Blog

Kritische kanttekening bij beantwoording Kamervragen WiFi-tracking

In mijn eerdere blogbericht heb ik beargumenteerd dat een opt-out van WiFi-tracking, zoals door Minister Kamp geopteerd, onvoldoende is in het licht van de Wet bescherming persoonsgegevens. Kort daarop hebben kamerleden Oosenbrug (PvdA) en De Liefde (VVD) aan Minister Teeven en Minister Kamp Kamervragen gesteld. Uit de beantwoording van deze Kamervragen blijkt nu dat Teeven van mening is dat WiFi-tracking mogelijk zou kunnen zijn op grond van een “gerechtvaardigd belang”. In dit blogbericht zal ik uitleggen dat het antwoord van Teeven niet juist is, althans dat deze genuanceerd zou moeten worden.

De kamervragen van Oosenbrug en De Liefde laten zich kort samenvatten als “Is het toegestaan om WiFi-tracking te gebruiken?”. Teeven antwoord als volgt:

Eigenaren van winkels zijn vrij in het vaststellen van voorwaarden waaronder het publiek gerechtigd is de winkel te betreden, zo lang die voorwaarden redelijk zijn. Tegen deze achtergrond moet ook de verzameling van gegevens door middel van WiFi trackers worden gezien. Op grond van artikel 8, onder f, van de Wet bescherming persoonsgegevens (Wbp) kan de eigenaar van de winkel het verzamelen van deze gegevens aanmerken als een gerechtvaardigd eigen belang, wanneer dit belang opweegt tegen het belang of de fundamentele rechten en vrijheden van de betrokkene, waaronder het belang bij de bescherming van de persoonlijke levenssfeer. Indien het belang van de winkeleigenaar is gelegen in het vaststellen van het aantal bezoekers en het vaststellen van hun verplaatsingsgedrag in de winkel, zonder dat in combinatie daarmee andere persoonsgegevens worden verwerkt, is voorstelbaar dat dit belang in concreto als redelijk kan worden aangemerkt. Daarbij geldt overigens dat ingevolge de artikelen 33 en 34 van de Wbp kenbaarheid aan de verwerking van persoonsgegevens moet worden gegeven. Dit alles kan anders liggen wanneer ook de gegevens van passanten op de openbare weg worden verwerkt. In dat geval ontbreekt de mogelijkheid om voorwaarden te stellen aan toegang tot en verblijf in een winkel en is voor de rechtvaardiging van de verzameling van persoonsgegevens toestemming vereist. De Minister Van Economische Zaken heeft tijdens het algemeen overleg met uw Kamer op 12 februari j.l. aangegeven dit vraagstuk te zullen bespreken met het College Bescherming persoonsgegevens (CBP).

Kort samengevat: het vaststellen van bezoekersaantallen en verplaatsingsgedrag in een winkel kan toegestaan zijn als dit niet in combinatie met andere persoonsgegevens wordt verwerkt, mits de bezoeker daarover wordt geïnformeerd. Verwerken van gegevens van passanten op de openbare weg is niet toegestaan zonder toestemming.

Ik zet daar mijn vraagtekens bij. Allereerst qua feiten: hoe zou het mogelijk kunnen zijn om bezoekersaantallen en verplaatsingsgedrag in een winkel vast te stellen door middel van WiFi-trakcing zonder daarmee andere persoonsgegevens te verwerken? MAC-adressen (=persoonsgegevens) worden immers per definitie verwerkt met WiFi-tracking. Ook is het zonder een zeer nauwkeurige WiFi-jammer niet mogelijk om de gegevens van passanten niet ook te verwerken.

Daarnaast meen ik dat de wettelijke grondslag van artikel 8 onder f Wbp, waar Teeven het over heeft, eigenlijk een restcategorie voor rechtvaardiging van verwerking van persoonsgegevens. Het artikel bepaalt dat persoonsgegevens verwerkt mogen worden:

indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Met andere woorden: de winkel mag de persoonsgegevens verwerken als zijn belang zwaarder weegt dan het privacybelang van de bezoekers (en passanten).

Deze belangenafweging is in de praktijk vaak erg lastig. Wel wordt het gerechtvaardigde belang vaak aanwezig geacht in het geval de betreffende verwerking noodzakelijk is om reguliere bedrijfsactiviteiten (kernactiviteiten) te kunnen verrichten. Direct marketing, marktonderzoek en fraudeonderzoek worden daarbij vaak als voorbeelden genoemd.

De verwerking moet, zoals gezegd, wel noodzakelijk zijn met het oog op het gerechtvaardigd belang van de winkel. Of er sprake is van die noodzakelijkheid kan worden bepaald aan de hand van beantwoording van de volgende vragen:

  1. Is er werkelijk een belang dat de verwerking van persoonsgegevens rechtvaardigt?
  2. Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van wie de gegevens worden verwerkt? Zo ja:
  3. Dient dan (afhankelijk van de ernst van de inbreuk) gegevensverwerking niet achterwege te blijven?
  4. Kan het doel dat met de verwerking wordt nagestreefd ook langs andere weg zonder verwerking worden bereikt?
  5. En is de verwerking in de mate die is beoogd evenredig aan het beoogde doel?

De kans bestaat dat er inderdaad een belang is bij de verwerking van de persoonsgegevens: een winkel wil weten hoeveel mensen er in zijn winkel zijn, zodat daarop bijvoorbeeld het personeelsbeleid kan worden aangepast (lijkt mij een reguliere bedrijfsactiviteit). Antwoord op vraag 1 is dus (meestal): Ja, voor wat betreft bezoekersaantallen. Ik vraag mij af of het volgen van verplaatsingsgedrag een reguliere bedrijfsactiviteit betreft en dus of daarbij een gerechtvaardigd belang is gediend. Ik denk het niet.

De verwerking van gegevens van passanten van de winkel betekenen per definitie een inbreuk op de fundamentele (privacy)rechten van die passanten. Er is immers geen enkel doel voor die verwerking. Antwoord op vraag 2 is dus: Ja. Tenzij de winkel zo slim is om WiFi-Jammers te gebruiken voor de openbare weg (zodat alleen WiFi-signalen binnen de winkel kunnen worden verwerkt).

De ernst van de inbreuk lijkt niet zeer groot, wanneer alleen MAC-adressen worden verwerkt ten behoeve van het tellen van klanten. Zoals aangegeven in mijn eerdere blog ligt het echter voor de hand dat de gegevens niet alleen voor het tellen van bezoekers zullen worden verwerkt. Bovendien is de Artikel 29 Data Protection Working Party van mening dat het verwerken van MAC-adressen een groot risico vormt. De ernst van de inbreuk kan dus weldegelijk groot zijn.

Maar los van de beantwoording van vraag 3 meen ik dat het doel van de verwerking (tellen van bezoekers en volgen van verplaatsingsgedrag in de winkel) ook kan worden nagestreefd langs andere weg zonder verwerking van de MAC-adressen: het aantal bezoekers van een winkel kan ook worden geteld door bij het ontvangstportaal een sensor te plaatsen die ‘telt’ hoeveel mensen er in en uit gaan. Het volgen van verplaatsingsgedrag lijkt mij ook mogelijk met bijvoorbeeld warmtescans. In deze zin faalt een beroep op het gerechtvaardigd belang in mijn optiek.

Ook is het verwerken van zowel gegevens van winkelbezoekers als van passanten niet evenredig aan het nagestreefde doel (tellen van winkelbezoekers, bijhouden van verplaatsingsgedrag van bezoekers): er worden meer gegevens verwerkt dan eigenlijk noodzakelijk is.

Kortom: Ik meen dat het antwoord van Teeven niet “Ja, mits…” moest zijn, maar “Nee, tenzij…”: WiFi-tracking is in het licht van privacywetgeving niet snel te rechtvaardigen. De grondslag “voorafgaande toestemming” lijkt daarom de meest aangewezen weg.

Minister Kamp heeft echter aangekondigd het onderwerp van WiFi-tracking ook te bespreken met het College bescherming persoonsgegevens (Cbp). Gezien de hiervoor al aangehaalde opinie van de Artikel 29 Data Protection Working Party (Opinion 13/2011 on Geolocation services on smart mobile devices) acht ik de kans groot dat het Cbp ook de nodige voorbehouden zal stellen aan een rechtvaardiging van WiFi-tracking. Wordt ongetwijfeld vervolgd.

Gerelateerde berichten

Leave a comment