De Week

Privacywaakhond tegen WI-FI tracker: volg niet de persoon maar de wet

Wacht minister op parlement of neemt hij een voorschot?

Steeds meer bedrijven willen hun klanten niet alleen op internet, maar ook op straat volgen. Vandaag steekt het CBP een stokje voor de manier waarop dat nu gebeurt.

Op het internet kun je je kont niet meer keren of er wordt wel een tracker aan vastgeplakt. Steeds meer bedrijven komen erachter dat het ook op straat en in fysieke winkels mogelijk is om klanten te volgen. Zo kunnen ze bijvoorbeeld kijken of je met je vriendin naar binnen gaat of dat je verveeld buiten de winkel blijft staan wachten. Handig voor de winkelier natuurlijk, maar problematisch als je dat niet wilt of niet weet dat je gevolgd wordt door die winkels.

En dat is precies wat er nu gebeurt. Sterker nog, het blijkt dat trackende bedrijven zich daarbij ook nog eens niet aan de wet houden. Neem bijvoorbeeld Bluetrace.

Bluetrace
Bluetrace is een Amsterdams bedrijf dat technologie aan organisaties biedt om hun klanten te volgen.

“Our Wi-Fi and Bluetooth solutions offer insight into customer and visitor movements for venues including shopping malls, smart buildings, health care centres, leisure facilities, public and semi-public locations, traffic, events and airports. From data to insights to greater effectiveness.”

Uit het rapport van het College Bescherming Persoonsgegevens (het CBP – de Nederlandse privacytoezichthouder) wordt duidelijk dat het bedrijf een aantal grote klanten heeft die in potentie heel veel Nederlanders kunnen volgen. Ze plaatsen een soort antennes die de wifi en bluetooth signalen van mobiele telefoons kunnen opvangen. Met die technologie kunnen ze dus drukte en menselijke verplaatsing meten. Met andere woorden, het is 24 uur per dag 7 dagen per week vast te leggen hoe bepaalde unieke personen zich binnen en buiten de winkel bewegen.

Mag dat?
Je locatiegeschiedenis is natuurlijk ontzettend gevoelige informatie en dus is de Nederlandse privacywetgeving van toepassing. Als je als bedrijf zulke persoonsgegevens wil verzamelen, mag dat alleen onder bepaalde voorwaarden. Dat mag alleen met een geldige grondslag (heb je toestemming van de klant of een andere reden om de gegevens te verwerken) als je daar transparant over bent en als je bepaalde grenzen in acht neemt (het verzamelen moet wel proportioneel zijn). Bluetrace faalde op elk vlak.

Wat zegt het College Bescherming Persoonsgegevens?
Net als Google en City Tracking eerder op hun vingers getikt zijn omdat ze niet transparant waren, was ook Bluetrace niet transparant: hoewel sommige winkels een sticker hadden met ‘WIFI BT Teller’ was de informatievoorziening te onvolledig.

Daarnaast werd gevoelige informatie zonder toestemming van de burger verzameld. Er was ook geen andere geldige grondslag die het verzamelen van die gegevens wél rechtvaardigde.

Tot slot werden de gegevens die binnen en buiten de winkel onbeperkt bewaard en gaven zo een uitgebreid beeld van de locatie van de gevolgde personen. Het verzamelen van gegevens van personen buiten de winkel is al helemaal disproportioneel, zegt het CBP.

Hoog tijd voor boetes
Wat het gedrag van Bluetrace extra storend maakt is dat het CBP al eerder onderzoek heeft gedaan. In januari 2014 bleek Bluetrace ook al niet transparant over wat ze precies deden. Eind 2014 stelde het CBP vast dat Bluetrace nog geen privacybeleid had. Begin juni 2015 nog steeds niet. En nu, eind 2015 nog altijd niets. Dat is natuurlijk superirritant, zeker waar het gaat om een bijna twintig jaar oude juridische verplichting. Het is daarom goed dat het CBP binnenkort boetes kan gaan uitdelen aan hardleerse bedrijven.

Wat zegt Bluetrace

Bluetrace zelf is zich van geen kwaad bewust: in hun persbericht geven ze aan zich intussen te houden aan de Nederlandse wet. Of dat zo is moet toekomstig onderzoek van het CBP nog uitwijzen. Wij hebben alvast een advies voor Bluetrace: focus je even wat minder op de winkelende klant en wat meer op de wet.

Kan jij iets doen?
Volgens  minister Kamp wel: gewoon je mobiele telefoon uitzetten. En als je niet getrackt wilt worden, dan kun je de winkels vermijden waarvan je weet dat er tracking plaatsvindt, of aangeven dat je er niet van gediend bent. Dat zijn in het geval van Bluetrace bijvoorbeeld de Febo, Dixons, MyCom en iCenter.

  1. Ardje

    Tracking op deze manier is fout, geen discussies.
    Wat me wel interessant lijkt is voor ordehandhaving een register aan te leggen waartegen je de gast gebruikers kan screenen tegen bijvoorbeeld gestolen telefoons, of telefoons van mensen met die . Je kan er verder niks mee, maar je kan daarmee wel een melding genereren richting de politie waar een bepaalde telefoon is geweest.
    Er zijn heel veel beren want:
    1) Hoe kan je een check doen tegen een lijst waarbij jij de lijst niet te zien krijgt, en de andere kant niet te zien krijgt wie er allemaal bij jou langskomt.
    2) Hoe kan je een melding doen van een gezochte telefoon zonder dat jij weet dat je die melding doet
    3) privacy beginsel: hoe vind jij het als overal waar je gaat jouw telefoon tegen een database wordt gehouden.
    Bij punten 1 en 2 was ik nog wel redelijk enthousiast, want ik ben een techneut. Bij punt 3 dacht ik fuck it, dat gaat nooit.
    Zelfs als er goeie lijst bij punt 1 bijgehouden wordt (dus of telefoons die aangetoond gestolen zijn, of de telefoon van een verdachte die door keuring van de rechterlijke macht op de lijst komt).
    Aan de andere kant: punt3 is heel zwaar, maar als ik als SOHO gebruiker een gast netwerk opzet wil ik bijvoorbeeld geen politie-inval krijgen. Voor thuisgebruik is het nog geen probleem, maar zakelijk opeens je levensader verliezen omdat je een gast netwerk hebt.
    Anyway: als techneut vind ik het een interessante discussie, vooral punt 1 en 2, maar punt 3 zie ik voor mijn gevoel niet opgelost worden, ik wil niet “bespied” worden, ook al is het mijn eigen idee ;-).
    Aan de andere kant wil ik wel mijn gestolen telefoon terug :-(.

    • Amsterdammer

      Mijn ervaring met de huidige politie is dat ze niets doen met ‘gestolen’ of ‘ingebroken’ meldingen, tenzij er sprake is van ‘persoonlijk geweld’ (Hun woorden). Oh nee, da’s niet waar: ze gebruiken het puur voor hun statistieken.
      Dus die gestolen telefoon kun je opgeven. Die zit nu waarschijnlijk al in Afrika.
      Anecdote: in een afgesloten openbare garage waren er bij 9 autos de ruiten ingeslagen en spullen gestolen. Camerabeelden waren aanwezig. “Teveel werk en er was geen persoonlijk geweld gebruikt”.

      I rest my case.

  2. Jammer

    Dus bij het winkelen voortaan de JammerInThebox mini maar mee..

  3. Natasha Cloutier

    Telefoon uitzetten is niet altijd voldoende, dat heeft Snowden aan de wereld laten zien.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.