De Autoriteit Persoonsgegevens heeft de gemeente Enschede onlangs een boete van € 600.000 gegeven. De gemeente gebruikte namelijk wifitracking in de binnenstad op niet toegestane wijze. Daardoor was het mogelijk om winkelend publiek en mensen die in de binnenstad wonen of werken te volgen. En dat mag niet zomaar.

Wifitracking in de gemeente Enschede: wie, wat en waarom?

De gemeente Enschede wilde via sensoren de drukte in de binnenstad meten. De gemeente huurde daarvoor een bedrijf in dat gespecialiseerd is in het tellen van voorbijgangers en is in 2018 met de metingen begonnen.

Hoe werkt zoiets?

Meetkastjes in de winkelstraten vangen wifisignalen op van smartphones van voorbijgangers. Alle telefoons worden apart geregistreerd, met een unieke code.

Door te tellen hoeveel mobiele telefoons er op een gegeven moment rond een meetkastje zijn, heeft de gemeente inzicht in hoe druk het op dat moment is.

Wat is hier op tegen?

Als je over een langere periode bijhoudt welke mobiele telefoon langs welk meetkastje komt, dan kun je hiermee ook mensen volgen. En dat mag niet zomaar.

Ter illustratie: als uit een meetkastje blijkt dat een bepaald individu elke ochtend rond half 9 aankomt en elke middag rond 5 uur weer weggaat, dan kun je concluderen dat die persoon daar werkt.

Niet noodzakelijke gegevensverzameling

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan bij de gemeente Enschede, nadat de AP een klacht had ontvangen.

Wat bleek?

De privacy van burgers was niet goed gewaarborgd, omdat zij konden worden gevolgd zonder dat dit noodzakelijk was.

Whatever it is, the way you tell your story online can make all the difference.

Het was niet de intentie van de gemeente Enschede om personen te volgen en er zijn ook geen aanwijzingen gevonden dat dit wel is gebeurd. Maar, het inzetten van wifitracking dat het volgen van personen mogelijk maakt, is volgens de Autoriteit Persoonsgegevens op zichzelf al een ernstige overtreding van de AVG.

Dat niet alleen: zowel de gemeente als 2 betrokken bedrijven hadden toegang tot de data.

De gemeente heeft door het onderzoek van de AP vorig jaar mei al besloten te stoppen met wifitracking. Al met al heeft de wifitracking dus structureel en lange tijd (bijna 2 jaar) plaatsgevonden.

Wanneer mag wifitracking wel?

De inzet van wifitracking door bedrijven of overheden mag slechts onder strenge voorwaarden. De techniek is namelijk ingrijpend voor het persoonlijke leven van mensen.

Zo mogen gemeenten in bepaalde situaties via wifitracking persoonsgegevens verwerken. Bijvoorbeeld als dit noodzakelijk is voor hun wettelijke taak, zoals het handhaven van de veiligheid op straat.

Altijd blijft echter de vraag of tracking noodzakelijk is, omdat er ook minder ingrijpende alternatieven zijn.

Bezwaar gemeente: boete moet omlaag

De gemeente Enschede is per 1 mei 2020 gestopt met wifitracking. Een jaar later legt de AP alsnog een boete op van € 600.000 voor de langdurige inzet van wifitracking. De gemeente is het niet eens met de hoogte hiervan en ziet aanleiding tot boeteverlagende omstandigheden.

Waarom?

Enschede meent dat betrokkenen geen schade hebben geleden. Daarnaast is de gemeente nog nooit eerder door de AP op haar vingers getikt vanwege een schending van de privacywet- en regelgeving. Ook heeft de gemeente steeds haar volledige medewerking verleend aan het onderzoek van de AP.

De gemeente Enschede heeft dan ook bezwaar aangetekend tegen de boete.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Abonneert u zich dan nu op onze maandelijkse nieuwsbrief.