De gemeente Enschede heeft wifisensoren geplaatst in de binnenstad om meer inzicht te krijgen in hoe mensen zich door de stad bewegen. Zo kan de leefbaarheid en de aantrekkelijkheid van de openbare ruimte worden vergroot. Mooi toch, dat dit met moderne technologie kan?
Nou, nee. Deze week maakte de Autoriteit Persoonsgegevens (AP) bekend een bestuurlijke boete op te leggen van €600.000,- aan de gemeente Enschede. Waarom? De gemeente Enschede heeft wifisensoren geplaatst in de binnenstad en gebruikt de unieke nummers van de telefoons van burgers (zogenaamde ‘MAC-adressen’) die door de wifisensoren worden opgepikt. Maar hierbij is volgens de AP onvoldoende rekening gehouden met de privacywetgeving.
Dit ‘Besluit boete wifitracking Enschede’ heeft grote consequenties. Maar niet alleen voor gemeenten, maar ook voor tal van andere organisaties. Wat zijn de belangrijkste overwegingen van de AP? Wat betekent dit voor u in de praktijk?
Niet alleen gemeenten moeten opletten!
Het volgen van personen wordt niet alleen door gemeenten gedaan. Ook andere organisaties gebruiken wifi-tracking, of andere toepassingen met hetzelfde doel. Denk hierbij aan organisaties die onderhoudspersoneel hebben rondrijden, waarvan de bewegingen (auto, vrachtwagen, fiets, …) worden gevolgd. Of, zorginstellingen die met wifitracking of sensoriek hun cliënten in de gaten houden. Maar, er zijn ook meubelboulevards en pretparken die met gratis wifi de bezoekers volgen. Aanbieders van nutsvoorzieningen monitoren het gebruik van water en elektriciteit in gebouwen met behulp van sensoriek in openbare ruimtes. Kortom, dit besluit heeft consequenties voor veel organisaties. Het is voor deze organisaties vooral belangrijk om te beoordelen of het volgen personen, in hun specifieke situatie juridisch gerechtvaardigd kan worden. Daarom is het belangrijk om op dit punt de overwegingen van de AP goed te bestuderen.
Mag het juridisch überhaupt wel?
Zonder een geldige juridische basis (wettelijke grondslag) is het verwerken van persoonsgegevens (d.m.v. wifi-sensoren of anderszins) juridisch niet mogelijk. Er zijn verschillende wettelijke grondslagen te bedenken om wifi-tracking juridisch te onderbouwen; wettelijke taak, algemeen belang of gerechtvaardigd belang. De AP is echter van oordeel dat in het geval van de gemeente Enschede, de onderbouwing van de grondslag niet sterk genoeg was. Daarmee was er voor de gemeente geen juridische basis om wifi-tracking te rechtvaardigen. Maar wat betekent dit concreet voor uw organisatie? Besteedt aandacht aan de onderbouwing van de wettelijke grondslag voor de inzet van wifi-tracking. Deze moet robuust zijn om het juridisch gezien te rechtvaardigen.
Is het eigenlijk wel écht noodzakelijk, dat volgen van mensen?
In het besluit geeft de AP, kort gezegd, aan dat de inzet van wifi-sensoren noodzakelijk moet zijn én uitdrukkelijk in de taakstelling van de organisatie moet passen. De AP staat uitgebreid stil bij de onderbouwing van de ‘noodzakelijkheid’. Vanuit privacyperspectief wordt deze noodzakelijkheid langs de meetlat van ‘proportionaliteit’ en ‘subsidiariteit’ gelegd. Bij proportionaliteit is de vraag of de verwerking van persoonsgegevens in verhouding staat tot de inbreuk op de privacy van de betrokkene. Bij subsidiariteit moet antwoord worden gegeven op de vraag of er alternatieven zijn waarmee hetzelfde doel bereikt kan worden maar waarmee de inbreuk op de privacy kleiner is.
De AP is, in de eerste plaats, van mening dat de verwerking bij de gemeente Enschede niet voldoet aan het beginsel van proportionaliteit. Maar waarom eigenlijk niet? De inbreuk op de privacy van honderdduizenden burgers, wiens MAC-adressen via de sensoren zijn opgevangen en verwerkt, vindt de AP onevenredig in verhouding tot doel. De gemeente had namelijk als doel gedefinieerd; ‘het toetsen van de effectiviteit van investeringen in de binnenstad van Enschede’. Dit doet, volgens de AP, “afbreuk aan het gevoel van de burger om zich in het openbaar onbespied te wanen en om vertrouwen te hebben in de overheid”. De AP vindt het onvoldoende als deze techniek bij wijze van massa-instrument wordt ingericht, zonder specifiek te onderbouwen welke personen moeten worden gevolgd.
In de tweede plaats vindt de AP dat ook het beginsel van subsidiariteit is geschonden. De AP geeft aan dat de nagestreefde doelen van het college van B&W van Enschede op een andere, minder vergaande wijze, kunnen worden gediend. De AP geeft aan: ‘Er zijn voldoende alternatieve methodes om de drukte op een bepaalde plek te meten waarbij de bescherming van persoonsgegevens beter is gewaarborgd. Men kan bijvoorbeeld inzicht krijgen in drukte door marktonderzoeken. Maar ook personen tellen via een automatische bezoekersteller die een infraroodstraal uitzendt is bij uitstek een effectieve techniek.’
‘Beter niet doen!’, is ook een antwoord
Uit het besluit wordt vooral duidelijk dat er ten eerste een wettelijke grondslag moet zijn. Als deze er is moet er vervolgens gekeken worden naar de beginselen van proportionaliteit en subsidiariteit. Elke situatie moet worden getoetst aan deze beginselen en dit zal dus voor elke organisatie, maar ook iedere situatie, anders zijn. Maar in het algemeen gelden de volgende stappen:
Stap 1: toets de juridische basis
Ga na of er een passende wettelijke grondslag uit de AVG kan worden gevonden. Neem het zekere voor het onzekere. Dit omdat het besluit van de AP weinig ruimte laat voor het ‘oprekken’ van de wettelijke grondslag. De grondslag om wifi-tracking of sensoriek in te zetten moet echt voldoende expliciet zijn!
Stap 2: toets aan de noodzakelijkheid
Toets de wettelijke grondslag uit stap 1 tegen de beoogde wijze waarop wifi-tracking of sensoriek wordt ingezet. Onderbouw dus de noodzakelijkheid van deze inzet in termen van proportionaliteit en subsidiariteit. Geef hierbij niet alleen aan waarom het noodzakelijk is, maar ook welke alternatieven zijn overwogen en waarom deze alternatieven niet afdoende zijn. Ook hier geldt weer; rek de begrippen niet te ver op!
Stap 3: communiceer uw beslissing
Formaliseer de keuze die gemaakt is en maak deze expliciet in de interne communicatie naar beslissers en de externe communicatie naar betrokkenen.
Tot slot: betrek uw privacy organisatie en Functionaris voor Gegevensbescherming ook tijdig bij het voornemen om wifi-tracking of sensoriek in te zetten. En met de recente uitspraak van de AP: accepteer dat ‘beter niet doen’ soms ook een antwoord kan zijn.