AP beboet gemeente Enschede voor overtreding met wifitracking

Abonneer je gratis op Techzine!

De Autoriteit Persoonsgegevens heeft een boete van 600.000 euro opgelegd aan de gemeente Enschede. De privacywaakhond vindt dat de gemeente de wet heeft overtreden door burgers te volgen aan de hand van wifitracking.

In 2017 startte de gemeente Enschede met een project om een beeld te schetsen van waar en wanneer er verbouwingen en investeringen nodig waren in de binnenstad. Daarvoor zette de gemeente wifitracking in. Er werden verschillende wifisensoren verspreid over de binnenstad, die keken naar de mac-adressen van de telefoons van voorbijgangers. Deze mac-adressen werden gepseudonimiseerd en opgeslagen in een tabel. Aan de hand van deze informatie kon de gemeente een overzicht maken van de drukte op bepaalde plaatsen en op bepaalde momenten.

Gegevens werden maandenlang opgeslagen

Waar de Autoriteit Persoonsgegevens echter moeite mee heeft, is dat deze gegevens maandenlang werden opgeslagen. Bovendien werden over de volledige periode de gegevens door alle sensoren op dezelfde manier gepseudonimiseerd. Hierdoor was het mogelijk om over een langere periode de bewegingen van specifieke personen te volgen.

Het was niet de bedoeling van de gemeente om individuen te volgen, maar het feit dat het mogelijk was, maakt de inzet van deze technologie een ernstige overtreding van de GDPR-wetgeving. “Het is niet de bedoeling dat iemand kan volgen welke winkel, arts, kerk of moskee we bezoeken. Dat is privé en dat moet privé blijven. Zodat mensen zichzelf kunnen zijn, zonder zich geremd te voelen door mogelijke registratie”, zegt AP-vicevoorzitter Monique Verdier. “Een gemeente moet dit grondrecht van haar inwoners voorop stellen.”

Twee jaar lang in overtreding

Toen de gemeente in 2017 begon met het project, was het technisch gezien nog niet in overtreding. Dit was pas het geval toen vanaf mei 2018 de GDPR actief gehandhaafd werd. Daarbij gaat het specifiek om artikel 5 en artikel 6 van de privacywet. Daarin staat wanneer persoonsgegevens wel of niet verwerkt mogen worden. De gemeente besloot echter pas op 1 mei 2020 te stoppen met het gebruik van te techniek.

Daarmee heeft de gemeente twee jaar lang de regels overtreden, waarvoor de AP een boete van 600.000 euro terecht vindt. De maximale boete voor dergelijke overtredingen staat op 750.000 euro. De gemeente Enschede heeft bezwaar tegen de boete aangetekend.

Tip: T-Mobile deelde jarenlang locatiegegevens klanten met CBS