De gemeente Enschede is niet de enige die de fout in ging met wifitracking. Ook andere gemeenten maken of maakten zich schuldig aan het schenden van de privacywet. Toezichthouder Autoriteit Persoonsgegevens (AP) roept op om de systemen kritisch onder de loep te nemen.
‘We krijgen signalen dat wifitracking in meerdere gemeenten wordt ingezet. Maar gemeenten en bedrijven mogen wifitracking dus niet zomaar inzetten’, reageert een woordvoerder van de AP op vragen van Computable.
De gemeente Enschede ontving onlangs een boete van 600.000 euro voor het schenden van de privacywet via wifitracking. In plaats van het tellen van passanten, werden deze voorbijgangers ook gevolgd (zie kader). Gegevens waren onvoldoende geanonimiseerd, te lang bewaard en te herleiden tot profielen van personen.
‘Gemeenten die van plan zijn via wifisignalen mensen te tellen, doen er goed aan daar heel goed over na te denken. Want als een gemeente zonder goede reden een volgsysteem inzet, loop je niet alleen het risico op een flinke boete van de AP, maar je beschaamt het vertrouwen van je eigen burgers.’, aldus de woordvoerder. Hij wil niet zeggen of er ook bij andere gemeenten wordt gespeurd naar privacy-schendingen met wifitracking.
Waarschuwing genegeerd
Privacy-voorvechter Dave Borghuis, die bezwaar maakte tegen de wifitracking in Enschede, schat dat er tientallen gemeenten in Nederland zijn die wifitracking inzetten.
Op zijn website, waar Borghuis de bezwaarprocedure minutieus bijhoudt, benadrukt hij dat de boete niet zijn doelstelling was. ‘Ik wil alleen dat de gemeente Enschede stopt met de wifitracking.’ Hij vertelt aan Computable dat hij eerst naar de gemeente stapte, maar daar geen gehoor kreeg, waarna hij zijn verhaal bij de AP deed.
Volgens Borghuis negeerde de gemeente meerdere waarschuwingen van onder meer de VNG (Vereniging Nederlandse Gemeenten) die via brieven in 2016 en 2018 alle gemeenten opriep om voorzichtig te zijn met wifitracking. Enschede zou eind 2018 na zo’n brief de werkwijze hebben aangepast in samenwerking met leverancier City Traffic (voorheen RMC). Maar die wijziging is volgens de AP onvoldoende gebleken.
AP-onderzoek wifitracking Enschede
In het onderzoek van de AP is vastgesteld dat de gemeente Enschede tussen 2018 en 2020 de drukte in het centrum controleerde via mac (media acces control). Van passanten werd daarbij het vrijwel unieke identificatienummer van hun telefoon gebruikt. Door die zogenoemde mac-hash, maar ook de locatie (van de sensor), datum en tijd voor zes maanden op te slaan, waren uit die informatie profielen op te trekken. De AP heeft geen aanleiding om aan te nemen dat dit daadwerkelijk is gebeurd. Dat voor het tellen van mensen een volgsysteem is gebruikt, is voor de AP voldoende aanleiding om een boete op te leggen. De gemeente Enschede gaat in beroep.
Voor het tellen van passanten op een bepaald tijdstip op een bepaalde plek zijn overigens alternatieven die geen vergaande privacygevolgen hebben. De gemeente Nijmegen bijvoorbeeld is in 2019 genomineerd voor een privacy-award omdat zij sensoren inzet die de drukte in het centrum van de stad meten.
City Traffic
Het bedrijf City Traffic uit Amsterdam, leverancier van het wifitrackingsysteem in Enschede, biedt op haar website alternatieven aan voor het tellen van passanten, zoals infraroodcamera’s. Daarbij worden burgers niet gevolgd. Toch bleef Enschede het systeem gebruiken terwijl het gewaarschuwd was voor de mogelijke privacyschending.
Borghuis hoopt dat gemeenten per direct zullen stoppen met wifitracking. Hij noemt het ‘een mooie overwinning voor de privacy in heel Nederland en wellicht ook in Europa’ en gaat de Europese Piratenpartij op de hoogte stellen.
De VNG wil geen standpunt innemen of de AP-boete terecht of onterecht is. Maar meldt dat het altijd ‘privacy by design’ propageert. Een woordvoerder voegt eraan toe dat de hoge boete het gevolg kan hebben dat gemeenten voorzichter zullen zijn met innovaties. Het zou zonde zijn als gemeenten niet meer durven te innoveren uit angst voor sancties, stelt hij.
City Traffic is om een reactie gevraagd, bijvoorbeeld over het aantal gemeenten dat wifitracking inzet, maar heeft nog niet gereageerd.
Het gaat me de laatste tijd veel te ver, overal wordt het woordje “privacy” of “discriminatie” misbruikt, je wordt gewoon bang om je mond open te doen. Wat er bij tracking gebeurt is het vergelijken van MAC-adressen van telefoons met de bedoeling hiermee drukte te kunnen voorspellen. Bij de vierdaagse van Nijmegen gebeurt dit al vele jaren en dat heeft veel inzicht over verdeling van publiek opgeleverd zonder dat privacy in het geding kwam. Hopelijk wordt men een beetje toleranter want dit is een slechte zaak.