De Autoriteit Persoonsgegevens (AP) heeft de gemeente Enschede een boete van 600.000 euro opgelegd wegens het gebruik van wifitracking. De privacywaakhond veroordeelt de manier waarop de gemeente het winkelend publiek en personen die in de binnenstad wonen en/of werken volgt.
De gemeente Enschede besloot in 2017 om via sensoren de drukte in de binnenstad te meten en huurde daarvoor een bedrijf in gespecialiseerd in het tellen van passanten. Meetkastjes in de winkelstraten vingen daarvoor de wifisignalen op van passerende mobiele telefoons. Elke telefoon werd apart geregistreerd, met een unieke code. Door te tellen hoeveel telefoons er op een bepaald moment rond een meetkastje zijn, weet je hoe druk het is. Maar houd je over een langere periode bij welke telefoon langs welk meetkastje komt, dan verandert dit ‘tellen’ in het ‘volgen’ van personen. Uit onderzoek van de AP bij de gemeente Enschede blijkt dat deze ontwikkeling gaande was. De privacy van burgers was niet goed gewaarborgd, omdat zij konden worden gevolgd zonder dat dit noodzakelijk was.
Het was niet de intentie van de gemeente om individuen te volgen. En de AP heeft ook geen aanwijzingen gevonden dat dit is gebeurd. Maar het inzetten van het zogeheten wifitracking is volgens de AP op zichzelf al een ernstige overtreding van privacywet AVG
Kwalijk
‘Als je individuen via hun telefoon kunt volgen, is dat heel kwalijk’, zegt AP-vicevoorzitter Monique Verdier. ‘Iedereen heeft het recht om vrij en onbespied over straat te gaan. Zonder dat de overheid of een andere partij kan meekijken of noteren wat je doet. Dat past bij onze vrije en open samenleving. Het is niet de bedoeling dat iemand kan volgen welke winkel, arts, kerk of moskee we bezoeken. Dat is privé en dat moet privé blijven. Om drukte in de binnenstad te meten, moet een systeem mensen téllen, niet volgen.’
De gemeente en twee betrokken bedrijven hadden toegang tot de data. Verdier: ‘Met die data kon je dus burgers volgen door de binnenstad van Enschede. Op een rustig moment zie je precies wie bij welke code hoort. Of kijk naar een patroon: komt iemand elke dag om 08.00 uur op dezelfde plek aan? En gaat zij of hij om 17.00 weer weg? Dan is het dus iemand die daar werkt.’
De overtreding begon in mei 2018. De interventie van de AP was aanleiding voor de gemeente om een jaar geleden te stoppen met wifitracking. De inzet van wifitracking is aan strenge eisen gebonden en in de meeste gevallen verboden. ‘Omdat deze techniek zo ingrijpt in iemands privéleven, mag je het alleen in uiterste gevallen inzetten’, duidt Verdier. ‘Gemeenten mogen in sommige situaties via wifitracking persoonsgegevens verwerken, bijvoorbeeld als dit noodzakelijk is voor hun wettelijke taak. Maar constateert de AP dat een gemeente of bedrijf onrechtmatig wifitracking inzet, dan is er kans op een flinke boete.’
Overigens wordt wifitracking in de VS geruime tijd op grote schaal gebruikt. Clear Channel wil ook voor zijn Europese reclameborden ‘locatiedata van derden’ gebruiken om reclames gericht te kunnen tonen aan doelgroepen. Het bedrijf combineert de data met een kaart van zijn reclameborden om zo te zien waar bepaalde doelgroepen zich vaak bevinden.
Je hebt slimme steden en slimme steden. “Een slimme stad is een stad waarbij informatietechnologie en het internet der dingen gebruikt worden om de stad te beheren en te besturen.” Maar in de stad wonen en werken ook mensen die niet van big brother houden en niet telemetrisch gevolgd willen worden. Een slimme stad moet daarmee rekening houden; dus correct anonimiseren en belangen goed tegen elkaar afwegen.
De meeste tracking is commercieel. Ik vraag me af hoeveel mensen zich ervan bewust zijn dat ze hieraan meewerken (met de partners van de partners van Google) doordat apps standaard te veel gegevens verzamelen. Wat doet de AP hiermee?
Goede raad Jaap, laat je smartphone thuis en neem er een die alleen kan bellen of neem helemaal geen telefoon mee.