Eind 2015 berichtten wij al over de visie van de Nederlandse privacywaakhond (destijds nog het College bescherming persoonsgegevens) over wifi- en bluetoothtracking. Toentertijd was de conclusie dat wifitracking in de openbare ruimte hoe dan ook onrechtmatig was. Er bleef echter een schemergebied bestaan voor mensen die zich in de ‘semi-openbare ruimte’ bevonden, zoals op perrons van treinstations en in winkelcentra. De Autoriteit Persoonsgegevens (hierna: “AP”) zegt daarover nu dat er vrijwel geen redenen zijn die het volgen van winkelend publiek of reizigers rechtmatig maakt.
Wat is wifi- en bluetooth-tracking?
Bij wifi- en bluetoothtracking wordt een apparaat (veelal een smartphone) gevolgd aan de hand van een uniek getal (het MAC-adres) dat wordt meegezonden met respectievelijk het wifi- of bluetooth-signaal. Aangezien vrijwel iedere smartphone wifi of bluetooth ondersteunt en het signaal bovendien vrijwel altijd ingeschakeld is (bluetooth wellicht wat minder vaak dan Wifi), zijn eigenaren van die telefoons eenvoudig te volgen. Met behulp van onder meer de signaalsterkte van de telefoon is vrij nauwkeurig te bepalen op welke plek een persoon zich bevindt. Winkels kunnen zo bijvoorbeeld zien hoeveel mensen langslopen, hoeveel van hen naar binnen gaan, welke producten ze bekijken en hoelang ze ergens blijven staan. Voor een ondernemer ontzettend interessante informatie maar volgens de AP een inbreuk op de privacy die slechts bij uitzondering is toegestaan.
Worden er dan persoonsgegevens verwerkt?
Volgens de AP wel. Ondanks dat er geen sprake is van direct identificerende gegevens worden met wifi- en bluetoothtracking volgens de AP wel degelijk persoonsgegevens verwerkt. Middels deze technieken wordt onder meer het MAC-adres, signaalsterkte, serienummer, de locatie van de sensor en het tijdstip van de waarneming geregistreerd. Door deze gegevens te combineren met elkaar (of met andere gegevens) is het mogelijk te herleiden tot een bepaald persoon. Het gaat om indirect identificeerbare gegevens. Ook als gebruik wordt gemaakt van hashing (een toepassing waarbij gegevens cryptisch worden bewerkt) blijft volgens de AP sprake van een verwerking van persoonsgegevens. Alleen het hashen van MAC-adressen, zonder aanvullende maatregelen, leidt er immers niet toe dat er geen persoonsgegevens worden verwerkt. Er is immers geenszins sprake van (onmiddellijk én onomkeerbaar) anonimiseren, maar van pseudonimiseren. Dit betekent dat aan de Algemene verordening gegevens bescherming (hierna: “AVG”) moet worden voldaan. Persoonsgegevens mogen alleen verwerkt worden als hier een wettelijke grondslag voor is.
Is er dan geen wettelijke grondslag?
Van de zes wettelijke verwerkingsgrondslagen (art. 6 AVG) komen er drie mogelijk in aanmerking voor wifi- en bluetoothtracking door private partijen: toestemming, overeenkomst en een gerechtvaardigd belang.
Toestemming
Het is niet uitgesloten dat aan de betrokkenen toestemming wordt gevraagd om hen te volgen door middel van wifi- en bluetoothtracking. Vanwege de voorwaarden waaraan toestemming moet voldoen is dit praktisch en technisch gezien lastig uitvoerbaar. Meer daarover leest u in deze blog.
Overeenkomst
We kennen in Nederland de zogenaamde contractsvrijheid: behoudens de beperkingen van het Burgerlijk Wetboek staat het een ieder in principe vrij om de omvang en de voorwaarden van een overeenkomst te bepalen. Het enkele feit dat wifi- en bluetoothtracking in een overeenkomst is opgenomen, wil echter niet zeggen dat daarmee is voldaan aan de eis dat deze verwerking noodzakelijk is om die overeenkomst uit te voeren. Bij de weging of de gegevensverwerking noodzakelijk is voor de te leveren prestatie bepalen uiteindelijk de inhoud en het fundamentele doel ervan of de gegevensverwerking daadwerkelijk noodzakelijk is voor die prestatie. En dat zie ik ten aanzien van winkelend publiek en treinreizigers in de praktijk niet snel slagen. Tenzij de kern van de overeenkomst nu juist is dat de betrokkene gevolgd wordt (een “volg mij”-dienst), maar de vraag is wie een dergelijke overeenkomst zou sluiten.
Gerechtvaardigd belang
De verwerking van persoonsgegevens in de openbare ruimte valt primair onder de verantwoordelijkheid van de overheid. Een private partij heeft daar doorgaans geen gezag. Een private partij kan dan ook niet zonder meer een beroep doen op de grondslag dat wifi- en bluetoothtracking noodzakelijk is voor de vervulling van een taak in het kader van de uitoefening van het openbaar gezag.
Dit kan bijvoorbeeld anders zijn indien wifi- en bluetoothtracking onvermijdelijk is om privaat eigendom te beschermen in de openbare ruimte of men een beroep kan doen op de journalistieke exceptie.
Voor het volgen van mensen met wifi- en bluetoothtracking in de semi-openbare ruimte die privaat bezit is, kan een beroep op gerechtvaardigd belang onder strikte voorwaarden mogelijk zijn. Volgens de AP mag er geen sprake zijn van een commercieel doel maar moet het het doel dienen om bijvoorbeeld de fysieke veiligheid van betrokkenen te waarborgen. Daarnaast moet deze verwerking aan de vereisten van proportionaliteit en subsidiariteit voldoen en moeten de belangen van beide partijen tegen elkaar worden afgewogen.
Uitzondering: gemeenten en overheden
Gemeenten en overheden kunnen onder omstandigheden wel wifi- en bluetoothtracking inzetten. Indien dit noodzakelijk is om hun taak uit te voeren, is dit onder strikte voorwaarden toegestaan. Denkbaar is het bewaken van de openbare orde of het handhaven van de verkeersveiligheid. Wel moet er een zelfstandige wettelijke grondslag bestaan en is het volgens de AP slechts toegestaan in specifieke periodes en in nauwkeurig omschreven gebieden en alleen dan wanneer het echt noodzakelijk is.
Conclusie
De AP is ditmaal heel duidelijk: wifi- en bluetoothtracking is een verwerking van persoonsgegevens en mag (zeker door private partijen) bijna nooit worden toegepast. Gelet op de strenge toon en strikte normen is het goed denkbaar dat de AP op termijn tot handhaving zal overgaan.
Heeft u vragen over wifi- en bluetoothtracking of een andere vraag over privacyrecht? Neem dan contact op met mij of een van mijn collega’s uit het privacyteam.
