Herkennen van telefoons aan MAC-adres
Iedere telefoon heeft enkele unieke serienummers aan boord. Een van die serienummers (het zogenaamde MAC-adres) wordt zichtbaar bij het gebruik van WiFi en/of Bluetooth. Anders gezegd: een telefoon die WiFi of Bluetooth aan heeft staan, zendt continu een signaal uit aan de hand waarvan dit unieke nummer is te herkennen.
Volgen van personen aan de hand van hun telefoon
Dit betekent dat mensen die WiFi of Bluetooth ingeschakeld hebben staan op hun telefoon, relatief eenvoudig te volgen zijn: namelijk door te volgen waar het signaal met dit serienummer zich bevindt. Op die manier kunnen bijvoorbeeld de bewegingen van mensen in beeld worden gebracht. Het kan echter nog veel verder gaan, door bijvoorbeeld bewegingen te koppelen aan de beveiligingsbeelden en/of de aankopen, om zo een volledig profiel op te bouwen. Of dat allemaal ook gebeurt in de winkels die nu in het nieuws zijn is onduidelijk. Mag dit echter allemaal?
MAC-adres te beschouwen als persoonsgegevens
Het unieke MAC-adres van de telefoon moet waarschijnlijk worden beschouwd als een persoonsgegeven in de zin van de Wet bescherming Persoonsgegevens. Zie in dat kader o.m. deze passage uit opinie 185 van de artikel 29 werkgroep:
Every smart mobile device has at least one unique identifier, the MAC address. The device may have other unique identification numbers, added by the developer of the operating system.These identifiers may be transmitted and further processed in the context of geolocation services. (...)
Moreover, following Opinion 4/2007 on the concept of personal data, it also should be noted that of a unique identifier, in the context described above, allows the tracking of a user of a specific device and, thus, enables the user to be “singled out” even if his/her real name is not known.
Dat het MAC-adres nog geen naam van een persoon geeft, is in dit verband niet zo relevant. Zie daarvoor deze passage uit de opinie over het begrip persoonsgegevens:
Hier moet worden opgemerkt dat hoewel identificatie door middel van de naam in de praktijk het meest voorkomt, de naam niet in alle gevallen noodzakelijk is om een persoon te identificeren. Dit is het geval wanneer andere identificatiemiddelen worden gebruikt om iemand van anderen te onderscheiden.
Ook in de beslissing over het indexeren van WiFi-routers door Google heeft het College Bescherming Persoonsgegevens al geoordeeld dat MAC-adressen persoonsgegevens zijn.
Wet bescherming persoonsgegevens geeft regels
Het volgen van bezoekers aan de hand van hun MAC-adres impliceert dus hoogstwaarschijnlijk het verwerken van persoonsgegevens. Dat betekent dat moet worden voldaan aan de Wet bescherming persoonsgegevens. Die wet legt diverse verplichtingen op, waaronder:
- grondslagvereiste;
- transparantie;
- beveiliging;
- meldplicht.
Hierna zal ik kort op deze punten ingaan.
Ad. 1. Grondslagsvereiste
Persoonsgegevens mogen alleen worden verwerkt wanneer daarvoor een juiste grondslag is aan te wijzen (artikel 8 Wbp). De enige twee denkbare grondslagen in dit kader zijn (1) toestemming of (2) gerechtvaardigd belang. Toestemming zal echter in de regel niet worden gevraagd, dus die valt ook af. Blijft alleen het gerechtvaardigd belang over.
Het gerechtvaardigd belang vergt een belangenafweging tussen het belang van de winkelier (optimaliseren bedrijfsvoering) vs. het belang van de klant (privacy). Hoe die afweging uitvalt hangt af van wat de winkelier precies met de gegevens doet. Voor het simpelweg tellen (maar niet volgen) van bezoekers aan de hand van WiFi-signalen, valt de balans vermoedelijk in het voordeel van de winkelier uit. De winkelier moet de bezoeker dan echter wel de mogelijkheid van een opt-out bieden (artikel 40 Wbp). Gaat de winkelier echter veel verder en wil hij een klantprofiel opbouwen, dan is welhaast zeker de toestemming van de klant vereist.
Ad. 2. Transparantie
Een ieder die persoonsgegevens verwerkt moet daarover transparant zijn tegen over de betrokkenen (tenzij de gegevens worden verwerkt in opdracht van een ander). Dat wil zeggen dat voordat de gegevens worden verzameld er moet worden geinformeerd over o.m. wie er verzamelt, waarom er wordt verzameld en waar de betrokkene terecht kan voor vragen (artikel 33 Wbp). Het nalaten transparant te zijn maakt de gegevensverwerking onrechtmatig.
Ad. 3. Beveiliging
De verwerkte persoonsgegevens dienen bovendien op passende wijze te worden beveiligd (artikel 13 Wbp). Wat passend is hangt van alle omstandigheden af, waaronder dus wat er precies met de gegevens wordt gedaan (zie hiervoor). Zie daarvoor onder meer het rapport van het College Bescherming Persoonsgegevens over beveiliging. Het betekent echter onder meer dat alleen medewerkers op een need-to-know basis toegang mogen hebben tot deze gegevens. Het schenden van de beveiligingsmaatregelen maakt de verwerking onrechtmatig. Wanneer het wetsvoorstel meldplicht datalekken zou worden aangenomen, zou het uitlekken van deze gegevens wel eens kunnen leiden tot een boete van 450.000 euro.
Ad. 4. Meldplicht
Iedere verwerking van persoonsgegevens moet worden gemeld bij het College Bescherming Persoonsgegevens (artikel 27 Wbp). Veel alledaagse verwerkingen zijn vrijgesteld in het zogenaamde Vrijstellingsbesluit Wbp. Ik schat echter zo in - heb dat niet volledig getoetst - dat het volgen van klanten via WiFi onvoldoende "alledaags" is om onder een vrijstelling te vallen.
Cookiewet relevant?
Ongeveer twee jaar geleden liet de Minister van EZ nog weten dat ieder gebruik van browser headers (en vermoedelijk dus ook mac-adressen) onderhevig is aan de cookiewetgeving. Daarmee zou er 450.000 euro boete staan op ieder gebruik van die gegevens (dus bij iedere handeling op Internet, nu daarbij altijd headers worden meegezonden). Dat onhoudbare standpunt werd een jaar later gelukkig al weer wat afgezwakt. Nu is de interpretatie dat alleen wanneer aanvullende gegevens van het bij internetten gebruikte apparaat worden opgevraagd, de cookiewet van toepassing is.
Dat roept de vraag op of de cookiewet ook speelt bij dit volgen van winkelend publiek. De cookiewet is kortweg van toepassing bij het uitlezen van gegevens op randapparatuur via een elektronisch communicatienetwerk. Gelet op de ruime definitie van die begrippen, zou deze wet best wel eens relevant kunnen zijn dit in dit kader. Het roept in ieder geval de vraag op hoe het volgen van winkelend publiek op dit moment technisch is ingericht.
Wanneer alleen passief het WiFi-signaal wordt afgevangen en de gebruiker op die wijze wordt gevolgd, zal de cookiewet vermoedelijk niet relevant zijn. Wanneer echter ook actief met de betreffende telefoon gegevens worden uitgewisseld, komt de cookiewet (en daarmee de boete van 450.000 euro) mogelijk in beeld. Bij gebreke van precieze technische kennis over wat hier precies in de winkels gebeurt, kan ik dit verder niet inschatten. Het is voor de betreffende winkels echter wel te hopen dat ze, gelet op de (hoogte van) deze boete, zich hier goed op hebben georienteerd.
