“Bluetrace beëindigt overtredingen wifitracking na optreden AP”, kopt het nieuwsbericht van de Autoriteit Persoonsgegevens (AP) op 20 april 2017. Op 29 april 2021, vier jaar later kopt de AP een soortgelijk nieuwsbericht. Weer wifitracking, maar nu een andere organisatie: “Boete gemeente Enschede om wifitracking”. De gemeente moet een bedrag van € 600.000 betalen.
Onrechtmatige wifitracking door Enschede
Wat is hier nu gebeurd? Om inzicht te krijgen in de bewegingen van personen in de binnenstad heeft de gemeente gebruik gemaakt van wifitracking. De gemeente Enschede maakte gebruik van 11 sensoren met een reikwijdte van 20 tot 30 meter. Deze sensoren hebben van alle binnen het bereik komende mobiele apparaten waarop de wifi stond ingeschakeld de volgende gegevens tijdelijk opgeslagen: het MAC-adres, signaalsterkte, datum en tijdstip. Hierover werd bij de AP in 2018 een klacht ingediend.
De AP oordeelt dat deze verwerking onrechtmatig is. De Algemene verordening gegevensbescherming (AVG) schrijft namelijk voor dat elke verwerking van persoonsgegevens een rechtmatige grondslag moet hebben. Anders is het, u raadt het al, onrechtmatig.
De persoonsgegevens-formule
De gemeente Enschede betoogt dat de betrokken gegevens geen persoonsgegevens waren. Het MAC-adres werd namelijk gepseudonimiseerd, en ook nog opgeknipt! Niet direct of indirect herleidbaar naar een natuurlijk persoon, aldus de gemeente.
De AP denkt hier anders over. De combinatie (pseudonieme identificator + datum en tijd + locatie) is een persoonsgegeven. Doordat dezelfde identificator keer op keer langskomt, is het tracken van personen dus mogelijk. De AP concludeert dat uit de gehashte gegevens ook leefpatronen gedestilleerd kunnen worden die op zichzelf te herleiden zijn tot een individu.
Als leefpatronen van een telefoonhouder duidelijk zijn, kan gemakkelijk door de organisatie die de metingen uitvoerde (deze partij is vertrouwelijk gebleven), een individu worden geïdentificeerd. Als je weet waar een telefoonhouder zich op een bepaald moment bevindt, kan je namelijk realtime (dit betekent letterlijk de deur uit gaan en naar iemand kijken, een vergeten hobby in het digitale tijdperk) iemand identificeren. Dit kan ook door het gebruik van camera’s, die de organisatie tot haar beschikking had.
De AP concludeert dus dat de gemeente Enschede met de wifitrackingen persoonsgegevens verwerkt. De gemeente Enschede is verwerkingsverantwoordelijke, en heeft geen rechtmatige grondslag om deze gegevens te verwerken. Zij kan zich namelijk niet beroepen op de grondslag gerechtvaardigd belang bij het uitvoeren van haar gemeentelijke overheidstaken. De tweede en laatste optie voor een grondslag is voor de gemeente de uitvoering van een wettelijke taak. De AP concludeert dat de gemeente gemakkelijk een minder ingrijpende manier had kunnen gebruiken om dezelfde inzichten te vergaren.
Enschede doet afbreuk aan het vertrouwen in de overheid
De AP peurt nog even lekker verder in de wond van de gebeten hond genaamd Enschede en maakt duidelijk dat de gemeente Enschede de kern van de bescherming van de persoonlijke levenssfeer van het individu schendt. Haar verwerking doet afbreuk aan het gevoel van de burger om zich in het openbaar onbespied te wanen en aan het vertrouwen in de overheid. Bovendien vond deze inbreuk op structurele wijze plaats en duurde voor een langere periode voort.
Déjà vu?
Vroeger, in 2017, toen de AP nog CBP heette en de handhaving louter uit een afschrikbrief bestond, heeft de AP al uitgelegd dat dit een dergelijke verwerking van persoonsgegevens betreft, en dat dit niet de bedoeling is. In ieder geval niet zonder het goed in te regelen. “Indien Bureau RMC/[VERTROUWELIJK] alle bedoelde technische maatregelen goed hadden uitgevoerd dan was er geen sprake van tracking.”, zegt de AP nu, nog een keer.
De les die hieruit te trekken is dat u, u als organisatie bij voorbaat goed kan laten informeren. Vraag advies van goede specialisten, niet alleen binnen gegevensbescherming en privacy maar ook op het gebied van cybersecurity en IT, en voer de actiepunten die daaruit voortvloeien direct uit.
Bent u bezig met een nieuwe verwerking of toepassing van data en wilt u voorkomen dat uw bedrijf in april 2024 “Wifitracking burgers levert boete op voor Big Brother 3.0”, kopt op de website van de AP? Neem vrijblijvend contact met ons op.
