Blog

Privacyrecht: geen trek in wifi-tracking?

Het privacyrecht is momenteel vooral in het nieuws als een recht dat geen bedrijf lijkt te kunnen respecteren. Toch was er afgelopen week ook ander nieuws, en wel uit onze thuisstad Tilburg. Tilburg stopt namelijk met het doorgeven van data die zij met behulp van wifi-tracking heeft verzameld. Een stap die waarschijnlijk door meer gemeenten en andere instanties zal worden gevolgd.

Wifi-tracking?

Even terug: wat is wifi-tracking? Als wij met onze mobiel in de zak een rondje door de stad lopen, wordt het signaal van onze telefoon door wifi-trackers geregistreerd. Doordat onze telefoon probeert te verbinden met een wifi-tracker (omdat wifi staat ingeschakeld), kan de tracker het signaal van onze telefoon oppikken. Op die manier kan het zogenaamde MAC-adres worden ontvangen. Er bestaan verschillende soorten tracking, maar dat is waar het vaak en simpel gezegd op neerkomt.

Hoe eng dit ook klinkt, wifi-tracking heeft ook voordelen. Door vast te stellen hoeveel mensen (met een telefoon) door de winkelstraat lopen kan er bijvoorbeeld extra personeel worden ingezet op spitsuren of kunnen de openingstijden worden verruimd. Je zou daarom kunnen beargumenteren dat wifi-tracking bijdraagt aan fijn winkelen, omdat winkels zich beter op ons gedrag kunnen afstemmen. Een groot nadeel is uiteraard dat ondernemers precies zouden kunnen weten wie zich op welke locatie bevindt, met de kans dat deze gegevens in verkeerde handen kunnen vallen.

AVG

Sinds de invoering van de Algemene Verordening Gegevensbescherming staat wifi-tracking onder druk. Het verzamelen van gegevens door middel van wifi-trackers kan namelijk waarschijnlijk doorgaan voor een verwerking van persoonsgegevens. Een gegeven is volgens de AVG een ‘persoonsgegeven’ als het informatie is over een geïdentificeerde of identificeerbare persoon.

Ook als een gegeven niet de naam van een specifiek persoon bevat, kan dat al het geval zijn. De wet onderscheidt namelijk twee soorten wijzen waarop persoonsgegevens tot een specifiek persoon te herleiden zijn: indirect en direct. Ook een op het eerste gezicht random nummerreeks, kan in combinatie met jouw locatie en een beveiligingscamera aan jouw identiteit worden gekoppeld.

Van een IP-adres is bijvoorbeeld al voor de komst van de AVG geoordeeld dat dit onder omstandigheden als een persoonsgegeven kan worden gezien, omdat de combinatie van een nummerreeks en de informatie waar een provider over beschikt, leidt tot een specifiek persoon. Nu de AVG in werking is getreden is daar overigens geen discussie meer over, omdat een IP-adres onder de (nieuwe) definitie van het begrip ‘persoonsgegeven’ valt.

Tilburg

Wat deed Tilburg nu precies? De gemeente Tilburg bood in de stad een gratis wifi-netwerk aan, en door middel van dit netwerk konden MAC-adressen en locatiegegevens worden verzameld. Deze gegevens gaf zij vervolgens door aan het Ondernemersfonds, en voor deze gegevens en het gebruik van het netwerk betaalde het Ondernemersfonds een bedrag van 17.000 euro.

In haar besluit van 29 januari schrijft het College dat ze op advies van haar Functionaris Gegevensbescherming heeft besloten de overeenkomst met het Ondernemersfonds te beëindigen wat betreft het doorgeven van gegevens.

Toekomst

Deze zet van de gemeente Tilburg is niet zo gek. Met de komst van de AVG worden er strikte eisen gesteld aan de verwerking van persoonsgegevens. Idee daarbij is dat de technologie zich snel ontwikkelt, we veel gegevens online zetten en recht hebben op bescherming van onze gegevens, net zoals we recht hebben op bijvoorbeeld de eerbiediging van een privé-leven, vrijheid van meningsuiting en het recht op informatie (zie nummer 4 en 6 van de overwegingen van de AVG). Meer specifiek over wifi-tracking zegt de Autoriteit Persoonsgegevens: ”In de openbare ruimte moeten mensen zich onbespied kunnen bewegen.”

In de AVG staat daarom dat er verschillende eisen gelden als een instantie persoonsgegevens wil verwerken. Zo mogen persoonsgegevens verwerkt worden als we voorafgaand toestemming geven. Een tweede mogelijkheid is dat de verwerking nodig is voor de uitvoering van een contract en een derde optie is op grond van een gerechtvaardigd belang. Ook is er nog een vierde uitweg: persoonsgegevens anonimiseren waardoor de AVG niet langer van toepassing is. Hiervoor is vereist dat de gegevens nooit meer aan een persoon te koppelen zijn, en dat is nog niet zo makkelijk.

Omdat het niet erg logisch lijkt dat er grote borden langs de weg worden geplaatst waarop staat dat je toestemming geeft voor wifi-tracking als je straat inloopt, zal het neerkomen op de andere uitzonderingsgronden.

Voorlopig is het dus niet verstandig om gegevens die zijn verzameld aan de hand van wifi-tracking aan ondernemers door te geven, omdat dit hoogstwaarschijnlijk in strijd is met de AVG. Toch is ook duidelijk dat ondernemers vaak alleen willen weten hoevéél mensen er over straat lopen en niet wié. Dat maakt het voorstelbaar dat er manier wordt gevonden waarop wifi-tracking mogelijk blijft en onze identiteitsgebonden locatiegegevens tegelijkertijd niet worden doorverkocht. Zo zijn er plannen voor een volg-me-nietregister, maar die staan nog in de steigers.

Op naar de lekkere track!

Gerelateerde berichten