De Autoriteit Persoonsgegevens (AP) heeft winkels en gemeenten gewezen op de wettelijke eisen die gelden wanneer zij gebruik maken van wifi-tracking. Het volgen van mensen via het wifisignaal van hun mobiele apparaat maakt een grote inbreuk op hun persoonlijke levenssfeer. “Mensen komen in bestanden waaruit bijvoorbeeld valt af te leiden waar zij wanneer waren en wat hun winkelgedrag is”, zegt Wilbert Tomesen, vicevoorzitter van de AP. “Zij moeten hier op zijn minst over worden geïnformeerd”.
Verschillende organisaties maken gebruik van wifi-tracking. Zo gebruiken winkels deze techniek om bedrijfseconomische informatie te genereren: hoeveel mensen passeren de winkel, hoeveel bezoekers gaan de winkel in en hoelang blijven zij op een bepaalde plaats in de winkel. Gemeenten en evenementenorganisatoren zetten de techniek bijvoorbeeld in om loopstromen in kaart te brengen en bij te houden hoe lang bezoekers op een bepaalde plaats verblijven. De Autoriteit Persoonsgegevens ontvangt regelmatig signalen van mensen die zorgen hebben over de impact van wifi-tracking op hun privacy.
Grondslag
Via wifi-tracking worden locatiegegevens samen met het unieke nummer van een mobiel apparaat opgeslagen en verwerkt. Organisaties mogen deze persoonsgegevens volgens de Wet bescherming persoonsgegevens (Wbp) alleen verwerken als zij daar een zogenoemde wettelijke grondslag voor hebben. De verwerking kan bijvoorbeeld zijn toegestaan als mensen er zelf toestemming voor hebben gegeven. Ook mag een organisatie wifi-tracking inzetten als dit noodzakelijk is om haar diensten te kunnen verlenen. Organisaties met een publiekrechtelijke taak, zoals gemeenten, kunnen via wifi-tracking persoonsgegevens verwerken als dit noodzakelijk is om die taak uit te voeren. Er mag alleen in díe periodes en in díe gebieden waarin het echt nodig is, worden gemeten. Op andere momenten en plaatsen zou de meetapparatuur uit moeten staan.
Informeren en bewaartermijn
Behalve dat er een wettelijke grondslag moet zijn om de persoonsgegevens te mogen verwerken, stelt de Wbp verschillende eisen aan de manier waarop die gegevens mogen worden verwerkt. Organisaties die wifi-tracking inzetten, moeten mensen bijvoorbeeld helder informeren over welke gegevens worden verzameld en waarvoor dat gebeurt. Dit moeten zij doen op het moment dat de gegevens worden vastgelegd. Daarnaast mogen de persoonsgegevens maar voor een beperkte periode worden bewaard. Dat mag alleen zolang het noodzakelijk is voor het doel van de metingen. Voor meetgegevens binnen winkels is dit maximaal 24 uur. Na die periode moeten de gegevens direct worden vernietigd of onomkeerbaar worden geanonimiseerd.
Voor wifi-tracking op de openbare weg zijn meer waarborgen nodig dan wanneer dit binnen bijvoorbeeld een winkel gebeurt. In de openbare ruimte moeten mensen zich onbespied kunnen bewegen. De gegevens moeten dan bijvoorbeeld onmiddellijk en onomkeerbaar worden geanonimiseerd.
Onderzoek
De Autoriteit Persoonsgegevens deed eerder onderzoek naar een aanbieder van wifi-trackingtechnologie. De toezichthouder kan besluiten opnieuw onderzoek naar wifi-tracking te starten als zij signalen krijgt dat organisaties deze techniek inzetten en zich daarbij niet aan de eisen van de wet houden.