Is je telefoon een persoonsgegeven? Enschede ageert tegen megaboete in 'principiële privacyzaak'
Enschede telde en volgde zo'n twee jaar lang bezoekers van de binnenstad via het wifi-signaal van hun mobiele telefoon. Tot de Autoriteit Persoonsgegevens (AP) daar een stokje voor stak en de gemeente een boete van 600.000 euro oplegde vanwege privacyschending. Deze woensdag vecht het college van Enschede die boete aan, maar de zaak bij de bestuursrechter in Zwolle draait om nog iets veel groters: mogen gemeenten zomaar telefoonsignalen aflezen?
Uiteraard wil de gemeente dat de boete van 6 ton - een flinke aderlating in de begroting - van tafel gaat. Maar belangrijker in de strafeis is misschien wel het feit dat de bestuursrechter wordt gevraagd om 'in de zaak te voorzien'. Dat betekent concreet dat de rechter wordt gevraagd om te oordelen of er bij het wifitellen in Enschede sprake is geweest van het delen van persoonsgegevens.
Unieke code
Eerst over het wifitellen of wifitracken. Tussen mei 2018 en april 2020 liet de gemeente Enschede het bedrijf RMC via de zogeheten CityTraffic-methode binnenstadbezoekers tellen. Verspreid door het centrum werden sensoren geplaats die het wifisignaal van een smartphone opvangen, ook als deze niet met een netwerk is verbonden. In het wifisignaal zit een code, het zogeheten MAC-adres, die uniek is voor elke telefoon.
Op deze wijze kon de gemeente niet alleen op elk moment van de dag een accurate schatting maken van de drukte in de binnenstad, maar ook nog eens zien hoe deze bezoekers zich door de stad bewogen. Denk aan het unieke MAC-adres dat bij de Kalanderstraat binnenkomt en 20 minuten later via de Zuiderhagen bij de Markstraat opduikt. Het zegt iets over de looproute en dat is onder meer handige informatie bij de acquisitie van nieuwe winkels.
Miljoen bezoekers geteld
In mei 2020 werden de tellingen abrupt gestopt toen de AP naar aanleiding een melding van Enschedeër Dave Borghuis een onderzoek aankondigde. Een jaar later kwam het oordeel: de privacywaakhond legde de gemeente een bestuurlijke boete van 600.000 euro op vanwege het delen van persoonsgegevens. Zulke boetes kunnen enorm oplopen op basis van de omvang. In Enschede werden in twee jaar tijd ongeveer een miljoen wifi-apparaten (dus mensen) geteld.
Bij de bestuursrechter in Zwolle bepleit het college van B&W niet alleen dat de boete buitenproportioneel is voor een gemeente die moeite heeft om de financiële eindjes aan elkaar te knopen, maar ook dat de straf onterecht is. "Het tellen van de devices (bijvoorbeeld mobieltjes) kan niet worden gekoppeld aan een persoon of de gebruiker", luid het standpunt. "Een persoon is op deze manier niet te identificeren. Dan is de privacywet niet van toepassing en kan er geen boete worden opgelegd."
Nachtelijke wandelaar
De Autoriteit Persoonsgegevens verdedigt eens te meer het standpunt dat er van persoonsgegevens wél sprake is. Ondanks dat de MAC-adressen uit wifi-signalen gedeeltelijk zijn afgeknipt en door een (standaard) versleutelcode zijn gehaald, zijn de er volgens de AP wel personen te identificeren.
Lees verder onder de video (waarin wordt gesproken over het belang achter de privacyzaak)
In het onderzoek dat leidde tot het opleggen van de boete is dat met die apparaten aangetoond, waaronder een 'nachtelijke wandelaar' waarvan de mobiele telefoon steevast tussen 4 en 5 uur 's nachts bij dezelfde wifisensor opduikt. Deze persoon zou zonder al te veel moeite opgespoord kunnen worden en dat feit is volgens de AP genoeg om te spreken van privacyschending. De gemeente ging tevergeefs tegen de boete in bezwaar, waarna het beroep bij de bestuursrechter volgde.
Principiële privacyzaak
Hoewel de discussie kan worden platgeslagen tot een beroep tegen een boete, gaat het om een principiële zaak van nationaal belang. Niet voor niets vraag de gemeente de rechter om een oordeel of er sprake is van het verwerken van persoonsgegevens. Binnen de Vereniging Nederlandse Gemeenten en de Rijksoverheid zal er met belangstelling worden meegekeken. Immers, vele gemeenten maakten gebruik van wifitellen en zijn daar door de 'zaak Enschede' mee gestopt.
Ook bij andere toepassingen kan worden gedacht aan het gebruik van telefoonsignalen. In een kritisch rapport over de ontwikkeling van zogeheten Smart Cities (digitale en datagedreven steden) noemde de AP de Enschedese casus als voorbeeld voor de basisprincipes van het delen van persoonsgegevens: is er sprake van een algemeen belang en is er een minder ingrijpend alternatief mogelijk, zoals handmatig tellen.
Wat is een persoonsgegeven?
Daarvoor zal wel eerst een oordeel moeten worden geveld over de vraag of een MAC-adres (of beter gezegd: een smartphone) als een persoonsgegeven kan worden beschouwd, net als een kenteken, een lidmaatschapsnummer of een e-mailadres. Voor Dave Borghuis van Hackerspace Tkkrlab, die het privacyvraagstuk rond wifitellen al vijf jaar geleden aan de kaak stelde, is het duidelijk: het gaat om persoonsgegevens.
In de rechtszaak kreeg Borghuis de gelegenheid om als belanghebbende zijn kant van het verhaal te vertellen. "Ik ben natuurlijk geen jurist", vertelt hij. Maar hij vond het belangrijk om erover te vertellen. "Voor de rest is het natuurlijk dezelfde uitwisseling van standpunten, zoals we die al kenden. Ik ben heel benieuwd waar het op uitdraait."
De bestuursrechter doet waarschijnlijk binnen zes weken uitspraak in de zaak. Daarna is er nog beroep mogelijk bij de Raad van State.
