De Autoriteit Persoonsgegevens (AP) heeft de gemeente Enschede zeer recentelijk een boete van € 600.000,- opgelegd vanwege zogenaamde wifi-tracking.
Gemeente Enschede installeerde wifi-tracking om drukte te meten
In 2017 besloot de gemeente Enschede om via een elftal sensoren (met een bereik afgesteld op 20 tot 30 meter) de drukte in de binnenstad van Enschede te meten. Daarvoor schakelde de gemeente een bureau in dat gespecialiseerd is in het tellen van passanten. Middels meetkastjes die geplaatst werden in winkelstraten, werden de wifi-signalen van de mobiele telefoons van passerende mensen gemeten. Daarbij werd ieder wifi-signaal (en dus iedere telefoon) apart geregistreerd met een (gepseudonimiseerde) unieke code.
Op deze manier kon het aantal telefoons worden geteld dat op een bepaald moment in de buurt van een meetkastje was. Bij alle elf sensoren werd eenzelfde pseudonimiseringsmethode gebruikt. Dit leidt ertoe dat iedere sensor dezelfde gepseudonimiseerde unieke code toekent aan een bepaald wifisignaal. Om bepaalde wifisignalen eruit te filteren werd gewerkt met een kortetermijntabel, een tweetal filters (bewonersfilter en opt-outfilter) en een langetermijn-tabel.
The devil’s in the details… van tellen naar volgen van mensen
Eerder had het door de gemeente ingeschakelde bureau aangegeven dat de wifi-trackinggegevens, zo begrijpen wij, geanonimiseerd verzameld zouden worden. Bovendien is afgesproken dat de opgeleverde rapportages (dus) geen persoonsgegevens zouden bevatten. In een later stadium bleek echter dat de gegevens toch niet zo anoniem waren en is (vanaf 1 januari 2019) een anonimiseringstechniek toegepast: een deel van de gepseudonimiseerde code werd “afgeknipt” en de gegevens werden deels gespoofd. Dit gebeurde mede naar aanleiding van een overleg met de Autoriteit Persoonsgegevens (de “AP” ). De AP heeft geen oordeel gegeven of zij de genomen anonimiseringsmaatregelen voldoende achtte.
Nadat het AP enige tijd later een onderzoek begon, kwam de AP tot de conclusie dat de anonimiseringstechniek niet voldoende was: in de praktijk kunnen de gegevens nog steeds aan elkaar gekoppeld worden volgens de AP. De AP merkt in haar rapport op:
“De mogelijkheid tot herleiding (en uiteindelijk identificatie) is een gevolg van ontwerpbeslissingen in het platform. Het voor lange duur opslaan van de onveranderde identificatoren maakt het mogelijk om individuen te kunnen volgen. Zij zijn op dat moment alleen nog weergegeven als nummer. Maar dit is hetzelfde nummer gedurende zes maanden. Men kan in dit geval niet spreken van robuuste anonimiseringstechnieken.”
Het “tellen” van mensen veranderde daardoor – aldus de AP – in het “volgen” van mensen. De AP heeft bij het onderzoeken van de gegevens geconstateerd dat het mogelijk is om uit de opgeslagen gegevens bepaalde “leefpatronen” te destilleren. Daarbij kan het gaan om leefpatronen die informatie geven over de woon- of werkplek maar ook patronen van bezoeken aan medische instellingen.
Daarbij merkt de AP op dat er voor het tellen van mensen ook privacyvriendelijker oplossingen zijn.
Dat de gemeente Enschede niet de intentie had om burgers te volgen, en zelfs dat de gemeente in de praktijk de gegevens ook niet gebruikt heeft om burgers te volgen, doet niet ter zake. Het inzetten van technologie die het volgen mogelijk maakt zonder dat waarborgen getroffen worden om dit onmogelijk te maken, is op zichzelf al een ernstige overtreding van de AVG, aldus de AP.
Ook had de gemeente volgens de AP geen goede grondslag voor het gebruik van Wifitracking.
Bezwaar tegen boete
Gemeente Enschede heeft wifi-tracking gebruikt voor het tellen van mensen in de periode 25 mei 2018 tot 1 mei 2020. Volgens schatting van de AP zijn hierbij gegevens van ongeveer 1,8 miljoen unieke apparaten verwerkt. De AP heeft een boete opgelegd van € 600.000,-. De gemeente Enschede heeft bezwaar aangetekend tegen de boete. Wordt dus vervolgd…
Het 58 pagina’s tellende boetebesluit treft u hier aan.
Neem contact op