Autoriteit Persoonsgegevens: mensen volgen met wifi-tracking mag bijna nooit
De Autoriteit Persoonsgegevens (AP) heeft zich op het standpunt gesteld dat het volgen van mensen in de (semi-)openbare ruimte met gebruik van wifi- en bluetooth-tracking slechts in zeer weinig gevallen is toegestaan. Op de
website van de privacytoezichthouder is recent nadere uitleg over de normen voor wifi-tracking gepubliceerd.
Wat is wifi-trackingtechnologie?
Wifi-tracking werkt, kort gezegd, als volgt: iedere smartphone stuurt (wanneer de wifi-functionaliteit op het apparaat is ingeschakeld) continu een signaal uit dat een uniek identificatienummer (het MAC-adres) bevat. Door het opvangen van dit signaal kunnen partijen in kaart brengen waar een telefoon – en dus een persoon – zich bevindt. Veel bedrijven en gemeenten gebruiken wifi-tracking voor verschillende doeleinden. Zo maakt de technologie het mogelijk loopstromen in winkel(straten) in kaart te brengen en kan worden bepaald hoeveel mensen zich op een bepaald moment op een bepaalde plek bevinden. Deze informatie is privacygevoelig: locatiegegevens in combinatie met een uniek identificatiegegeven kunnen iets zeggen over de gewoonten en gedragspatronen van een persoon.
Mogelijke verwerkingsgrondslagen
Bij het gebruik van wifi-tracking worden persoonsgegevens verwerkt. Voor een verwerking van persoonsgegevens moet op grond van de Algemene verordening gegevensbescherming (AVG) een verwerkingsgrondslag bestaan. De AP geeft aan dat voor het gebruik van wifi-tracking door private partijen, in theorie, de volgende verwerkingsgrondslagen in aanmerking komen:
- toestemming;
- een gerechtvaardigd belang; of
- het uitvoeren van een overeenkomst.
In de praktijk (en technisch gezien) is het verkrijgen van toestemming echter lastig uitvoerbaar. Ook een beroep op de grondslag gerechtvaardigd belang (bijvoorbeeld een commercieel belang) is vaak niet mogelijk. AP-bestuursvoorzitter Aleid Wolfsen
zegt daarover:
“Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”
Wanneer er wel een gerechtvaardigd belang bestaat om wifi-tracking te gebruiken, moeten partijen waarborgen treffen om ongewenste gevolgen voor betrokkenen te voorkomen of beperken (zoals het direct anonimiseren van gegevens, het op elke meetlocatie op een andere wijze
hashen van gegevens, het beperken van metingen in tijd en ruimte en het bieden van een opt-outmogelijkheid).
Het toepassen van wifi-tracking om een overeenkomst uit te voeren lijkt ook niet snel aan de orde. Wifi-tracking gebeurt veelal op passieve wijze; er ligt niet vaak een overeenkomst aan ten grondslag.
In tegenstelling tot private partijen kunnen gemeenten wifi-tracking alleen gebruiken wanneer dit noodzakelijk is om hun (publieke) taak uit te voeren. Deze taak kan bijvoorbeeld het bewaken van de openbare orde zijn, of het handhaven van veiligheid in de stad.
Ook cookieregels kunnen op wifi-tracking van toepassing zijn
De AP stelt dat, afhankelijk van de manier waarop wifi- of bluetoothsensoren zijn ingesteld, op wifi-tracking – naast de AVG – ook ‘cookieregels’ van toepassing kunnen zijn. De regels voor cookies en vergelijkbare online en offline volgtechnieken zijn vastgelegd in art. 11.7a Telecommunicatiewet (Tw). Uit dit artikel volgt dat gegevens alleen na toestemming en voorafgaande informatie van randapparatuur (zoals telefoons) mogen worden uitgelezen.
Onze kantoorgenoot
Martijn Poulus deed eerder onderzoek naar de mogelijke toepasbaarheid van art. 11.7a Tw op wifi-tracking en publiceerde over dit onderwerp een artikel in het tijdschrift
Computerrecht. Het artikel is
hier te lezen.
Hashing leidt vaak niet tot anonimisering van gegevens
In de praktijk bestaat het idee dat het hashen van MAC-adressen ertoe leidt dat bij wifi-tracking geen persoonsgegevens worden verwerkt (en de AVG niet van toepassing is). De AP geeft aan dat dit niet klopt. Slechts wanneer MAC-adressen daadwerkelijk worden geanonimiseerd, bijvoorbeeld door het hashen van de gegevens in combinatie met andere maatregelen en waarborgen, is de AVG niet (meer) op wifi-tracking van toepassing.
Conclusie
De AP heeft een duidelijk standpunt ingenomen ten opzichte van wifi-tracking: het mag alleen bij hoge uitzondering. Het laatste (gepubliceerde)
onderzoek van de AP naar wifi-tracking stamt uit 2015. De strenge toon in de onlangs gepubliceerde normen over wifi-tracking doet vermoeden dat de AP in de toekomst mogelijk weer gaat handhaven. Bedrijven en gemeenten zullen de wijze waarop wifi-tracking wordt gebruikt in lijn moeten brengen met de strenge eisen die daarvoor gelden.