September vorig jaar werd op de website van de Autoriteit Persoonsgegevens bekendgemaakt: ‘AP legt wifitracker Bluetrace last onder dwangsom op’.
Bluetrace levert technologie waarmee in en rondom winkels de wifi-signalen van mobiele apparaten worden opgevangen. Hiermee wordt bijgehouden hoeveel bezoekers in de winkel komen, wat hun wandelroutes zijn en waar zij wel of niet blijven stilstaan. Op zich is dat een gebeurtenis waar men zich niet bewust van is (denk ik) en dat was ook een punt voor de AP. Zij stelt daarover dat Bluetrace in strijd met de Wet bescherming persoonsgegevens (Wbp) locatiegegevens van winkelbezoekers en voorbijgangers verzamelt zonder hen hier goed over te informeren. Andere heikele punten waren dat:
– Bluetrace ook gegevens opving van voorbijgangers en omwonenden;
– 24 uur per dag, 7 dagen per week;
– de gegevens voor onbepaalde tijd werden bewaard.
Gevoelsmatig zou je zeggen dat het AP terecht heeft opgetreden. Er werden immers gegevens over mensen verzameld zonder dat zij hierover waren geïnformeerd. Maar wat voor gegevens werden dan verzameld? En zijn dat wel persoonsgegevens? Zo niet, dan is de Wbp namelijk helemaal niet van toepassing. Als de Wbp niet van toepassing is heeft de AP onterecht handhavend opgetreden tegen Bluetrace.
Het mac-adres van smartphones of andere apparaten van personen in de buurt van winkels. De locatie van personen binnen en buiten de winkel. De combinatie zorgt ervoor dat Bluetrace volgens de Wbp persoonsgegevens verwerkt, aldus de AP. Bluetrace heeft dat ook nimmer betwist.
Bluetrace verdedigt zich wel door te zeggen dat het mac-adres van gebruiker niet rechtstreeks wordt opgeslagen, maar eerst ‘gehasht’ wordt met een onbekend algoritme en vervolgens opgeslagen op een centrale server.[1] Het AP stelt dat hoewel deze ‘hashes’ niet kunnen worden teruggerekend naar mac-adressen (lees: de Apple computers van de winkelbezoekers), deze wel kunnen worden herberekend, door het hashproces te herhalen. Daarbij is de kans op dubbele uitkomsten zo klein, aldus het AP, dat personen geïdentificeerd kunnen worden aan de hand van de ‘hash’ van hun mac-adres.
Persoonsgegevens zijn gegevens die zonder veel moeite herleidbaar zijn naar iemand zijn identiteit. In de wet staat: persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Context Om te bepalen of iets een persoonsgegeven is, is de context van belang. Op de website van het AP staat het volgende voorbeeld daarover.[2] “Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen.”
Hieruit kan worden opgemaakt dat diegenen die toegang hebben tot het kentekenregister de tenaamstelling zonder bijzondere inspanning te weten kunnen komen en in dat geval een kenteken een persoonsgegeven is. Kentekens zijn geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg zullen worden herleid.
Uit een mac-adres kan Bluetrace niet iemand zijn identiteit opmaken. In theorie kan de ‘hash’ van het mac-adres wel worden herkend, waaruit geconcludeerd kan worden dat er een terugkerende bezoeker is (geweest), maar ik leid daaruit niet af dat daarmee een bepaald persoon identificeerbaar wordt. Om dit duidelijk(er) te krijgen kan worden gekeken naar het dynamische IP-adres. In oktober vorig jaar heeft het Hof van Justitie in een vergelijkbare situatie een uitspraak gedaan.[3]
In het arrest HvJ/Breyer ging het om de vraag of een dynamisch IP-adres wel of geen persoonsgegeven is. De Duitse overheid sloeg de (dynamische) IP-adressen op van haar websitebezoekers. De heer Breyer had de Duitse overheid gevraagd om de opslag van die gegevens te staken. Om te bepalen of een dynamisch IP-adres een persoonsgegeven is, wordt door het Hof gekeken naar de middelen die redelijkerwijs, door de verantwoordelijke of enig ander persoon, kunnen worden ingezet om de betrokken persoon te identificeren.
Het Hof redeneert dat de Duitse overheid extra informatie van de internetprovider van de websitebezoeker nodig heeft om een bezoeker van de website te kunnen identificeren en dat haar in sommige gevallen dergelijke wettige middelen ten dienste staan. In die gevallen dat de Duitse overheid bij de internetprovider extra informatie kan opvragen om de websitebezoeker te identificeren, is een dynamisch IP-adres een persoonsgegeven, aldus het Hof.[4] In beginsel niet dus.
Concluderend komt het er vrij vertaald op neer dat er sprake is van een persoonsgegeven als de verantwoordelijke de middelen heeft om op een gemakkelijke manier een persoon te identificeren. In mijn optiek maakt de ‘hash’ van een mac-adres een persoon niet identificeerbaar voor Bluetrace en kan de identiteit van de winkelbezoekers niet redelijkerwijs, zonder onevenredige inspanning, vastgesteld worden. Bluetrance verzamelde in mijn ogen dan ook geen persoonsgegevens. Hoewel het logisch klinkt dat als iemand zijn winkelgedrag wordt gevolgd diegene daarover geïnformeerd zou moeten worden, zijn de verzamelde gegevens niet redelijkerwijs herleidbaar tot diegene als persoon. De uit de Wbp afkomstige plicht om ‘behoorlijk’ te informeren acht ik dan ook niet aanwezig voor Bluetrace en in mijn optiek heeft de AP daarom onterecht handhavend opgetreden.
Wilt u meer weten of heeft u vragen over persoonsgevens? De advocaten van de ICT|IE-branche helpen u graag verder!
Henk Bethlehem
[1] Hashing is een manier om gegevens te pseudonimiseren en op te slaan.
[2] Bron: https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z1998-0098.pdf
[3] ECLI:EU:C:2016:779. ARREST VAN HET HOF (Tweede kamer). 19 oktober 2016 (Breyer / Bondsrepubliek Duitsland)
[4] ECLI:EU:C:2016:779. ARREST VAN HET HOF (Tweede kamer). 19 oktober 2016 (Breyer / Bondsrepubliek Duitsland); Rechtsoverwegingen 47 tot en met 49.
