Home Actueel Archief Wifi-tracking: in strijd met de Wet bescherming persoonsgegevens

Wifi-tracking: in strijd met de Wet bescherming persoonsgegevens

Archief
22-06-16

Een mobiel apparaat waarvan de Wifi staat ingeschakeld zend continu signalen uit. Zonder dat de eigenaar van het mobiele apparaat dit hoeft te merken, kan een ander deze signalen opvangen en analyseren.

Als het Wifi-signaal op deze manier gebruikt wordt, wordt dat ‘Wifi-tracking’ genoemd.

Wifi-tracking wordt steeds vaker ingezet: gemeenten maken gebruik van Wifi-signalen om bij grote evenementen bezoekersstromen te meten. Ook winkels maken gebruik van Wifi-tracking. Diverse dienstverleners bieden hun technologie aan bij winkeleigenaren, die daarmee onder andere kunnen meten hoeveel bezoekers ze hebben, hoe lang de bezoekers in de winkel blijven, maar ook hoe vaak de bezoekers terugkomen en welke looproute wordt gevolgd.

De technologie lijkt op het gebruik van cookies, maar dan in een offline winkel. Voor het gebruik van tracking cookies is toestemming vereist van de bezoeker van een website, de Autoriteit Persoonsgegevens heeft bepaald dat dit ook het geval is voor Wifi-tracking. Om die reden heeft de Autoriteit Persoonsgegevens een aantal organisaties op de vingers getikt.

Persoonsgegevens

De technologie achter Wifi-tracking zorgt ervoor dat door het opvangen van het Wifi-signaal, het ‘unieke nummer van een mobiel apparaat’ (Media Access Control adres, oftewel: MAC-adres) opslaat tezamen met locatiegegevens. De combinatie van deze gegevens maakt het, volgens de Autoriteit Persoonsgegevens, mogelijk om de persoon die daarbij hoort te identificeren. Hier is sprake van het verwerken van persoonsgegevens.

De vraag is overigens in hoeverre een MAC-adres als persoonsgegeven kan worden aangemerkt. Specialisten op dit gebied geven aan dat het op basis van uitsluitend het MAC-adres (zonder aanvullende informatie) niet mogelijk zal zijn om de eigenaar van het mobiele apparaat te achterhalen. Aan de andere kant, als het MAC adres op een ander moment wederom wordt gesignaleerd, dan kan daaruit in ieder geval de conclusie getrokken worden dat de eigenaar van dat apparaat zich op beide locaties heeft bevonden (behoudens diefstal), zodat ook in die zin inbreuk wordt gemaakt op het recht op privacy.

De grondslag mist

Als er sprake is van het verwerken van persoonsgegevens, dan is het verwerken daarvan alleen toegestaan als daarvoor een wettelijke grondslag bestaat. Eén van die grondslagen is het uitvoeren van een publiekrechtelijke taak (bijvoorbeeld door gemeenten in verband met de veiligheid/openbare orde). Een andere mogelijkheid is dat de betrokken personen er zelf toestemming voor hebben gegeven.

Proportionaliteitseis

Als er een wettelijke grondslag te vinden is voor het verwerken van persoonsgegevens, dan is vervolgens van belang dat de verwerking binnen de grenzen van proportionaliteit blijft. Dat betekent dat de gemeente wellicht op basis van haar publiekrechtelijke taak persoonsgegevens zal mogen verwerken, maar alleen als dat noodzakelijk is voor de uitvoering van haar taken. Ook winkels mogen de gegevens verwerken, maar alleen in zoverre dat de gegevens bijdragen aan het doel van die gegevensverwerking (bijvoorbeeld: het in kaart brengen van de looproute van bezoekers).

Bewaartermijn: maximaal 24 uur

Daarnaast mogen persoonsgegevens niet langer worden bewaard, dan noodzakelijk voor het doel van de verzameling daarvan. Voor Wifi-tracking door winkels heeft de Autoriteit Persoonsgegevens een bewaartermijn van maximaal 24 uur bepaald. Na die periode moeten de persoonsgegevens worden vernietigd of onomkeerbaar geanonimiseerd. De Autoriteit Persoonsgegevens heeft ook aangegeven dat de privacy in de openbare ruimte nog belangrijker is. Dat betekent volgens haar dat de bewaartermijn voor persoonsgegevens die via Wifi-tracking zijn verzameld op de openbare weg (niet in winkels), onmiddellijk moeten worden geanonimiseerd.

Wat nu?

Dit betekent niet het einde van Wifi-tracking, maar er worden net als bij online tracking (analytics), ook grenzen gesteld aan offline tracking (Wifi-tracking).

Meerdere oplossingen worden geopperd. Gespeculeerd wordt over een opt-out systeem, waarbij gebruikers van mobiele apparaten hun MAC-adres kunnen opgeven in een ‘volg-me-niet register’.

Tot dat dit register er is, zal u bij het gebruik van deze technologie aan de volgende vereisten moeten voldoen:

  1. zorg ervoor dat u een grondslag heeft voor de verwerking van persoonsgegevens, in de meeste gevallen zal toestemming van de bezoekers nodig zijn;
  2. meld aan uw bezoekers dat u gebruik maakt van Wifi-tracking;
  3. verzamel niet méér persoonsgegevens dan noodzakelijk voor het doel dat u er mee heeft;
  4. anonimiseer de gegevens binnen 24 uur.

Meer informatie? Neem dan contact met mij op (tuk@kadv.nl of 023-5125025).

 

Deel dit artikel