Op 29 april berichtte de Autoriteit Persoonsgegevens (AP) dat een boete is uitgedeeld aan de gemeente Enschede omdat de stad volgens de AP wifitracking gebruikte in de binnenstad op een manier die niet mag. Het zou daarmee mogelijk zijn om winkelend publiek en mensen die in de binnenstad wonen of werken te volgen en niet alleen te tellen.
Enschede besloot in 2017 om via sensoren de drukte in de binnenstad te meten en gebruikte daarvoor CityTraffic van Bureau RMC dat is gespecialiseerd in passantentellingen. Meetkastjes vangen wifisignalen op van mobiele telefoons en elke telefoon wordt met een unieke code apart geregistreerd. Volgens de AP verandert dat tellen als je over een langere periode bijhoudt welke telefoons er langs een meetkastje komen. Dan is er sprake van volgen en is de privacy van de burgers niet gewaarborgd.
Het was niet de intentie van de gemeente om individuen te volgen, zegt de AP, en er zijn ook geen aanwijzingen dat dit is gebeurd. ‘Maar het inzetten van wifitracking die dit mogelijk maakt, is op zichzelf al een ernstige overtreding van privacywet AVG’, aldus het bericht.
De overtreding begon in mei 2018. De interventie van de AP was aanleiding voor de gemeente om op 1 mei 2020 te stoppen met wifitracking.
De gemeente Enschede heeft bezwaar aangetekend tegen het besluit en de boete (van 6 ton).
Reactie Bureau RMC
Huib Lubbers, directeur van bureau RMC/CityTraffic, heeft inmiddels gereageerd. Hij zegt het bezwaar van Enschede tegen het besluit te ondersteunen. Lubbers: ‘De uitspraak van de AP, waarin wordt gesteld dat mensen werden ‘gevolgd’ op basis van wifi-signalen, is gebaseerd op zeer hypothetische situaties en aannames, niet op situaties die feitelijk hebben plaatsgevonden. Met de telmethode van Bureau RMC worden mensen geteld en niet gevolgd. Wij onderschrijven ook het standpunt van de gemeente Enschede dat identificatie van individuen aan de hand van de verwerkte data uit de anonieme wifimeting niet mogelijk is. Dat is door de gemeente duidelijk aangetoond in haar antwoord aan de AP. De AP stelt wel dat het niet de intentie was van de gemeente om individuen te volgen. En de AP heeft ook geen aanwijzingen gevonden dat dit is gebeurd.’
Huib Lubbers zegt verder dat de AP onderzoek heeft gedaan naar een oude telmethode die sinds vorig jaar niet meer bestaat. ‘De situatie waarin mensen theoretisch gezien kunnen worden ‘gevolgd’ door een Mac-adres te combineren met een direct persoonsgegeven, is onmogelijk gemaakt doordat telgegevens inmiddels korter dan 24 uur worden opgeslagen. Hiermee voldoet de huidige methode aan de door de AP geschetste kaders.’
Bureau RMC verwijst voor verdere uitleg naar een Q&A op hun website.
VNG – geen tegenstelling innovatie en privacy
De Vereniging Nederlandse Gemeenten (VNG) stelt in een reactie de voortrekkersrol van gemeenten bij de innovatieve aanpak van maatschappelijke opgaven te ondersteunen. ‘Het boetebesluit van de toezichthouder zou gemeenten niet de durf moeten ontnemen om te innoveren. Gemeenten zullen samen met ministeries, bedrijfsleven, inwoners en toezichthouders telkens moeten uitzoeken wat mogelijk en wenselijk is bij de inzet van nieuwe technologie. Die is nog in ontwikkeling en vraagt om experimenten om te leren of een technologie écht bijdraagt aan een opgave, maar ook of die toepassing in lijn is met maatschappelijke waarden zoals privacy.’
De AVG stelt – aldus de VNG – kaders op over privacy, maar er is nog veel onontgonnen terrein. ‘Innovatie en privacy kunnen prima hand in hand gaan en hoeven elkaar niet uit te sluiten.’