Enschede hangt nog altijd megaboete boven het hoofd voor het 'volgen' van winkelend publiek via wifisignalen
Ongeveer een miljoen bezoeker lieten in enkele jaren tijd hun sporen achter in de Enschedese binnenstad. Digitale sporen, welteverstaan. Via het wifisignaal van hun telefoon wist de gemeente Enschede hoeveel mensen er in de binnenstad waren, maar ook welke route zij aflegden. De Autoriteit Persoonsgegevens legde Enschede daarvoor een boete op van 600.000 euro, omdat daarmee de privacy van de bezoekers zou zijn geschonden. Nadat de bestuursrechter de boete in hoger beroep van tafel veegde, is het aan de Raad van State om een finale uitspraak te doen over de wifikwestie.
Over langlopende dossiers gesproken: de wifizaak is er eentje van. Al in 2017 begint de gemeente Enschede met het tellen van passanten door middel van sensoren in de binnenstad die wifisignalen opvangen. Deze signalen zenden een code uit (het MAC-adres) die voor elke telefoon uniek is. Zodoende kan de gemeente zien hoe mensen zich door de stad bewegen. Handige informatie voor de acquisitie van nieuwe ondernemers. Maar al snel meldt softwarebouwer, hacker en Enschedeër Dave Borghuis zich; het volgen van passanten is in strijd met de privacywet. Een MAC-adres is gekoppeld aan een telefoon of apparaat, die gekoppeld is aan de gebruiker. Het gaat dus om persoonsgegevens.
De nachtelijke wandelaar
Door de inbreng van Borghuis en de Autoriteit Persoonsgegevens (AP) wordt de werkwijze in Enschede iets aangepast. De MAC-adressen zijn door het bedrijf dat de tellingen uitvoert versleuteld en ingekort. Dat zou de privacy moeten garanderen. Maar de AP denkt daar anders over. Na lang onderzoek legt de privacywaakhond de gemeente Enschede in 2021 een boete van 600.000 euro op voor het ongeoorloofd verzamelen van persoonsgegevens.
De AP is er in geslaagd om in de verzamelde data patronen te ontdekken. Zoals een telefoon (dus persoon) die elke nacht tussen 4 en 5 uur dezelfde route aflegt. Een nachtelijke wandelaar die volgens de privacywaakhond niet moeilijk te identificeren valt. Maar in hoger beroep bij de rechtbank in Zwolle is Enschede in het gelijk gesteld. De rechter achtte het niet voldoende bewezen dat de identiteit van personen daadwerkelijk te achterhalen was en veegde de boete van tafel.
Laatste oordeel
De Autoriteit Persoonsgegevens blijft ervan overtuigd dat Enschede 'op grote schaal onrechtmatig gegevens over locatie en tijdstip verwerkt van gebruikers en eigenaren van mobiele apparaten waarop de wifi stond ingeschakeld. Er is beroep aangetekend bij de Raad van State en bij de hoogste bestuursrechter was deze donderdag voor de laatste keer een inhoudelijke zitting over deze wifizaak.
Net als in eerdere zittingen zal nu opnieuw de vraag voorliggen in hoeverre de afgeknipte en versleutelde MAC-adressen voldoen aan de definitie van persoonsgegevens. En zo ja: is het 24/7 tellen van passanten een gemeentelijke taak die dergelijk ingrijpen rechtvaardigt (proportionaliteit) en had het verzamelen van deze gegevens ook op een minder ingrijpende wijze gekund (subsidiariteit)? Op die laatste vraag is het antwoord duidelijk. Passantentellingen kunnen namelijk ook op de 'ouderwetse' manier worden uitgevoerd, door mensen die op gerichte momenten het aantal voorbijgangers tellen.
Uitspraak van de Raad van State volgt over ongeveer zes weken.
gerelateerd
Download onze app
