Eerder berichtten we al over wifi-tracking en het juist anonimiseren van bezoekers: het volgen van vooral winkelend publiek door middel van een signaal dat door smartphones wordt afgegeven (het zogenaamde MAC-adres). De technologie is handig voor winkeliers die bijvoorbeeld willen weten hoeveel mensen precies hun winkel bezoeken, hoe lang ze binnen blijven, welke producten ze langer bekijken en waaraan ze voorbijlopen. Ze kunnen daarnaast hun personeel beter inzetten waar dat het hardst nodig is, zodat de wachttijden voor klanten korter kunnen worden. Voor de privacy kan wifi-tracking echter een risico zijn (niet alleen voor mensen die zich in een winkel bevinden, maar ook toevallige passanten of buurtbewoners).
In de EU ligt momenteel een voorstel voor een ‘e-Privacyverordening’ (EPV), die van toepassing is op deze manier van volgen van klanten (naast andere aspecten van privacy en internet, zoals cookies). Deze EPV wijkt op een aantal punten af van de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing zal zijn in de gehele EU.
De mening van WP29
De Europese privacytoezichthouders werken samen in de Artikel 29-werkgroep (WP29). Vanzelfsprekend heeft WP29 een mening over de voorgestelde nieuwe e-privacy-regels, zij heeft daarom een document hierover gepubliceerd. Over het algemeen is de toon die WP29 hierin aanhoudt positief, maar zij plaatst ook een aantal kritische kanttekeningen. Eén daarvan gaat over wifi-tracking, waarop dit artikel nader ingaat.
WP29 is van mening dat voor wifi-tracking even strenge eisen moeten zijn als de AVG stelt. De toezichthouders zijn kritisch over dat voor wifi-tracking geen toestemming nodig lijkt te zijn in het huidige EPV-voorstel: daarin lijkt het genoeg te zijn om een mededeling te plaatsen dat je bijvoorbeeld je wifi-functionaliteit uit moet zetten wanneer je niet gevolgd wilt worden. Terecht wordt opgemerkt dat dit in strijd is met de doelstelling van de Europese Commissie om snel mobiel internet tegen een lage prijs toegankelijk te maken.
Toestemming nodig voor wifi-tracking?
De ene vorm van wifi-tracking is een minder grote inbreuk op de privacy dan de andere. Een hoger risico bestaat bijvoorbeeld bij het gedurende langere tijd volgen van mensen. Onder de AVG zou voor wifi-tracking meestal toestemming vereist zijn, behalve – zoals WP29 uitlegt – in een aantal uitzonderingsgevallen. Bijvoorbeeld wanneer je alleen het aantal bezoekers telt in een ruimte, of de wachttijd meet, en de data meteen na ontvangst worden geanonimiseerd. Of wanneer je gegevens puur voor statistische doeleinden gebruikt, ze daarna meteen weggooit of anonimiseert, en er een effectieve opt-out aan gebruikers wordt geboden.
Hoe kun je toestemming geven voor wifi-tracking, of juist niet?
Hoe zou je dan als bezoeker van een winkel kenbaar moeten maken dat je er geen prijs op stelt gevolgd te worden via wifi-tracking? En hoe bied je als bedrijf je klanten de mogelijkheid dit aan te geven? Ook WP29 ziet hier nog enkele praktische problemen. De privacywaakhonden doen daarom een oproep aan de Europese wetgever: die zou moeten stimuleren dat er technische standaarden worden ontwikkeld die het mogelijk maken om automatisch een signaal uit te zenden dat je bezwaar maakt tegen wifi-tracking.
WP29 noemt ook enkele voorbeelden van manieren om juist wél toestemming te verkrijgen. Bijvoorbeeld door middel van een app die gebruikers uitnodigt om toe te staan dat hun locatie wordt gevolgd in specifieke gebieden in ruil voor bepaalde aanbiedingen, door check-in-punten op bepaalde locaties, of door een toestemmingsmodule in wifi-hotspots.
De e-Privacyverordening is nog niet definitief. Het blijft daarom nog even afwachten hoe wifi-tracking in de toekomst het beste op juridisch correcte wijze kan worden vormgegeven.
Meer weten over privacywetgeving?
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
