Nieuws

Enschede probeert opnieuw onder boete van 6 ton voor privacy-schending uit te komen

Enschede telde en volgde zo'n twee jaar lang bezoekers van de binnenstad via het wifi-signaal van hun mobiele telefoon
Enschede telde en volgde zo'n twee jaar lang bezoekers van de binnenstad via het wifi-signaal van hun mobiele telefoon © Laurens Kuipers / pixbay
Opnieuw probeert Enschede onder een boete van zes ton uit te komen die het kreeg opgelegd door de Autoriteit Persoonsgegevens. Eerdere procedures tegen de boete wegens privacy-schending leverde niets op. Nu probeert de gemeente zijn gelijk te halen bij de bestuursrechter.
Enschede telde en volgde zo'n twee jaar lang bezoekers van de binnenstad via het wifi-signaal van hun mobiele telefoon. Tot de Autoriteit Persoonsgegevens (AP) daar een stokje voor stak. Uiteraard wil de gemeente dat de boete van zes ton - een flinke aderlating in de begroting - van tafel gaat.
Maar belangrijker in de strafeis is misschien wel het feit dat de bestuursrechter wordt gevraagd om 'in de zaak te voorzien'. Dat betekent concreet dat de rechter wordt gevraagd om te oordelen of er bij het wifitellen in Enschede sprake is geweest van het delen van persoonsgegevens.
Wat deed de gemeente Enschede precies?

Tussen mei 2018 en april 2020 liet de gemeente Enschede het bedrijf RMC via de zogeheten CityTraffic-methode binnenstadbezoekers tellen. Verspreid door het centrum werden sensoren geplaats die het wifisignaal van een smartphone opvangen, ook als deze niet met een netwerk is verbonden. In het wifisignaal zit een code, het zogeheten MAC-adres, die uniek is voor elke telefoon.

Op deze wijze kon de gemeente niet alleen op elk moment van de dag een accurate schatting maken van de drukte in de binnenstad, maar ook nog eens zien hoe deze bezoekers zich door de stad bewogen. Denk aan het unieke MAC-adres dat bij de Kalanderstraat binnenkomt en twintig minuten later via de Zuiderhagen bij de Markstraat opduikt. Het zegt iets over de looproute en dat is onder meer handige informatie bij de acquisitie van nieuwe winkels.

Miljoen bezoekers geteld

In mei 2020 stopte Ensschede abrupt met de tellingen. De Autoriteit Persoonsgegevens had een melding van Enschedeër Dave Borghuis gekregen en kondigde een onderzoek aan. Een jaar later kwam het oordeel: de privacywaakhond legde de gemeente een bestuurlijke boete van 600.000 euro op vanwege het delen van persoonsgegevens. Zulke boetes kunnen enorm oplopen op basis van de omvang. In Enschede werden in twee jaar tijd ongeveer een miljoen wifi-apparaten (dus mensen) geteld.
Bij de bestuursrechter in Zwolle bepleit het college van B&W niet alleen dat de boete buitenproportioneel is voor een gemeente die moeite heeft om de financiële eindjes aan elkaar te knopen, maar ook dat de straf onterecht is. "Het tellen van de devices (bijvoorbeeld mobieltjes) kan niet worden gekoppeld aan een persoon of de gebruiker", luidt het standpunt. "Een persoon is op deze manier niet te identificeren. Dan is de privacywet niet van toepassing en kan er geen boete worden opgelegd."

Nachtelijke wandelaar

De Autoriteit Persoonsgegevens verdedigt eens te meer het standpunt dat er weldegelijk van persoonsgegevens sprake is. Ondanks dat de MAC-adressen uit wifi-signalen gedeeltelijk zijn afgeknipt en door een (standaard) versleutelcode zijn gehaald, zijn de er volgens de AP wel personen te identificeren.
In het onderzoek dat leidde tot het opleggen van de boete is dat met die apparaten aangetoond, waaronder een 'nachtelijke wandelaar' waarvan de mobiele telefoon steevast tussen 4 en 5 uur 's nachts bij dezelfde wifisensor opduikt. Deze persoon zou zonder al te veel moeite opgespoord kunnen worden en dat feit is volgens de AP genoeg om te spreken van privacy-schending. De gemeente ging tevergeefs tegen de boete in bezwaar, waarna het beroep bij de bestuursrechter volgde.

Principiële privacyzaak

Hoewel de discussie kan worden platgeslagen tot een beroep tegen een boete, gaat het om een principiële zaak die ook landelijk impact kan hebben. Niet voor niets vraagt de gemeente de rechter om een oordeel over het verwerken van persoonsgegevens. Binnen de Vereniging Nederlandse Gemeenten en de Rijksoverheid zal er met belangstelling worden meegekeken. Immers, vele gemeenten maakten gebruik van wifitellen en zijn daar door de 'zaak Enschede' mee gestopt.
Ook bij andere toepassingen kan worden gedacht aan het gebruik van telefoonsignalen. In een kritisch rapport over de ontwikkeling van zogeheten Smart Cities (digitale en datagedreven steden) noemde de AP de Enschedese casus als voorbeeld voor de basisprincipes van het delen van persoonsgegevens: is er sprake van een algemeen belang en is er een minder ingrijpend alternatief mogelijk, zoals handmatig tellen.

Wat is een persoonsgegeven?

Daarvoor zal wel eerst een oordeel moeten worden geveld over de vraag of een MAC-adres (of beter gezegd: een smartphone) als een persoonsgegeven kan worden beschouwd, net als een kenteken, een lidmaatschapsnummer of een e-mailadres. Voor Dave Borghuis van Hackerspace Tkkrlab, die het privacyvraagstuk rond wifitellen al vijf jaar geleden aan de kaak stelde, is het duidelijk: het gaat om persoonsgegevens.
In de rechtszaak kreeg Borghuis de gelegenheid om als belanghebbende zijn kant van het verhaal te vertellen. "Ik ben natuurlijk geen jurist", vertelt hij. Maar hij vond het belangrijk om erover te vertellen. "Voor de rest is het natuurlijk dezelfde uitwisseling van standpunten, zoals we die al kenden. Ik ben heel benieuwd waar het op uitdraait."
De bestuursrechter doet waarschijnlijk binnen zes weken uitspraak in de zaak. Daarna is er nog beroep mogelijk bij de Raad van State.

Heb je een nieuwstip of nieuwe informatie? Tip de redactie via WhatsApp of via de mail.