Wifi-tracking om de drukte in binnensteden te monitoren, schaadt de privacy van burgers allerminst. De Autoriteit Persoonsgegevens (AP) heeft de gemeente Enschede in 2021 onterecht een boete van 600.000 euro opgelegd wegens het volgen van passanten met behulp van wifi-sensoren. Dat heeft de rechtbank Overijssel bepaald.
De gemeente Enschede is met dit vonnis in het gelijk gesteld. De PFM Intelligence Group, leverancier van de wifi-sensoren waar de AP zoveel moeite mee heeft, ziet in de uitspraak van de rechter in Zwolle een belangrijke erkenning. Volgens ceo Bart Schmitz staat nu vast dat de sensoren voldoen aan de strenge privacynormen. Hij is blij dat de rechtbank de balans erkent die is bereikt tussen innovatieve stedelijke ontwikkeling en privacybescherming. Hij spreekt van een mijlpaal. Zijn bedrijf kan nu doorgaan met de levering van wifi-trackers aan overheden.
Ongelijk
Het heeft vijf jaar geduurd voordat het ongelijk van de AP is aangetoond. In 2018 begon Enschede wifi-sensoren te gebruiken om de drukte in de binnenstad te monitoren. De AP zag daarin een poging tot het volgen van burgers. Na drie jaar gerechtelijk onderzoek ging de rechter mee in de zienswijze van de gemeente dat de wifi-tracking slechts tellen en niet volgen behelsde. Enschede voelde zich ten onrechte gestraft voor iets wat niet aan de orde was. De gemeente heeft nooit de bedoeling gehad om burgers te volgen. De rechtbank verklaart het beroep van de gemeente Enschede gegrond. De AP heeft die gemeente, de eerste die van de AP ‘straf’ kreeg, op onjuiste gronden een bestuurlijke boete opgelegd.
De rechtbank constateert dat de AP haar besluiten in essentie heeft gebaseerd op de mogelijkheid voor de gemeente om natuurlijke personen aan de hand van gehashte, gepseudonimiseerde en afgeknipte mac-adressen ter plaatse te identificeren. Hierbij gaat de AP in de genoemde manieren uit van de mogelijkheid dat een medewerker van de gemeente of de betrokken leverancier zelf op enig moment in de vroege ochtend, als er weinig mensen op straat zijn, ter plaatse zou kunnen zien dat een specifieke, unieke gebruiker van een mobiel apparaat zich binnen het bereik van een sensor bevindt en deze persoon dan mogelijk zou kunnen identificeren.
Volgens de rechter waren de gebruikte geanonimiseerde mac-adressen geen persoonsgegevens. Hij vindt dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een smartphone-gebruiker met het blote oog te achterhalen. De enkele stelling van de AP dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen, overtuigt de rechtbank allerminst.
