Volgen van telefoongebruikers met wifi-tracking mag alleen bij uitzondering

De Nederlandse Toezichthouder laat weten dat het volgen van mensen in openbare ruimten via wifi-tracking alleen bij hoge uitzondering is toegestaan, las ik bij Tweakers. Dergelijk volgen is een diepe inbreuk op de privacy, en onder de AVG zal het niet meevallen daar een degelijke en rechtmatige motivatie voor te geven. Toestemming valt sowieso af, en de belangenafweging bij het eigen legitiem belang zal -aldus de toezichthouder- slechts in uitzonderlijke gevallen in het voordeel van de wifivolger uitpakken.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen. Daarmee kun je locatie of zelfs gedrag van personen bijhouden, wat handig kan zijn om bv. de effectiviteit van de schappen in je winkel te bepalen.

Dergelijk volgen is natuurlijk een vorm van verwerken van persoonsgegevens. Je houdt bij waar iemand is, en koppelt daar informatie aan. Natuurlijk weet je niet hoe die persoon heet of hoe hij of zij te bereiken is, maar dat maakt onder de AVG niet uit. Het door jou toegekende rugnummer (bv. een hash van het MAC-adres van de telefoon) is de identiteit van die persoon. Dat getal is immers genoeg voor jou om iets te doen met die persoon, dus daarmee heb je die persoon geïdentificeerd.

Als je persoonsgegevens verwerkt, dan moet je daar een grondslag voor hebben. De meeste mensen denken dan aan toestemming, maar in de praktijk heb je daar bar weinig aan. Er gelden zware voorwaarden om die te krijgen, en hij is zo in te trekken zonder dat je daar consequenties aan mag verbinden. En een bordje bij de ingang “U wordt gevolgd” is géén manier om toestemming te krijgen.

In de praktijk zul je het dus moeten gooien op wat heet een eigen legitiem belang. Een belang dat maatschappelijk aanvaard is, zoals beveiliging of marketing, en waarbij je ook nog eens kunt laten zien dat in jouw geval dit zwaarder weegt dan de privacy van de mensen die je volgt.

De AP suggereert in het persbericht dat zo’n belang niet snel op zal gaan:

Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende methoden om hetzelfde doel te bereiken, zonder schending van de privacy.

Dat is inderdaad formeel de toets van de belangenafweging, kan het met minder en kan het ook anders. Als dat zo is, dan moet het anders. Ik moet wel zeggen dat ik weinig andere manieren kan bedenken om te meten hoe groepen mensen zich gedragen op een terrein, in ieder geval met ongeveer dezelfde effectiviteit en inzichtelijkheid.

Voor gemeentes en andere overheden is de AP nog strenger: die mogen zich van de AVG namelijk niet op zo’n eigen belang beroepen. Een gemeente moet een wettelijke regeling hebben uitgewerkt waarin staat wat men meet, waarom en voor hoe lang. Dat kan bijvoorbeeld in de APV.

De bezorgdheid achter deze opstelling lijkt te zijn dat bedrijven daarmee die mensen vervolgens commercieel gaan profileren – u loopt hier al de hele dag, u wilt nu water kopen, we doen de prijs even drie keer over de kop. Dat voelt wat voorbarig, voor zover ik weet gaat het op dit moment eigenlijk alleen om testen waar mensen graag willen zijn en welke stands, reclames en dergelijke goed bevallen. Dat lijkt me meer een statistisch onderzoeksdoel dan een plat commercieel doel. Maar ik kan me vergissen.

Arnoud

17 reacties

  1. Dit voelt als een fantastische ontwikkeling. Hopelijk wordt het nu wat minder met al dat WiFi-tracking… zeker als je niet eens gebruikt maakt van potentiële WiFi aanbiedingen, zoals gratis internet.

    Met betrekking tot het ‘statistisch onderzoeksdoel’ vs. ‘plat commercieel doel’; dat verschil zit hem alleen in de mate van commercialiteit. Direct al het water duurder maken als iemand dorst heeft, is het enorm overtrokken maar duidelijke voorbeeld.

    Wat uiteindelijk gebeurd is dat het statistische onderzoek het mogelijk maakt om dit juist over een grote massa subtiel te aan te pakken; we gaan in dit seizoen het water subtiel duurder maken en vervolgens aanbiedingen doen om het goedkoper te laten lijken. Zelfde effect (meer verkoop en geld van de consument), maar een stuk minder vatbaar als eng voorbeeld.

    Wat je kan met bergen statistische data is enger dan het platte ‘En NU is je water duurder! Hah!’

  2. Waar zit het verschil eigenlijk in tussen Analytics op je website en tracking via WiFi? Het ene mag wel en doet iedereen, het 2e is nu een stuk lastiger, beide doet ongeveer hetzelfde, namelijk semi-anoniem laten zien waar en hoe lang iemand is en wat ze evt doen, zodat je die data weer voor allerlei doeleinden kan gebruiken.

    1. Volgens mij vooral in dat het ene al maatschappelijk geaccepteerd is én dat er maatregelen tegen te nemen zijn (cookies blokkeren). Maar vooral die acceptatie. Nieuwigheden zijn immers per definitie eigenlijk nergens voor nodig, maar wel risicovol en zouden dus eigenlijk sowieso allemaal verboden moeten worden.

        1. In de meeste browsers kan je de instelling do not track (DNT) aanzetten. Het idee is vervolgens dat alle tracking cookies worden afgewezen. Als ik het goed heb, dan betekent dit echter niet dat de browser deze cookies actief weigert maar is het een verzoek aan de bezochte website om de cookies niet te plaatsen.

          Ik vraag me af wat sites doen na de komst van de cookie notice die door de GDPR gebruikelijk is geworden (die met de verschillende opties voor functionele, statistische, marketing en social media cookies). Ik gok dat de gemiddelde site mijn DNT request negeert, als ik de vinkjes in de cookie notice aan laat staan…

          Ik zou het erg fijn vinden als browser bouwers de keuzes van de cookie notice standaard inbouwen in de instellingen van de browser zelf. Als ik het goed begrijp, dan is in de conceptversie van de e-Privacy verordening opgenomen, dat een website mij straks niet meer bij ieder bezoek mag lastig vallen met een consent request , als ik die al bij een eerder bezoek heb geweigerd. In mijn optiek is dat een enorme verbetering.

          1. Inderdaad heb je aan zo’n verzoek bar weinig, want dan moet de site in kwestie van goede wil zijn. Net als in het echte leven. Als jij bijv. naast mij staat te roken kan ik je verzoeken ergens anders te gaan staan, maar niks houdt je tegen om te zeggen “ik blijf gewoon staan”. (weet niet of je rookt hoor, maar het was maar even een voorbeeld)

  3. Ik dacht eerst nog aan de zelfscanners. Die hebben ook WIFI, maar zelfs als je de klant en de scanner niet koppelt (voor dit gebruik, wel voor het betalen/fraudepreventie) heb je voor beperkte duur een unieke referentie van 1 persoon. Het is feitelijk niet anders dan wifi volgen van een telefoon waarbij dan bij elke winkelsessie een nieuw sessienummer gebruikt word voor de opgeslagen/verwerkte data. En inderdaad het is niet veel anders dan analytics op een website, iets waarvan mi veel vormen niet geldig zijn onder de AVG. Dat gaat dan met name over tracking voor meerdere sessies of over meerdere websites (300 carefully selected marketing partners…)

    1. Bij zelfscanners is toestemming nog mogelijk, als je geen tracking wil reken je maar bij de kassa af. Of je laad eerst je karretje vol, haalt dan pas een scanner en scant alles in een keer naast de zelfscanbetaalpaal.

  4. Is het hiermee dan ook verboden WiFi-tracking puur kwantitatief te gebruiken? Dus zonder registratie van identificeerbare gegevens, enkel registreren hoeveel devices op een bepaalde plek naar access points aan het zoeken zijn?

    Ik kan daar nog best nuttige toepassingen voor bedenken, zoals “het is nu druk bij het stroopwafelschap, dus we zullen zo wel bij moeten vullen” of (iets realistischer) automatische aanduiding waar het druk is in de trein.

    1. Dat is nog steeds een verwerking van een persoonsgegeven (namelijk de locatie), dus zelfs als je het anonimiseert kom je in dezelfde problemen.

      Maar, in jouw scenario kan je ipv. WiFi-tracking (met de nadruk op tracking) potentieel wel zonder toestemming WiFi-meting toepassen. Dus alleen een globale “hoeveel verschillende WiFi-signalen kan ik tellen in deze radius”, tegenover “laat ik geanonimiseerd van dit specifieke WiFi-signaal een route bijhouden”.

      Je bent waarschijnlijk nog steeds een persoonsgegeven aan het verwerken (het WiFi-signaal is immers nog steeds te koppelen aan een telefoon, en dus aan de eigenaar, en het betreft nog steeds een locatie.) Maar je grondslag wordt wel makkelijker; “Kijk, dit apparaat telt de WiFi signalen eromheen. Hiervan wordt alleen een tijdstip en een integer verstuurd naar de server. De rest strippen we als niet belangrijk en krijgen we dus niet eens te zien.”

      1. Volgens mij is dat ook hoe NS de drukte in de trein meet, want die aanduiding klopt niet altijd. Afgelopen woensdag bijv. zat ik in een overvolle trein (zelfs zó overvol dat mensen niet meer mee konden en de conductrice de treindienstleiding erover informeerde!), maar volgens de app was de trein maar driekwart vol. Dus dan lijkt het mij dat ze niet iedereen individueel volgen, want anders had de app ook wel aangegeven dat de trein helemaal vol was.

  5. Maar ik vraag mij af of het zou mogen als onderdeel van de winkelbeveiliging? Als een zaak wordt overvallen en de dief heeft toevallig een mobieltje bij zich dan zou dat mobieltje vervolgens geregistreerd worden en dus als bewijs gebruikt kunnen worden om aan te tonen dat een zekere Arnoud E. op het moment van de inbraak even in het pand kwam en 5 minuten later weer weg ging, gelijk met de inbraak. 🙂

    Kortom, mag het wel vanuit een beveiligingsoogpunt? Eventueel met een bordje erbij met “Dit pand wordt elektronisch bewaakt”….

    1. Op zich zou je denken dat dit een redelijk belang is maar er zit ook een risico aan. Stel dat Arnoud E. een conflict heeft met Wim ten B., dan zou Arnoud het MAC-adres (en de andere gegevens die met een accespoint worden gewisseld) van de telefoon kunnen spoofen en vervolgens daarmee op het boevenpad gaan. Op die manier zou hij ervoor kunnen zorgen dat Wim onder verdenking komt.

      1. Ja, maar dat probleem hou je altijd wel. Echter, dat is eenvoudig te detecteren, volgens mij. Mogelijk zelfs door de telefoonprovider die kan aantonen dat ik op het moment van de overval op een geheel andere plek was. Immers, met al die GSM masten door het gehele land word je sowieso al overal gevolgd. Nou ja, je telefoon wordt gevolgd… Daarnaast is het nog een heel gedoe voor de boef om eerst mijn MAC adres uit te zoeken en dan zijn eigen mobiel daarop aan te passen. En dan ook nog op zoek gaan naar een plek waar men dus de bezoekers op deze manier volgt. En op een moment waarop ik geen alibi heb. En dan ook nog zorgen dat de politie dus mij vindt op basis van dat MAC adres. Nee, er zijn veel eenvoudigere methodes om iemand te pesten. Dit is erg vergezocht… 🙂

        Doet mij denken aan een decennia geleden toen iemand nepmails uit mijn naam wilde versturen. Ik gebruikte toen nog een digitale handtekening in mijn emails en die idioot dacht dat hij dat kon nadoen door het certificaat uit mijn email te kopieren en plakken in zijn nepmails. Kort erna was hij van het Internet verdwenen. (Ik had zijn hackpoging even gemeld bij zijn provider.) Mensen zijn vaak niet zo slim om een zo’n complex plan helemaal tot de puntjes uit te werken. Veel boeven gaan al snel de fout in. We denken vaak dat we Sherlock Holmes nodig hebben om daders te zoeken maar vaak genoeg is een misdaad vrij eenvoudig op te lossen. Ook op het Internet…

  6. Betekent dit dat de OV-chipkaart ook in overtreding is? Immers kunnen vervoerbedrijven ook uitlezen waar mensen reizen om zo bijv. te bepalen waar er meer of langere treinen/bussen moeten rijden. Dat is ook een vorm van volgen van je reis en ik zie geen eigen legitiem belang om te weten welke reis ik maak. Meten of er meer of langere treinen/bussen moeten rijden kan ook in de praktijk worden gemeten, heel het jaar door. Zo doet bijv. NMBS dat in België.

      1. Pardon? Facturatie gaat automatisch op basis van waar ik in- en uitcheck. Dat het systeem dat uitleest is prima, dat moet ook wel. Maar vervoersbedrijven hoeven niet achteraf, als de facturatie dus al heeft plaatsgevonden, in te kunnen zien welke haltes/stations ik heb gebruikt. Daar doelde ik op.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.