De Autoriteit Persoonsgegevens (AP) heeft op 29 april 2021 bekend gemaakt een boete te hebben opgelegd aan de gemeente Enschede van 600.000 euro, omdat de gemeente wifitracking gebruikte in de binnenstad op een manier die niet mag. De gemeente heeft namelijk zonder grondslag persoonsgegevens verwerkt van de eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld in de binnenstad van Enschede.[1] Door de wifitracking was het mogelijk om winkelend publiek en mensen die in de binnenstad werken of wonen te volgen. De gemeente Enschede heeft hiermee de primeur: het is de eerste overheidsinstelling die een boete opgelegd krijgt van de AP.
Wifitracking in Enschede
In 2017 is de gemeente Enschede begonnen met het meten van de drukte in de binnenstad via sensoren. Hiervoor huurde de gemeente een bedrijf in, dat is gespecialiseerd in het gebruik van wifi-signalen. In de winkelstraten werden meetkasten geïnstalleerd, die de wifisignalen van mobiele telefoons opvingen van passerende mensen. Alle telefoons werden vervolgens apart geregistreerd, met ieder een unieke code. Door het tellen van het aantal telefoons, dat op een bepaald moment rond een meetkastje is, weet de gemeente steeds hoe druk het is. De AP merkt hierover op, dat indien dit over een langere periode plaatsvindt, dit tellen verandert in het volgen van mensen.
De AP stelt dat hier sprake van was in de binnenstad van Enschede. De privacy van burgers werd niet voldoende gewaarborgd, omdat zij gevolgd konden worden zonder dat dit noodzakelijk was. De AP stelde overigens vast, dat het niet de bedoeling was om individuen te volgen, ook heeft de AP geen aanwijzingen gevonden, dat dit daadwerkelijk gebeurd is. Desalniettemin is het inzetten van wifitracking dat het volgen van mensen mogelijk maakt op zichzelf al een ernstige overtreding van de AVG. De overtreding begon in mei 2018. De interventie van de AP in mei 2020 was de aanleiding voor de gemeente om te stoppen met wifi-tracking.
Persoonsgegevens en anonimiseren
De in de winkels geïnstalleerde sensoren verzamelden de voor iedere telefoon unieke MAC-adressen, naast de tijd en signaalsterkte. Deze gegevens werden steeds aan het einde van de dag in een tabel opgeslagen. Het MAC-adres werd daarbij steeds gepseudonimiseerd, maar wel altijd op dezelfde manier. Gedurende het project werd besloten om het gepseudonimiseerde MAC-adres af te knippen. Hierdoor zou het afgeknipte MAC-adres volgens de gemeente niet meer kwalificeren als persoonsgegeven. De AP ging hier echter niet in mee, zij stelde dat de gekozen anonimiseringsmethode van het alleen afknippen van een klein gedeelte van het gepseudonimiseerde MAC-adres onvoldoende de risico’s op herleidbaarheid, koppelbaarheid en deduceerbaarheid uitsluit en dat de gegevens daarom kwalificeren als persoonsgegevens.
Een dag na de bekendmaking van het boetebesluit, publiceerde de AP een blogpost over praktische problemen bij het afknippen van hashes. De AP stelt bij onderzoeken regelmatig te maken te krijgen met organisaties die aangeven dat zij anonieme gegevens verwerken, doordat de gegevens ‘gehasht of afgeknipt’ zijn. De AP constateert echter dat organisaties hier in de praktijk vaak fouten bij maken.
Wifi tracking altijd verboden?
De inzet van wifitracking is aan strenge eisen verbonden en is in de meeste gevallen verboden. Al in 2016 had de AP aan Bluetrace een last onder dwangsom opgelegd omdat Bluetrace via wifitracking in strijd handelde met de toenmalige Wet Bescherming persoonsgegevens. Met wifitracking worden persoonsgegevens verwerkt. Dit betekent dat er moet worden voldaan aan de Algemene Verordening Gegevensbescherming (AVG). In artikel 6 van de AVG staan de zes grondslagen genoemd. Hiervan komen 3 grondslagen mogelijk in aanmerken voor wifitracking: toestemming, overeenkomst en gerechtvaardigd belang. Of wifitracking op één van deze grondslagen gebaseerd kan worden, hangt af van de specifieke situatie.
Andere organisaties dan bedrijven, zoals gemeenten, kunnen via wifitracking persoonsgegevens verwerken, indien dit noodzakelijk is om hun taak uit te voeren. Bijvoorbeeld het bewaken van de openbare orde en/of het handhaven van de veiligheid in de stad.
Gemeenten mogen wifitracking alleen toepassen onder strikte voorwaarden. Zo moet de gemeente daar een zelfstandige wettelijke grondslag voor hebben. Daarnaast mag de wifitracking alleen plaatsvinden in precies omschreven gebieden, waarin het echt nodig is.
Eerdere waarschuwing
In 2016 wees de AP winkels en gemeenten overigens al eerder op de wettelijke eisen die gelden wanneer zij gebruik maken van wifitracking.[2] De AP ontving destijds regelmatig signalen van mensen die zorgen hadden over de impact van de wifitracking op hun privacy.
De gemeente heeft inmiddels bezwaar aangetekend maar heeft nog niet inhoudelijk gereageerd.
Overigens lijkt de AP meer gemeentes in het vizier te hebben die de privacyregels onvoldoende naleven. Zo stelde de AP onlangs een gemeente onder verscherpt toezicht. In plaats van een boete krijgt deze gemeente nog de kans om alsnog aan de privacyregels te voldoen.
Meer weten? Neem dan vrijblijvend contact op met een van de leden van het privacy team.
[1] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_ap_gemeente_enschede.pdf
[2] https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-wijst-winkels-en-gemeenten-op-voorwaarden-wifitracking