Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens

14/07
De gemeente Enschede stapt naar de rechter wegens de AVG-boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar wegens wifi-tracking oplegde. Dat meldde Security.nl vorige week. In april 2021 kreeg de gemeente de boete omdat zij “wifitracking gebruikte in de binnenstad op een manier die niet mag.” Weliswaar was het niet de intentie van Enschede om mensen te volgen, maar het kon gewoon gebeuren bij lang genoeg tellen. De wethouder: “Het feit dat de AP die suggestie wel heeft gewekt in haar boetebesluit en in haar media-uitingen, vindt het college van Enschede zeer kwalijk”.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen.

De kern is dat je vervolgens telt op basis van die identifiers, maar dat zo’n identifier tegelijk ook een persoonsgegeven is dat ook nog eens gebruikt kan worden om iemand te volgen. Dit omdat het gebruikte algoritme om van telefoongegevens tot de identifier te komen altijd hetzelfde resultaat gaf bij dezelfde telefoon. En ja, als je dat gedurende bijna twee jaar allemaal vastlegt dan gaat er iets mis:
De AP heeft vervolgens vastgesteld dat er uit de langetermijntabel van na 1 januari 2019 duidelijke leefpatronen te destilleren zijn. Gezien de regelmatigheid van de patronen kan redelijkerwijs worden geconcludeerd dat de bij het patroon horende registraties toebehoren aan één mobiel apparaat. De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens zoals bezoeken aan medische instellingen.
Natuurlijk had de gemeente alleen het doel om algemene cijfers over drukte vast te stellen, zodat je bijvoorbeeld weet wanneer je de straatvegers kunt sturen (als het rustig is) of dranghekken (waar het straks niet rustig is) om eens een paar onschuldige toepassingen te noemen. Ik zou ook niet direct weten wat ik als wethouder zou moeten met gedetailleerde logs over al mijn burgers en hun wandelpaden in het centrum.

De boosheid van de gemeente verrast me een beetje. Het lijkt erop dat hier zich het vage concept `persoonsgegeven’ wreekt. Dat zijn natuurlijk gegevens waarmee iemand identificeerbaar is, maar dat is niet hetzelfde als weten wie iemand is. Beter gezegd: het serienummer van je mobiele telefoon is natuurlijk niet hetzelfde als de naam in je identiteitskaart. Volgens de AVG zijn beide echter gelijk – identificatoren. Enschede wist met haar systeem natuurlijk totaal niet welke namen er bij die passanten hoorden, en ik geloof graag dat het kwalijk is om te horen dat je dat wél zou doen. Wat de AP zegt, is dat ze dat serienummer niet mochten bijhouden, en dat is natuurlijk iets anders.

Er is ook nog iets met afgeknipte MAC adressen waardoor men denk ik wilde anonimiseren, maar dat ging niet helemaal goed want de resultaten konden nog steeds gekoppeld worden. Ik denk omdat het aantal Enschedeërs met dezelfde MAC prefixen op dezelfde tijden in de zelfde buurt erg klein is.

Arnoud

Het bericht Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens verscheen eerst op Ius Mentis.

Datum: donderdag 14 juli 2022, 08:15
Bron: Iusmentis Blog
Categorie: Internet en ICT
Tags: Enschede, Overijssel

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry