De gemeente Enschede liep tegen een boete van € 600.000 aan wegens illegale wifi-tracking in de binnenstad. Dichterbij, in winkelcentrum Marktplein Wormerveer, werd de bezoeker ook via wifi gevolgd.

Zowel bij de AH-supermarkt als bij de collega’s van de COOP worden passanten er van op de hoogte gebracht dat er een Wifi- en Bluetooth trackingsysteem wordt gebruikt “voor het verbeteren van onze service”. Volgens het bedrijf dat de tracking installeerde, “is de software uitgeschakeld”.

Was het de afgelopen jaren dan wel toegestaan, en waarom hangen die bordjes er nog?

De mededeling bevat de geruststellende zin “Uiteraard wordt uw privacy gewaarborgd”, maar klopte dat ook? Tracking betekent dat je smartphone gevolgd wordt.

De Autoriteit Persoonsgegevens is daar vrij duidelijk over:

“Het volgen van mensen op straat, in winkelcentra of stations via hun mobiele apparatuur is voor bedrijven slechts in zeer weinig gevallen toegestaan. Wifitracking en ook andere digitale middelen om personen te volgen zijn slechts onder zeer strikte voorwaarden toegestaan. Het betreft vrijwel altijd een verwerking van persoonsgegevens, waardoor deze volgmethode onder de privacyregels valt.”

Quinten Snijders van de Autoriteit Persoonsgegevens:

“De stelregel is eenvoudig: ‘het mag bijna nooit’. Er zijn kleine uitzonderingen, maar het doel moet de middelen heiligen. Je mag het niet zomaar inzetten, dan schendt de rechten van de burgers. Om de drukte te meten is het een te zwaar middel.”

Uitzonderingen

AP-bestuursvoorzitter Aleid Wolfsen wordt geciteerd op de site van de AP. “Er zijn vrijwel geen redenen die het volgen van winkelend publiek of reizigers rechtmatig maakt.”

Die uitzonderingen zijn als er toestemming is verleend, als er een ‘gerechtvaardigd belang is of als er een overeenkomst is. Dat was hier niet het geval.

Volgens het bord kan je bij pfm-intelligence.com/privacy-protocol meer informatie aanvragen. Die pagina bestaat niet, je komt op een Engelstalige pagina waar de Britse firma het volgende uitlegt:

“This sensor registers all passers-by and / or visitors who have a device with them and have Wi-Fi and / or Bluetooth enabled (the device regularly sends probe requests). Data we process consists of sensor ID, date and time, pseudonymised MAC-address, signal strength and status.”

Wat doen die wifi- en bluetooth trackers dus? Ze slaan ‘pseudo-anoniem’ data van alle bezoekers op (dus van toestemming of overeenkomst is geen sprake). Het MAC-adres is je unieke identificatie van je telefoon.

Uitgeschakeld

Bij PFM weet een woordvoerder te melden “dat de software is uitgeschakeld”. Het tracken betrof alle bezoekers van het winkelcentrum, dus niet die van AH en COOP alleen. De eigenaar van het winkelcentrum, belegger Altera Vastgoed, heeft de opdracht voor de tracking gegeven.

Altera gebeld: wanneer is die tracking begonnen en wanneer geëindigd? Dat is van belang omdat de strenge regels minstens al gelden vanaf juni 2016. Op foto’s van Google Streetview is te zien dat de waarschuwingsborden er in juli 2017 nog niet hingen. Erwin Wessels van Altera:

“we hebben drie à drieënhalf jaar geleden in al onze winkelcentra deze trackers laten installeren. Omdat er ook in het buitengebied werd getrackt hebben we dat kenbaar gemaakt via bordjes. Anderhalf jaar geleden hebben wij in het kader van de AVG-wetgeving [Algemene verordening gegevensbescherming] besloten alle wifi-trackers uit te zetten.”

En de bordjes? Wessels: “die laten we weghalen”.

Foto boven: het waarschuwingsbord bij de COOP is van Petra Hoogkamer die ons op het spoor zette, onder het bordje bj AH (Google Street View).