De Autoriteit Persoonsgegevens (AP) heeft aan de gemeente Enschede een boete opgelegd van 600.000 euro wegens het onrechtmatig verzamelen van persoonsgegevens via wifitracking. Het is voor het eerst dat de AP een overheidsinstantie beboet.
In 2018 ontving de AP een klacht van een Enschedese hacker. De gemeente zou in strijd met de Algemene Verordening Gegevensbescherming (AVG) gebruikmaken van wifitracking in de binnenstad.
Onderzoek AP
In het hierop volgende onderzoek constateerde de AP dat er in ieder geval sinds mei 2018 elf sensoren in de binnenstad hangen die wifisignalen opvangen van passanten. Daarop zijn vanaf die datum van alle binnen het bereik komende mobiele apparaten waarop de wifi stond ingeschakeld het MAC-adres (een unieke identificator voor een apparaat), signaalsterkte, datum en tijdstip opgevangen en tijdelijk opgeslagen in het werkgeheugen van de sensoren.
Dit scannen vond continue plaats. De tijdelijke opslag duurde zolang het apparaat zich binnen het bereik van de sensor bevond plus twee minuten. Deze gegevens werden bij binnenkomst en twee minuten na vertrek uit het bereik van de sensor naar servers verzonden. Daarbij draaide op alle servers dezelfde pseudonimiseringsmethode. Deze methode was sinds mei 2018 niet gewijzigd, waardoor één MAC-adres op alle sensoren tot één en hetzelfde gepseudonimiseerde ‘afgeknipte’ MAC-adres leidde. Deze gegevens werden vervolgens maandenlang bewaard.
Gevoelige aard locatiegegevens
De AP concludeert dat zowel de combinatie MAC-adres, tijdstip en locatiegegevens (in het werkgeheugen sensoren), als de combinatie gepseudonimiseerd MAC-adres, tijdstip en locatiegegevens (op de servers) kwalificeren als persoonsgegevens, in de zin van de AVG.
Daarbij maakt het voor lange duur opslaan van onveranderde indentificatoren het mogelijk om individuen te kunnen volgen. Doordat keer op keer dezelfde identificator langs komt kunnen personen worden getrackt. Dit kan via cameratoezicht of door ter plaatse te kijken om wie het gaat en diegene om zijn of haar MAC-adres vragen. Volgens de AP onderschat het college van B&W Enschede de gevoelige aard van deze locatiegegevens. Hieruit zijn namelijk duidelijke leefpatronen te destilleren.
Gemeente is verwerkingsverantwoordelijke
Ook kan de gemeente haar verantwoordelijkheid niet afwentelen op het door haar voor de wifitracking ingeschakelde bedrijf. Het was de gemeente die besloot om wifitracking te gaan inzetten. In dit verband werd voor mei 2018 al een bewerkersovereenkomst met voorganger van het bedrijf gesloten. Daarin werd bepaald dat de gemeente Enschede de verwerkingsverantwoordelijke is voor de verwerking van deze persoonsgegevens.
Oordeel AP
De AP concludeert dat een specifieke wettelijke verplichting om wifitracking uit te voeren (art. 6 lid 1 onder C AVG) ontbreekt. De verwerking van persoonsgegevens vindt ook geen basis in een ruimer geformuleerde zorgplicht of wettelijke verplichting. Tot slot kan de gemeente Enschede – als overheidsinstantie en in de uitoefening van haar overheidstaken – geen beroep doen op het gerechtvaardigd belang (art. 6 lid 1 onder f AVG).
Alhoewel de wifitracking wordt ingezet ter invulling van de publieke taken van de gemeente (art. 6 lid 1 onder e AVG) ontbreekt in dit verband de vereiste specifieke rechtsgrond. Voor wat betreft de bevoegdheid merkt de AP op dat – omdat het college van B&W de verwerkingsverantwoordelijke is – enkel art. 160 van Gemeentewet van toepassing is. Dat artikel is te ruim geformuleerd en daarnaast zijn er in de Algemene Plaatselijke Verodening geen concretere bepalingen opgenomen. Burgers konden dus nergens uit afleiden dat, en onder welke voorwaarden hun persoonsgegevens (voor overheidstaken) werden verwerkt.
Mocht deze specifieke rechtsgrond er wel zijn, dan zou er volgens de AP nog altijd een probleem met het noodzakelijkheidsvereiste zijn. Passanten tellen kan tenslotte ook op een veel minder inbreukmakende manier. Zo had de gemeente ook kunnen kiezen voor automatische tellers op basis van infraroodstraling.
De AP oordeelt dan ook dat er geen deugdelijke grondslag voor de verwerking van persoonsgegevens is. Het college B&W Enschede handelt daarmee in strijd met het beginsel van rechtmatigheid (art. 5 lid 1 onder a AVG) en dit komt haar op een boete van 600 000 euro te staan.
Tot slot
Het bedrijf dat achter de sensoren zit heeft NOS laten weten dat zij buiten Enschede nog zo’n 100 Nederlandse gemeenten van wifitracking voorziet. Voor nu zou het bedrijf de werkwijze hebben aangepast en data niet langer dan 24 uur bewaren.
Art. 18 van de Uitvoeringswet AVG biedt de mogelijkheid om ook overheidsinstanties en overheidsorganen te beboeten voor de onrechtmatige verwerking van persoonsgegevens. Het is voor het eerst dat de AP gebruik maakt van deze bevoegdheid en de gemeente Enschede heeft hierin de twijfelachtige primeur. Hoewel de basisboete in dit kader 525.000 bedraagt, besloot de AP deze boete gelet op de ernst met 75.000 euro te verhogen. De gemeente Enschede heeft al aangegeven in bezwaar te gaan tegen deze boete.
Meer weten?
Heeft u naar aanleiding van het bovenstaande nog vragen, neem dan contact op met Thomas van Essen.