Terug naar overzicht

De ap laat haar tanden zien: Boete voor wifitracking door gemeente Enschede


Stel, u brengt nietsvermoedend een bezoekje aan een winkelgebied. Later blijkt dat de route die u heeft afgelegd is vastgelegd en bewaard door een bedrijf dat is ingehuurd door de gemeente om bezoekersstromen te meten. Wie zich in ons land in de openbare ruimte begeeft, mag redelijkerwijs verwachten dat hij niet zomaar systematisch gevolgd wordt. Toch gebeurde dit van 2017 tot 2020 in Enschede, waar de gemeente opdracht gaf tot wifitracking om inzicht te krijgen in bezoekersstromen in de binnenstad. Op 29 april 2021 werd bekendgemaakt dat de Autoriteit Persoonsgegevens (AP) het college van B&W van die gemeente een bestuurlijke boete heeft opgelegd op van E 600.000,-. Naar het oordeel van de AP was de verwerking van persoonsgegevens als gevolg van wifitracking strijdig met artikel 5 lid 1 jo 6 lid 1 Algemene Verordening Gegevensbescherming (AVG). Al in 2016 waarschuwde het CBP, de rechtsvoorganger van de AP, winkeliers en gemeenten per brief voor de privacyrisico’s van wifitracking. Deze brief volgde op een boete voor wifitrackingbedrijf Bluetrace. De regelgeving is sindsdien op dit punt niet inhoudelijk gewijzigd. De gemeente Enschede had derhalve kunnen weten dat wifitracking tot schending van de privacy van burgers zou kunnen leiden.

Toch koos de gemeente Enschede voor wifitracking om bezoekersstromen in de openbare ruimte te meten. In de binnenstad werd met meetapparatuur van alle voorbijkomende apparaten met WIFI het MAC-adres (een code die uniek is voor een smartphone of computer) uitgelezen. Het MAC-adres is herleidbaar tot de gebruiker van de betreffende smartphone. De smartphone wordt immers bijna altijd op of dichtbij het lichaam gedragen. Naar het oordeel van de AP is het MAC-adres daarmee een persoonsgegeven. Hoewel elk MAC-adres werd gepseudonimiseerd, bleef het door de gebruikte verwerkings- en versleutelingstechnieken toch herleidbaar tot de individuele gebruiker. Daarnaast werden de gegevens van buurtbewoners niet adequaat uit de resultaten gefilterd en werden de verkregen gegevens tot wel zes maanden bewaard. Hiermee konden gedragspatronen zichtbaar worden gemaakt. Concreet was van zowel bezoekers als bewoners in theorie na te gaan wat zoal hun loopje was in het winkelgebied van Enschede, inclusief bezoeken aan gezondheidscentra of werkplek.

Volgens de AP ontbrak vooral de vereiste deugdelijke en precieze wettelijke grondslag (overweging 41 AVG) voor de wifitracking in de openbare ruimte. De algemene verplichting uit (onder meer) art. 160 Gemeentewet en andere wettelijke bepalingen zijn daarvoor te weinig concreet, zelfs al duiden ze op de uitvoering van een publieke taak. Het doel van de gemeente rechtvaardigde niet de verregaande inbreuk op de persoonlijk levenssfeer van burgers. Ook had de gemeente volgens de AP andere middelen kunnen inzetten die een minder vergaande inbreuk opleveren, zoals infrarood scannen of marktonderzoek.

In deze zaak wordt pijnlijk duidelijk hoe gemakkelijk de privacy van burgers in het gedrang kan komen door de inzet van digitale technieken. De AP kampt al jaren met een tekort aan mankracht om tegen gemelde privacyschendingen op te treden. In de enkele zaken die de laatste jaren wel zijn gepubliceerd, is het niet moeilijk de schending van de privacy van burgers aan te wijzen. Dat geldt ook voor dit besluit over wifitracking. Waarom is dit besluit dan toch zo belangrijk? De AP vestigt met dit besluit opnieuw de aandacht op het belang van de privacy van burgers bij het inzetten van technische snufjes door gemeenten. Het klinkt aantrekkelijk om bezoekersstromen in de stad te kunnen meten, maar de gevolgen voor de privacy van de burger kunnen ingrijpend zijn. Hoogleraar filosofie Beate Roessler wijst er in haar boek Autonomie nog eens op hoe belangrijk bescherming van de persoonlijke levenssfeer is voor de menselijke autonomie: “Voor ons zelfbegrip als autonome personen (is het) constitutief om de controle te hebben (binnen de voor ons bekende grenzen) over de manier waarop we onszelf presenteren, de controle dus over hoe we ons aan wie en in welke context willen presenteren (…).” Bij systematische digitale registratie van waar we wanneer in een bepaald gebied zijn geweest, kan die controle in het geding komen. Privacyschending vormt dan een bedreiging voor onze persoonlijke autonomie. Zoals ook in het WRR-rapport Big Data in een vrije en veilige samenleving wordt betoogd, dreigt bovendien een chilling effect:mensen kunnen zich anders gaan gedragen en bijvoorbeeld hun route aanpassen of bepaalde plaatsen vermijden, enkel omdat ze weten dat ze in de gaten worden gehouden.

Hoewel Europese regelgeving op het gebied van privacy ingewikkeld is, wordt in de artikelen 8 Handvest EU16 VWEU en 8 EVRM duidelijk het recht op bescherming van de persoonlijke levenssfeer in het algemeen en persoonsgegevens in het bijzonder gewaarborgd. Heeft de gemeente zich dat wel voldoende gerealiseerd? Of ontnam de abstractie die de inzet van digitale techniek vaak meebrengt de gemeente het zicht op de mogelijke concrete gevolgen van wifitracking voor de burger?

Ook gemeenten moeten zich aan de privacyregels uit de AVG houden. Wie de scène over reclamezuilen die burgers naroepen uit de film Minority Report nog op het netvlies heeft, weet wat er kan gebeuren als Big Brother inzicht krijgt in de locatiegegevens van de burger in de openbare ruimte. Privacybescherming is er echt niet voor niets.

Over de auteurs

Martine Boonk

Martine Boonk is universitair docent metajuridica bij de Open Universiteit.

Reacties

Recente blogs
Volmachten ronselen: nieuwe regels voor een oud probleem
Promovendireeks 2023-2024
Promovendireeks #11: Mensenrechten en het sociale domein? Mogelijke spanningen tussen de Wmo 2015 en het IVESCR
Het vermeende ‘recht’ op het minister-presidentschap: de implicaties van de conventie van 1977