icon

Wifi-tracking en de bescherming van persoonsgegevens

De Autoriteit Persoonsgegevens heeft onlangs de detailhandel en gemeenten gewezen op de privacy-aspecten van wifi-tracking. Veel winkels, gemeenten en evenementenorganisatoren blijken gebruik te maken van deze methode, waarbij door middel van signalen van mobiele telefoons onder meer bezoekersaantallen in kaart kunnen worden gebracht. Het op deze manier volgen van mensen is in veel gevallen in strijd met de Wet bescherming persoonsgegevens. Naar aanleiding van de berichtgeving van de Autoriteit heeft D66-Kamerlid Verhoeven vragen gesteld aan de minister van Economische Zaken, die afgelopen vrijdag beantwoord zijn.

Het idee achter wifi-tracking is vrij eenvoudig. Mobiele telefoons en andere apparaten met wifi-functionaliteit (zoals tablets en laptops) zenden, wanneer de wifi-functie is ingeschakeld, continu een signaal uit dat zoekt naar beschikbare netwerken. Zo'n signaal wordt overigens ook uitgezonden als bluetooth is ingeschakeld. Daarbij zendt het apparaat ook zijn media access control-adres (MAC-adres) mee, een code die voor elk apparaat anders is. Derden kunnen dat signaal vervolgens opvangen met sensoren, en weten op die manier wie – of beter gezegd, welke apparaten – er in de buurt zijn van hun sensor. Op die manier kunnen winkels bijvoorbeeld zien hoe vaak mensen terugkomen. Als een winkelier meerdere nauwkeurige sensors installeert, zou hij ook kunnen zien welke gedeelten van het bedrijf een klant (vaker) bezoekt. Op basis van die informatie kunnen bijvoorbeeld persoonlijke aanbiedingen worden gemaakt.

Aangezien een MAC-adres uniek is voor het apparaat, en de apparaten die zo'n adres uitzenden over het algemeen maar door een persoon worden gebruikt, is een MAC-adres een persoonsgegeven. Het is immers een gegeven dat te herleiden is tot een natuurlijke persoon. Voor het “opvangen” en eventueel verder verwerken van een MAC-adres is dus een van de in artikel 8 van de Wbp genoemde verwerkingsgronden vereist. Zeker voor bedrijven geldt over het algemeen dat alleen de grond “toestemming van de gebruiker” voldoende basis biedt voor verwerking van het MAC-adres. Die toestemming wordt zelden gevraagd, zo lijkt het.

Kwalijker – in ieder geval in de ogen van Verhoeven – is dat ook veel gemeenten en andere overheden gebruik zouden maken van wifi-tracking. Volgens de Autoriteit vragen ook overheden vrijwel nooit toestemming, en wijzen zij burgers evenmin op de aanwezigheid van trackers. Overigens is voor overheden nog een andere verwerkingsgrond denkbaar, namelijk dat de wifi-tracking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak. Met het oog op de veiligheid kan het bijvoorbeeld noodzakelijk zijn om bij evenementen de bezoekersaantallen in kaart te brengen.

In antwoord op de Kamervragen heeft minister Kamp (terecht) opgemerkt dat de Autoriteit nog geen onderzoek heeft gedaan naar wifi-tracking door gemeenten, en dat er logischerwijs nog geen overtredingen geconstateerd zijn. Verder complimenteerde Kamp de Autoriteit met de voorlichting die zij aan gemeenten en bedrijven geeft over de regels omtrent wifi-tracking. Tot slot heeft hij toegezegd burgers beter te gaan informeren over de mogelijkheden en gevaren van wifi-tracking, onder meer via de website veiliginternetten.nl (wie kent de site niet?). Wie niet gevolgd wil worden, hoeft overigens maar een advies ter harte te nemen: schakel wifi en bluetooth uit als deze functies niet worden gebruikt.

Wifi-tracking en de bescherming van persoonsgegevens