Vermoedens van breder gebruik wifi-tracking

De Autoriteit Persoonsgegevens (AP) beboette Enschede vanwege onrechtmatig gebruik van wifi-tracking en de toezichthouder vermoedt dat meerdere gemeenten dergelijke systemen gebruiken. Omdat tracking meestal niet is toegestaan, hoopt vicevoorzitter Monique Verdier dat gemeenten nog eens goed naar hun systemen gaan kijken. Europese wetgeving is volgens haar heel duidelijk hierover en innovatie is geen reden om privacy te negeren.

Jullie hebben signalen dat behalve Enschede meer gemeenten wifitracking inzetten? Wat voor signalen?

Verdier: ‘Wij krijgen heel beperkt opmerkingen binnen van mensen die zich daar zorgen om maken. Wij denken dat het heel beperkt is omdat het ingewikkeld is te signaleren dat je wordt getrackt. Het zijn vooral degenen die er oog voor hebben, zoals experts en belangenverenigingen. Daarnaast zien wij ook in de media dat wifitracking in meerdere gemeenten wordt ingezet.’

 

‘Los daarvan zijn er leveranciers die dit soort systemen aanbieden, dus zijn er partijen die deze systemen afnemen. Wij vermoeden dat gemeenten dat doen: naar aanleiding van Enschede hebben Hengelo en Breda hun systemen stopgezet en in meerdere gemeenteraden zijn vragen gesteld. De indruk die we hebben lijkt dus te kloppen.’ De AP laat zich niet uit over om hoeveel gemeenten het precies gaat.

 

Wat voor stappen gaan jullie ondernemen?

‘Wij vertellen over het algemeen niet waar wij onderzoek naar doen. Maar ik mag toch hopen dat gemeenten na de publicatie vorige week zich nog even achter oren krabben en hun systemen tegen het licht houden. En daarbij breder kijken dan alleen wifitracking. Goed zorgen voor burgers is goed zorgen voor hun gegevens. Wat wij niet zo goed snappen is dat als een gemeente zegt goed voor burgers te willen zorgen, waarom ze dan ook niet goed zorgen voor hun persoonsgegevens. Het is een grondrecht om vrij en onbespied over straat te gaan.’

 

Waar is de grens tussen totalen tellen en individuen tracken?

‘Tellen mag. We snappen dat gemeenten dat willen doen om drukte te meten, zodat ze bijvoorbeeld kunnen bepalen of ze meer moeten handhaven of dat er meer parkeerterreinen moeten komen. Maar het volgen van burgers mag niet zomaar. Heel vaak horen we dat systemen niet worden ingezet om burgers te volgen, maar om te tellen. Wij zeggen: je bent in overtreding wanneer je persoonsgegevens verwerkt voor een doel waarvoor je die niet mag verwerken.’

 

‘Door te tellen hoeveel telefoons er op een bepaald moment rond een meetkastje zijn, weet je hoe druk het is. Houd je over een langere periode bij welke telefoon langs welk meetkastje komt, dan verandert dit ‘tellen’ in het volgen van mensen. Om te voorkomen dat je toch mensen volgt en de AVG overtreedt, kunnen organisaties in plaats van een volgsysteem beter een telsysteem aanschaffen.’

 

Enschede ‘is van mening dat identificatie van individuen aan de hand van de verwerkte data uit de anonieme wifimeting niet mogelijk is’. Dat klopt volgens jullie niet?

‘Dat klopt volgens ons niet omdat het herleiden tot personen nog wel mogelijk is. Met pseudoniemen is de directe link weg, maar je kunt met andere gegevens wel nog achterhalen wie de personen zijn. En het verweer van de gemeente was: wij hebben de mensen niet gevolgd. Ze hebben het zelf niet bijgehouden, maar ze hebben wel een systeem voor massasurveillance in gebruik. En het gebruik van zo’n systeem is al zware overtreding.’

 

Heeft dat ook te maken met het risico op lekken of hacks?

‘Als je geen gegevens hebt dan loop je geen risico dat ze gestolen worden bij een hack. Daarom is het van belang niet te verzamelen wat niet nodig is.’

 

Enschede vindt zelf dat hun ‘voortrekkersrol’ qua innovatie hiermee wordt bestraft en de VNG benadrukt dat de boete gemeenten niet de durf moet te ontnemen om te innoveren. Is dat een overweging voor jullie?

‘Totaal niet. Wij vinden ook dat wat de gemeente zegt niet klopt. Innovatie brengt heel veel en als je data hebt, kun je geld goed investeren en goede dingen doen. Maar op het moment dat je nieuwe techniek gebruikt of ontwikkelt, moet je privacy een goede plek geven. Zorg voor privacy by design. Innovatie is geen rechtvaardiging om aan de voorkant dan maar niet voldoende naar privacy te kijken.’

 

Komt dit voort uit Europese wetgeving?

‘De boete komt daaruit voort, klopt. Maar privacy is een grondrecht en niet slechts een luxe, al wordt dat vaak wel zo gezien. Europese wetgeving maakt dat we dit soort dingen kunnen beboeten. Wij kijken naar noodzakelijkheid, proportionaliteit en subsidiariteit. Subsidiariteit houdt in dat er moet worden bepaald of er niet een minder ingrijpende manier is om tot hetzelfde resultaat te komen. En als je wilt weten hoe druk het is in de stad dan zijn er zeker andere effectieve manieren die niet zo ingrijpend zijn als het volgen van mensen.’

 

Is het vinden van een goede grondslag voor tracken niet een onmogelijk opgave?

‘Volgens de AVG mag je persoonsgegevens verwerken als je een grondslag hebt. Er zijn er zes, waar toestemming de simpelste is, maar in de praktijk is dat hier natuurlijk niet te doen - dan moet je iedereen in het gebied uitleggen waarom het gebeurt en expliciet toestemming vragen. Er zijn andere grondslagen mogelijk, maar voor wifi-tracken om de drukte te kunnen meten, zal er meestal geen goede grondslag zijn.’

 

Het komt misschien omdat het voor organisaties onduidelijk is wanneer ze (volgens Europese regels) wifi-tracking mogen gebruiken.

‘De AVG is er heel duidelijk over. Het is wel zo dat er nog weinig jurisprudentie is omdat AVG nog niet zo heel lang van kracht is. Maar voor ons is het heel duidelijk. Privacy realiseer je met anonimiteit en een beetje anoniem bestaat niet.’