Gemeente Enschede krijgt privacyboete van 6 ton

Vrouw loopt met een kop koffie en smartphone over straat

De Autoriteit Persoonsgegevens legt de gemeente Enschede een boete van 600.000 euro op wegens WiFi-tracking. Met deze methode was mogelijk om bezoekers van de binnenstad te volgen en leefpatronen te zien. Er zijn geen aanwijzingen dat er misbruik is gemaakt van de data.

Dat schrijft de Autoriteit Persoonsgegevens in een persbericht.

WiFi-tracking om drukte in binnenstad te meten

In 2017 besloot de gemeente Enschede om de drukte van de binnenstad te meten. Voor dat doeleinde schakelde de gemeente een bedrijf in dat WiFi-signalen gebruikte om bezoekers waar te nemen. Vrijwel iedere smartphonegebruiker heeft namelijk WiFi ingeschakeld op zijn of haar mobiele telefoon. Door met een meetkastje met sensoren al deze signalen op te tellen, krijg je een beeld van het aantal bezoekers dat op een bepaald moment in het centrum is.

WiFi-tracking is misschien een goede methode om een beeld te krijgen van de drukte in de binnenstad, het is niet bepaald een privacyvriendelijke manier. Iedere smartphone die een WiFi-signaal uitzond, werd apart geregistreerd met een unieke code. Als je mensen maar lang genoeg op deze manier registreert, kun je ze volgen. Dat is volgens de privacywaakhond heel wat anders dan anoniem mensen tellen om de drukte vast te leggen.

Bovendien is het mogelijk om leefpatronen te herkennen en een profiel van iemand op te bouwen. Zeker als het door de coronamaatregelen rustig is op straat. Zo is het aannemelijk dat iemand die iedere ochtend op hetzelfde tijdstip in het centrum aankomt en ’s avonds weer vertrekt, daar werkt. En doordat WiFi-tracking voor iedere gebruiker een unieke code gebruikt, is het eenvoudig om gedetailleerde profielen op te stellen.

‘Privacy van burgers moet voorop staan’

De gemeente Enschede schakelde het bedrijf in op 25 mei 2018 in. Twee jaar later, op 30 april 2020, stopte de gemeente met WiFi-tracking. Volgens de Autoriteit Persoonsgegevens was het niet de intentie van de gemeente Enschede om mensen te volgen. De toezichthouder zegt ook geen aanwijzingen te hebben dat dit ook daadwerkelijk is gebeurd. “Maar het inzetten van WiFi-tracking die dit mogelijk maakt, is op zichzelf al een ernstige overtreding van privacywet AVG”, aldus de privacywaakhond.

Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens, spreekt van een kwalijke zaak en zegt dat de privacy van burgers voorop moet staan. “Iedereen heeft het recht om vrij en onbespied over straat te gaan. Zonder dat de overheid of een andere partij kan meekijken of noteren wat je doet. Dat past bij onze vrije en open samenleving. Het is niet de bedoeling dat iemand kan volgen welke winkel, arts, kerk of moskee we bezoeken. Dat is privé en dat moet privé blijven. Zodat mensen zichzelf kunnen zijn, zonder zich geremd te voelen door mogelijke registratie.”

Gemeente Enschede gaat in beroep

De Autoriteit Persoonsgegevens benadrukt dat WiFi-tracking meestal verboden is. “Omdat deze techniek zo ingrijpt in het leven van mensen, mag je het alleen in uiterste gevallen inzetten”, zegt Verdier. In sommige situaties mogen gemeenten volgens gaar WiFi-tracking inzetten om persoonsgegevens te verwerken, bijvoorbeeld als dit nodig is voor een wettelijke taak. Volgens de toezichthouder was daar in deze zaak geen sprake van.

De Autoriteit Persoonsgegevens zegt dat de gemeente Enschede op ‘structurele wijze’ en voor een langere periode de AVG overtrad. Ook was er geen andere wettelijke grondslag waarop WiFi-tracking mocht plaatsvinden. Verder vindt de toezichthouder dat de gemeente langer dan noodzakelijk persoonsgegevens heeft verwerkt voor het beoogde doel. Een bestuurlijke boete van 600.000 euro vindt ze dan ook proportioneel en op zijn plaats, zo lezen we in het boetebesluit.

Het college van B&W is het niet eens met deze uitspraak. Volgens haar was de privacyinbreuk ‘zeer beperkt’. Daarnaast hebben bezoekers geen schade geleden. Dat de gemeente in het verleden nooit door de toezichthouder is aangesproken op zijn gedrag en volledig heeft meegewerkt aan het onderzoek, zijn eveneens ‘boeteverlagende omstandigheden’. Het college vindt de boete van 600.000 euro dan ook veel te hoog en gaat in beroep.

Deze boetes heeft de AP tot nu toe opgelegd

Dit is de achtste keer sinds de inwerkingtreding van de AVG in mei 2018 dat de Autoriteit Persoonsgegevens een boete oplegt. Het is de echter de eerste keer dat een overheidsinstantie een sanctie ontvangt. Het HagaZiekenhuis in Den Haag kreeg in 2019 een boete van 460.000 euro omdat de medische dossiers van patiënten voor al het personeel destijds toegankelijk waren. Vorig jaar ontvingen de Koninklijke Nederlandse Lawn Tennisbond (KNLTB), Stichting Bureau Kredietregistratie (BKR) en een bedrijf dat vingerafdrukken van medewerkers verzamelde een boete opgelegd van de toezichthouder. De boetebedragen kwamen uit op respectievelijk 525.000 euro, 830.000 euro en 725.000 euro.

VoetbalTV kreeg een boete van 575.000 euro aan zijn broek wegens het onrechtmatig verwerken van persoonsgegevens. De organisatie vocht de boete aan en werd in het gelijk gesteld. In september vroeg het bedrijf faillissement aan, maar werkt inmiddels aan een doorstart.

In februari van dit jaar deelde de Autoriteit Persoonsgegevens een boete uit van 440.000 euro aan het Onze Lieve Vrouwe Gasthuis (OLVG). Het Amsterdamse ziekenhuis had jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Ook werd er geen meerfactorauthenticatie toegepast om de dossiers te beveiligen. Tot slot ontving Booking.com eind maart een boete van 475.000 euro voor het te laat melden van een datalek. De reisorganisatie heeft aangegeven de boete te accepteren en niet in hoger beroep te gaan.

Update: het college van B&W van de gemeente Enschede is niet te spreken over de boete die de Autoriteit Persoonsgegevens heeft opgelegd. In een blog laat burgemeester Onno van Veldhuizen weten dat de gemeente nooit burgers heeft gevolgd, maar enkel geteld. “Het waarborgen van de privacy van onze binnenstadbezoekers is vanaf het begin een voorwaarde geweest. Bezoekerstellingen zijn nodig om het effect van investeringen en beleid op de aantrekkelijkheid, de leefbaarheid en veiligheid van je stad te meten. Het afgelopen jaar heeft laten zien dat het kunnen monitoren van de drukte in je stad actueler dan ooit is, en wij zijn geblinddoekt.”

Verder schrijft het stadsbestuur dat het belangrijk voor haar is om op een ‘sociaal verantwoordelijke manier’ om te gaan met data en technologie. “Want als je technologie voor je stad wilt inzetten moet je ook oog hebben voor de impact die het gebruik van data en technologie heeft op je inwoners.” Om die reden installeerde het college van B&W afgelopen jaar, als eerste stad in Nederland, een onafhankelijke ethische commissie.

De burgemeester vindt dat zijn stad ten onrechte gestraft wordt voor iets dat niet feitelijk is gebeurd (het volgen van individuen). Daarom tekent hij namens de gemeente bezwaar aan tegen de bestuurlijke boete van de toezichthouder.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen