Rechter vernietigt AVG-boete voor Enschedese wifitracking omdat AP te streng was

De gemeente Enschede hoeft een AVG-boete van 600.000 euro niet te betalen. De Autoriteit Persoonsgegevens gaf in 2021 een boete omdat de gemeente wifitracking inzette in de binnenstad. De rechter zegt nu dat de AP te streng oordeelde en niet kan bewijzen dat er persoonlijk identificeerbare informatie werd verzameld.

De rechtbank in Zwolle vernietigt de boete die de AP in 2021 oplegde aan de gemeente Enschede. De gemeente zette sinds 2018 wifitracking in de binnenstad in om bijvoorbeeld te kijken waar en wanneer er het beste verbouwingen moesten worden uitgevoerd. De boete was de eerste die de AP sinds de inwerkingtreding van de AVG uitdeelde aan een overheid. De gemeente kondigde een jaar later aan naar de rechter te stappen.

De Autoriteit Persoonsgegevens onderzocht de werking van de wifisensoren die door het externe bedrijf, Retail Management BV, werden gebruikt. Maar de AP oordeelde veel te streng over de technische werking, zegt de rechter. Het geschil tussen de AP en de gemeente ligt in de vraag of de verzamelde gegevens herleidbaar zijn tot personen. De AP vond van wel, de gemeente van niet.

De AP concludeerde dat de sensoren mac-adressen registreerde van specifieke mobiele apparaten. Die gegevens werden gehasht, gepseudonimiseerd en voor een deel afgeknipt, maar ondanks die maatregelen zouden beheerders van de wifisensoren 'leefpatronen' kunnen achterhalen. "De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens, zoals bezoeken aan medische instellingen", schreef de AP in 2021 in zijn onderzoek. Dat zou bijvoorbeeld kunnen doordat een medewerker op specifieke rustige momenten een individuele gebruiker probeert te volgen.

AP mocht niet uitgaan van theoretisch scenario

De gemeente Enschede vond dat nogal vergezocht. De AP zou volgens de gemeente werken met theoretische scenario's, in plaats van te onderzoeken of iemand daadwerkelijk kon worden gevolgd.

Met dat laatste is de rechtbank het eens. "De rechtbank is van oordeel dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat met het blote oog te achterhalen", staat in het vonnis. "De enkele stelling dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen, overtuigt de rechtbank niet."

Volgens de rechtbank had de AP 'moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om iemand te identificeren'. Dat deed de toezichthouder niet. De AP kan daarom niet bewijzen dat er persoonsgegevens onterecht werden verwerkt. De boete wordt daarom vernietigd, zegt de rechter.

Zoveelste tik op de vingers

Het gebeurt vaker dat de Autoriteit Persoonsgegevens op de vingers wordt getikt door de rechtbank omdat het te streng oordeelt. Zo werd een boete voor DPG Media teruggedraaid omdat de AP meteen overging tot straffen, terwijl het eerder een gesprek had moeten aangaan. De eerste boete die de AP ooit oplegde, voor het HagaZiekenhuis, werd door de rechter verlaagd en eerder ging VoetbalTV failliet vanwege een boete die onterecht bleek te worden opgewacht. De Europese Commissie waarschuwde de AP in 2022 al dat het de AVG te streng interpreteert.

Aleid Wolfsen, voorzitter van de privacytoezichthouder, herhaalde vorig jaar in een interview aan Tweakers dat hij de AP niet te streng vindt straffen. "Men vindt inderdaad vaak dat wij de lat te hoog leggen. Dat is niet zo; wij passen juist de wet toe. Als het over grondrechten gaat, kun je wat mij betreft niet te streng zijn. Een privacyschending zien wij als een inbreuk op grondrechten. In zo'n geval redeneren wij altijd in het voordeel van de burger. Dat is ook goed. Een rechter kan ons altijd doorverwijzen naar een hogere rechter of het Europese Hof van Justitie, zoals onlangs in een Amsterdamse zaak is gebeurd. Als wij te soepel zouden zijn, komt zo'n zaak nooit bij het Hof terecht. Dan ben je te voorzichtig in het beschermen van burgers. Als de wetgever, zoals de Europese Commissie, vindt dat we te streng optreden, dan kan die de wet aanpassen. Maar als wij te slap zijn tegenover burgers, dan kun je dat niet zomaar corrigeren. Dan is de fout gemaakt en dat draai je niet zomaar terug. Daarom zitten we het liefst aan de veilige kant, het maximaal beschermen van burgers."

De gemeente Enschede zegt blij te zijn met het besluit. "Ik ben blij dat de rechter de onterechte megaboete van 600.000 euro schrapt", zegt wethouder Harmjan Vedder in een reactie. "Dit onderstreept dat we zorgvuldig zijn omgegaan met de privacy van onze inwoners en de bezoekers van onze stad. We blijven een grote verantwoordelijkheid houden om ethisch om te gaan met data en technologie. Ook in deze zaak heeft dat voor ons voorop gestaan."

Correctie: in het artikel stond aanvankelijk dat het ging om een hoger beroep, maar dat is het niet. Het ging om een uitspraak van de rechtbank, niet van het gerechtshof.

IT-banen

Reacties (98)

R4gnax

algemene verordening gegevensbescherming
Autoriteit Persoonsgegevens

2 februari 2024 21:20

Volgens de rechtbank had de AP 'moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om iemand te identificeren'

Dat klopt. Wat overweging 26 van de AVG/GDPR letterlijk stelt is:

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen.

Maar dat heeft de AP dan ook gedaan. Zij hebben een relaas uiteengezet van redelijke omstandigheden waaronder medewerkers realistisch zouden kunnen gaan vissen naar verbanden en personen zouden kunnen gaan herleiden. De rechtbank is alleen klaarblijkelijk van mening dat er ellenlange formele rapporten en commissie-onderzoeken nodig zijn om wat iedereen met kennis van zaken op z'n droge klompen al aanvoelt, hard te maken.

Lijkt er op dat we weer eens in cirkeltjes bezig gaan en er volgens de rechter eerst een gevalletje William Weld in Nederland plaats moet vinden om te demonstreren hoe makkelijk data herleidbaar is.

kodak

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@R4gnax • 3 februari 2024 15:41

Als een rechrbank stelt dat er onvoldoende onderbouwing is valt dat niet zomaar in twijfel te trekken. Zeker niet met suggestief stellen dat het een rechtbank zou gaan om ellenlange rapporten. En al helemaal niet dat suggestie van kennis van zaken maar het verschil maakt omdat de uitkomst niet bevalt.

Daarbij toon je bij de stelling dat er genoeg onderbouwing zou zijn ook niet aan dat je uitgangspunt klopt. Het kunnen aanvoelen is niet genoeg. De rechtbank stelt niet zomaar dat als een bestuurlijk orgaan boetes wil uitdelen ze zowel de bewijslast hebben als een zwaardere bewijslast. Dan moet die zwaarder bewijslast wel ergens uit blijken als je stelt dat die voldoende gegeven zou zijn. Een mening over kennis en aanvoelen is daarbij geen onderbouwing. Het toont geen zwaarder bewijs aan, zelfs niet voldoende bewijs.

Het maakt waarschijnlijk meer kans dat een bestuurlijk orgaan niet alleen voor boetes een zwaardere onderbouwing hoort te hebben. Het grondrecht op privacy is er immers mede om te personen te beschermen tegen onnodige inmening in privacy door bestuurlijke organisaties. Ik lees niet dat de rechtbank dit heeft meegewogen. Handhaven is immers niet alleen een verantwoordelijkheid van de bestuurlijke toezichthouder, ook van de bestuurders van een gemeente.

player-x @kodak • 3 februari 2024 16:45

Vond de boete sowieso in eerste instantie al behoorlijk hoog, waarom de eerste boetes niet voorwaardelijk.
Want met 6 ton, kan de jeugdzorg ook bv 60 jongeren helpen.

Daarnaast was er wel degelijk moeite gedaan om aan de AVG te voldoen, had meer het gevoel alsof er een aantal kruisridders waren opgestaan, die zijden, we hebben nu een hamer, laten we hem meteen gebruiken, om ongelovige aan het kruis te nagelen.

Begrijp me niet verkeerd, ben een groot voorstander van de AVG, mezelf beschermen tegen de data graaiers is best wat werk.
Bijvoorbeeld, mijn Firefox heeft een wel overwogen aantal add-ons en plug-ins tegen mee kijkende ogen, daarnaast heb ik een goed dicht getimmerde pfSense firewall, om zoveel mogelijk troep buiten te houden.

En beschouw de risico na brand, digitale fraude hoger in dan bv inbraak schade, als een risico in mijn leven.

kodak

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@player-x • 3 februari 2024 17:50

Moeite doen privacy te respecteren is voor een overheid niet zomaar genoeg. Het grondrecht geeft als uitgangspunt dat men privacy (zeker vanuit een overheid) vooal hoort te beschermen, niet dat het gebruik andermans gegevens maar prima is door het proberen te beschermen. Er zijn voor een overheid uitzonderingen mogelijk, maar die moeten wel zeer proportioneel zijn bij het doel en ook zeer goed onderbouwd worden dat men niet anders kan. De wetgever geeft ruimte om daar hoge boetes voor te geven. En hoewel de rechtbank een oordeel mag hebben dat een bestuurlijke toezichthouder een betere onderbouwing had moeten geven mis ik in de afweging dat hoe dat in verhouding staat tot of de gemeente wel genoeg gedaan heeft. Het lijkt mij te makkelijk dat als de ene bestuurlijke organisatie het niet eens is met een andere bestuurlijke organisatie het alleen of vooral om de onderbouwing van een partij hoort te gaan. De onenigheid gaat immers niet slechts over de onderbouwing van een partij, maar om het recht doen in het algemeen belang. Dat is waar bestuurlijke organisaties voor bestaan. Het belang van een gemeente om het oneens te zijn is niet zomaar zwaarder dan het doel van toezicht door een bestuurlijke organisatie.

De rechtbank stelt niet dat de boete op zich onredelijk is. Hooguit dat deze onvoldoende onderbouwing meent te zien bij de extra verplichting. En aangezien drukte meten op veel minder risicovolle manieren gedaan kan worden is het grijpen naar technologie die opzettelijk risico neemt om te pogen daarna te verminderen verre van het vooral voorkomen van privacyschending. Het proberen te voorkomen omdat het makkelijker of goedkoper is zijn wettelijk immers geen duidelijk redelijker argumenten dan de plicht om als uitgangspunt bescherming te geven. Hooguit als er geen minder zwaar alternatief is. Een gebrek aan alternarief blijkt niet uit onwil om meer kosten te maken of gemakkelijker metingen te willen doen.

[Reactie gewijzigd door kodak op 22 juli 2024 21:56]

R4gnax

algemene verordening gegevensbescherming
Autoriteit Persoonsgegevens

@kodak • 3 februari 2024 17:21

Als je de AVG woord voor woord gaat volgen dan bestaat de bewijslast voor de toezichthouder uit het aannemelijk maken van het realistisch bestaan van mogelijkheden om gegevens te herleiden, niet alleen in de technische zin maar ook in de zin van kosten-baten. Maar motivatie om gegevens ook daadwerkelijk te gaan herleiden is specifiek geen onderdeel van de bewijslast.

Ergens ook logisch aangezien dit aansluit bij hoe de AVG stelt dat gegevens tot persoonsgegevens gerekend worden als ze direct of indirect door enige partij (niet alleen de verzamelende of verwerkende partij) redelijkerwijs bij kunnen dragen tot het identificeren van een persoon als zodanig. Men neemt dus de facto aan dat er altijd wel ergens een partij zal zijn die baat zou hebben bij persoonsgegevens.

Maar goed- mocht je toch ook motivatie willen, dan is het niet heel moeilijk om daar een aannemelijk hypothetisch scenario voor op te tuigen, hoor. De gegevens in kwestie kunnen bijv. makkelijk aan politie en andere opsporingsdiensten overgedragen worden voor verdere analyse in het kader van bepaalde criminaliteit; het waarborgen van staatsveiligheid; etc.
Afhankelijk van of je de circulerende verhalen mag geloven is dat in het verleden zelfs al gebeurd in het kader van het oppakken van demonstranten of vermeende demonstranten. (Leuk joh; als er dan ineens valse verbanden getrokken worden met onschuldige burgers omdat hun telefoon toevallig op een bolscheut aanwezig was.)

Handhaven is immers niet alleen een verantwoordelijkheid van de bestuurlijke toezichthouder, ook van de bestuurders van een gemeente.

Echter is handhaven van de AVG specifiek de verantwoordelijkheid van de daarvoor aangestelde autoriteit en staat de AVG van rechtswege boven elke andere vorm van EU verordening, van nationale EU richtlijn, en van nationale wetgeving - volgend uit EU richtlijn, of niet.
Het staat gewoon in de bindende wetstekst van de AVG dat deze bij conflictsituaties prevaleert boven al andere wetgeving en belangen daaruit vooruitvloeiende.

[Reactie gewijzigd door R4gnax op 22 juli 2024 21:56]

kodak

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@R4gnax • 3 februari 2024 20:07

De uitspraak van de rechtbanken mijn reactie op je mening gaan er niet om of we zelf hypothetische onderbouwing kunnen geven, maar waaruit blijkt dat er wel voldoende extra onderbouwing door de toezichthouder is gegeven.

Een hypothetische situatie noemen is niet genoeg bij je mening over de uitspraak en de rechtbank. Terwijl je nogal zware beweringen als mening geeft. Kom dan op zijn minst met bewijs dat de toezichthouder genoeg gedaan heeft en bewijs dat je zware beweringen blijken. Maar dat doe je met deze reactie nog steeds niet.

Stellen dat de AVG opgevat kan worden als belangrijker bij onenigheid is daarbij ook niet genoeg. De rechtbank is het niet met je eens, waarop je niet zomaar kan stellen dat je interpretatie dus maar belangrijker is. Laat staan dat de rest van je beweringen dus maar op gaan. In het geval van het belang gaat bijvoorbeeld op dat het om een spcifieke omstandigheid van het maken van een keuze tot verwerken gaat, niet over het onderbouwen door een toezichthouder voor het opleggen van een eventuele boete.

RitBit @kodak • 4 februari 2024 16:25

Is de AP wel een bestuurlijk orgaan? Het is een toezichthouder die in principe losstaat van de overheid om belangenverstrengeling te voorkomen.

kodak

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@RitBit • 4 februari 2024 16:58

De AP is een zelfstandig bestuursorgaan met eigen rechtspersoonlijkheid. Men staat niet los van de overheid, hooguit is men er om zelfstandig beslissingen te nemen voor de taken waarvoor ze bestaan. Anderen besturen mogen zich niet zomaar met hun taken bemoeien. Al doet men dat indirect wel, door bijvoorbeeld als bestuur beslissingen aan te vechten of budget te beperken. Wettelijk is die indirecte inmenging nmm eerder een reden dat de rechtbank daar duidelijker aandacht voor zou moeten hebben door ook zeer streng te zijn over de onderbouwing van de gemeente.

jurjen_g 2 februari 2024 18:45

Zoals ik het artikel op RTV Oost interpreteer is het niet omdat de AP te streng was, maar omdat de AP niet heeft bewezen dat de gegevens tot persoonsgegevens herleid zijn:

De rechtbank oordeelt dat het opleggen van de boete door de Autoriteit Persoonsgegevens (AP) op 'onjuiste gronden' is gebeurd.
Volgens de rechtbank heeft de AP niet bewezen dat de gemeente Enschede persoonsgegevens heeft verwerkt van eigenaren en gebruikers van mobiele apparaten, waarop de wifi bij deze passantentellingen stond ingeschakeld.

MacGyverNL @jurjen_g • 2 februari 2024 20:30

Niet helemaal. De stelling van de rechtbank is dat de AP niet heeft bewezen dat de gepseudonimiseerde gegevens als persoonsgegevens aangemerkt moeten worden. Gepseudonimiseerde persoonsgegevens die niet herleidbaar zijn tot persoon zijn geen persoonsgegevens onder de AVG. De nuance van de toetsing daarvan heb ik net in deze reactie omschreven. Aangezien de AP niet bewezen heeft dat de gepseudonimiseerde gegevens als persoonsgegevens gezien moeten worden, zijn er dus geen is niet bewezen dat er persoonsgegevens zijn verwerkt [edit] en is de boete onterecht opgelegd.

Dus de AP hoefde niet te bewijzen dat er gegevens herleid zijn, ze hoefde slechts te bewijzen dat ze herleidbaar zijn, en dat heeft de AP (volgens de rechtbank) niet gedaan.

Anders zou 't een mooie boel worden, als de autoriteit moet bewijzen dat de privacy-inbreuk waar de AVG tegen probeert te beschermen al heeft plaatsgevonden voordat er een boete kan worden opgelegd is dat precies het tegenovergestelde van wat de AVG probeert te bereiken.

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 21:56]

Quintiemero @jurjen_g • 2 februari 2024 18:47

Wellicht vergelijkbaar met de European Data Protection Board die tekort door de bocht ging in een rechtszaak tegen Deloitte Spain.

Edit: als ik Uber was, zou ik ook beroep aantekenen.

[Reactie gewijzigd door Quintiemero op 22 juli 2024 21:56]

Xbeek 2 februari 2024 19:27

Ik heb te weinig kennis van deze casus, maar vind de procedure wel goed.

1. De AP mag een boete opleggen
2. Diegene mag bezwaar indienen en naar de rechter stappen
3. De rechter doet uitspraak
4. Er kan in beroep gegaan worden

Zo hoort het te gaan in een rechtsstaat: scheiding tussen wetgever en rechterlijke macht!

koppie @Xbeek • 2 februari 2024 20:13

Positief is inderdaad die scheiding, maar die had eigenlijk al vóór de strafoplegging door AP moeten gebeuren. Dit is niet een standaardboete bij een verkeersovertreding. AP zou een onderdeel moeten zijn bij het OM, en altijd via (of misschien alleen voor grotere zaken) via de rechter moeten lopen. Dan kan het nog bij overduidelijk bewijs een afhamerstuk zijn, maar juist bij dit soort gevallen gelijk al door de rechterlijke macht worden goed worden overwogen. Zeker als de mensen in charge dit inbreuken op de grondrechten van de burger noemt.

We hebben in dit land via de wet OM-afdoening mijn inziens al teveel buiten de rechterlijke macht neergelegd.

MacGyverNL @Xbeek • 2 februari 2024 19:37

In dit geval is het scheiding tussen uitvoerende macht en rechterlijke macht. De wetgever is in deze casus niet eens betrokken. Nou ja, behalve dan dat die de AVG geschreven heeft.

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 21:56]

Xbeek @MacGyverNL • 2 februari 2024 19:42

Eens!

Patriot 2 februari 2024 18:30

Dan krijg je toch effectief de situatie dat de AP pas zou mogen ingrijpen als het al te laat is? Deze wetten zijn er juist ook om ons te beschermen tegen onvoorzichtigheid. Door te voorkomen (cq straffen) dat bedrijven teveel verzamelen voorkom je erger. Dit is echt een kwalijke uitspraak wat mij betreft.

Bender @Patriot • 2 februari 2024 18:58

Niet helemaal mee eens.
Er is nergens uit gebleken dat de gemeente ook van plan was, of enige baat zou hebben, om op een dergelijke manier te werk te gaan.

Blokker_1999

Politiek en recht
Boete

@Bender • 2 februari 2024 19:11

Maar in die wetenschap mag ik dus een sleepnet gaan uitwerpen om zoveel mogelijk data te verzamelen. Zolang ik niet de intentie heb die data te misbruiken is er dus niets mis mee. De rechtbank ontkent hier namelijk niet, voor zover ik het artikel mag geloven, dat het theoretische scenario mogeijk zou zijn. De rechtbank lijkt vooral te vallen dat de AP niet heeft kunnen aantonen dat er ook maar iemand met toegang tot de data die data op die manier wenste in te zetten.

Verwijderd @Blokker_1999 • 2 februari 2024 20:56

Ik ben het met je eens. Daarbij gaat het niet alleen om een gemeente, maar ook om een commercieel bedrijf, dat je maar zult moeten vertrouwen met die potentieel commercieel interessante data.

Sufgetracked
Als wij burgers geen tegenmaatregelen nemen (in browsers NoScript en/of adblockers), worden we helemaal sufgetracked.

gehasht, gepseudonimiseerd en geknipt?
Bovenden, uit het artikel:

De AP concludeerde dat de sensoren mac-adressen registreerde van specifieke mobiele apparaten. Die gegevens werden gehasht, gepseudonimiseerd en voor een deel afgeknipt, maar ondanks die maatregelen zouden beheerders van de wifisensoren 'leefpatronen' kunnen achterhalen.

"Entropie" van MAC-adressen
Het heeft nauwelijks zin om MAC-adressen te hashen. Het is veel te eenvoudig om van alle realistische MAC-adressen zo'n hash te live te berekenen of, desgewenst, in een rainbow table op te slaan.

An sich is cryptografisch hashen van MAC-adressen al (zwak) pseudonimiseren.

Pseudominiseren na hashen?
Daarna vertelt het verhaal niet waar de volgende pseudonimiseringsstap uit zou bestaan (ik ben er niet verder ingedoken, maar vraag mij sterk af of zo'n slag er überhaupt tussen zat, of dat het verward wordt met een aan het hash-proces toegeschreven eigenschap).

Maar zelfs als zo'n extra pseudonimiseringsslag er tussen zit, is het doel het reproduceerbaar tracken van de bewegingen van een smartphone. Oftewel, als je overal 123456 bij optelt, maakt dat het resultaat niet "pseudoniemer".

ENORM afkappen voor effect
Dat je vervolgens een bijvoorbeeld 128 bits lang resultaat afkapt op, zeg, de helft, heeft een totaal verwaarloosbaar effect. Zo'n slag helpt alleen als het resultaat enorm wordt ingekort (door afkappen), bijv. op 8 bits (256 mogelijkheden).

Alleen dán heb je een enigszins verminderde zekerheid dat je dezelfde smartphone aan het tracken bent - omdat er verwisseling zou kunnen optreden (alleen indien sporen elkaar kruisen, met vanzelfsprekend een kleinere kans naarmate het rustiger is op straat).

Doel = tracken, anonimiseren = zinloos
Linksom of rechtsom waren de gemeente én Retail Management BV ordinair bewegingspatronen van -in theorie- onbekende burgers aan het volgen.

Combineren met andere data
Echter, als je die informatie combineert met bijvoorbeeld uitgezonden Bluetooth data, camerabeelden en/of andere bronnen zoals naar welke SSID's een smartphone zoekt, het rondbazuinen van "iPhone van Erik", ANPR beelden uit parkeergarages gevolgd door bewegingen van de smartphone etcetera, kun je al heel snel veel mensen (wellicht niet iedereen) uniek identificeren.

Ik heb veel te vaak "dat doen wij niet" gehoord om later te vernemen dat dit "onbedoeld" toch gebeurde en/of verzamelde gegevens voor andere doeleinden werden ingezet daan waarvoor zij waren bedoeld.

Foppen met technische termen
Zoals gebruikelijk wordt er met een hoop technische termen gepoogd ons te laten geloven dat het "dus" wel veilig zal zijn. Helaas prikken maar weinigen hier doorheen en heeft ook de AP dit onvoldoende aan de rechter kunnen onderbouwen.

Beperkte input-range: altijd reversible
Terwijl het simpel is: als een "meetwaarde" (input) een relatief beperkt (vanuit snelle computerhardware bezien) aantal mogelijke waardes heeft (zoals 6 bytes = 48 bits - waar je, in het geval van MAC-adressen, sowieso het broadcast-bit en meerdere reeksen bytes kunt schrappen), kan pseudomimisering bijna altijd ongedaan worden gemaakt.

MAC-address randomization
Ik hoop dat MAC-address randomization door Android en iOS ondertussen wél betrouwbaar werkt; aanvankelijk niet, wellicht nog steeds niet en als het wel (enigszins) werkt, zou het problemen kunnen opleveren.

Conclusie
Zodra iemand strooit met termen zoals military grade encryption, maar ook hashing en pseudonimisering, omdat dit jouw security of privacy ten goede zou komen, wees dan extra op jouw hoede. Laat je geen onzin op de mouw spelden!

graey @Blokker_1999 • 2 februari 2024 19:32

Met een koord kan je een fijnmazig en een grofmazig net knopen. Enschede knoopte een grofmazig net. De AP zag koord en is te snel over gegaan tot een oordeel, in hoger beroep is bevestigd dat koord gebruikt mag worden en een grofmazig net prima is in deze situatie, en dat Enschede inderdaad dat heeft gemaakt.
Als het geanonimiseerd is opgeslagen, dan is het toch irrelevant dat de hardware ook voor persoonlijke identificatie had kunnen worden gebruikt? Jouw pc kan ook gebruikt worden voor illegale activiteiten, maar zo lang je dat niet doet, prima!

MacGyverNL @graey • 2 februari 2024 20:16

Als het geanonimiseerd is opgeslagen

Kijk, en daar gaat het dus mis.

Het centrale vraagstuk in dit soort kwesties draait eigenlijk altijd om precies deze nuance.

Voordat we onze tanden zetten in de AVG: Er is een wezenlijk verschil tussen anonimisering en pseudonimisering. Anonimisering verwijdert alle persoonlijke informatie uit een dataset zodat die niet meer direct noch indirect aan een persoon gekoppeld kan worden. Bij pseudonimisering blijft er een theoretische mogelijkheid tot indirecte koppeling bestaan. Vaak beweert een instantie dat data geanonimiseerd is, terwijl de data slechts gepseudonimiseerd is.

De AVG gaat hier erg weinig op in, omdat echt anonieme data sowieso zeldzaam is, maar ook omdat de AVG gewoon niet van toepassing is op anonieme data. Alle partijen erkennen hier echter dat het om gepseudonimiseerde data gaat, maar dan zijn we nog niet klaar.
Bij gepseudonimiseerde data is het echter niet vanzelfsprekend zo dat het om persoonsgegevens voor de AVG gaat. Er moet een toetsing plaatsvinden die nogal losjes is gedefinieerd in een overweging, en gaat over dingen die aannemelijk en realistisch zijn voor de data controller of derde partij. Dit is waar de AP volgens de rechter op haar plaat gaat, recital 26:
To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly.
en
To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments.
Merk op dat gepseudonimiseerde data dus pas als anoniem wordt aangemerkt als uit deze toetsing volgt dat identificeerbaarheid niet "reasonably likely" is.

Uit de uitspraak:
De rechtbank is van oordeel dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat met het blote oog te achterhalen. De enkele stelling van de AP dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen overtuigt de rechtbank niet. De AP had, gelet op overweging 26 van de AVG moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, waarbij de kosten en de benodigde tijd voor identificatie met in achtneming van de beschikbare technologie op het tijdstip van verwerken en de technologische ontwikkelingen betrokken hadden moeten worden.

Wat ik dus probeer te zeggen is dat de situatie eigenlijk omgekeerd is van wat je schrijft. Als de data voor persoonlijke identificatie had kunnen worden gebruikt, dan is die data per definitie niet anoniem. De rechtbank concludeert dat de data níet voor persoonlijke identificatie had kunnen worden gebruikt, onder de overwegingen van de AVG. Of liever gezegd, dat de bewijslast dat dat wel kan bij de AP ligt en dat de AP dat bewijs niet geleverd heeft. Daarom gaat de rechtbank ervan uit dat dat niet zo is, dat maakt dan weer dat de data inderdaad anoniem is, en dat maakt dat er überhaupt geen persoonsgegevens verwerkt zijn.

Als de rechtbank had geoordeeld dat persoonlijke identificatie wél had gekund, dan was de boete waarschijnlijk blijven staan, hoe hard de gemeente ook roept dat het pseudonieme gegevens zijn.

[Edit 22:33] Ik wil hier nog even aan toevoegen dat ik met bovenstaand niet de indruk wil wekken dat ik het eens ben met de rechtbank hier. Ik heb te weinig gelezen van het originele boetebesluit om een oordeel te vellen over of ik het als specialist voldoende bewezen acht dat hier persoonsgegevens verwerkt zijn -- de rechtbank vond in ieder geval van niet.

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 21:56]

TheekAzzaBreek @MacGyverNL • 2 februari 2024 23:22

Wat ik wonderlijk vind aan de uitspraak is de vraag of een identiteit met het blote oog te achterhalen zou zijn. Dat is een rare beperking. Als het met een geautomatiseerd systeem wel kan is dat niet erg?

MacGyverNL @TheekAzzaBreek • 2 februari 2024 23:53

Dat komt doordat alle manieren die de AP heeft aangedragen waarop een persoon uit deze data geïdentificeerd kan worden, als kern-onderdeel bevatten dat een medewerker van PFM de persoon ter plaatse kan observeren en identificeren. Manieren met camera's zijn (schijnbaar, staat zo in de uitspraak, punt 11) uit het boetebesluit geschrapt in een eerdere bezwaarprocedure.

De rechtbank doet uitspraak over of ze de door de AP aangevoerde redenering afdoende bewijs vindt, en moet zich daarbij dus beperken tot de door de AP gevoerde redenering. Zelf verzinnen of het dan wél kan met automatische middelen is niet aan de orde, het is de AP die het boetebesluit moet onderbouwen met bewijs dat het om persoonsgegevens gaat.

Als je dat interessant vindt, dan raad ik je aan het gelinkte vonnis ook zelf even door te nemen, en dan vooral de secties "Toetsingskader" en "Is sprake van een overtreding? Is sprake van (verwerken van) persoonsgegevens?". Het is erg kort en overzichtelijk.

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 21:56]

graey @MacGyverNL • 2 februari 2024 21:17

Excuus, ik had me deels verkeerd en deels onvoldoende ingelezen. Intenties meenemen in de overweging maakt het inderdaad een eindeloos mijnenveld, dan is er weinig uitvoerbaar aan voor de AP, en dan had Enschede dus eigenlijk ondanks goede intenties toch een tik op de vingers moeten hebben.

blorf @graey • 2 februari 2024 19:58

Volgens mij is het grotendeels theater. Een gemeente krijgt 600K boete en die moeten ze aan de regering betalen? Okee...
Wat ik denk dat ze hier aan het doen zijn is de criteria voor verdenking van spionage van burgers zonder aanleiding vernauwen. Hoezo moet de AP iets bewijzen? Kom maar eens met een geloofwaardig verhaal mbt waar die tracking feitelijk voor was. Maar nee, dat als gemeente gewoon kunnen doen moet normaal gevonden worden.

[Reactie gewijzigd door blorf op 22 juli 2024 21:56]

Aldy @blorf • 3 februari 2024 19:50

AP heeft aangegeven wat er met die gegevens fout kan gaan en dat is volgens mij voldoende. Ik denk niet dat het relevant is dat het niet is fout gegaan of dat er zulke nette mensen werken.
Wat betreft die boete, dat kan er hard inhakken. Een begroting die opeens niet meer sluit, minder uitgaven en een belastingverhoging voor de inwoners omdat B&W er een potje van maakte. Eerlijker zou zijn als de rechter AP in het gelijk zou stellen, maar omdat dit de eerste zaak was een verlaging van de boete. Tenminste, dat vind ik.

blorf @Aldy • 3 februari 2024 20:31

Als die AP echt autoriteit had konden ze, met name bij een overheidstak, de exacte werking en de doelstellingen van het systeem op tafel dwingen en onderzoeken. Een mogelijk bezwaar daartegen kan door de gemeente niet eens geloofwaardig uitgelegd worden. Die horen niks te verbergen. Het is een gemeente, en die informatie overhandigen kost amper tijd of geld. Wat ik zelf waarschijnlijk wel interessant zou vinden is wat zoiets gekost heeft en wie daar beter van zijn geworden.

[Reactie gewijzigd door blorf op 22 juli 2024 21:56]

Aldy @graey • 3 februari 2024 16:12

De AP kan nog in beroep, want dit was geen beroep. En als ik AP was zou ik zeker in beroep gaan, aangezien ik denk dat de rechter in deze een beetje kort door de bocht is gegaan. Dat iets mogelijk is, is volgens mij voldoende om Enschede op de vingers te tikken. Of de hoogte van de boete terecht was, is een heel andere zaak.

RVervuurt @Bender • 2 februari 2024 19:04

Maar ze KONDEN het wel met de technologie die ze gebruikten. Een potentieel inbreker mag ook aangehouden worden als ze glassnijgereedschap en koevoeten in de achterbak hebben liggen.

kid1988 @RVervuurt • 2 februari 2024 19:27

Ik tijfel of de politie zomaar een potentieel inbreker mag aanhouden. Wellicht als deze zich verdacht maakt, maar hij mag zeker niet gestraft (of beboet) worden wanneer hij geen strafbaar feit of overtreding heeft gepleegd.

Hoop niet dat je vanavond wordt opgepakt nadat je de groenten hebt gesneden, je KON zomaar je huisgenoten doodsteken.
Hoop ook dat je geen boete hebt gekregen om dat je met een auto die harder dan 50 KON door de bebouwde kom reed.
en zo kunnen we nog wel even door gaan.

[Reactie gewijzigd door kid1988 op 22 juli 2024 21:56]

RVervuurt @kid1988 • 2 februari 2024 20:43

Als jij zonder goede reden gereedschap in je auto hebt liggen, kan de politie je daarvoor beboeten of aanhouden, afhankelijk van de APV van de stad.

Zie het antwoord op deze pagina: https://www.startpagina.n...n-breekijzer-auto-liggen/

kid1988 @RVervuurt • 2 februari 2024 20:46

Dan pleeg je dus gewoon een overtreding van de AVP, dat is een concreet feit. Er is geen verordering of wet tegen wat de gemeente Enschede deed.

Baris @RVervuurt • 2 februari 2024 19:13

Je opmerking is een beetje te kort door de bocht. Keukenmessen zijn toch ook niet verboden terwijl ze als steekwapen kunnen worden gebruikt? Het gaat om de feiten en omstandigheden. De AP had gewoon eerst gedegen onderzoek moeten doen en bijv. interviews moeten houden voordat men overging tot het beboeten van de gemeente. Dus mijn inziens heeft de rechter hier prima gehandeld.

IngamerX @Baris • 3 februari 2024 10:54

Hier gaat het idd over.

Ik ben als burger echt heel blij met een partij als de AP en de gedegen wijze waarop zij haar taak uitoefent. Oprecht, kudo's voor de mensen in deze organisatie.

Echter toch wat bijschaven links en rechts, en niet direct met de botte bijl erin. Gegeven deze casus zou ik namelijk ook stellen dat er zeer gedegen maatregelen zijn toegepast, veel verder dan menig bestaande (commerciële) organisatie toepast.

Keep doing what you're doing, maar die laatste stap meer nuance toepassen.

Bender @RVervuurt • 2 februari 2024 19:05

Nou de rechter heeft wel een beetje geoordeeld dat het maar de vraag is of ze dat daadwerkelijk konden.

divvid @RVervuurt • 2 februari 2024 19:19

Een inbreker wel ja, een glaszetter heeft gewoon een koevoet en glassnijgereedschap in de auto liggen. Zie je het probleem?

In dit specifieke geval heeft Enschede gewoon gelijk. De intentie was positief voor de burger bedoeld, de implementatie had de intentie goede anonimiteit te waarborgen én er is niet bewezen dat personen ook daadwerkelijk getraceerd zouden kunnen worden

AP had alle ingrediënten voor een goed gesprek, maar ook niet meer dan dat

Peatsmoke

@RVervuurt • 2 februari 2024 19:38

Niet eens een potentiële inbreker. Het is in de meeste plaatsen eenieder verboden om tijdens de voor de nachtrust bestemde tijd, inbrekerswerktuigen te vervoeren.

singingbird @RVervuurt • 2 februari 2024 19:40

Volgens is dat niet voldoende voor een beoordeling. Wat als ik in de avond rondrijdt met mijn timmermansbusje? Kan ik dan aangehouden worden, omdat ik met mijn spullen zou hebben kunnen inbreken? Er zit ook een gasbrander achterin, dus ook maar een aanklacht van brandstichting?

Voor zover ik weet is dat niet voldoende voor een aanhouding. Of heterdaad betrapt worden of er is bewijs van de inbraak, anders is er geen reden om je aan te houden.

oltk @RVervuurt • 2 februari 2024 20:01

Dus ik mag aangehouden worden én veroordeeld als ik een glassnijder en allemaal gereedschap bij me heb liggen? Ook als ik aannemelijk maak dat ik mijn huis aan het verbouwen ben?
U weet duidelijk niets van rechtsspraak af. Je kan geen mensen veroordelen op basis van vermoedens en in een ander universum potentieel gepleegd delict.

Webgnome @RVervuurt • 2 februari 2024 20:05

En hoe herken je een inbreker? Als je random iemand aanhoud op de weg met dat spul in de achterbak dan heb je geen poot om op te staan. Als de man aan inbreken was, dan heb je aan dat spul in de achterbak natuurlijk alleen maar extra mogelijk bewijs.

Je opmerking is dus niet van toepassing.

Skiddie @Bender • 2 februari 2024 21:43

Same thing was said about ANPR camera's. Kijk nu maar waar ze allemaal voor gebruikt worden.....

Lord Anubis @Bender • 4 februari 2024 01:09

Onzin, wachten totdat is onzin. Als iemand op het strand foto's maak van grote en kleine mensen wordt ook niet getolereerd of het nu wel of niet van de mem-card naar de computer geschreven wordt of überhaupt gebruikt wordt.

Met al die lekken en data diefstal is het een kwestie van afwachten.

Dauthi 2 februari 2024 22:11

Dus omdat het nu nog moeilijk is, is dat een goed genoeg argument om privacy te schenden.
Er wordt dus geen rekening mee gehouden dat het in de toekomst wellicht heel makkelijk kan zijn om de gegevens daadwerkelijk te achterhalen.

Het blijkt iedere keer weer dat privacy geen enkele waarde heeft in Nederland, en dat in een land dat een declaratie voor rechten van de mens heeft getekend.

kuurtjes 2 februari 2024 23:49

Het waren toch MAC adressen dat verzameld werden? En ik denk dat ze niet alleen de hoeveelheid mensen uitrekende maar ook hoe mensen zich bewogen, en dat ze MAC addressen opsloegen en deze via meerdere locaties volgden.

Ik snap niet dat dit hier niet besproken wordt, want deze uitspraak kan wel eens een precedent zijn voor een soortgelijke toekomstige tracking.

timeraider 3 februari 2024 02:56

Wel grappig hoe de gemeente meteen woorden en daden vervormt tot iets positiefs.

"Dit onderstreept dat we zorgvuldig zijn omgegaan met de privacy van onze inwoners en de bezoekers van onze stad"
Nee gemeente, dit zegt helemaal niks daarover.
Dit betekend dat de AP erop wijst dat er een lab in je huis is maar niet kan bewijzen of er drugs of waspoeder word geproduceerd.
Niet dat je de redder in nood bent die zich overal aan houd.

Gebruiker76 3 februari 2024 10:26

Ik vind het nogal verwarrend om een artikel over wifi-tracking te lezen waarbij de afkorting ‘AP’ niet voor AccessPoint staat.

DMZ 2 februari 2024 18:27

Titel: om = omdat denk ik.

PCG2020 @DMZ • 2 februari 2024 20:35

Eventuele spel- en/of tikfoutjes meld je in 'Geachte Redactie' op het forum. Maar met jouw suggestie wordt het een hele vreemde zin.

Rechter vernietigt AVG-boete voor Enschedese wifitracking om te streng AP-oordeel

Rechter vernietigt AVG-boete voor Enschedese wifitracking vanwege te streng oordeel AP

kunnen bijvoorbeeld wel.

DMZ @PCG2020 • 2 februari 2024 20:46

Die titel was heel anders toen ik die suggestie maakte

Triblade_8472 2 februari 2024 18:44

Wat ik niet begrijp is hoe ze deze niet hebben weten hard te maken. In de tijd tussen het aanspannen van de rechtzaak en nu hadden ze toch wel met een werkbaar scenario moeten kunnen komen toch?

Tracking moet gewoon niet mogen, ongeacht hoe geanonimiseerd. Er hoeft maar iets mis te gaan en alles ligt op straat terwijl de winst klein is.

En zijn er geen alternatieven om verkeersstromen te meten?

Candymirror @Triblade_8472 • 2 februari 2024 19:00

Ik geloof dat de meeste android en apple devices random mac adressen gebruiken bij het aanmelden op een accesspoint. Juist om de privacy te vergroten. Maar mischien is er buiten dat toch een manier om een individueel device te herkennen en tracken.

djwice

@Candymirror • 2 februari 2024 19:36

Dat was in 2021 nog niet zo. Trackers zoals hier gebruikt zijn naar mijn idee de aanleiding waarom iOS en Android zijn begonnen met MAC-adres spoofing.

MacGyverNL @djwice • 2 februari 2024 21:22

Trackers zoals hier gebruikt zijn naar mijn idee de aanleiding waarom iOS en Android zijn begonnen met MAC-adres spoofing.

Klopt, maar

Dat was in 2021 nog niet zo.

klopt niet. Dit probleem speelt echt al veel langer dan de casus Enschede, en de AP (toen nog CBP) heeft meerdere malen winkels en gemeentes op de vingers getikt onder de oude Wet Bescherming Persoonsgegevens en de AVG. Eigenlijk is die boete aan de gemeente Enschede het sluitstuk geweest van een lang proces om dit soort praktijken aan banden te leggen, want hoewel de meeste gemeentes, winkels, en bedrijven er tegen die tijd mee gestopt waren of in ieder geval heroverwogen wat ze aan 't doen waren, ging de gemeente Enschede stug door, ook na het ingaan van de AVG.

iOS is MAC address randomization ergens in 2014 of 2015 gaan doen en Android deed 't sinds Android 10, 2019 dus. Dus ik kan me goed voorstellen dat het in 2021 voldoende verweer is dat dit al jaren in mobiele devices zit, en dat de AP dan echt wat meer moeite had moeten doen om aan te tonen dat het in werkelijkheid nog wel écht een probleem is. De vraag is echter hoe de AP dat dan had kunnen aantonen, want ik zie niet echt een andere manier dan zélf die trackers ophangen en kijken wat je vangt. En dat lijkt me een zeer onwenselijke handelswijze voor het bestuursorgaan dat de persoonlijke gegevens van burgers juist moet beschermen.

[edit 22:36] Inmiddels heb ik op basis van GertMenkel in 'Rechter vernietigt AVG-boete voor Enschedese wifitracking omdat AP te streng was' een stukje van het boetebesluit gelezen, en ja, de AP laat dus zo te zien wél zien dat ze uit de data van de gemeente zelf wel degelijk nog gewoon leefpatronen kunnen plukken, dus dat MAC address randomization nog niet afdoende was in de periode waar de boete over ging was op zich wel duidelijk gemaakt.

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 21:56]