse opbevarer man således på månedbasis unikke nøgler for alle borgere. Hvilket naturligvis i praksis gør det til en smal sag, at identificere enkeltpersoner.

Men bemærk ordvalget: man 'frasorterer' fastboende, der siges ikke at man sletter registreringen af borgerne færden efter 30 dage. Man må altså formode, at registreringen af borgernes færden gemmes for altid.

Det er naivt at sætte sin lid til, at et sådant datasæt ikke vil blive anvendt til andre ting.

  • 21
  • 1
Henrik Madsen

Hvor længe går der så inden kommunen finder ud at af systemet også kan bruges til at tracke borgerne.

På den måde kan man jo lige kontrollere om borgeren på bistand er indenfor kommunegrænsen og dermed står til rådighed, eller ej.

Eller om en person som er på invalidepension fordi vedkommende ikke kan komme rundt, alligevel ifølge scannerne "kommer rundt"

Sådanne systemer starter altid med at være "uskyldige" "Vi skal ikke bruge det til noget vildt" systemer, som så med tiden udvides og grænsen for hvad man mener at kunne tillade sig, flyttes hele tiden.

Om ikke andet så ville det da være rart at vide hvor en borger der er mistænkt terrorist eller pædofil, befinder sig og alle kan jo se at det er ok at overvåge for de ting......Oooooog glidebanen er igang.

  • 22
  • 2
Kristian Sørensen

Den anonyme telefon med hashcode 63BDE893-29DE7392 er idag set af følgende wifi-snuseposter rundt om i byen:

24-08 Sovestræde
08:12 Busholdeplads 18
08:23 Busterminal Øst
08:30-16:30 Erhvervsområde Nord-Øst
16:45 Busholdeplads 165
17:00-19:00 Håndboldklubben
19:30-21:30 Boligselskabet venindelyst
21:45 Busholdeplads 18
22:00 Døgnkøbmanden sovestræde
22:30-08 Sovestræde

Så telefonens ejer kan føle sig helt sikker på at være ganske anonym. Det er slet ikke muligt at udlede noget om vedkommendes identitet ud fra de data.

Det bliver heller ikke lettere at udlede vedkommendes identitet, hvis man har adgang til kommunens registre.

  • 27
  • 1
Henrik Madsen

Det bliver heller ikke lettere at udlede vedkommendes identitet, hvis man har adgang til kommunens registre.

Eller loggen over :

Buskortet som er logget på samme tid i bus 4B (Som kører til erhvervsområdet)

Medarbejder kortet der er brugt til at åbne døren i erhvervsområdet

Adgangskontrollen og kameraovervågning på venindelyst

Kameraovervågningen hos døgnkøbmanden

  • 20
  • 1
Bjarne Nielsen

Man omdanner adressen til en hash-værdi. Men gør det den ikke-identificerbar? Er hash-værdien ikke unik, så der kun hører én hash-værdi til én telefon?

Korrekt. Det er trivielt at omregne en kendt MAC adresse til en tilsvarende hash. Og der er ikke flere MAC adresser end at det trivielt at gætte dem, specielt hvis man har en god ide om fabrikatet.

Derfor må vi formode at de tilsætter en hemmelighed til MAC adressen, inden de hasher. Så skal man nemlig også gætte hemmeligheden, og alt efter hvor godt man vælger hemmeligheden, hvor gode man er til at holde den hemmelig og hvor effektivt man "glemmer" den igen, når tiden er udløbet, så kan det gøres temmeligt svært.

Men det siger artiklen ikke noget om. Den siger kun "hash". Så der er tale om gætværk fra min side.

Og hele pointen i denne øvelse er jo at man ønsker at sammenkæde alle observationer telefon for telefon over en måneds tid, så det kan man stadig.

  • 6
  • 0
Bjarne Nielsen

Præcis hvor mange gange man skal optræde for at blive kategoriseret som fastboende ved vi ikke, men det lyder da som en pragmatisk måde at gøre det på.

Fastboende, måske. Men der er langt herfra og til "turister". Der er helt sikkert mange borgere, som ikke kommer regelmæssigt forbi et målepunkt, og de vil så komme med.

Men der er da et lighedspunkt med Google og Facebook: man kan da fravælge Horsens (hvis man ikke lige er "fastboende").

  • 8
  • 0
Jesper Hansen

Hvis man ser bort fra de mennesker der besøger fængslet til en koncert, så undrer jeg mig over udtrykket "turister i Horsens". Måske uvidenhed, men hvorfor spørger man ikke de 5-10 mennesker det drejer sig om direkte hvad de synes. Det kunne endda være de så synes at det er flinke folk der bor i Horsens, og får lyst at komme igen. Personlig kontakt kunne man kalde det.
Alternativt kan de jo også spørge receptionisterne på hotellerne, for de ved som regel godt hvad turister spørger om.

Men ok, det er der nok ikke så mange konsultenttimer, og projektstøttemidler i.

  • 15
  • 1
Nick Keller

Nu er der jo nok flere end 5 - 10 turister i Horsens af gangen. Desuden kræves en del flere for at fastlægge et statistisk retvisende grundlag.
Ydermere ville det ikke være specielt billigt, hvis man skulle rende rundt til alle receptionerne hver dag, for at spørge om noget, som den enkelte medarbejder måske kan huske.

  • 1
  • 4
Henrik Madsen

Det helt slemme er, at man også bliver registreret, blot fordi man lister ned og køber en ekstra rulle sølvpapir til hatten.

Jeg syntes det er værre at der stadigvæk er folk der som automatreaktion, hver gang der laves tiltag som truer med at fjerne lidt mere af vores frihed og indføres lidt mere overvågning, straks råber op om sølvpapirshatte, som om de ikke ser nogen glidebane og ikke ser hvor vi er på vej hen.

  • 15
  • 1
Henrik Madsen

Fine eksempler på fangst af snydere.

Systemer bliver som regel altid inført for at fange folk man mener, snyder, er terrorister og så videre.

Systemerne har det desværre over tid til at udvikle sig til at blive brugt til ting som er mindre og mindre relevante i forhold til det, de blev indført for og som skrider længere og længere ind over grænsen mellem "fornuft" og overvågning.

Det kan virke fornuftigt at bruge systemet til de ting, men problemet er at for at fange dem som snyder, så er vi nødt til at overvåge alle, da vi jo ikke på forhånd ved hvem der snyder.

Altså lidt ala "alle mænd udsættes for kemisk kastration, for vi ved jo ikke hvem der ender med at voldtage en dame på et tidspunkt".

  • 9
  • 0
Kenn Nielsen

Jeg syntes det er værre at der stadigvæk er folk der som automatreaktion, hver gang der laves tiltag som truer med at fjerne lidt mere af vores frihed og indføres lidt mere overvågning, straks råber op om sølvpapirshatte, som om de ikke ser nogen glidebane og ikke ser hvor vi er på vej hen.

Jeg synes faktisk ikke det er fair at de ikke bliver hørt.

Vi (eller nogen) bør registrere disse ærlige og åbne mennesker, så de uhindret kan få blotlagt og registreret alt hvad andre måtte ønske at registrere og arkivere om dem.

Og fordi jeg er en naragtig sølvpapirshat, véd jeg at efterfølgende - naturligvis - afvises som nonsens:

Med en ordentlig registrering af disse personer, vil det være nemt i fremtiden at ekskludere disse fra sølvpapirhattenes-søsterskab's hjælp når de forhindres i <whatever> fordi de har accepteret <indlysende glidebane No.VII >.

K ;-)

  • 3
  • 1
Jens Jönsson

»Det er vigtigt at slå fast at vi ikke kan se hvem der bevæger sig hvorhen. Alle data er anonyme, og bruges til statistik der viser tendenser om bevægelser. personligt er jeg nok mere bekymret over den dataindsmaling som Google og Facebook laver,« siger Helle Berthold Rosenberg.

Så fik hun lige fjernet fokus fra hendes egen løsning og over på noget andet.
Men det er da tankevækkende at hun er "bekymret". Så hun er bekymret over den dataindsamling de store foretager, men ikke den hun selv laver.
Hvorfor ? Er det fordi "Horsens" er den lille i den sammenhæng ? Så må "man" godt ?

SUK!

  • 15
  • 2
Marius Hartmann
  • 12
  • 0
Jesper Hansen

Jeg mente faktisk om 5-10 turister året - lidt karikeret ganske vist.
Mig bekendt er der ingen “turistattraktioner” i Horsens midtby så jeg forstår slet ikke hvad det går ud på. Men jeg er meget sikker på at butikkerne i byen meget gerne vil have Big data på hvad borgerne i Horsens og omegn har af bevægelsesmønstre i byen, og så har man valgt at kalde det et turist projekt fordi det jo så ikke er almen overvågning.
Desuden er der også interesse for at “målrette” reklamer efter den forbipasserende profil fra SoMe og Google.

Hvis det reelt handler om turister kunne man jo starte med at fortælle om alle herlighederne, eller rent faktisk sørge for at der var noget der er værd at besøge.

  • 2
  • 0
Jesper Lund

»Det er vigtigt at slå fast at vi ikke kan se hvem der bevæger sig hvorhen. Alle data er anonyme, og bruges til statistik der viser tendenser om bevægelser. personligt er jeg nok mere bekymret over den dataindsmaling som Google og Facebook laver,« siger Helle Berthold Rosenberg.

Jamen, det er da meget sødt. Og når de gode folk i Horsens har lavet grundige vurderinger, kan vi da ikke komme og stille yderligere krav ved at henvise til EU-direktiver og forordninger.

Eller.. jo, det kan vi.

Lad os starte med Erhvervsstyrelsens godkendelse. Vi har afgørelsen i Bliptrack-sagen, hvor ERST udtalte at det var inden for rammerne af cookie-bekendtgørelsen. ERST begrundende dette med en række konkrete forhold, hvoraf et var lagringsperioden på 24 timer inden fuldstændig anonymisering.

Første hurdle er at overveje om 24 timer kan udstrækkes til 30 dage. Men der er mere at tænke på, meget mere, specielt efter 25. maj.

Afgørelsen fra ERST gælder kun selve adgangen til information i terminaludstyret, hvilket i dette tilfælde vil sige om man må registrere (opfange) de MAC adresser som broadcastes fra et WiFi netkort. Den efterfølgende behandling af personoplysninger skal ske i overensstemmelse med persondataloven, jf. den sidste sætning i Bliptrack-afgørelsen, og fra 25. maj databeskyttelsesforordningen (GDPR).

Lad os springe persondataloven over, da det snart er 25. maj. I forhold til GDPR er der en række forhold som skal overvejes:

  1. Oplysningspligt over for den registrerede efter artikel 13 eller 14.
  2. Håndtering af anmodninger om indsigt. Ud fra en MAC-adresse kan den dataansvarlige, hvis identitet skal oplyses via oplysningsforpligtelsen, finde de lokationsregistreringer som endnu ikke er anonymiseret (fordi salt til hash er skiftet fra den aktuelle værdi). Fra 25. maj kan der ikke længere opkræves gebyr for anmodninger om indsigt.
  3. Skal der laves en konsekvensanalyse? Artikel 35, stk. 3, litra c) nævner specifikt overvågning af et større område. Her taler vi om tracking på tværs af en række lokationer i Horsens. Det lyder som "større".
  4. Håndtering af indsigelser mod behandling. Idet grundlaget for behandlingen af personoplysninger (som skal fremgå via oplysningspligten) formentlig vil være legitim interesse, jf. artikel 6, stk. 1, litra f), kan der gøres indsigelse mod behandlingen efter artikel 21, stk. 1. Hvis den dataansvarlige vil afvise indsigelsen, skal den dataansvarlige "påvis[e] vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder". Eftersom en opt-out liste baseret på MAC-adressen teknisk set relativt nemt vil kunne implementeres i et overvågningssystem ala det som bruges i Horsens, er det umiddelbart svært at se hvad sådanne vægtige legitime grunde skulle være.

Ovenstående fire punkter er på ingen måde en fuldstændig beskrivelse af de relevante persondataretlige problemstillinger, som der skal tages hensyn til.

Inden for de kommende år er det i øvrigt meget tænkeligt, at snitfladen mellem e-privacy reglerne (den kommende forordning, der skal afløse e-privacy direktivet, herunder bl.a. cookiebekendtgørelsen) og databeskyttelsesforordningen vil blive anderledes.

Kommissionens forslag indeholder eksempelvis krav om tydelig skiltning ved indgangen til det område, hvor der foretages WiFi overvågning ("You are now entering the surveillance zone called Horsens.."). Europaparlamentets ændringsforslag går i en lidt anden retning. Ingen skilteskov, men til gengæld begrænsning på hvordan WiFi tracking må bruges, og et eksplicit krav om en effektiv opt-out mulighed. Det kunne være et nationalt do-not-track register baseret på MAC-adresser, så der ikke skal gøres indsigelse (opt out) mod alle mulige dataansvarlige.

Men hvor alt dette [artikel 8, stk. 2 i e-privacy forordningsforslaget] ender ved ingen, da Rådets holdning stadig er ukendt.

At der er betydelig regulatorisk usikkerhed ændrer selvfølgelig ikke ved at den til enhver tid gældende lovgivning skal overholdes. Det gælder naturligvis også, når denne lovgivning har til formål at beskytte borgernes rettigheder og frihedsrettigheder.

Herunder retten til fri bevægelighed, som meget vel kan blive påvirket i negativ retning, hvis nogle borgere holder sig væk fra Horsens på grund af en utryghedsskabende overvågning.

Jesper Lund
Formand, IT-Politisk Forening

  • 9
  • 0
Andreas Rasmussen

Interessant læsning! - og Interessant måde at udnytte en uundgåelig glidebane. Det er dog vigtigt, at borgerne bliver inkluderet hvis de skal omfavne disse smart city løsninger som efterhånden bliver implementeret. Frederiksberg brygger på lignende ideer pt. I en meget større skala, og så tracking af alle bevægende wifi-enheder via routere i vejbelysningen.

Hvad skal der til før sådanne løsninger bliver omfavnet af borgerne? Der kommer mange gode ting med det, end kun det negative og for evigt "Overvågning" aspekt folk altid kaster ned over det.

Er der nogle fra Horsens som kan fortælle hvordan kommunen har inkluderet borgerne i dette tiltag?

  • 0
  • 1
Anne-Marie Krogsbøll

Skal Djursland gå fri?
"Inspirationen til dataindsamlingen i Horsens kommer fra Visit Djursland, som siden sommeren 2017 har indhentet den samme type data fra 26 sensorer fordelt på naturområder, attraktioner, feriehusudlejere og byområder.
Ifølge branchemediet Turisme.nu har Visit Djursland i perioden primo juli 2017 til og med uge 42 samme år i alt indsamlet 10 millioner af målinger fra mere end 200.000 unikke gæster."

Det er godt nok mange data og unikke gæster - man bliver nysgerrig på det projekt - som man må formode skal være anmeldt til Datatilsynet. Men jeg kan ikke finde det - det rette søgeord vil ikke dukke op. Kan andre finde projektet?
https://anmeld.datatilsynet.dk/frontend/fortegnelse/default2.asp

Disclaimer: Det er muligt, at det - som hundredevis af andre mere eller mindre kontroversielle offentlige projekter - ligger under en fællesanmeldelse, hvilket gør det meget svært at få indsigt i.

Fællesanmeldelser er noget l.... De er fuldstændigt meningsløse, fordi de simpelthen er formuleret, så de dækker alt - uden yderligere anmeldelse. Men projekter som disse er da nok en åben offentlig diskussion værd - deres totalitære potentiale taget i betragtning. Så sagen illustrerer muligvis rigtigt godt, hvor uheldige fællesanmeldelserne er.

  • 3
  • 0
Log ind eller Opret konto for at kommentere