of 58959 LinkedIn

'Gratis wifi binnenstad risicovol voor gemeenten'

Gemeenten die binnensteden aantrekkelijker maken met gratis wifi moeten goed opletten of zij wel veilig omgaan met de persoonsgegevens die daarbij verwerkt worden. Een wifinetwerk dat niet voldoet aan de eisen van de Wet Bescherming Persoonsgegevens (Wbp) kan in de toekomst boetes opleveren.

Gemeenten die binnensteden aantrekkelijker maken met gratis wifi moeten goed opletten of zij wel veilig omgaan met de persoonsgegevens die daarbij verwerkt worden. Een wifinetwerk dat niet voldoet aan de eisen van de Wet Bescherming Persoonsgegevens (Wbp) kan in de toekomst boetes opleveren, waarschuwt advocaat Pascal Hulsegge van JPR Advocaten.

Gemeenten verantwoordelijk voor publieke wifi

De regels omtrent persoonsgegevens worden met de aankomende privacyverordening en de per 2016 ingaande Meldplicht Datalekken strenger. Een groeiend aantal gemeenten biedt inmiddels gratis wifi aan in de binnensteden, maar vaak worden gebruikers daar niet goed over geïnformeerd en weten gemeenten bovendien niet wat er met de verwerkte persoonsgegevens gebeurt. Een gemeente is echter zelf verantwoordelijk wanneer het misgaat bij de verwerking van deze gegevens, stelt Hulsegge. Maar daarvan zijn zij zich niet altijd bewust.


Gebruikers via MAC-adressen identificeerbaar

'Personen kunnen via het unieke MAC-adres van hun telefoon worden geïdentificeerd. Het Cbp heeft tijdens onderzoek naar Google Streetview geconcludeerd dat MAC-adressen vallen onder de reikwijdte van de Wbp. Je kan met deze adressen zelfs bewegingen van personen in een bepaald gebied registreren. Volgens de Wbp moet hierover goed geïnformeerd worden en dit gebeurt niet. Het is ook niet duidelijk wat er met de verzamelde MAC-adressen gebeurt', zo vertelt Hulsegge. Door de publieke wifinetwerken krijgen gemeenten te maken met de Telecommucatiewet en de bepalingen die de Wet Bescherming Persoonsgegevens (Wbp) geeft. Volgens Hulsegge geven gemeenten bij aanbesteding wel aan dat het netwerk moet voldoen aan de wettelijke eisen, 'maar dat ontslaat ze niet van hun positie als verantwoordelijke.' En dat kan boetes opleveren van maximaal 810.000 euro, al moet een gemeente het wel heel bont maken voor bedragen van die orde.


Opslag persoonsgegevens in kaart brengen
Om aan de wet te voldoen moeten gemeenten de opslag van persoonsgegevens die worden verzameld met een wifinetwerk goed in kaart brengen. ‘Zo is het langer dan noodzakelijk bewaren van gegevens in strijd met de Wbp. Daarnaast wordt het risico op een datalek vergroot als er een langere termijn is waarin onbevoegden beschikking kunnen krijgen over deze gegevens. Ook is het van belang dat bezoekers van een gemeente die geen gebruik willen maken van het wifi-netwerk er op worden geattendeerd dat hun MAC-adres, dat in beeld kan komen omdat telefoons vaak automatisch verbinding maken met een netwerk, toch kan worden verwerkt.’ Aldus Hulsegge.


'Gemeente geen formele opdrachtgevers'
City Wireless is één van de partijen die in samenwerking met onder meer gemeenten gratis wifi aanbiedt in binnensteden, waaronder die van Amsterdam, Den Haag, Delft, Alkmaar en Utrecht. Gemeente Delft geeft aan dat de gemeente een rol speelt bij het project, maar dat Stichting Centrum Management Delft (SCMD) de formele opdrachtgever is. 'De SCMD huurt een gemanagede wifidienst bij de provider City Wireless. City Wireless is een ACM-geregistreerde provider die voldoet aan alle wettelijke bepalingen ten aanzien van het bieden van gratis wifidiensten in de openbare ruimte.' Dat MAC-adressen onder persoonsgegevens gezien worden, beaamt de gemeente. 'Contractueel gezien is City Wireless verantwoordelijk voor het informeren van de gebruikers. Bij het inlogproces op Delft Free Wifi moeten gebruikers de gebruiksvoorwaarden en privacy statement accepteren alvorens ze de dienst kunnen gebruiken.'


'Conform de markt gebruikelijke wijze'

Volgens gemeente Delft heeft de SCMD het inlogproces op het netwerk bekeken en geconcludeerd dat dit ‘conform de in de markt gebruikelijke wijze’ gebeurt en voldoet aan de wettelijke bepalingen. In de voorwaarden en privacy statement staat daarnaast vermeld welke gegevens verzameld worden en wat er met de gegevens gebeurt. De MAC-adressen worden gebruikt door City Wireless om het gebruik van het wifinetwerk te meten. ‘In de rapportagetool is te zien hoeveel gebruikers van het wifinetwerk gebruik maken en of dit unieke gebruikers of nieuwe gebruikers zijn. Daarnaast worden de verkeersgegevens bewaard conform de bewaarplicht uit de telecomwet, maar sinds die niet meer in gebruik is worden deze niet meer bewaard. De SCMD gebruikt de MAC-gegevens in het geheel niet.’

 
Gemeenten niet risicoloos 

Toch gaat Delft niet zonder risico te werk gaat, stelt Hulsegge. Er moet bij de samenwerking in de zin van de Wbp duidelijk naar voren worden gebracht wie verantwoordelijk is. ‘Als het voor burgers onduidelijk is dat SCMD verantwoordelijk is voor de verwerking van persoonsgegevens van het wifi-netwerk zal volgens de Wbp aan de hand van de feitelijke omstandigheden moeten worden bepaald aan wie het uiteindelijk moet worden toegerekend. Het is daarbij doorslaggevend wie uiteindelijk bepaalt of er gegevens worden verwerkt, welke persoonsgegevens worden verwerkt en voor welk doel. Als dat in dit geval de gemeente is, kan zij in dit geval toch als verantwoordelijke worden aangemerkt.’

Verzetten tegen verwerking gegevens
Hulsegge wijst er op dat gebruikers zich moeten kunnen verzetten tegen de verwerking van hun MAC-adressen zonder toestemming, zo niet dan wordt er niet aan de wettelijke verplichting voldaan. ‘Daarnaast is de ‘in de markt gebruikelijke wijze’ juist onvoldoende doordat er over het algemeen niet wordt voldaan aan de informatieverplichting, terwijl het informeren van burgers relatief weinig moeite kost. Zo kunnen Gemeente Delft, City Wireless en SCMD simpelweg de voorwaarden en het privacy statement duidelijk op hun website plaatsen.’

 

Verstuur dit artikel naar Google+

Gerelateerde artikelen

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Jule Hintzbergen (adviseur) op
Er staat bij het kopje: Gebruikers via MAC-adressen identificeerbaar, de volgende zin:

'Personen kunnen via het unieke MAC-adres van hun telefoon worden geïdentificeerd. Het Cbp heeft tijdens onderzoek naar Google Streetview geconcludeerd dat MAC-adressen vallen onder de reikwijdte van de Wbp.

Hier worden appels met peren vergeleken, die uitspraak van het CBP betrof het vastleggen van het mac-adres van een router, de signaalsterkte en de SSID, met name die signaalsterkte wordt gebruikt voor het geoloceren van de router waardoor Google beter kan vertellen waar je je bevind. Dat geoloceren is koppelbaar aan een eigenaar, en daarmee een persoonsgegeven.

In het voorbeeld hier is daarvan geen sprake, dus ik ben wel benieuwd hoe een opgevangen mac-adres een persoonsgegeven wordt.

Terzijde, worden ook verkeersmeet systemen gebruikt die macadressen opvangen en tellen, dat gebeurt op steeds meer plaatsen, is dat dan ook het opvangen van persoonsgegevens?

Hoe zie ik dat in relatie tot deze zin?

Hulsegge wijst er op dat gebruikers zich moeten kunnen verzetten tegen de verwerking van hun MAC-adressen zonder toestemming, zo niet dan wordt er niet aan de wettelijke verplichting voldaan.

Door Nico Dammers op
De vraag is of je je als gebruiker bewust bent dat je door wifi aan te hebben staan je continu gegevens deelt (je macadres) met alle wifi antennes in het bereik van je telefoon. Deze automatische gegevensdeling is een onderdeel van hoe wifi werkt en wifi antennes doen niets met deze gegevens van willekeurige telefoons tenzij je wat met deze gegevens wilt doen als eigenaar van een wifi antenne. Een wifi dienst die bedoelt is om bezoekers gratis internet te bieden zal pas gegevens gaan verwerken als een telefoon aanlogt op de de wifi antenne. In de openbare ruimte moet je (op een open wifi dienst) hiervoor gebruiksvoorwaarden en een privacy statement aan de gebruiker presenteren zodat een gebruiker op de hoogte is (en instemt met) wat er met deze gegevens gebeurd.
Anders is het bij wifi antennes die deze automatische gegevensdeling van een telefoon gebruiken om bijvoorbeeld passanten te tellen of loopstromen te meten. Deze diensten maken van de automatische gegevensdeling gebruik om inzicht te krijgen in bijvoorbeeld loopstromen door een gebied of voor crowd control.

In het geval een wifi dienst in een gemeente wordt aangeboden om bezoekers gratis internet te bieden als onderdeel van een gastvrije binnenstad lijkt het mij niet de taak van de gemeente om alle bezoekers te informeren dat wifi automatisch aan gegevensdeling doet maar dat er niets met die gegevens wordt gedaan. Dat zou meer een taak moeten zijn van de leverancier van de mobiele telefoon denk ik.

Als een gemeente wifi technologie gebruikt om loopstromen e.d. te meten dan dient dit wel goed gecommuniceerd te worden. Bij mijn weten zijn alle aanbieders van dergelijke diensten zich daar goed van bewust sinds de ophef over Dixons en zijn er ook genoeg technieken beschikbaar om dit te doen zonder de privacy regels te overtreden. Er is zelfs al een website waar je als gebruiker aan kan geven dat je macadres niet gebruikt mag worden voor dergelijke doeleinden. Hier meer bekendheid aan geven lijkt me een erg goed plan! Misschien een onderwerp voor een nieuw artikel?
Door george op
Het wordt tijd voor concurrentie op het aanbieden van gratis wifi in binnensteden met als inzet: verwerking van de persoonsgegevens.