Wifitracking door gemeente leidt tot boete
Een interessant besluit van de Autoriteit Persoonsgegevens over Wifitracking. De Autoriteit Persoonsgegevens (AP) heeft de gemeente Enschede een boete van 600.000 euro opgelegd wegens Wifitracking. Evenals een aantal andere gemeenten maakt de gemeente Enschede gebruik van Wifitracking. Dit als onderdeel van een aantal smart-city projecten die de gemeente uitvoert.
Hoe wordt de Wifitracking uitgevoerd?
De AP heeft vastgesteld dat er elf, zogenaamde sensoren hangen bij verschillende winkeliers in de binnenstad van Enschede. Elke sensor heeft een bereik tot 20 à 30 meter (in potentie zelfs zo’n 70 meter). Hiermee wordt de Wifitracking uitgevoerd.
De sensoren hebben van alle binnen het bereik komende mobiele apparaten waarop de wifi stond ingeschakeld het MAC-adres, signaalsterkte, datum en tijdstip opgevangen en tijdelijk opgeslagen.
Deze opslag duurde zolang het apparaat zich binnen het bereik van de sensor bevond plus twee minuten. Ook constateert de AP dat de sensoren continue scannen. Verder heeft de AP vastgesteld dat er van elk gedetecteerd apparaat bij binnenkomst en twee minuten na vertrek uit het bereik van de sensor realtime gegevens zijn verzonden naar een centrale server.
Welke informatie kan de Wifitracking prijsgeven?
Uit de informatie die is vastgelegd zijn leefpatronen te destilleren, zo stel de AP vast. De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens zoals bezoeken aan medische instellingen.
Zijn de gegevens voldoende geanonimiseerd of gepseudonimiseerd?
De leverancier van het systeem geeft aan dat het systeem geen persoonsgegevens bevat. Als anonimiseringsmethode wordt het afknippen van een klein gedeelte van het gepseudonimiseerde MAC-adres gebruikt. Dit resulteert erin, aldus de leverancier, dat de code niet herleidbaar, koppelbaar en identificeerbaar is naar een uniek apparaat.
Zijn de verkregen gegevens persoonsgegevens?
De AP is van mening dat het MAC-adres, in combinatie met de gegevens over de locatie en tijd van registratie, een persoonsgegeven is. Er wordt namelijk vastgesteld op welke plaats er een bepaalde mobiele telefoon is geweest. Een mobiele telefoon is gekoppeld aan één persoon omdat bekend is dat deze zeer persoonlijk wordt gebruikt en maar nauwelijks wordt uitgeleend.
De AP motiveert verder dat de identificatie is te maken door de betrokkenen te vragen naar het MAC-adres of door de verkregen informatie met camerabeelden te combineren. Ik lees overigens niet terug of er daadwerkelijk ook camera’s zijn opgesteld. Het vragen naar MAC-adressen vind ik trouwens wel heel mooi gevonden, maar is dat niet wat vergezocht?
Ook kan de identificatie worden herleid naar een gebruiker. Bijvoorbeeld wanneer een MAC-adres zich de gehele dag in een winkel ophoudt is de kans groot dat de persoon hier werkt.
Een geldige verwerkingsgrondslag voor Wifitracking?
Het college stelt dat de passantentelling nodig is om inzicht te krijgen in diverse aspecten die voor de gemeente van belang zijn bij het opstellen en uitvoeren van haar beleid. Wifitracking is nodig om invulling te geven aan de publieke taak, zo stelt de gemeente. Deze publieke taak volgt volgens het college uit art.160 Gemeentewet.
De AP gaat niet mee in deze beredenering: “Een burger kan onvoldoende uit artikel 160 Gemeentewet opmaken welke op zijn privéleven betrekking hebbende gegevens met het oog op de vervulling van deze overheidstaak kunnen worden verzameld en vastgelegd, en onder welke voorwaarden die gegevens met dat doel kunnen worden bewerkt, bewaard en gebruikt.”.
Het college kan de verwerking ook niet baseren op het gerechtvaardigd belang of een wettelijke plicht. Het college, zo geeft de AP aan, heeft geen verwerkingsgrondslag voor de wifitracking. Daarnaast is ook niet gebleken dat de metingen noodzakelijk zijn en dat hetzelfde resultaat niet met minder vergaande middelen kan worden bereikt. Hiermee handelt het college in strijd met artikel 5 sub a en artikel 6 van de AVG.
Is de gemeente verwerker of verwerkingsverantwoordelijke?
De gemeente stelt dat zij beperkt verwerkingsverantwoordelijke is. De gemeente is van mening dat de leverancier van het systeem voor Wifitracking alle technisch relevante keuzes maakt.
De AP gaat hierin niet mee. De AP motiveert dat het bepalend is welke partij het doel van de verwerking bepaalt. De middelen zijn slechts secundair van belang. Het doel is in deze kwestie duidelijk door de gemeente zelf bepaald. Ook van een gezamenlijke verantwoordelijkheid is geen sprake, zo geeft de AP aan. De leverancier heeft volgens de AP geen invloed op het doel van de verwerking, hooguit op de middelen.
De AP stelt hiermee vast dat de gemeente de verwerkingsverantwoordelijke is.
Boete voor Wifitracking
Bij de vaststelling van de boete let de AP erop dat hier sprake is van het indringend en langdurig volgen van burgers. De hoogte van de boete bedraagt in totaal € 600.000. Dit bedrag is opgebouwd uit een basisboete van € 525.000 en een verhoging van € 75.000. Dit op grond van de beleidsregels van de AP inzake boetes. De gemeente Enschede heeft bezwaar aangetekend.
Interessante uitspraak
Het besluit van de AP is erg interessant om eens door te nemen. In het besluit wordt inhoudelijk ingegaan op de vraag of bepaalde technieken voor het anonimiseren en pseudonimiseren van persoonsgegevens toereikend zijn. Ook komt de discussie inzake (gedeelde) verwerkingsverantwoordelijkheid aanbod en wordt er ingegaan op de verwerkingsgrondslag. Daarnaast komt ook de rol en aanpak van de leverancier van het systeem voor Wifitracking ruimschoots aan bod.