Op 11 maart 2021 heeft de Autoriteit Persoonsgegevens een boete van 600.000 euro opgelegd aan de gemeente Enschede wegens Wifitracking, zo werd vandaag bekend. In deze blog geef ik een samenvatting en wat eerste gedachten bij de boete.
Feiten en achtergronden
De gemeente Enschede heeft in 2017 besloten om in de binnenstad via Wifitracking bezoekersstromen te meten.
In 11 winkels hangen sensoren met ieder een bereik van zo'n 20 tot 30 meter. Die sensoren meten de aanwezigheid van apparaten met een Wifi-chip erin (zoals in de praktijk vooral: mobiele telefoons) en slaan gegevens daarvan op. Het voor iedere telefoon unieke Mac-adres werd daarbij weliswaar gepseudonimiseerd, maar wel steeds op dezelfde wijze (later is kennelijk slechts een deel van dat gepseudonimiseerde nummer bewaard). Bewoners konden zich aanmelden voor een opt-out, maar die werkte kennelijk niet goed.
Zodoende zijn gegevens over vele maanden bezoek aan de binnenstad verzameld. Volgens de AP zijn er gegevens van grofweg 1,8 miljoen apparaten verzameld.
Aan de hand hiervan konden statische gegevens over het bezoek aan de binnenstad worden opgesteld. De AP constateerde echter ook dat uit de metingen duidelijke patronen van bepaalde bezoekers te herleiden waren, zoals woon- of werkplek of bezoek aan medische instellingen.
Locatiegegevens en persoonsgegevens
De AP stelt zich op het standpunt dat het MAC-adres (=unieke code telefoon) in combinatie met de gegevens over de locatie en tijd van registratie een persoonsgegevens is. Er wordt immers vastgesteld op welke plaats een bepaalde telefoon was en het is algemeen bekend dat een mobiele telefoon in de regel dicht op het lichaam wordt gedragen en nauwelijks wordt uitgeleend.
Volgens de AP is de identificatieslag te maken door de betrokkenen te vragen naar het MAC-adres of door op camerabeelden te kijken - zeker op rustige momenten - wie bij de betreffende telefoon hoort. Ook het gegeven dat een bepaald MAC-adres al dan niet het meetgebied verlaat maakt identificatie relatief gemakkelijk mogelijk. Het MAC-adres dat zich de gehele dag in de winkel begeeft werkt daar immers vermoedelijk; wie snel in en uitloopt is vermoedelijk een klant. Ook de patronen die uit de lange termijn opslag zijn af te leiden zouden volgens de AP identificatie mogelijk maken. Dit alles zou geen excessieve inspanning vergen volgens de AP.
Verderop in het besluit is het verweer van de gemeente op dit punt te zien. De gemeente stelt kennelijk de gegevens voldoende geanonimiseerd zouden worden. De AP benadrukt echter dat de gegevens die over blijven nog steeds identificeerbaar zijn, zoals hiervoor uitgelegd, en verwerpt dus dit standpunt van de gemeente. Hierbij telt mee dat de keuze is gemaakt de gegevens voor zeker zes maanden te bewaren, waardoor juist zaken als patroonanalyse mogelijk zijn.
Anonimiseren en persoonsgegevens
Gaandeweg het project is besloten om het gepseudonimiseerde MAC-adres 'af te knippen', dus slechts een deel van die code te gebruiken voor verdere opslag. Volgens het door de gemeente ingeschakelde bedrijf zou die code niet meer kwalificeren als een persoonsgegeven.
De AP denkt daar anders over. De AP stelt eenvoudigweg vast dat gegevens nog steeds te koppelen zijn en dat dit ook feitelijk gebeurt. Alleen al het feit dat er ontdubbeld wordt op basis van deze kortere code laat zien dat de code nog steeds uniek is (alleen minder lang). Ook de eerder door de AP beschreven manieren om tot identificatie te kunnen komen zouden nog steeds werken na het 'knippen van de code'.
Gemeente is verantwoordelijk
De AP stelt verder vast dat de gemeente in deze de verwerkingsverantwoordelijke is. Daarvoor hoeft de AP niet zo veel stappen te zetten: het is immers het college van B&W dat zelf tot de tracking heeft besloten, dat hiervoor een bedrijf in de arm heeft genomen en dat dit bedrijf ook allerlei instructies heeft gegevens over de verwerkingen (zoals het op een gegeven moment 'afknippen' van de gepseudonimiseerde MAC-adressen).
De gemeente stelt in het verweer dat zij slechts beperkt verwerkingsverantwoordelijke zou zijn. De gemeente stelt namelijk dat het ingeschakelde bedrijf in feite alle technisch relevante keuzes maakte.
De AP gaat echter niet mee in dat verweer. De AP stelt dat primair bepalend is welke partij het doel van de verwerking bepaalt, de middelen zijn secundair van belang voor de vaststelling wie verwerkingsverantwoordelijke is. En dat doel is hier overduidelijk door de gemeente zelf bepaald. Dat het bedrijf de verwerkte gegevens verder kan doorverkopen maakt ook niet dat de gemeente niet verantwoordelijk zou zijn voor de primaire verwerking (verzameling). De AP wijst er ook op dat de gemeente en het bedrijf nota bene een bewerkersovereenkomst hebben gesloten en dat het bedrijf ook instructies van de gemeente heeft opgevolgd.
Ook het verweer dat sprake zou zijn van gezamenlijke verantwoordelijkheid (met het bedrijf) wordt verworpen. Het bedrijf heeft volgens de AP immers geen invloed op het doel van de verwerking, hooguit op de middelen.
Grondslag publieke taak?
Vervolgens is de discussie wat de grondslag is voor de verwerking van deze gegevens. De gemeente beroept zich onder meer op de grondslag van de taak voor het algemeen belang (artikel 6 lid 1 sub e AVG) en wijst hierbij naar de algemene taken die op de gemeente rusten uit hoofde van de Gemeentewet.
De AP stelt dat voor een beroep op de grondslag taak van algemeen belang er een voldoende duidelijke en specifieke wettelijke grondslag moet zijn. De brede taak om het dagelijks bestuur van de gemeente te voeren (artikel 160 Gemeentewet) is onvoldoende concreet en volstaat dus niet voor de verwerking van persoonsgegevens. Ook in de APV is geen concrete bepaling te vinden waaruit volgt dat de burger kan verwachten dat hij in Enschede wordt gevolgd.
Ten overvloede merkt de AP ook nog op dat niet is voldaan aan het noodzakelijkheidsvereiste, omdat niet is voldaan aan eisen van proportionaliteit en subsidiariteit. Simpel gezegd: bezoekerstellingen hadden veel privacyvriendelijker ingericht kunnen worden.
Grondslag gerechtvaardigd belang
De gemeente beroept zich ook op het gerechtvaardigd belang. De AP stelt hierbij vast dat overheden zich voor overheidstaken niet op deze grondslag kunnen beroepen, maar wel voor verwerkingen die niet eigen aan de overheid zijn (die private partijen ook zouden kunnen verrichten). Dat laatste biedt volgens de AP echter geen soelaas, omdat de gemeente de metingen in dit geval nu juist uit hoofde van haar overheidstaak (zoals bij de andere grondslag ook was betoogd, zie hiervoor).
Gerechtvaardigd vertrouwen?
Verder stelt de gemeente dat het ingeschakelde bedrijf in 2016 heeft gecorrespondeerd met de AP. Het bedrijf zou de aanwijzingen van de AP hebben opgevolgd. Daarmee zou de gemeente er op mogen vertrouwen dat de verwerking rechtmatig is.
De AP wijst er echter op dat in de brief destijds aan het bedrijf er juist op is gewezen dat de AP geen formeel oordeel heeft gegeven over de verwerkingen. Daarmee kan van gerechtvaardigd vertrouwen ook geen sprake zijn.
Boete: 525k basis + 75k verhoging
Dit brengt de Autoriteit Persoonsgegevens er dan ook toe een boete op te leggen van totaal € 600.000,-. Dit bedrag bestaat uit een basisboete van € 525.000,- conform de eigen beleidsregels en een verhoging van € 75.000,- wegens de ernst. Daarbij lijkt mee te wegen dat hier sprake is van het indringend en langdurig volgen van burgers door nota bene een overheidsorganisatie. De AP ziet geen reden tot matiging.
Opmerkingen
De zaak staat of valt onder meer bij de vraag of de gemeten gegevens inderdaad kwalificeren als persoonsgegevens. Daarvoor is identificatie vereist, niet dat de gegevens uniek zijn (zo volgt ook het Breyer-arrest over dynamische IP-adressen). Dat ziet de AP zelf ook en dat is op zichzelf al winst (in het verleden betoogde de AP ook wel dat uniciteit al voldoende zou zijn om over persoonsgegevens te kunnen spreken).
De vraag is wel of de redenering van de AP dat in dit geval identificatie geen excessieve inspanningen vergt uiteindelijk stand houdt. Ik ken de details uit het dossier uiteraard niet en kan dit dus lastig volledig beoordelen. Bij eerste indruk lijkt de AP hier echter wel wat "zoekende" om de redenering vol te kunnen houden. Zo stelt de AP dat er middels camera's e.d. identificatie zou kunnen plaatsvinden, maar tegelijkertijd stelt de AP niet vast (i) dat die camera's er ook zijn (ii) noch dat de gemeente daar toegang toe heeft. Ook het vragen van betrokkenen naar hun MAC-adres lijkt mij een absurd onrealistisch idee (de gemeente wijst daar ook op). Wel kan ik de AP meegeven dat indien inderdaad juist zou zijn dat de gemeente toegang heeft, of toegang kan krijgen, tot alle lange termijnmetingen, dat dan een loganalyse vermoedelijk inderdaad allerlei patronen zal laten zien. Vervolgens zullen er vast situaties zijn waarbij die patronen inderdaad tot een persoon te herleiden zijn. Of dat dan echter alle gegevens tot persoonsgegevens maakt is nog een interessant punt voor verdere discussie.
Ook de overwegingen over de publieke taak zijn interessant. De AP past de criteria uit de AVG op dit punt strikt toe en eist dat de verwerking door een overheidsorgaan is te herleiden tot een wettelijke bepaling die voldoende precies en concreet en daarmee voorzienbaar is. Dit kennen we ook uit rechtspraak van het EHRM en het Hof van Justitie van de EU. Tegelijkertijd zien we in Nederlandse rechtspraak dat die eis lang niet altijd zo strikt wordt genomen, dus dit zal deels schrikken zijn voor sommige partijen. Het zal me ook niet verbazen dat op termijn zal blijken dat voor allerlei gegevensverwerkingen in de (semi)publieke sector er eigenlijk wetswijzigingen nodig zijn om aan deze criteria te voldoen.
Verder stelt de AP dat niet voldaan is aan het noodzakelijkheidsvereiste. Dit maakt de verwerking in feite onder alle omstandigheden verboden. Noodzakelijkheid staat immers in alle grondslagen. Wordt niet aan noodzakelijkheid voldaan, dan is de verwerking dus onder geen beding rechtmatig. Hier is de invloed van de ‘relationele privacy’ (8 EVRM e.d.) op het gegevensbeschermingsrecht goed terug te zien. Dit roept dan wel de vraag op hoe met moderne technieken om te gaan. De AP zegt immers in feite: bezoekerstellen had ook wel minder verfijnde, en daarmee privacyvriendelijker, technieken gekund. In de visie van de AP had de gemeente er onvoldoende tegenover gesteld om toch die complexere techniek te gebruiken. Het privacyrecht is echter niet absoluut en verbiedt zeker niet altijd om de nieuwste techniek te gebruiken. Dat debat tussen, vrij vertaald, oude technieken vanwege privacy of nieuwe technieken vanwege gemak zal de komende jaren nog vaak gevoerd worden.