Wifi- en/of blue­toot­htrac­king (kort­weg “Wifi-trac­king”) is een tech­niek om gro­te groe­pen men­sen te vol­gen en hun bewe­gings­pa­troon te ana­ly­se­ren, bij­voor­beeld op een sta­ti­on of in een win­kel­cen­trum. Hoe­wel Wifi-trac­king waar­de­vol­le en maat­schap­pe­lij­ke func­ties kan heb­ben – zoals het lei­den van mensenmassa’s in vei­li­ge banen – doet de vraag zich voor hoe Wifi-trac­king zich tot het recht op pri­va­cy ver­houdt. Deze blog bespreekt het hui­di­ge wet­te­lijk regime rond­om Wifi-trac­king, de ont­wik­ke­lin­gen in dat kader en de gevol­gen daar­van voor betrok­ke­nen en voor orga­ni­sa­ties die van Wifi-trac­king gebruik wil­len maken.

 

Wat is Wifi-trac­king?

Kort­ge­zegd zorgt Wifi-trac­king ervoor dat het sig­naal uit bij­voor­beeld een smartpho­ne of tablet wordt opge­van­gen door meet­ap­pa­ra­tuur, waar­door onder ande­re de loca­tie daar­van wordt bepaald. Wat veel­al niet beseft wordt is dat voor het opvan­gen van deze sig­na­len geen actie­ve han­de­ling (zoals het inlog­gen op een wifi-net­werk) ver­eist is. Wifi-trac­king is niet merk­baar en het is vaak niet te ach­ter­ha­len of en wan­neer dit heeft plaats­ge­von­den.

 

Welk wet­te­lijk regime is van toe­pas­sing?

Wan­neer een orga­ni­sa­tie Wifi-trac­king wil toe­pas­sen, of een betrok­ke­ne zich juist daar­te­gen wil ver­zet­ten, zijn er ver­schil­len­de wet­te­lij­ke regimes waar­mee reke­ning gehou­den dient te wor­den. Ten eer­ste is de Alge­me­ne Ver­or­de­ning Gege­vens­be­scher­ming (“AVG”) van toe­pas­sing. Daar­naast geldt moge­lijk ook de Tele­com­mu­ni­ca­tie­wet (“Tw”), al bestaat hier­over nog dis­cus­sie.

 

Het van toe­pas­sing zijn van de AVG volgt uit het feit dat met Wifi-trac­king een com­bi­na­tie van gege­vens wordt ver­za­meld die (indi­rect) tot een bepaald per­soon kun­nen lei­den. Aan­ge­zien men veel­al op dezelf­de loca­tie als zijn of haar smartpho­ne is, zal de loca­tie van deze tele­foon (in com­bi­na­tie met bij­voor­beeld came­ra­beel­den, wifi-inlog­ge­ge­vens of een klan­ten­kaart) infor­ma­tie ver­schaf­fen over de eige­naar daar­van. (Mede) aan­ge­zien het ano­ni­mi­se­ren van gege­vens bij Wifi-trac­king tech­nisch com­plex is, wor­den nage­noeg altijd per­soons­ge­ge­vens ver­werkt. Als gevolg daar­van moet Wifi-trac­king in over­een­stem­ming met de AVG plaats­vin­den.

 

Momen­teel bestaat nog ondui­de­lijk­heid over de vraag of naast de AVG ook de “coo­kie­re­gels” uit de Tw van toe­pas­sing zijn op Wifi-trac­king, wat als gevolg zou heb­ben dat toe­stem­ming ver­eist is voor Wifi-trac­king. De toe­zicht­hou­der van de Tw, de Auto­ri­teit Con­su­ment & Markt, heeft zich hier­over niet uit­ge­la­ten. Aan­ge­zien de Tw ver­van­gen wordt door de e-Pri­va­cy­ver­or­de­ning, die (wel) spe­ci­fie­ke regels zal bevat­ten voor Wifi-trac­king, zal de inhoud daar­van de toe­komst voor Wifi-trac­king bepa­len.

 

Gevol­gen van de toe­pas­se­lijk­heid van de AVG

De toe­pas­se­lijk­heid van de AVG heeft gro­te gevol­gen voor orga­ni­sa­ties die gebruik maken van Wifi-trac­king. Zo is Wifi-trac­king alleen gerecht­vaar­digd als betrok­ke­nen hier­over geïn­for­meerd zijn en er een “grond­slag” is voor deze ver­wer­king. Bei­de ver­plich­tin­gen zijn ech­ter geen gemak­ke­lij­ke opga­ve.

 

Met betrek­king tot de infor­ma­tie­plicht geldt dat de (onop­let­ten­de) betrok­ke­nen niet of onvol­doen­de geïn­for­meerd (kun­nen) wor­den over Wifi-trac­king. Dit kan bij­voor­beeld prak­ti­sche bezwa­ren met zich mee­dra­gen, zoals bij een meting in het ver­keer.

 

Bij het selec­te­ren van een grond­slag zijn voor pri­va­te orga­ni­sa­ties de moge­lijk­he­den beperkt tot (i) toe­stem­ming, (ii) uit­voe­ring van een over­een­komst en (iii) gerecht­vaar­digd belang. Bij de grond­slag (i) toe­stem­ming geldt dat de hui­di­ge prak­tijk van Wifi-trac­king niet vol­doet aan de (stren­ge) ver­eis­ten die voor deze grond­slag gel­den. Aan­ge­zien per­soons­ge­ge­vens via Wifi-trac­king momen­teel auto­ma­tisch en onop­ge­merkt wor­den ver­za­meld, kun­nen betrok­ke­nen bij­voor­beeld vaak niet voor­af­gaand toe­stem­ming ver­le­nen. Daar­naast bestaat in de mees­te situ­a­ties waar­in Wifi-trac­king wordt toe­ge­past (ii) geen over­een­komst met de betrok­ke­nen (op grond waar­van Wifi-trac­king nood­za­ke­lijk is). Het (iii) gerecht­vaar­digd belang zou een uit­komst kun­nen bie­den, maar de Auto­ri­teit Per­soons­ge­ge­vens (“AP”) inter­pre­teert deze grond­slag streng (door bij­voor­beeld aan te geven dat deze grond­slag niet moge­lijk is bij een com­mer­ci­eel doel voor Wifi-trac­king). Daar komt nog bij dat de AP aan­geeft dat Wifi-trac­king über­haupt in zeer wei­nig geval­len en slechts onder zeer strik­te voor­waar­den is toe­ge­staan. Voor­zit­ter Aleid Wolf­s­en geeft in dit kader aan dat er “vrij­wel geen rede­nen zijn die het vol­gen van win­ke­lend publiek of rei­zi­gers recht­ma­tig maakt”.[1]

 

Kort­om: het selec­te­ren van een grond­slag lijkt een onmo­ge­lij­ke opga­ve te zijn. Dit geldt te meer wan­neer ook bij­zon­de­re per­soons­ge­ge­vens ver­za­meld kun­nen wor­den (bij­voor­beeld over iemands reli­gi­eu­ze over­tui­ging, bij een bezoek aan een mos­kee), aan­ge­zien de grond­sla­gen (ii) en (iii) dan in ieder geval geen uit­komst meer bie­den. Dit bete­kent dat tevens kri­tisch beoor­deeld dient te wor­den op wel­ke plek­ken Wifi-trac­king plaats kan vin­den.

 

Ont­wik­ke­lin­gen rond­om de e-Pri­va­cy­ver­or­de­ning

Het wets­voor­stel van de Euro­pe­se Com­mis­sie (“EC”) voor de e-Pri­va­cy­ver­or­de­ning bepaalt – in het kort – dat Wifi-trac­king ver­bo­den is, ten­zij er spra­ke is van een dui­de­lijk en zicht­baar bericht met infor­ma­tie over onder ande­re de maat­re­ge­len die geno­men kun­nen wor­den om de Wifi-trac­king te beëin­di­gen. In de gea­men­deer­de ver­sie van deze e-Pri­va­cy­ver­or­de­ning door het Euro­pees Par­le­ment[2], en de late­re ver­sie van de Raad van Euro­pa[3], wordt dit arti­kel (nog) stren­ger uit­ge­legd. Wifi-trac­king is op basis daar­van slechts toe­ge­staan indien spra­ke is van toe­stem­ming of indien deze infor­ma­tie (kort­ge­zegd) slechts gebruikt wordt voor sta­tis­tisch tel­len.

 

Euro­pe­se auto­ri­tei­ten voe­ren momen­teel veel dis­cus­sie over de vraag onder wel­ke voor­waar­den Wifi-trac­king is toe­ge­staan. Het EC voor­stel zou bij­voor­beeld de bescher­ming van de AVG onder­mij­nen.[4] Hoe­wel de gea­men­deer­de voor­stel­len de rech­ten van betrok­ke­nen in gro­te­re mate bescher­men, mogen -moge­lijk nut­ti­ge – ana­ly­ses daar­mee niet meer uit­ge­voerd wor­den (aan­ge­zien het ver­krij­gen van gel­di­ge toe­stem­ming in de prak­tijk aldus nog niet is inge­re­geld). De dis­cus­sie hoe toe­stem­ming tech­nisch gezien toch moge­lijk kan wor­den gemaakt wordt ech­ter vol­op gevoerd. Tech­ni­sche stan­daard­in­stel­lin­gen op mobie­le appa­ra­ten om Wifi-trac­king te sig­na­le­ren, en daar al dan niet toe­stem­ming voor te geven, zou­den een uit­komst kun­nen bie­den, maar bestaan nog niet.

 

Wifi-trac­king en pri­va­cy­wet­ge­ving: voor­lo­pig nog toe­komst­mu­ziek

Omdat nog veel ondui­de­lijk­heid bestaat over zowel het hui­di­ge als toe­kom­sti­ge wet­te­lijk kader, is het voor orga­ni­sa­ties ono­ver­zich­te­lijk gewor­den wan­neer zij gebruik mogen maken van Wifi-trac­king, en voor betrok­ke­nen wan­neer zij hier­aan onder­wor­pen mogen wor­den. Er is aldus spra­ke van een leem­te in de wet­ge­ving die momen­teel onvol­doen­de ver­hol­pen wordt door de ver­schil­len­de toe­zicht­hou­ders die hier­bij een rol spe­len. De hoop is dat toe­kom­sti­ge regel­ge­ving meer dui­de­lijk­heid biedt, en zowel recht doet aan de bescher­ming van de betrok­ke­nen als aan de moge­lijk­he­den die Wifi-trac­king kan bie­den.

[1] https://autoriteitpersoonsgegevens.nl/nl/nieuws/bedrijven-mogen-mensen-alleen-bij-hoge-uitzondering-met-wifitracking-volgen .

[2] http://www.europarl.europa.eu/doceo/document/A-8-2017-0324_EN.html?redirect.

[3] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_6771_2019_INIT&from=EN.

[4] Euro­pean Data Pro­tec­ti­on Super­vi­sor, opi­ni­on 6/2017, EDPS Opi­ni­on on the Pro­po­sal for a Regu­la­ti­on on Pri­va­cy and Elec­tro­nic Com­mu­ni­ca­ti­ons (ePri­va­cy Regu­la­ti­on), p. 19-20 and Arti­cle 29 data pro­tec­ti­on wor­king par­ty, Opi­ni­on 01/2017 on the Pro­po­sed Regu­la­ti­on for the ePri­va­cy Regu­la­ti­on (2002/58/EC), adop­ted on 4 April 2017, p. 11 – 12.