CBP: wifi-tracking slechts op beperkte schaal toegestaan, Bluetrace overtreedt de wet

Het College Beschering Persoonsgegevens (CBP) heeft vandaag een rapport uitgebracht over Wifi-tracking door Bluetrace. De toezichthouder concludeert dat Bluetrace met de huidige werkwijze de wet overtreedt.

Wifi-tracking en Bluetooth-tracking

Bij wifi-tracking en Bluetooth-tracking wordt een apparaat gevolgd aan de hand van een uniek getal dat wordt meegezonden met het Wifi- of Bluetooth-signaal. Aangezien de meeste mobiele telefoons Wifi/Bluetooth ondersteunen en dit bovendien bijna altijd ingeschakeld hebben (Bluetooth wellicht wat minder vaak dan Wifi), zijn zo eenvoudig de eigenaren van die telefoons te volgen.  Aan de hand van o.m. signaalsterkte van de telefoon is vrij nauwkeurig te bepalen op welke plek een persoon staat.

CBP: unieke nummer is een persoonsgegeven

Het CBP concludeert, onder verwijzing naar in diverse eigen opinies (al dan niet in samenwerking met andere Europese toezichthouders), en een op punten wat ruime uitleg van de Memorie van Toelichting, dat het technische nummer van het Wifi/Bluetooth-signaal kwalificeert als persoonsgegeven.

Die redenering van het CBP is ook bekend uit andere opinies. De lijn lijkt zo langzamerhand te worden dat individualiseerbaarheid van gegevens al voldoende is om van persoonsgegevens te spreken en dat identificeerbaarheid eigenlijk niet meer nodig is. Ik snap dat het CBP die lijn kiest, maar het komt af en toe wel wat opportunistisch voor. Ik ben benieuwd hoe een rechter in voorkomend geval daarover zou oordelen.

CBP: dus voldoen aan eisen privacywet

Als de hobbel van het begrip "persoonsgegeven" eenmaal genomen is, is de rest relatief voorspelbaar. De verwerking moet dan namelijk voldoen aan alle eisen uit de Wet bescherming persoonsgegevens. Dat zijn overigens veel meer eisen dan het CBP nu in dit rapport toetst. Ter illustratie verwijs ik hiervoor naar onze privacycheck.

CBP: niet voldaan aan transparantievereisten

Zo concludeert het CBP dat Bluetrace niet heeft voldaan aan de transparantievereisten uit de privacywetgeving. Die houden in dat de verantwoordelijke kenbaar moet maken wie hij is, wat hij met de persoonsgegevens gaat doen en andere informatie moet geven die onder omstandigheden redelijkerwijs verlangd mag worden. Die informatie ontbreekt nu in de winkels waar getrackt wordt.

CBP: geen grondslag voor verwerking

Het CBP concludeert verder dat Bluetrace in de huidige opzet geen grondslag heeft voor de verwerking van persoonsgegevens (artikel 8 Wbp). De grondslag "gerechtvaardigd belang" kan op zichzelf wel een valide grondslag zijn (artikel 8 sub f Wbp), maar daarvoor bewaart Bluetrace de gegevens volgens het CBP nu veel te lang.

Met die grondslag correspondeert het recht van verzet (artikel 40 Wbp). Het CBP constateert echter ook dat Bluetrace thans geen opt-out mogelijkheid biedt. Ook dat maakt de tracking onrechtmatig.

CBP: tracken buiten winkels hoe dan ook onrechtmatig

Het CBP concludeert verder dat er voor het tracken buiten de winkel niet snel een rechtvaardiging gevonden kan worden, en daarmee geen geldige grondslag als bedoeld in artikel 8 Wbp. Dergelijke tracking zal dus in beginsel onrechtmatig zijn.

CBP: gegevens te lang bewaard

Verder constateert het CBP dat Bluetrace geen bewaarbeleid heeft vastgesteld. Dit terwijl de WBP stelt dat gegevens niet langer mogen worden bewaard dan noodzakelijk is voor het doel waarvoor de gegevens zijn verzameld (artikel 10 Wbp).

CBP: te weinig zicht op verbetering

Bluetrace heeft een plan van aanpak ingediend om tot verbetering te komen. Het CBP vindt dit plan echter nog onvoldoende concreet. Het is dus denkbaar dat het CBP vervolgens nadere stappen zal ondernemen, zoals het opleggen van een last onder dwangsom of, vanaf 1 januari a.s., een boete. Wordt dus ongetwijfeld vervolgd, we houden u op de hoogte.