Huh, in alle grote steden word je via je telefoon gevolgd?!
Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding van de Wet bescherming persoonsgegevens meer zijn. Bovendien kun je op de website van het bedrijf (“We know where people GO”) nalezen hoe het werkt, want dat weet iedereen te vinden.
Dat kwam me bekend voor: in december werd Bluetrace op de vingers getikt door de toezichthouder, omdat ze MAC-adressen van winkelbezoekers (én langslopende passanten) gebruikte om vergelijkbare informatie op winkelniveau te vergaren. Dat ging te ver: die gegevens waren persoonsgegevens en ze werden voor onbepaalde tijd bewaard.
De Autoriteit Persoonsgegevens meldt tegen RTL Z dat wifi-tracking alleen mag worden uitgevoerd als dat wettelijk is toegestaan, bijvoorbeeld door toestemming aan mensen te vragen. Of, vul ik maar aan, als je een dringende noodzaak hebt en voldoende privacywaarborgen hebt ingericht. Het bijhouden van bezoeken zou best onder die grond te rechtvaardigen zijn als je het anoniem genoeg doet.
Citytraffic verzekert iedereen dat zij zich aan de wet houdt. Ik heb zo mijn twijfels. Het komt elke keer neer op dezelfde discussie: is een MAC-adres van je Wifi- of Bluetooth-chip een persoonsgegeven en maakt het uit of je dat hasht. Het criterium is of je direct dan wel indirect het adres tot een persoon kunt herleiden, en ik neig naar wel: dat gegeven is aan jóuw telefoon gekoppeld en telefoons zijn vandaag de dag een verlengstuk van mensen dus echt wel dat dat een persoon betreft.
Daar staat tegenover dat je niet weet hoe die persoon héét. Maar dat betekent alleen dat die persoon niet direct identificeerbaar is en ook indirect identificeerbare gegevens zijn persoonsgegevens. Logisch ook: een persoon is meer dan een naam en identificatie kan ook prima aan de hand van andere omschrijvingen. Zoals “de eigenaar van telefoon met MAC-adres 1::2”. (En ja natuurlijk zijn er telefoons en MAC-adressen die niet aan een persoon toebehoren, maar dat is de uitzondering en bovendien niet de doelgroep van Citytraffic.)
Dat hashen dan. Er heeft ooit iemand bij de toezichthouder wat gemompeld over dat een hash als niet-omkeerbare versleuteling wel eens gegevens buiten de Wbp kan plaatsen, dus nu is het een toverformule geworden (denk ik) dat als je hasht, er niets aan de hand is. Dat is onzin: wanneer je de hash in plaats van het MAC-adres gebruikt, houd je exact dezelfde informatie bij over een persoon. En je kunt vanaf een MAC-adres zo naar dat blokje informatie toe. Dus die zie ik niet. Ja, het is moeilijker om van het blokje informatie naar een MAC-adres te gaan, maar gezien de use case van Citytraffic komt dat niet voor. Het is altijd andersom: hee daar is MAC-adres 1::2 weer, wat weten we over die persoon.
Dus nee, alles bij elkaar blijf ik erbij dat het hier gewoon gaat om een verwerking van persoonsgegevens. Citytraffic moet dan dus voldoen aan de Wbp en actief mensen informeren over wat zij doen. Bordjes in de Koopgoot dus in plaats van een FAQ op de website. Toestemming vragen hoeft niet, mits ze het kunnen inkleden als een eigen dringende noodzaak én genoeg privacywaarborgen bieden. Een afmeldmogelijkheid is daarbij een vereiste, maar ook het snel wissen van individuele gegevens.
De AP gaat zelfs zo ver dat ze zegt, bij gegevens op de openbare weg metéén anonimiseren. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.