Sedan drygt sex månader tillbaka kartläggs alla smartphoneanvändare som rör sig i centrala Västerås och har wifi påslaget. Det är svenska Bumbee Labs som på uppdrag av stadens Citysamverkan satt upp ett 20-tal wifi-basstationer runt om i centrum för att få veta hur människor rör sig på gator och mellan butiker.

Med statistiken från Bumbee Labs kan man se hur många som är nya besökare i Västerås centrum, hur många som kommer ofta och hur länge besökarna stannar.

Läs mer: Så skyddar du dig mot statligt spioneri

Tekniken, som kallas IOPS, ger resultat liknande de som brukar tas fram för webbsidor, men skillnaden är att med Bumbee Labs teknik så görs spårningen i den fysiska världen.

Spårningstekniken från företaget och andra leverantörer finns redan i gallerior och butiker runt om i landet, men har nu också hittat ut på stan i större omfattning.

Västerås var först ut i Sverige men i dagarna byggs en dubbelt så stor installation också i Borås centrum och köpcentrumet Knalleland. Där ska dessutom trafiken mellan de båda platserna kartläggas för att få än bättre kontroll över besöksströmmarna i staden.

På kö står sedan enligt Bumbee Labs ytterligare tio till femton städer som vill ersätta gamla metoder att räkna besökare på med nya.

Men Bumbee Labs sätt att spåra människor i stadsmiljö har mött en hel del kritik för att vara ett allt för stort intrång i den privata integriteten. Mattias Åkerman som är teknisk direktör på företaget tycker dock inte att det är något problem eftersom han menar att all information som företaget samlar in är helt anonym och inte kan kopplas till någon enskild person.

– Det vi gör är att vi tar mac-adressen och signalstyrkan från signalen som telefonen sänder ut. Den skickar vi till vår server. Där envägskrypteras mac-adressen och lagras som en hash. Det blir ett unikt id som vi använder för att göra statistik, säger han.

Mac-adressen är ett id-nummer som ska vara unikt för varje pryl med wifi-radio och ger till exempel uppgift om vem som tillverkat det trådlösa nätverkskortet i en apparat.



I Västerås spåras bland annat hur besökare i stadens centrum rör sig.

Bild: Bumbee Labs

Enligt Bumbee Labs kan den envägskrypterade varianten av mac-adressen inte kopplas ihop med någon enskild mobiltelefon i efterhand. Företaget har också vidtagit andra försiktighetsåtgärder för att försvåra identifiering av enskilda personer i sin databas.

– När ett besök sparas så förskjuts tidpunkten för besöket slumpmässigt, säger Mattias Åkerman.

Tanken är att det ska vara svårare att till exempel jämföra företagets id-databas med en film från en övervakningskamera för att koppla samman enskilda individer med ett av Bumbee labs id-nummer. Förskjutningen är plus minus 20 minuter och ska enligt Mattias Åkerman räcka för att skydda enskilda individer.

I går träffade Bumbee Labs Datainspektionen som inlett en granskning av hur tekniken används i Västerås. Bland annat ska inspektionen ta ställning till om de insamlade mac-adresserna ska betraktas som personuppgifter eller inte.

Bumbee Labs anser att de inte är frågan om uppgifter som kan knytas till en viss individ och idag sker ingen gallring av de uppgifter som samlas in i företagets databas. Det betyder att alla som passerat Västerås centrum med påslagen wifi sedan systemet sattes upp finns lagrad i systemet.

– Nyttan med att spara rådatan är att vi inte vet vilka uppgifter en kund kommer att fråga efter, säger Mattias Åkerman.

Men han öppnar också för att spara mindre data eller bara data i form av rapporter om Datainspektionen skulle bedöma att det handlar om personuppgifter.

Markus Bylund är forskare på Swedish institute of computer science, SICS, och specialist på personlig integritet på nätet. Han är inte övertygad om att uppgifterna i Bumbee Labs databas är så anonyma som företaget påstår.

– Om datamängden består av ett antal tidsbestämda positioner med envägshashade mac-adresser så är det inte som Bumbee Labs säger att det är en avidentifierad datamäng. Det är ganska trivialt att koppla den datamängden till individer, säger han.

Han menar att om man får tillgång till databasen så går det att utifrån de rörelser som finns registrerade att koppla Bumbee Labs id-nummer till enskilda personer.

– Om du tittar på datamängden under en månads tid så kommer du att få spår eller en massa rörelsetrådar sett över tiden, säger Markus Bylund.

Genom att studera var trådar börjar och slutar så går det också att koppla dem till enskilda personer enligt honom.

– De flesta människor går till jobbet på morgonen och tittar man över tid så ser man att ett antal trådar med samma hashvärde samanfaller, då är det ganska enkelt att anta att där de här trådarna startar på morgonen och slutar strax där efter där bor och jobbar någon, säger han.

Den informationen kan sedan jämföras med till exempel Eniros eller Hitta.ses databas över adresser och telefonnummer för att identifiera en individ.

Mattias Åkerman på Bumbee Labs säger att han inte tänkt på eller vet om den typen av analys är möjlig på företages databas. Men han är beredd att låta en utomstående forskare ta del av materialet i databasen för att göra en analys, något som Markus Bylund är mycket intresserad av.

– Det skulle vara superintressant om man kunde få en månads rådata från databasen om de nu är så säkra på sin sak, säger han.