Maandag 7 april 2014

Wifi-tracking door winkelketens

Sinds 23 januari 2014 is bekend dat winkelketens hun marketingstrategie baseren op wifi-gegevens van al het winkelend publiek 1J. Schellevis, Wifi-tracking: winkels volgen je voetsporen, 23 januari 2014, http://tweakers.net Het traceren van deze gegevens blijkt zeer lucratief te zijn, nu de gegevens zelfs kunnen worden verkregen van smartphones die niet zijn verbonden met het netwerk van de winkelketen. Aan de hand van wifi-gegevens kunnen de ketens verifiëren hoeveel klanten zich dagelijks in de winkel bevinden en hoe lang zij hier verblijven. Tevens kan worden nagegaan welke route de klant volgt en of de klant vaker een bezoek brengt aan de winkel. Ook als het publiek niet de winkel binnenstapt, wordt dit vastgelegd. De dag na deze ontboezeming zijn er Kamervragen gesteld over de rechtmatigheid van wifi-tracking door Tweede Kamerleden aan de Ministers van Economische Zaken en van Veiligheid en Justitie. 2Aanhangsel Handelingen II 2013/14, nr. 2014Z01179

In dit artikel wordt allereerst gekeken naar het begrip ‘persoonsgegeven’ en welke vereisten hieraan worden gesteld door de Wet bescherming persoonsgegevens (Wbp). Vervolgens wordt de technische achtergrond van wifi-gegevens uiteengezet en wordt vastgesteld of deze gegevens vallen onder het begrip ‘persoonsgegevens’ zoals opgenomen in de Wbp. Indien dit het geval is, zal worden besproken wanneer er sprake is van een verwerking en wanneer een dergelijke verwerking toelaatbaar is volgens de wet. Tot slot wordt geconcludeerd of wifi-tracking door winkelketens al dan niet is toegestaan.

Persoonsgegevens
Krachtens art. 1 sub a Wbp is een persoonsgegeven elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Deze bepaling stelt dus vier vereisten aan een persoonsgegeven.

Allereerst dient er sprake te zijn van een persoonsgegeven. Dit begrip dient extensief te worden geïnterpreteerd. Tevens vereist de bepaling dat er sprake is van een natuurlijk persoon. Een rechtspersoon valt hierdoor niet onder deze bepaling. 3H.R. Kranenborg en L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer: Kluwer 2011, p. 60-63 Eveneens dient deze natuurlijke persoon te zijn geïdentificeerd of dient de mogelijkheid te bestaan om hem te identificeren. Identificatie kan zowel op directe wijze als indirecte wijze geschieden. Er is sprake van indirecte identificatie bij gegevens die weliswaar primair een zaak betreffen, maar die wel tot een natuurlijke persoon kunnen leiden. Dergelijke gegevens kunnen hierdoor eveneens worden gekwalificeerd als persoonsgegevens. 4S. van der Hof, A.R. Lodder, G.J. Zwenne e.a., Recht en computer, Deventer: Kluwer 2014, p. 180 Het feit dat voor identificatie gebruik dient te worden gemaakt van technologische middelen is voor het vervullen van deze eis niet van belang.

Wifi-gegevens

MAC-adres
In de hardware van smartphones is een uniek nummer opgenomen door de fabrikant. Dit nummer staat bekend onder de definitie MAC-adres (Medium Access Control). Wanneer het wifi-netwerk contact maakt met de telefoon van de klant, zendt de telefoon dit unieke nummer naar de wifi-router.

Het College Bescherming Persoonsgegevens (CBP) heeft in 2011 een onderzoek ingesteld naar de verzameling van wifi-gegevens. 5College Bescherming Persoonsgegevens, Definitieve bevindingen. Onderzoek CBP naar de verzameling van Wifi-gegevens met Street View auto’s door Google, 7 december 2010, http://www.cbpweb.nl In het kader van dit onderzoek heeft het CBP geconcludeerd dat MAC-adressen vallen onder de reikwijdte van de Wbp. Het MAC-adres is immers een uniek nummer waardoor het mogelijk is dat de klant wordt geïdentificeerd dan wel is te identificeren.

IP-adres
Tevens ontvangt elke smartphone een IP-adres wanneer deze wordt verbonden met het internet. Een IP-adres is eveneens een uniek nummer waarmee het mogelijk is de smartphone, en daardoor eveneens de klant, te identificeren. Middels deze wijze is de telefoon zichtbaar voor andere elektronische apparaten die zijn verbonden met het internet.

Doordat het IP-adres is te herleiden tot een natuurlijk persoon, wordt een IP-adres eveneens gekwalificeerd als een persoonsgegeven. 6H.R. Kranenborg en L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer: Kluwer 2011, p. 65 Zelfs als sprake is van een variabel adres in plaats van een vast IP-adres, is het mogelijk de klant te identificeren aan de hand van de datum en tijd van zijn internetbezoek.

Verwerking
Nu is vastgesteld dat wifi-gegevens persoonsgegevens zijn in de zin van de Wbp, dient te worden gekeken of er sprake is van een verwerking van deze gegevens. Een verwerking zoals is opgenomen in art. 1 sub b Wbp houdt elke handeling in, of geheel van handelingen, met betrekking tot persoonsgegevens. Het verzamelen en bewaren van wifi-gegevens vallen dus onder deze definitie. Deze handelingen dienen daarom te voldoen aan de vereisten die de Wet bescherming persoonsgegevens stelt aan een verwerking (art. 6 Wbp). De verwerking dient echter wel geheel of gedeeltelijk te zijn geautomatiseerd. Ook een niet geautomatiseerde verwerking van persoonsgegevens die in een bestand is opgenomen of die bestemd is om daarin te worden opgenomen, valt onder de reikwijdte van de wet (art. 2 lid 1 Wbp). Wifi-gegevens zijn digitale gegevens waardoor de verwerking van deze gegevens is geautomatiseerd. De wet is hierdoor van toepassing.

Voorwaarden
In art. 8 Wbp staat een limitatieve opsomming met daarin toelaatbare gronden voor gegevensverwerking. Het eerste onderdeel stelt dat er sprake dient te zijn van ondubbelzinnige toestemming. Hiervan zal in beginsel geen sprake zijn. Het winkelend publiek heeft voor het verzamelen van wifi-gegevens immers geen toestemming gegeven. Ook is de gegevensverwerking niet noodzakelijk voor de uitvoering van een overeenkomst of voor de nakoming van een wettelijke verplichting. Als laatste voldoet de verwerking niet aan het vereiste dat is opgenomen in art. 8 sub f Wbp. Deze bepaling eist dat de gegevensverwerking noodzakelijk moet zijn voor de behartiging van het gerechtvaardigde belang van de winkelketen, tenzij het belang of de fundamentele rechten en vrijheden van het winkelend publiek prevaleert. Het verzamelen en opslaan van wifi-gegevens is niet noodzakelijk voor het verrichten van reguliere bedrijfsactiviteiten. 7S.M. Huydecoper e.a., Wet Bescherming Persoonsgegevens en ICT, Den Haag: Sdu Uitgevers 2006, p. 26 Hierdoor is wifi-tracking door winkelketens niet toegestaan.

Conclusie
Een persoonsgegeven is krachtens art. 1 sub a Wbp elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook indirecte identificatie valt onder deze bepaling. Nu het technisch mogelijk is om middels het MAC-adres en IP-adres van een smartphone de identiteit te achterhalen van de klant, zijn wifi-gegevens te kwalificeren als ‘persoonsgegevens’ in de zin van de Wbp. Hierdoor dient elke handeling met betrekking tot wifi-gegevens te voldoen aan de eisen die de wet aan een verwerking stelt. Wifi-tracking voldoet aan geen van deze vereisten. Het winkelend publiek heeft voor de gegevensverwerking geen toestemming gegeven. Ook is de gegevensverwerking niet noodzakelijk voor de uitvoering van een overeenkomst, voor de nakoming van een wettelijke verplichting of voor de behartiging van het gerechtvaardigde belang van de winkelketen. Wifi-tracking door winkelketens is dus niet toegestaan en hierdoor onrechtmatig.

   [ + ]

1. J. Schellevis, Wifi-tracking: winkels volgen je voetsporen, 23 januari 2014, http://tweakers.net
2. Aanhangsel Handelingen II 2013/14, nr. 2014Z01179
3. H.R. Kranenborg en L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer: Kluwer 2011, p. 60-63
4. S. van der Hof, A.R. Lodder, G.J. Zwenne e.a., Recht en computer, Deventer: Kluwer 2014, p. 180
5. College Bescherming Persoonsgegevens, Definitieve bevindingen. Onderzoek CBP naar de verzameling van Wifi-gegevens met Street View auto’s door Google, 7 december 2010, http://www.cbpweb.nl
6. H.R. Kranenborg en L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer: Kluwer 2011, p. 65
7. S.M. Huydecoper e.a., Wet Bescherming Persoonsgegevens en ICT, Den Haag: Sdu Uitgevers 2006, p. 26