Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens

| AE 13443 | Ondernemingsvrijheid, Regulering | 9 reacties

De gemeente Enschede stapt naar de rechter wegens de AVG-boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar wegens wifi-tracking oplegde. Dat meldde Security.nl vorige week. In april 2021 kreeg de gemeente de boete omdat zij “wifitracking gebruikte in de binnenstad op een manier die niet mag.” Weliswaar was het niet de intentie van Enschede om mensen te volgen, maar het kon gewoon gebeuren bij lang genoeg tellen. De wethouder: “Het feit dat de AP die suggestie wel heeft gewekt in haar boetebesluit en in haar media-uitingen, vindt het college van Enschede zeer kwalijk”.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen.

De kern is dat je vervolgens telt op basis van die identifiers, maar dat zo’n identifier tegelijk ook een persoonsgegeven is dat ook nog eens gebruikt kan worden om iemand te volgen. Dit omdat het gebruikte algoritme om van telefoongegevens tot de identifier te komen altijd hetzelfde resultaat gaf bij dezelfde telefoon. En ja, als je dat gedurende bijna twee jaar allemaal vastlegt dan gaat er iets mis:

De AP heeft vervolgens vastgesteld dat er uit de langetermijntabel van na 1 januari 2019 duidelijke leefpatronen te destilleren zijn. Gezien de regelmatigheid van de patronen kan redelijkerwijs worden geconcludeerd dat de bij het patroon horende registraties toebehoren aan één mobiel apparaat. De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens zoals bezoeken aan medische instellingen.
Natuurlijk had de gemeente alleen het doel om algemene cijfers over drukte vast te stellen, zodat je bijvoorbeeld weet wanneer je de straatvegers kunt sturen (als het rustig is) of dranghekken (waar het straks niet rustig is) om eens een paar onschuldige toepassingen te noemen. Ik zou ook niet direct weten wat ik als wethouder zou moeten met gedetailleerde logs over al mijn burgers en hun wandelpaden in het centrum.

De boosheid van de gemeente verrast me een beetje. Het lijkt erop dat hier zich het vage concept ‘persoonsgegeven’ wreekt. Dat zijn natuurlijk gegevens waarmee iemand identificeerbaar is, maar dat is niet hetzelfde als weten wie iemand is. Beter gezegd: het serienummer van je mobiele telefoon is natuurlijk niet hetzelfde als de naam in je identiteitskaart. Volgens de AVG zijn beide echter gelijk – identificatoren. Enschede wist met haar systeem natuurlijk totaal niet welke namen er bij die passanten hoorden, en ik geloof graag dat het kwalijk is om te horen dat je dat wél zou doen. Wat de AP zegt, is dat ze dat serienummer niet mochten bijhouden, en dat is natuurlijk iets anders.

Er is ook nog iets met afgeknipte MAC adressen waardoor men denk ik wilde anonimiseren, maar dat ging niet helemaal goed want de resultaten konden nog steeds gekoppeld worden. Ik denk omdat het aantal Enschedeërs met dezelfde MAC prefixen op dezelfde tijden in de zelfde buurt erg klein is.

Arnoud

Wifi-tracking rond winkels in strijd met de wet?

| AE 8223 | Privacy | 37 reacties

Het College bescherming persoonsgegevens heeft een van de grote aanbieders van wifi-tracking in Nederland op de vingers getikt, las ik bij Tweakers. Het bedrijf Bluetrace zou ten behoeve van wifi analytics mensen in en rond winkels via het wifi-signaal van hun smartphone volgen zonder hen daarover goed te informeren. In haar rapport meldt de toezichthouder dat er meer verzameld werd dan nodig, dat de gegevens te lang bewaard werden en dat ook mensen op de openbare weg gevolgd werden.

Wifi tracking is al een paar jaar in populariteit aan het toenemen. Kort gezegd meet een winkel dan langskomende wifi-signalen uit mobiele telefoons, om vervolgens te registreren waar die signalen heen gaan, hoe lang de telefoon ergens stilstaat et cetera. Via het MAC-adres zijn de metingen uniek te correleren aan één telefoon.

Het argument is dan altijd, dat is niet erg want het is maar je telefoon en ze weten niet hoe je heet. Maar het Cbp is daar snel klaar mee: dit zijn persoonsgegevens (want herleidbaar tot de eigenaar van de telefoon) en locatie-informatie is best wel gevoelig:

Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.

Dat je de náám niet weet van de persoon, doet er niet toe. Het is de vaste opvatting van de privacytoezichthouders dat het erom gaat dat de “gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.” Kort gezegd gaat het erom dat de gegevens over één persoon gaan.

Vervolgens moet Bluetrace maar aantonen waarom zij dit mag onder de Wbp. De enige reële optie is die van de eigen dringende noodzaak: het belang om de gegevens te verzamelen weegt zwaarder dan het privacybelang van de langslopende smartphone-eigenaren, én er is alles aan gedaan om de privacy zo veel mogelijk te waarborgen.

Op zich is het een legitiem belang om te willen weten hoe mensen door je winkel lopen. Maar de vraag wordt dan, moet dat dan wel op deze manier gemeten worden, kan het niet een onsje minder? Bijvoorbeeld door tijdens sluitingstijd de sensoren uit te zetten, of door in plaats van ruwe MAC-adressen hashes te bewaren die na 48 uur worden gewist.

Ook een probleem is dat men MAC-adressen vastlegt van mensen die langs de winkel lopen maar niet naar binnen gaan. “Ohooh een verwerking aan de openbare weg”, en dat mag dan categorisch niet. Nou nee, het ligt iets subtieler: je mag wel persoonsgegevens verzamelen aan de openbare weg maar je moet daar dan wel een specifiek belang voor hebben dat opweegt tegen dat privacybelang. En dat zal er zelden zijn. Welk legitiem belang ís er om te meten wie er over de weg loopt?

Verder ontbrak het aan adequate informatie over wat men doet met persoonsgegevens en hoe je als winkelbezoeker informatie kunt krijgen over deze gegevensvergaring.

Kort samengevat: leuk idee, mislukte uitvoering. Want het Cbp zegt letterlijk dat het zeker mogelijk is om legaal persoonsgegevens van smartphones te verzamelen om winkelbezoek te monitoren, mits je dat maar een stukje zorgvuldiger inkleedt. De pers maakt veel van het hashen van de MAC-adressen, maar dat is niet de kern: het gaat erom zo min mogelijk gegevens te verzamelen en dingen zo snel mogelijk weer weg te gooien.

Arnoud