Q&A n.a.v. uitspraak Autoriteit Persoonsgegevens in zaak gemeente Enschede

Bezoekerstellingen middels wifi, hoe werkt dat?

Eigenlijk is de methode vergelijkbaar met de ouderwetse handklikker. Wij tellen en turven, maar dan automatisch aan de hand van wifi-signalen. Alleen als wifi op een smartphone staat ingeschakeld wordt deze dus geteld.
De wifi-sensoren registreren alle passanten die een apparaat bij zich hebben en daarop wifi aan hebben staan (het apparaat zendt regelmatig zogenaamde probe requests). De wifi-sensor registreert het MAC-adres, tijdstip en signaalsterkte. Dus niet de locatie. Het MAC-adres wordt op de sensor gepseudonimiseerd. Als de sensor gedurende een bepaalde tijd geen signaal meer ontvangt, dan wordt de status aangepast. De data worden met vertraging doorgestuurd naar een centrale server waar de data worden geanonimiseerd en verder worden verwerkt om tot tellingen te komen. De bewerkingen worden slechts gedaan om te komen tot het aantal bezoekers. De data worden op geen andere wijze bewerkt en/of geanalyseerd en niet langer dan noodzakelijk opgeslagen maar nooit langer dan 24 uur. De tellingen van Citytraffic zijn vergelijkbaar met de methode hoe files in Nederland worden gemeten. De methode voldoet aan alle Europese wetgeving. 

Wat kun je zien op basis van wifi-tellingen?

Op basis van de wifi-signalen bepaalt CityTraffic het aantal unieke passanten en de verblijfsduur per dag binnen het lokale sensornetwerk. Deze unieke ruwe tellingen worden verder verwerkt tot bezoekersaantallen per half uur per locatie. De wifi-sensoren van CityTraffic vangen geen andere data op van mobiele apparaten.  

Waar worden de verzamelde gegevens voor gebruikt?

De gegevens kunnen worden gebruikt om de drukte in een winkelstraat te meten. Dit levert hele relevante en noodzakelijke informatie op in het kader van openbare bestuur en veiligheid. Het is informatie die door zowel lokale als nationale overheidsorganen wordt gebruikt, zeker bij de bestrijding van de coronapandemie.

Deze gegevens worden ook gebruikt door retailers die vergelijkingen maken met hun eigen bezoekersaantallen of beter personeel willen plannen.

Op basis van deze informatie kan er worden besloten om de toegang tot een winkelstraat tijdelijk te beperken, wanneer blijkt dat het te druk wordt, of worden winkeltijden in algemene zin aangepast

Worden de verzamelde gegevens ook nog voor andere doeleinden gebruikt dan het tellen van passanten?

Nee, de verzamelde persoonsgegevens worden alleen gebruikt voor passantentelling. 

Wat is het verschil tussen wifi-tracking en wifi-tellen?

Bij wifi­-tracking worden individuen gevolgd, aaneengesloten in tijd en plaats. Een wi­fi-telling is gericht op het tellen van groepen op een bepaald moment op een bepaalde plaats. Het verschil tussen wifi­-tracking en wi­fi-telling is simpel: Passanten worden niet gevolgd, maar geteld. Er is niet bekend wie zij zijn, waar zij wonen, waar zij naar toe gaan en welke winkels zij binnen gaan. Buiten het bereik (20meter) van de sensor wordt niets gemeten.

Wat is een MAC-adres?

Een MAC-adres, ook wel wifi-adres genoemd, is een unieke code waarmee een apparaat herkend wordt. Dat kan een mobiele telefoon zijn, maar ook een computer, een printer of een iPad met een draadloze netwerk interface. Met dit MAC-adres kan een apparaat toegang krijgen tot een wifi-netwerk. Het is dus NIET het mobiele telefoonnummer of een IP-adres en verwijst niet naar een persoon, maar naar een apparaat. Het wordt echter wel beschouwd als een indirect herleidbaar persoonsgegeven. Zonder specifieke kennis en illegaal toegang tot systemen, is de gepseudonimiseerde code niet herleidbaar, niet koppelbaar en niet identificeerbaar naar een uniek apparaat. Er zijn voldoende beveiligingsmaatregelen genomen om te voorkomen dat er meer dan noodzakelijke data worden verkregen alsmede dat ongeautoriseerde personen toegang hebben tot de data.

Hoe anonimiseren jullie de telgegevens?

Om te voorkomen dat een MAC-adres kan worden herleid naar één specifiek apparaat, wordt dit bij telling direct omgezet naar een ander willekeurig nummer op de sensor. Hierdoor versturen de sensoren nooit MAC-adressen naar de server waar de ruwe tellingen worden verwerkt. CityTraffic werkt alleen met deze niet bestaande nummers. Zodra dit nummer aankomt op de server, wordt het geanonimiseerd. Dat betekent dat het voor de tweede keer wordt veranderd. We kunnen daarna nooit het nummer meer herleiden naar één apparaat. Tot slot wordt de informatie maximaal 24 uur bewaard. De methode voldoet daarmee aan alle Europese wetgeving.

Wat doen fabrikanten aan beveiliging van het MAC-adres?

Bedrijven als Apple en Samsung voeren tegenwoordig hun smartphones uit met ‘anti track&trace’ software. Deze software laat smartphones telkens een ander MAC-adres uitzenden, waardoor hetzelfde apparaat in tijd en plaats niet kan worden gevolgd. Citytraffic meet alleen de drukte per sensor per half uur op een locatie of in een groep van sensoren. Deze zogenaamde wifi spoofing, maakt wifi-tracken voor de gebruiker onmogelijk en tellen voor de uitvoerder ingewikkelder, maar nog steeds levert deze vorm van onderzoek relevante informatie op voor opdrachtgevers.

Wat is de reden dat de AP een boete heeft opgelegd in de zaak rondom wifi-tellingen?

De AP is van mening dat de gemeente zonder grondslag indirecte persoonsgegevens (Mac-adressen) heeft verwerkt van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld in de binnenstad van Enschede, wifitracking genaamd door de AP. De gemeente Enschede heeft bezwaar aangetekend tegen dit besluit.

We zijn zeer ongelukkig met de boete voor een van onze opdrachtgevers en vinden deze disproportioneel. Het bezwaar van de Gemeente Enschede tegen dit besluit wordt door ons ondersteund. Het tellen van passanten is, zeker in tijden van een pandemie, van groot maatschappelijk belang. Tellen op basis van wifi is daarmee een privacy-veilige en nauwkeurige manier om bijvoorbeeld de drukte in een winkelstraat te meten. Een MAC-adres is niet direct te herleiden naar een individu. Gemeente Enschede telt en volgt niet!

Welk standpunten heeft de Gemeente Enschede ingenomen?

De gemeente kan zich niet vinden in deze uitspraak en beraadt zich op eventuele vervolgstappen. De gemeente Enschede neemt de privacy en de bescherming van persoonsgegevens van haar inwoners zeer serieus. Bij de opdrachtverlening voor de wifimetingen in 2017 is binnen het kader van de destijds geldende privacywet- en regelgeving gewerkt. Toen een jaar later de Algemene Verordening Gegevensbescherming (AVG) werd ingevoerd, is actief gehandeld om ook aan de AVG te voldoen. De Autoriteit Persoonsgegevens gaat uit van een theoretisch scenario dat mogelijk individuen zouden kunnen worden geïdentificeerd. De gemeente is van mening dat identificatie van individuen aan de hand van de verwerkte data uit de anonieme wifimeting niet mogelijk is.

“Wij voelen ons ten onrechte gestraft voor iets dat wij niet beoogden en wat ook feitelijk niet is gebeurd. Het waarborgen van de privacy van onze binnenstadbezoekers is altijd een voorwaarde geweest. Bezoekerstellingen zijn nodig om het effect van investeringen en beleid in je stad te meten. Het kunnen monitoren van de drukte in je stad is nu actueler dan ooit, en wij zijn geblinddoekt. Extra wrang is dat bij de Autoriteit Persoonsgegevens nu een door de MOA – expertise center voor marktonderzoek – opgestelde gedragscode voor statistische wifitellingen ter goedkeuring is voorgelegd. De Autoriteit Persoonsgegevens is dus aan de ene kant aan het meedenken, terwijl het aan de andere kant een zware boete uitdeelt.”

Zijn er persoonsgegevens buitgemaakt?

Nee.

Is wifitellen nu verboden in Nederland?

Nee. Wifitellen – volledigheidshalve  “statistisch passantenonderzoek met behulp van een wifi-signaal” genoemd – is toegestaan, mits er goed wordt uitgelegd waarvoor het nodig is en de persoonsgegevens geanonimiseerd zijn. In een brief aan de VNG gaf toenmalig minister Dekker aan dat hiervan sprake kan zijn als toepassing van deze methode nodig is voor het handhaven van de veiligheid of het bewaken van de openbare orde. Dit wordt ook onderschreven in de meest recente uitspraak van de Autoriteit Persoonsgegevens.

Wat betekent deze uitspraak voor andere gemeenten die gebruikmaken van wifitellen?

Als uitvoerder garandeert Bureau RMC dat de huidige Citytraffic telmethode technisch voldoet aan alle huidige wet- en regelgeving. Telgegevens worden, nadat ze zijn geanonimiseerd, niet langer dan 24 uur bewaard. Hiermee wordt voldaan aan de AVG voor de verwerking van persoonsgegevens. Opdrachtgevers dienen ook te voldoen aan de AVG. Dat houdt onder andere in dat:

  • Een wettelijke grondslag is bepaald en dat dit goed is vastgelegd. Zie artikel 6, lid 1e op pagina 36.
  • Organisaties die wifi-tellingen inzetten, passanten en/of bezoekers hierover helder dienen te informeren.
  • De bewaartermijn is afgestemd op het doel van de meting.
  • De persoonsgegevens privacy proof worden verwerkt in overeenstemming met de verwerkersovereenkomst en de daaraan ten grondslag liggende wettelijke bepalingen.
  • Er een verwerkersovereenkomst is. Neem gerust contact met ons op als er geen verwerkersovereenkomst is zodat we u kunnen helpen.

Zie hier voorbeelden die kunnen worden gebruikt:

VNG en MOA 

Gaat Bureau RMC haar methode veranderen naar aanleiding van de uitspraak in Enschede?

Op dit moment is daar geen reden toe. Bureau RMC behandelt alle gegevens als persoonsgegevens en handelt in lijn met de gedragscode die is opgesteld door de MOA, brancheorganisatie voor marktonderzoekbureaus. Onze methode is privacy proof.

Zodra deze gedragscode of andere vorm van wetgeving vereisen dat de meetmethodes aangepast moeten worden, dan zullen we dit uiteraard doen.