Wifi-tracking

Een ontwikkeling om op de voet te volgen

News

Wifi- en/of bluetoothtracking (kortweg “Wifi-tracking”) is een techniek om grote groepen mensen te volgen en hun bewegingspatroon te analyseren, bijvoorbeeld op een station of in een winkelcentrum. Hoewel Wifi-tracking waardevolle en maatschappelijke functies kan hebben – zoals het leiden van mensenmassa’s in veilige banen – doet de vraag zich voor hoe Wifi-tracking zich tot het recht op privacy verhoudt. Deze blog bespreekt het huidige wettelijk regime rondom Wifi-tracking, de ontwikkelingen in dat kader en de gevolgen daarvan voor betrokkenen en voor organisaties die van Wifi-tracking gebruik willen maken.

 

Wat is Wifi-tracking?

Kortgezegd zorgt Wifi-tracking ervoor dat het signaal uit bijvoorbeeld een smartphone of tablet wordt opgevangen door meetapparatuur, waardoor onder andere de locatie daarvan wordt bepaald. Wat veelal niet beseft wordt is dat voor het opvangen van deze signalen geen actieve handeling (zoals het inloggen op een wifi-netwerk) vereist is. Wifi-tracking is niet merkbaar en het is vaak niet te achterhalen of en wanneer dit heeft plaatsgevonden.

 

Welk wettelijk regime is van toepassing?

Wanneer een organisatie Wifi-tracking wil toepassen, of een betrokkene zich juist daartegen wil verzetten, zijn er verschillende wettelijke regimes waarmee rekening gehouden dient te worden. Ten eerste is de Algemene Verordening Gegevensbescherming (“AVG”) van toepassing. Daarnaast geldt mogelijk ook de Telecommunicatiewet (“Tw”), al bestaat hierover nog discussie.

 

Het van toepassing zijn van de AVG volgt uit het feit dat met Wifi-tracking een combinatie van gegevens wordt verzameld die (indirect) tot een bepaald persoon kunnen leiden. Aangezien men veelal op dezelfde locatie als zijn of haar smartphone is, zal de locatie van deze telefoon (in combinatie met bijvoorbeeld camerabeelden, wifi-inloggegevens of een klantenkaart) informatie verschaffen over de eigenaar daarvan. (Mede) aangezien het anonimiseren van gegevens bij Wifi-tracking technisch complex is, worden nagenoeg altijd persoonsgegevens verwerkt. Als gevolg daarvan moet Wifi-tracking in overeenstemming met de AVG plaatsvinden.

 

Momenteel bestaat nog onduidelijkheid over de vraag of naast de AVG ook de “cookieregels” uit de Tw van toepassing zijn op Wifi-tracking, wat als gevolg zou hebben dat toestemming vereist is voor Wifi-tracking. De toezichthouder van de Tw, de Autoriteit Consument & Markt, heeft zich hierover niet uitgelaten. Aangezien de Tw vervangen wordt door de e-Privacyverordening, die (wel) specifieke regels zal bevatten voor Wifi-tracking, zal de inhoud daarvan de toekomst voor Wifi-tracking bepalen.

 

Gevolgen van de toepasselijkheid van de AVG

De toepasselijkheid van de AVG heeft grote gevolgen voor organisaties die gebruik maken van Wifi-tracking. Zo is Wifi-tracking alleen gerechtvaardigd als betrokkenen hierover geïnformeerd zijn en er een “grondslag” is voor deze verwerking. Beide verplichtingen zijn echter geen gemakkelijke opgave.

 

Met betrekking tot de informatieplicht geldt dat de (onoplettende) betrokkenen niet of onvoldoende geïnformeerd (kunnen) worden over Wifi-tracking. Dit kan bijvoorbeeld praktische bezwaren met zich meedragen, zoals bij een meting in het verkeer.

 

Bij het selecteren van een grondslag zijn voor private organisaties de mogelijkheden beperkt tot (i) toestemming, (ii) uitvoering van een overeenkomst en (iii) gerechtvaardigd belang. Bij de grondslag (i) toestemming geldt dat de huidige praktijk van Wifi-tracking niet voldoet aan de (strenge) vereisten die voor deze grondslag gelden. Aangezien persoonsgegevens via Wifi-tracking momenteel automatisch en onopgemerkt worden verzameld, kunnen betrokkenen bijvoorbeeld vaak niet voorafgaand toestemming verlenen. Daarnaast bestaat in de meeste situaties waarin Wifi-tracking wordt toegepast (ii) geen overeenkomst met de betrokkenen (op grond waarvan Wifi-tracking noodzakelijk is). Het (iii) gerechtvaardigd belang zou een uitkomst kunnen bieden, maar de Autoriteit Persoonsgegevens (“AP”) interpreteert deze grondslag streng (door bijvoorbeeld aan te geven dat deze grondslag niet mogelijk is bij een commercieel doel voor Wifi-tracking). Daar komt nog bij dat de AP aangeeft dat Wifi-tracking überhaupt in zeer weinig gevallen en slechts onder zeer strikte voorwaarden is toegestaan. Voorzitter Aleid Wolfsen geeft in dit kader aan dat er “vrijwel geen redenen zijn die het volgen van winkelend publiek of reizigers rechtmatig maakt”.[1]

 

Kortom: het selecteren van een grondslag lijkt een onmogelijke opgave te zijn. Dit geldt te meer wanneer ook bijzondere persoonsgegevens verzameld kunnen worden (bijvoorbeeld over iemands religieuze overtuiging, bij een bezoek aan een moskee), aangezien de grondslagen (ii) en (iii) dan in ieder geval geen uitkomst meer bieden. Dit betekent dat tevens kritisch beoordeeld dient te worden op welke plekken Wifi-tracking plaats kan vinden.

 

Ontwikkelingen rondom de e-Privacyverordening

Het wetsvoorstel van de Europese Commissie (“EC”) voor de e-Privacyverordening bepaalt – in het kort – dat Wifi-tracking verboden is, tenzij er sprake is van een duidelijk en zichtbaar bericht met informatie over onder andere de maatregelen die genomen kunnen worden om de Wifi-tracking te beëindigen. In de geamendeerde versie van deze e-Privacyverordening door het Europees Parlement[2], en de latere versie van de Raad van Europa[3], wordt dit artikel (nog) strenger uitgelegd. Wifi-tracking is op basis daarvan slechts toegestaan indien sprake is van toestemming of indien deze informatie (kortgezegd) slechts gebruikt wordt voor statistisch tellen.

 

Europese autoriteiten voeren momenteel veel discussie over de vraag onder welke voorwaarden Wifi-tracking is toegestaan. Het EC voorstel zou bijvoorbeeld de bescherming van de AVG ondermijnen.[4] Hoewel de geamendeerde voorstellen de rechten van betrokkenen in grotere mate beschermen, mogen -mogelijk nuttige – analyses daarmee niet meer uitgevoerd worden (aangezien het verkrijgen van geldige toestemming in de praktijk aldus nog niet is ingeregeld). De discussie hoe toestemming technisch gezien toch mogelijk kan worden gemaakt wordt echter volop gevoerd. Technische standaardinstellingen op mobiele apparaten om Wifi-tracking te signaleren, en daar al dan niet toestemming voor te geven, zouden een uitkomst kunnen bieden, maar bestaan nog niet.

 

Wifi-tracking en privacywetgeving: voorlopig nog toekomstmuziek

Omdat nog veel onduidelijkheid bestaat over zowel het huidige als toekomstige wettelijk kader, is het voor organisaties onoverzichtelijk geworden wanneer zij gebruik mogen maken van Wifi-tracking, en voor betrokkenen wanneer zij hieraan onderworpen mogen worden. Er is aldus sprake van een leemte in de wetgeving die momenteel onvoldoende verholpen wordt door de verschillende toezichthouders die hierbij een rol spelen. De hoop is dat toekomstige regelgeving meer duidelijkheid biedt, en zowel recht doet aan de bescherming van de betrokkenen als aan de mogelijkheden die Wifi-tracking kan bieden.

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/bedrijven-mogen-mensen-alleen-bij-hoge-uitzondering-met-wifitracking-volgen .

[2] http://www.europarl.europa.eu/doceo/document/A-8-2017-0324_EN.html?redirect.

[3] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_6771_2019_INIT&from=EN.

[4] European Data Protection Supervisor, opinion 6/2017, EDPS Opinion on the Proposal for a Regulation on Privacy and Electronic Communications (ePrivacy Regulation), p. 19-20 and Article 29 data protection working party, Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC), adopted on 4 April 2017, p. 11 – 12.