Vanaf komende zomer gaat de gemeente Rotterdam met behulp van wifi- en bluetooth-tracking de bezoekersaantallen in de stad meten. De gemeente had echter wel iets beter haar huiswerk mogen doen. De stelling van de gemeente dat er hierbij geen persoonsgegevens worden verwerkt lijkt mij namelijk onjuist.
Ik schreef al eerder over het gebruik van wifitracking door winkels. Het feit dat een bedrijf of overheidsorgaan je bewegingen kan volgen aan de hand van de locatie van je telefoon doet natuurlijk wat privacyrechtelijke belletjes rinkelen. Mijn conclusie in die blogs was echter dat wifi-tracking op zichzelf niet in strijd is met de privacywetgeving in Nederland, zolang de juiste waarborgen maar getroffen worden.
City Traffic
De gemeente gaat gebruik maken van het systeem van City Traffic. City Traffic meet bezoekersstromen, -aantallen en verblijfsduur in een bepaald gebied:
“Het systeem registreert ‘short range radio signals’, dit zijn signalen zoals Bluetooth en Wifi. Deze registreren MAC-adressen. Een MAC-adres is een uniek identificatienummer dat aan een apparaat wordt toegekend. Het signaal van het apparaat wordt gemeten.”
De gemeente stelt zich, waarschijnlijk in navolging van City Traffic, op het standpunt dat er geen persoonsgegevens worden verwerkt door het systeem. Het zou namelijk onmogelijk zijn om een MAC-adres te herleiden tot een bepaalde persoon. De gemeente stelt:
“In Nederland geldt art. 1 Wbp. Hierin wordt gesteld dat MAC-adressen van een Bluetooth of WIFI signaal geen IP adres zijn. Een IP adres is wel persoonsgebonden, maar Bluetooth en WIFI volgens de wet niet.”
Hier moest ik toch wel even om gniffelen. Artikel 1 van de Wbp definieert persoonsgegevens namelijk als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Dat artikel zegt dus niets over MAC-adressen van een Bluetooth of WIFI signaal. En er staat al helemaal niet dat dergelijke adressen geen IP adres zijn.
Ik geef de gemeente (en City Traffic) na dat het in de meeste gevallen erg moeilijk zal zijn om een persoon te koppelen aan een MAC-adres. De daarop gebaseerde conclusie dat er geen persoonsgegevens worden verwerkt lijkt mij echter onjuist.
MAC-adressen als persoonsgegeven
Ten eerste is een MAC-adres, zoals de gemeente zelf aangeeft, een uniek identificatienummer. In de Europese Richtlijn waarop onze Wet bescherming persoonsgegevens (Wbp) is gebaseerd, wordt zo’n identificatienummer uitdrukkelijk genoemd als persoonsgegeven.
Ook heeft het College Bescherming Persoonsgegevens enkele jaren geleden al geoordeeld dat een MAC-adres een persoonsgegeven is, zeker als dat MAC-adres wordt gecombineerd met locatiegegevens. Dat gebeurde in de Google Streetview zaak, die ging over de routergegevens die de Streetview auto’s al dan niet per ongeluk hadden verzameld tijdens het fotograferen van de omgeving.
Daarbij komt nog dat het MAC-adres niet het enige is dat wordt verwerkt. Aan elk MAC-adres wordt de locatie-informatie van een persoon gekoppeld. Het MAC-adres wordt dus gebruikt om personen door de stad heen te volgen. In de Streetview zaak ging het om de statische locatie van een router. Door City Traffic kunnen echter de bewegingen van een persoon door de stad in kaart gebracht worden. Ook dat maakt in mijn ogen dat het hier gaat om persoonsgegevens. Locatiegegevens zijn door de Europese privacytoezichthouders aangemerkt als extra gevoelige gegevens:
“Omdat smartphones en tabletcomputers onlosmakelijk verbonden zijn met hun eigenaren, leveren de verplaatsingen van de apparaten een zeer intieme inkijk in het leven van hun eigenaren.”
Noodzakelijke waarborgen
Als de conclusie wordt getrokken dat er sprake is van een verwerking van persoonsgegevens, moet aan de wet worden voldaan. Dat betekent onder andere dat er een grondslag moet zijn voor het verwerken van de persoonsgegevens en dat de betrokkenen moeten worden geïnformeerd over de verwerking.
Grondslag
Artikel 8 van de Wbp geeft een limitatief aantal grondslagen waarop een verwerking van persoonsgegevens mag worden gebaseerd. De belangrijkste grondslagen zijn toestemming (sub a), de uitvoering van een overeenkomst (sub b) en een gerechtvaardigd belang van de verantwoordelijke (sub f). De gemeente kan voor deze gegevensverwerking waarschijnlijk een beroep doen op de grondslag van gerechtvaardigd belang. De gemeente moet de inbreuk op de privacy dan wel zo klein mogelijk maken. Dat kan bijvoorbeeld door een opt-out te bieden. De privacy van de klant kan echter ook op andere manieren gewaarborgd worden. Ik denk dan aan dataminimalisatie (het beperken van de verwerkte gegevens tot het absolute minimum), goede beveiliging, versleuteling van de gegevens en een korte bewaartermijn.
Informatieplicht
Ander belangrijk aandachtpunt is de informatieplicht van de gemeente. Als de gemeente ongevraagd gegevens van zijn bezoekers en inwoners gaat verwerken, moet zij deze personen daarover wel informeren. Dit kan de gemeente bijvoorbeeld doen door bordjes op te hangen in de stad en door openbare aankondigingen in huis-aan-huis-bladen en op haar website.
Aan die informatie schort het nog in het geval van City Traffic. In een brief van de wethouder aan de gemeenteraad wordt namelijk aangegeven dat het systeem van City Traffic al in veel steden in Nederland uitgerold is. Voorbeelden zijn Den Haag, Utrecht, Spijkenisse, Alkmaar, Leiden, Bergen op Zoom en Helmond. Ik woon zelf in Utrecht, maar weet nog van niks. Misschien moet ik maar eens een WOB-verzoek doen…