Gemeente Enschede krijgt AVG-boete van 600.000 euro wegens wifi-tracking

De gemeente Enschede heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens vanwege het aanbieden van wifitracking in de stad. Daarmee konden individuele bezoekers gevolgd worden. De gemeente had die gegevens niet mogen verzamelen onder de AVG.

De gemeente Enschede begon in mei 2018 met wifitracking in de binnenstad, met behulp van het externe bedrijf Retail Management BV. De gemeente zette de tracking in om te kijken waar en wanneer er in de binnenstad verbouwingen en investeringen moesten worden uitgevoerd. De gemeente nam het besluit daarvoor al in september 2017, toen de AVG nog niet actief werd gehandhaafd, maar de AP concludeerde dat er na het handhaafmoment zeker elf wifisensoren in de binnenstad hingen. In juli van dat jaar ontving de Autoriteit Persoonsgegevens een klacht van een burger over de tracking, schrijft het in het boetebesluit. Op basis daarvan werd een onderzoek ingesteld. Tijdens het onderzoek kreeg de privacywaakhond ook nog twee extra klachten.

De wifisensoren verzamelden mac-adressen van telefoons die voorbijkwamen, naast de tijd en de signaalsterkte. Die werden aan het eind van de dag in een tabel opgeslagen. De mac-adressen werden gepseudonimiseerd, al merkt de AP op dat die pseudonimiseringsmethode al die tijd nooit is gewijzigd. Ook werkte de pseudonimisering op alle sensoren hetzelfde.

Op de tabel met mac-adressen die dagelijks werd opgesteld werd een 'bewonersfilter' toegevoegd, maar volgens de AP filterde dat niet alle bewoners eruit en was informatie op de website daarover niet juist. De AP ontdekte dat de gegevens in sommige gevallen tussen de zes en zeven maanden werden opgeslagen. "De AP heeft geconstateerd dat het college B&W Enschede vanaf in ieder geval 25 mei 2018 tot en met 30 april 2020 gegevens van grofweg 1,8 miljoen unieke mobiele apparaten heeft laten verwerken en dat het aantal detecties beduidend hoger zal liggen", schrijft de toezichthouder.

Personen achterhalen

De gegevens maakten het mogelijk individuele personen te achterhalen, stelt de AP. Er zijn 'duidelijke leefpatronen te destilleren'. "Gezien de regelmatigheid van de patronen kan redelijkerwijs worden geconcludeerd dat de bij het patroon horende registraties toebehoren aan één mobiel apparaat." Daarmee kan iemands woon- of werkplaats worden opgezocht. De AP beschrijft drie verschillende manieren om een persoon te koppelen aan de gegevens in de tabellen, maar dat moet dan bijvoorbeeld in combinatie met cameragegevens.

De AP waarschuwde de gemeente dat het over wilde gaan tot handhaving. Het college van B&W van de stad was het echter niet eens met de bevindingen van de waakhond. Volgens het college was het helemaal niet mogelijk personen te achterhalen. Ook stelde het college dat mac-adressen geen persoonsgegevens waren, maar die redenatie komt omdát er volgens datzelfde college niemand individueel mee te volgen was. Daar is de AP het dus niet mee eens: "De mogelijkheid tot herleiding - en uiteindelijk identificatie - is een gevolg van ontwerpbeslissingen in het platform. Het voor lange duur opslaan van de onveranderde identificatoren maakt het mogelijk om individuen te volgen."

Boete voor overheidsinstelling

Volgens de toezichthouder overtreedt de gemeente artikel 5 en artikel 6 van de AVG. Die bepalen wanneer persoonsgegevens wel of niet mogen worden verwerkt. De verwerking had volgens de toezichthouder dus in de eerste plaats al niet plaats mogen vinden. De maximale boete daarvoor is 750.000 euro, maar de AP komt uit op 600.000 euro.

Het is niet de hoogste boete die de Autoriteit Persoonsgegevens tot nu toe heeft uitgedeeld, maar wel de eerste AVG-boete in Nederland voor een overheid, al werd eerder wel ook het BKR beboet. De gemeente heeft bezwaar aangetekend tegen de boete.