Autoriteit Persoonsgegevens: wifi-tracker in winkelgebied in strijd met privacywetgeving

De Autoriteit Persoonsgegevens (hierna: AP) verricht onderzoek in Nederland naar de wijze waarop persoonsgegevens worden verwerkt binnen zowel de (semi-)publieke als private sector.

Onderzoek 2015

Al in december 2015 bleek uit onderzoek van de AP dat de wijze waarop Bluetrace persoonsgegevens verwerkte in strijd was met de Wet bescherming persoonsgegevens. Het bedrijf verzamelde via wifi-tracking locatiegegevens van winkelbezoekers en voorbijgangers in de openbare ruimte zonder hen hierover te informeren. Dit gebeurde door middel van apparatuur die de unieke Media Access Control (MAC)-adressen van mobiele apparatuur registreert. Met behulp van kastjes werden de wifi-signalen van mobiele apparaten met een ingeschakelde wifi-functie opgevangen. Ook was sprake van een registratiesysteem: met name de datum en het tijdstip waarop een signaal werd waargenomen en de signaalsterkte van het wifi-signaal werden vastgelegd. De wifi-tracking moest bedrijfseconomische informatie over (winkel-)gedrag en bezoekersfrequenties voor bedrijven of organisaties genereren.

Maatregelen

Het bedrijf trof maatregelen na het onderzoek van de AP. Zo heeft zij onder meer de wifitrackmetingen beperkt tot winkelopeningstijden en een bewaartermijn voor alle gegevens van maximaal 24 uur vastgesteld.

De AP meent echter dat de bewaartermijn van 24 uur weliswaar passend is, maar dat het bedrijf de persoonsgegevens van voorbijgangers direct na het verzamelen dient te anonimiseren of verwijderen. De AP benadrukt dat mensen zich in de openbare ruimte moeten kunnen bewegen zonder te worden gevolgd. Van omwonenden mag het bedrijf volgens de AP überhaupt geen persoonsgegevens verzamelen en bewaren. Ten slotte oordeelt de AP dat de stickers en informatiebrochures over de wifitrackmetingen die het bedrijf volgend op het onderzoek van de AP in december 2015 heeft ontwikkeld, onvoldoende en onjuiste informatie bevatten.

Schending Wet bescherming persoonsgegevens

De AP komt tot de conclusie dat nog steeds sprake is van schending van de Wet bescherming persoonsgegevens (hierna: Wbp) door Bluetrace omdat:

• Bluetrace persoonsgegevens verwerkt zonder dat dit noodzakelijk is voor een bedrijfsbelang dat opweegt tegen de privacy van zowel mensen binnen als mensen buiten de winkels (art. 8 Wbp);
• de persoonsgegevens van passanten die niet de winkels bezoeken niet mogen worden bewaard (art. 10 Wbp);
• de persoonsgegevens worden verwerkt zonder dat betrokkenen hierover tijdig, voldoende en juist worden geïnformeerd (art. 34 en art. 6 Wbp).

Last onder dwangsom

De AP heeft Bluetrace een last onder dwangsom opgelegd die strekt tot het staken van de persoonsgegevensverwerking dan wel tot het nemen van maatregelen. De overtredingen moeten in elk geval binnen zes maanden zijn beëindigd. Als de overtreding niet binnen zes maanden zal zijn beëindigd, is het bedrijf een dwangsom verschuldigd van € 5.000,- voor iedere week dat de last niet is uitgevoerd, tot een maximum van € 100.000,-. Het bedrijf moet ervoor zorgen dat zij:

• geen persoonsgegevens verzamelt van omwonenden in aangrenzende of nabijgelegen woningen;
• de persoonsgegevens van winkelvoorbijgangers na het verzamelen direct verwijdert of anonimiseert;
• mensen in en buiten de winkel begrijpelijke informatie geeft over wie voor welk doel welke persoonsgegevens verwerkt, hoe lang deze worden bewaard en waar men meer informatie kan vinden.

Onder meer de gemeenten Purmerend en Gouda namen diensten af bij Bluetrace. De gemeente Purmerend heeft de samenwerking met Bluetrace inmiddels gestaakt. De gemeente Gouda heeft het contract met het bedrijf aangepast: Bluetrace voorziet de gemeente nog enkel van een wifi-netwerk, zonder enige vorm van registratie van de gebruikers.

Privacywetgeving aangescherpt

Zoals wij eerder berichtten is de in Nederland geldende privacywet- en regelgeving aan verandering onderhevig. Pas op, het niet nakomen van verplichtingen op het gebied van privacywetgeving kan tot de oplegging van een bestuurlijke herstellende sanctie (last onder dwangsom) of zelfs bestraffende sanctie (bestuurlijke boete) leiden. Een voorbeeld is de meldplicht datalekken, die per 1 januari jl. in de Wet bescherming persoonsgegevens is opgenomen. Met ingang van 25 mei 2018 is de Europese Algemene verordening gegevensbescherming in Nederland van toepassing. Deze verordening brengt belangrijke vernieuwingen op het gebied van de bescherming van persoonsgegevens met zich mee.