De Autoriteit Persoonsgegevens (AP) heeft een last onder dwangsom opgelegd aan Bluetrace. Dat bedrijf uit Velsen-Zuid levert technologie dat locatiegegevens van winkelbezoekers verzamelt via Wi-Fi-signalen. Eind 2015 werd Bluetrace door de autoriteit op de vingers getikt en nam het bedrijf maatregelen. Onvoldoende volgens de AP, met deze dwangsom tot gevolg. Bluetrace krijgt zes maanden om orde op zaken te stellen, anders krijgt het wekelijkse een boete van vijfduizend euro tot een maximum van een ton.
De AP onderzocht de Wi-Fi-trackingoplossing van Bluetrace. Die oplossing verzamelt locatiegegevens van winkelbezoekers en voorbijgangers. Dit met het doel om bezoekersaantallen van winkels in kaart brengen. De autoriteit tikte het bedrijf eind vorig jaar op de vingers, omdat hun technologie in strijd is met de Wet bescherming persoonsgegevens (Wbp). Dit omdat de winkelbezoekers en voorbijgangers niet goed geïnformeerd worden over het feit dat hun locatiegegevens worden verzameld. Daarnaast verzamelt Bluetrace meer gegevens dan noodzakelijk.
Last onder dwangsom
Bluetrace heeft na het onderzoek maatregelen getroffen. Zo zijn de Wi-Fi-trackmetingen beperkt tot winkelopeningstijden en is een bewaartermijn voor alle gegevens van maximaal 24 uur ingesteld. De AP acht een bewaartermijn van 24 uur voor persoonsgegevens van winkelbezoekers passend. Toch vindt de autoriteit deze maatregelen onvoldoende om de overtredingen te beëindigen.
De autoriteit heeft daarom een last onder dwangsom, die onherroepelijk is, opgelegd. Bluetrace moet de overtredingen binnen zes maanden beëindigen. Als het niet aan de last voldoet, is het bedrijf een dwangsom verschuldigd van vijfduizend euro voor iedere week dat de last niet is uitgevoerd tot een maximum van honderdduizend euro.
Drie maatregelen
Bluetrace moet volgens de AP nog drie stappen ondernemen. Zo moeten de persoonsgegevens van winkelvoorbijgangers na het verzamelen direct worden verwijderd of geanonimiseerd. Nu verzamelt de tracker bovendien persoonsgegevens van omwonenden en dat überhaupt mag niet. Tot slot moeten voorbijgangers geïnformeerd worden over wie voor welk doel welke persoonsgegevens verwerkt, hoe lang deze gegevens bewaard worden en waar men meer informatie kan vinden.
Het bedrijf heeft inmiddels een privacybeleid opgesteld en stickers en informatiebrochures over de Wi-Fi-trackingmetingen ontwikkeld, maar de AP meent dat deze informatie onvolledig en onjuist is. Ook wordt de informatie niet in alle gevallen op tijd, uiterlijk op het moment van vastleggen van de gegevens, gecommuniceerd, aldus de autoriteit.
We zijn maar wat blij intussen dat Google met zijn autootjes voor Streetview wifi-signalen heeft vastgelegd en je smartphone nu bijna overal nauwkeurige localisatie kan gebruiken in de bebouwde omgeving. Minder ingrijpend voor de privacy, de kenmerken van stationaire AP’s vastleggen, maar ze mogen wel wel lang worden bewaard blijkbaar. Over vijf jaar weet Google wel precies welk nieuw merk accespoint je in huis hebt. KPN en Ziggo registreren vast wie er wanneer inlogt op hun wifi hotspots en weten al heel wat meer dan alleen het MAC-adres van de telefoon van deze klant. Ze kunnen de mensen die er gebruik van maken zo ook prima volgen, zonder dat betrokkenen zich daarvan bewust zijn. EduRoam wifi op alle universiteiten en hogescholen kan in principe hetzelfde. Zijn deze instellingen die per definitie hiermee aan wifitracking doen ook verplicht om die gegevens binnen 24 uur te verwijderen?
Wanneer Bluetrace beter had opgelet (dachten aanvankelijk dat vastleggen van alleen MAC-adressen geen privacyinbreuk oplevert) en bijvoorbeeld had aangegeven in de toekomst juist ook buiten winkels diensten te gaan leveren, zoals het winkelend publiek in het kader van smart en green city parkeeradviezen te geven, had het dan wel gemogen van de AP?
Mooi dat de autoriteit nu weer een sterk signaal afgeeft, maar de interpretaties door dit toezichthoudend orgaan zijn aardig selectief en algemene handhaving ervan lijken me een illusie.
Moeten ze niet een opt-out procedure hebben? Misschien mooi om die te publiceren?
In principe ben ik het volkomen eens met het gegeven dat persoonlijke data niet zomaar door alles en iedereen mogen worden gebruikt. Ik ben dan ook voor het gegeven dat er wetgeving moet komen voor apps die niet zomaar default allerlei gegevens mogen opnemen en opslaan als ook het gegeven dat er componenten van je mobiel zomaar door derden ongevraagd bestuurd kunnen worden.
Persoonlijk vind ik eigen onafhankelijkheid en vrijheid een groot goed, iets dat door de toenemende digitalisering onder steeds grotere druk komt te staan. Goed artikel, goede stap van AP. Wat mij betreft mag die zelfs strenger. Zes maanden vind ik zelfs ‘rijkelijk’ als je weet dat implementatie binnen een week geregeld moet kunnen zijn.
Twintig jaar geleden waren het de ‘aluhoedjes’ die hiervoor waarschuwden omdat deze plannen uitvoerig werd beschreven door beleidsmakers en thinktanks.
Nu het gebeurt haalt de meerderheid hun schouders op dat ze er toch niets aan kunnen doen. Wij als IT’ers hebben een plicht om aan te geven dat er wel degelijk iets tegen te doen valt en wij moeten ook kunnen uitleggen wat er aan gedaan kan worden. Of wilt u later misschien beweren dat u het allemaal niet wist?