Eerste gemeente met privacy boete
De Autoriteit Persoonsgegevens (AP) maakte donderdagochtend 29-4-2021, bekend dat de gemeente Enschede een boete van 6 ton krijgt opgelegd vanwege privacy schending. Grofweg 1,8 miljoen bezoekers zijn via het wifi-signaal op hun mobiele telefoons ‘gevolgd’ in de binnenstad van Enschede. Privacy schending, zegt de Autoriteit Persoonsgegevens (AP) en legt de gemeente als opdrachtgever, 600.000 euro boete op.

Het AP, (de privacy waakhond) is er naar eigen zeggen in geslaagd om de unieke code die wifi-sensoren opvangen uit passerende smartphones, te kunnen koppelen aan personen. En dat is slechts toegestaan met toestemming van de passanten of uit algemeen belang volgens de 6 grondslagen van de Algemene verordening gegevensbescherming (AVG).

De 6 grondslagen
Het recht om persoonsgegevens te verwerken mag alleen op basis van 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:
1. Er is heeft toestemming van de persoon om wie het gaat;
2. Het is noodzakelijk om gegevens te verwerken, om een overeenkomst uit te voeren;
3. Het is noodzakelijk om gegevens te verwerken omdat dit wettelijk verplicht is:
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen;
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
6. Het is noodzakelijk om gegevens te verwerken om het rechtvaardige belang te behartigen.

Wat is wifi-tracking?
Wifi-tracking werkt, kort gezegd, als volgt: iedere smartphone stuurt (wanneer de wifi-functionaliteit op het apparaat is ingeschakeld) continu een signaal uit dat een uniek identificatienummer (het MAC-adres*) heeft. Door het opvangen van dit signaal kunnen partijen (gemeenten o.a.) in kaart brengen waar een telefoon – en dus een persoon – zich bevindt. Veel bedrijven en gemeenten gebruiken wifi-tracking voor verschillende doeleinden. Zo maakt de technologie het mogelijk loopstromen in winkel(straten) in kaart te brengen en kan worden bepaald hoeveel mensen zich op een bepaald moment op een bepaalde plek bevinden. Deze informatie is privacygevoelig: locatiegegevens in combinatie met een uniek identificatiegegeven kunnen iets zeggen over de gewoonten en gedragspatronen van een persoon, dus in strijd met de Algemene verordening Persoonsbescherming(AP).

*MAC –adres
Een MAC-adres is het unieke identificatiegetal van 12 karakters van de netwerkadapter in jouw apparaat (mobiel of laptop).  Dat is het onderdeel van je apparaat, waarmee je met internet kunt verbinden. Het MAC-adres zorgt ervoor dat je apparaat herkenbaar is voor andere apparaten in een netwerk. Zo weet een router bijvoorbeeld naar welk apparaat bepaalde data verstuurd moet worden. Dat de codes versleuteld zijn, maakt geen enkel verschil omdat er telkens gebruik gemaakt wordt van dezelfde versleutelcode zodat deze gemakkelijk aan een persoon te koppelen is.

Wie gebruikt wifi-tracking?
Bedrijven zoals winkels, winkelcentra ’s, restaurants en gemeenten maken gebruik van wifi-tracking. Als klant of bezoeker merk je daar vaak niets van. Als je in een winkel of restaurant bent of ergens op straat en je je smartphone of tablet bij je hebt waar de wifi aanstaat, dan kan een bedrijf of gemeente de locatiegegevens van je mobiele apparaat opslaan en verwerken; wifi-tracking.

Sinds 2018
De Algemene verordening Persoonsbescherming(AP) sinds december 2018 verduidelijkt en heeft de Autoriteit Persoonsgegevens (AP) dat het tellen van bezoekersaantallen in semi-openbare ruimtes met behulp van de tracking-technologieën, alleen onder zeer strikte voorwaarden is toegestaan. Dat heeft dus  te maken met de 6 grondslagen van de Algemene verordening gegevensbescherming (AVG). Dat houdt in dat de verwerkingsverantwoordelijke (degene die over de verwerking van de verzamelde data gaat) vaststelt voor welke doeleinden de gegevens worden gebruikt en verwerkt en met welke middelen. Deze verantwoordelijke moet op grond van de AVG een geldige grondslag hebben om persoonsgegevens te verwerken.

Wifi-tracking alleen bij wettelijke grondslag
Bedrijven en gemeenten mogen dus niet zomaar gebruikmaken van wifi-tracking. De Autoriteit Persoonsgegevens (AP) is er heel duidelijk over: ‘Organisaties mogen deze persoonsgegevens volgens de Wet bescherming persoonsgegevens (Wbp) alleen verwerken als zij daar een zogenoemde wettelijke grondslag voor hebben’.

Wifi-tellingen in strijd met de Autoriteit Persoonsgegevens (AP)
De wifi-tellingen in Enschede vonden plaats tussen september 2017 en april 2020. Via sensoren zijn op elf strategische locaties in de binnenstad passanten over langere termijn geteld. Volgens de AP zijn hiermee herleidbare persoonsgegevens verzameld. Het is de privacy waakhond dan ook gelukt om de data te koppelen aan personen.

Brief van AP aan bedrijven en gemeenten
De Autoriteit Persoonsgegevens (AP) heeft een brief voor bedrijven en gemeenten op haar website staan. In deze brieven gaat de AP in op de toepasselijkheid van de Algemene verordening gegevensbescherming ((AVG) de op wifi-trackingtechnologie waarmee signalen van mobiele telefoons geregistreerd kunnen worden. De brief aan gemeenten: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/brief_ap_vng_wifi-tracking.pdf wijzen op de grondwetartikelen 10 en 11:
Art. 10; Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer;
Art. 11; Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op onaantastbaarheid van zijn lichaam.

 *Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing en vervalt de Wet bescherming persoonsgegevens (Wbp). Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt.

Gemeente Enschede
De gemeente Enschede besloot in 2017 om via sensoren de drukte in de binnenstad te gaan meten (net als veel andere gemeenten). De gemeente huurde daarvoor een bedrijf in dat gespecialiseerd is in het tellen van passanten. Meetkastjes in de winkelstraten vingen de wifi-signalen op uit de mobiele telefoons van passerende mensen en elke telefoon werd apart geregistreerd, met een unieke code. In 2020 stopte de gemeente hiermee.

Privacywet geschonden: forse boete
De passanten hebben geen toestemming verleend voor het verzamelen van hun MAC-adressen dus de (Europese) privacywet (AVG) is geschonden. De AP legt de gemeente Enschede daarom een boete op, eind april 2021, van 600.000 euro.

Mensenrecht
Het systeem wat Enschede heeft gebruikt tot 2020 stuitte Enschedeër Borghuis tegen de borst. Als je namelijk over langere periode bijhoudt welke telefoon langs welk meetkastje komt, verandert dat ‘tellen’ in het volgen van mensen. En dus diende Borghuis een klacht in. “Je privacy moet gewoon gewaarborgd worden. Het is een mensenrecht en daar hoef je zelf niet actief iets voor te doen, zoals bijvoorbeeld je mobiel uitzetten. Als jij ergens gegevens achterlaat, weet je niet wat dat voor gevolgen heeft voor over vijf of tien jaar. Het valt onder schending van de mensenrechten en Enschede overtreedt zo de grondwet.”

Onbespied over straat
De Autoriteit Persoonsgegevens vindt dat Borghuis een punt heeft. “Je moet vrij en onbespied over straat kunnen gaan als burger. Dat kon in dit geval niet”, volgens de Autoriteit Persoonsgegevens. De AP heeft vastgesteld dat de informatievoorziening aan het publiek tekort schoot en dat een wettelijke grondslag voor metingen/tellingen, zowel binnen als buiten de winkel, ontbrak. De metingen werden 24 uur per dag verricht en daarnaast werden de gegevens langer bewaard dan strikt noodzakelijk voor het verzameldoel. Het registreren of volgen van bewegingen van individuen – waaronder voorbijgangers op de openbare weg – door middel van wifi-tracking heeft een grote impact op de persoonlijke levenssfeer van betrokkenen, en de verantwoordelijke handelt in strijd met de Wet bescherming persoonsgegevens.

En dus heeft de Autoriteit Persoonsgegevens de gemeente een hoge boete opgelegd. “Ze hebben een systeem gebruikt waarin telefoons te volgen zijn, en dat mag niet. Dat mag alleen maar in hele bijzondere gevallen. Het is een veel te uitgebreid middel om mensen te tellen.” De gemeente Enschede heeft vanwege wifi-tracking een boete van zes ton opgelegd gekregen.

Meer boetes
Enschede schakelde voor de bouw van dit systeem een bedrijf in, dat voor 228 andere gemeenten ook het systeem heeft gebouwd. Wifi-tracking wordt dus op grote schaal toegepast in binnensteden en winkelcentra in Nederland. Maar is niet de overheid de aangewezen dienst die de boete moet krijgen?

Wie vormen eigenlijk de overheid?
Meer dan zestienhonderd organisaties en instanties maken deel uit van de overheid. Daar horen de twaalf ministeries bij, de twaalf provincies en de 380 gemeenten. Maar ook zelfstandige bestuursorganen zoals de huurcommissie ‘s horen tot de overheid. Voor alle delen van de overheid geldt dat uiteindelijk overkoepelde organisatie verantwoording moet afleggen en de boete mag dragen.

Maar de telecombedrijven wensen geen tegenwerking
Belangenclub Monet, die namens de Nederlandse telecombedrijven (in 2021, KPN, T-Mobile en Vodafone) contacten met de overheid onderhoudt, wijst erop dat de overheid telecombedrijven miljarden euro’s laat betalen voor mobiele frequenties.

Inkomsten overheid
De Nederlandse overheid is dus zelf belanghebbende in het stralingsbeleid. Betalen veel geld aan de Telecom en willen dit terug hebben van gemeenten? http://stralingsleed.nl/blog/telecomproviders-willen-geen-last-van-gemeenten-en-burgers/

Foto: https://www.computeridee.nl/partner/alles-over-wifi-tracking/
https://nos.nl/artikel/2378665-privacywaakhond-legt-enschede-boete-op-van-600-000-euro-vanwege-wifitracking
https://ploum.nl/kenniscentrum/nieuws/autoriteit-persoonsgegevens-mensen-volgen-met-wifi-tracking-mag-bijna-nooit
https://www.rtvoost.nl/nieuws/1542050/Gemeente-Enschede-over-boete-voor-wifi-tracking-Wij-voelen-ons-ten-onrechte-gestraft
https://www.rtvoost.nl/nieuws/1542213/Klacht-van-Dave-zorgt-voor-boete-gemeente-Enschede-van-6-ton?fbclid=IwAR0RwAe5sZHkFCMaswBSQ9hWtmHvPKoQmOFwvFZkYJxLrZUMFE5P37TNjrA
https://veiliginternetten.nl/themes/situatie/mogen-winkels-gemeenten-mij-volgen-wifi-tracking/