Een primeur voor de gemeente Enschede: als eerste overheidsinstantie heeft het een boete opgelegd gekregen van de Autoriteit Persoonsgegevens (hierna: AP) van 600.000 euro wegens het in strijd met de AVG gebruikmaken van wifitracking in de binnenstad.[1] Kort na de fikse boete die de gemeente Enschede heeft ontvangen van de AP, heeft ook de gemeente Hengelo besloten om te stoppen met wifitracking.[2] Het is de verwachting dat nog meer gemeenten zullen volgen. Om een idee te geven van de schaal waarop wifitracking wordt ingezet: in 2016 maakten minstens 60 gemeenten gebruik van wifitracking.[3] Wat is wifitracking nou eigenlijk en hoe verhoudt deze techniek zich tot de toepasselijke privacywetgeving?
Wifitracking
Wifitracking is een technologie waarmee met behulp van het signaal van mobiele apparaten mensen gevolgd kunnen worden.[4] Het is gemakkelijk, omdat een telefoon niet verbonden hoeft te zijn met een wifinetwerk om door een sensor getrackt te kunnen worden. Antennes in mobiele apparaten zenden continue signalen uit om met een wifi-hotspot verbinding te kunnen maken. Een sensor vangt deze signalen, inclusief het Media Access Control (MAC)-adres, op en verwerkt het MAC-adres in combinatie met gegevens zoals de signaalsterkte van het geregistreerde wifisignaal, de locatie van de telefoon, de datum en het tijdstip van de meting. Een data-analist kan op basis van deze indirect identificeerbare gegevens zeer nauwkeurige informatie leveren over het aantal apparaten binnen het bereik van de sensor en het bewegingsgedrag van mensen. Voor gemeenten is deze informatie aantrekkelijk.[5] Zij kunnen hun beveiliging en infrastructuur gemakkelijker aanpassen, indien zij een beter inzicht hebben welke plaatsen op welke momenten meer volk aantrekken.[6]
“Antennes in mobiele apparaten zenden continue signalen uit om met een wifi-hotspot verbinding te kunnen maken.”
Persoonsgegevens en de AVG-grondslagen
Een belangrijke vraag die in het kader van wifitracking gesteld moet worden is of er persoonsgegevens worden verwerkt. Als deze vraag bevestigend wordt beantwoord, dan is er sprake van een inbreuk op de privacy van de mensen waarover het gaat.[7] In uitzonderlijke gevallen is het verwerken van persoonsgegevens toegestaan. In de AVG staan een zestal grondslagen die het voor een verwerkingsverantwoordelijke rechtmatig maken om persoonlijke gegevens te verwerken.[8] De alternatieve grondslagen zijn als volgt: a. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens, b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst, c. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, d. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen, e. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag en f. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. De laatste grondslag geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
“In uitzonderlijke gevallen is het verwerken van persoonsgegevens toegestaan. In de AVG staan een zestal grondslagen die het voor een verwerkingsverantwoordelijke rechtmatig maken om persoonlijke gegevens te verwerken.”
Het boetebesluit
De AP is in haar boetebesluit resoluut: de combinatie van MAC-adres en locatiegegevens en de combinatie van gepseudonimiseerd MAC-adres en locatiegegevens kwalificeren als persoonsgegevens in de zin van de AVG.[9] Ook oordeelt de AP dat de grondslag in de Enschede casus ontbreekt. Er bestaat voor de gemeente geen specifieke wettelijke verplichting om wifitracking in te zetten en hoewel de wifitracking wordt ingezet ter invulling van de publieke taken van de gemeente, ontbreekt een specifieke rechtsgrond. De AP stelt dat artikel 160 Gemeentewet te ruim geformuleerd is en ook in de APV zijn geen concretere bepalingen opgenomen. Indien er wel een specifieke rechtsgrond zou zijn, dan stelt de AP dat het noodzakelijkheidsvereiste met zich meebrengt dat er veel minder inbreuk makende manieren zijn dan wifitracking om passanten te tellen. Zo zouden passanten automatisch geteld kunnen worden door infraroodstralen te plaatsen in het winkelgebied. Een beroep op artikel 6 lid 1 sub f slaagt ook niet, omdat overheidsinstanties in het kader van de uitoefening van hun overheidstaken hier geen beroep op kunnen doen.
“Het is geen fijn idee om naar de stad te gaan omdat je trek hebt in een bakje churros wetende dat je gelokaliseerd kan worden.”
Conclusie
Wifitracking kan dus niet zomaar ingezet worden. Ik denk dat gemeenten zich na de openbaarmaking van het boetebesluit van de AP heel hard achter de oren zullen krabben en ik denk dat dit een goede ontwikkeling is. In de huidige samenleving heeft bijna iedereen wel een telefoon op zak. Het is geen fijn idee om naar de stad te gaan omdat je trek hebt in een bakje churros wetende dat je gelokaliseerd kan worden. Mijn tip is om dan ook de wifi functie uit te schakelen als je in een winkelgebied loopt, omdat jouw telefoon dan geen signalen uitzendt die sensoren op zouden kunnen vangen.
Geschreven door: Yassir Rotbi.
[1] Friederike van der Jagt-Vink, Twijfelachtige primeur Enschede: eerste Nederlandse overheidsboete onder de AVG, (mr-online.nl, 5 mei 2021), https://www.mr-online.nl/ap-legt-gemeente-enschede-boete-van-6-ton-op/.
[2] Raymond Korse, Hengelo stopt na boete voor Enschede ook maar even met wifi-tellingen, (tubantia.nl, 30 april 2021), https://www.tubantia.nl/hengelo/hengelo-stopt-na-boete-voor-enschede-ook-maar-even-met-wifi-tellingen~ac13ec73/?referrer=https%3A%2F%2Fwww.nu.nl%2F.
[3] Nu.nl, ‘Nog zeker zestig gemeenten maken gebruik van wifitracking’, (nu.nl, 31 mei 2019) https://www.nu.nl/internet/5916954/nog-zeker-zestig-gemeenten-maken-gebruik-van-wifitracking.html
[4] Wat zegt de AVG over wifi-tracking?, (privacycompany.eu, 31 januari 2019), https://www.privacycompany.eu/blogpost-nl/wat-zegt-de-avg-over-wifi-tracking
[5] Autoriteit Persoonsgegevens, Vragen of wifitracking en bluetoothtracking, (autoriteitpersoonsgegevens.nl), https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/internet-en-telecom#faq
[6] Tim van Caneyt, Big brother in de winkel? – wifi-tracking en de verwerking van persoonsgegevens, (navigator.nl, 28 juli 2016), https://www.navigator.nl/document/id8abd784b9e5b40769e709d1410b7f294?ctx=WKNL_CSL_26
[7] Autoriteit Persoonsgegevens, Mag u persoonsgegevens verwerken?, (autoriteitpersoonsgegevens.nl), https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/mag-u-persoonsgegevens-verwerken
[8] Art. 6 lid 1 sub a tot en met f AVG.
[9] Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete, (autoriteitpersoonsgegevens.nl, 11 maart 2021), https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_ap_gemeente_enschede.pdf