Wifitracking, het volgen van
mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is
voor bedrijven slechts in zeer weinig gevallen, en onder zeer strikte
voorwaarden, toegestaan, dat heeft de Autoriteit Persoonsgegevens (AP) in een
recent nieuwsbericht
op de website benadrukt.
“Het is een groot goed om je
in het openbaar onbespied te wanen. Het digitaal volgen van mensen op (semi-)
openbare plekken is een inbreuk op de privacy die slechts bij uitzondering
gebruikt mag worden. Er zijn vrijwel geen redenen die het volgen van winkelend
publiek of reizigers rechtmatig maakt. Bovendien zijn er minder ingrijpende
methoden om hetzelfde doel te bereiken, zonder schending van de privacy.”
2016:
brief wifitracking
In 2016 heeft de AP winkels en
gemeenten gewezen
op de wettelijke eisen die gelden wanneer zij gebruik maken van wifi-tracking. Via
wifitracking worden locatiegegevens samen met het unieke nummer van een mobiel
apparaat (MAC-adres) opgeslagen en verwerkt. Organisaties mogen deze
persoonsgegevens volgens de AVG alleen verwerken als zij daar een zogenoemde
wettelijke grondslag voor hebben.
Voorafgaande toestemming van
de betrokkenen is een van de grondslagen die genoemd is in de AVG. Een
verantwoordelijke kan ervoor kiezen om wifitracking, of vergelijkbare
technieken, zoals bluetooth tracking, in te zetten als betrokkenen daarvoor
specifieke, op informatie berustende, toestemming hebben verleend. Dat kan
bijvoorbeeld via een aparte app, of met behulp van incheckmethoden in winkels
zoals voorafgaand aan het gebruik van een wifi-gastnetwerk, aldus de AP.
Het verwerken van persoonsgegevens
door middel van wifitracking is ook toegestaan wanneer de verantwoordelijke kan
onderbouwen dat dit noodzakelijk is voor het behartigen van een gerechtvaardigd
belang. De gekozen werkwijze mag dan niet verder gaan dan strikt noodzakelijk
is om het doel te bereiken het doel mag niet met minder ingrijpende middelen te
verwezenlijken zijn. Het afbakenen van gebieden en periodes waarbinnen gemeten
wordt is een voorbeeld van een waarborg op het gebied van proportionaliteit. De
verantwoordelijke moet daarnaast ervoor zorgen dat er bij de gegevensverwerking
rekening gehouden wordt met het recht van betrokkenen op bescherming van hun
persoonlijke levenssfeer. Een maatregel die daaraan bijdraagt is het
anonimiseren van gegevens binnen 24 uur na vastlegging.
De AP maakt daarbij onderscheid
tussen het verrichten van metingen binnen in winkels, bedrijven of instellingen
en metingen buiten, op de openbare weg. Het verschil is gelegen in het feit dat
de impact van wifitracking op de privacy groter is wanneer dit plaatsvindt in
de openbare ruimte dan wanneer dit plaatsvindt in de context van het bezoek aan
een specifiek bedrijf of organisatie.
In de openbare ruimte moeten
mensen zich onbespied kunnen bewegen, zonder dat hun bewegingen in kaart worden
gebracht. Of in dat geval ook een beroep kan worden gedaan op het
gerechtvaardigd belang, hangt volgt de AP af van bijvoorbeeld af van wat het
bereik van de metingen is, in hoeverre omwonenden of voorbijgangers geraakt
worden door de gegevensverwerking en of zij zich hier aan kunnen onttrekken.
Daarom vindt de AP dat voor wifitracking op de openbare weg meer waarborgen
nodig zijn voor de de privacy dan voor wifi-tracking binnen de ruimte van een
organisatie. “Een belangrijke waarborg in dit verband is het onmiddellijk en
onomkeerbaar anonimiseren van gegevens, zodra deze door sensoren of andere
meetinstrumenten worden vastgelegd. Deze waarborg reduceert het risico voor
betrokkenen. De kans dat herleidbare personen over verschillende locaties en
door de tijd heen gevolgd kunnen worden en/of anders behandeld kunnen worden op
basis van over hen vastgelegde informatie wordt dan namelijk kleiner.”
Slot
Met het recente nieuwsbericht lijkt
de AP vooralsnog enkel aandacht te willen vragen voor de privacyrechtelijke regels
met betrekking tot wifitracking. Dat de AP nu terugkomt op haar eerdere advies
uit 2016 over de mogelijkheden tot wifitracking lijkt daarom niet aan de orde.
De AP herhaalt namelijk dat bedrijven wifitracking kunnen in de (semi-)openbare
ruimte in theorie op drie wettelijke gronden kunnen baseren: “Naast toestemming
zijn dat gerechtvaardigd belang of het uitvoeren van een overeenkomst.
Bedrijven moeten dan wel aan strikte voorwaarden voldoen.”
https://www.solv.nl/weblog/ap-bedrijven-mogen-mensen-alleen-bij-hoge-uitzondering-met-wifitracking-volgen/21693