Privacywaakhond tegen WI-FI tracker: volg niet de persoon maar de wet


Steeds meer bedrijven willen hun klanten niet alleen op internet, maar ook op straat volgen. Vandaag steekt het CBP een stokje voor de manier waarop dat nu gebeurt.

Op het internet kun je je kont niet meer keren of er wordt wel een tracker aan vastgeplakt. Steeds meer bedrijven komen erachter dat het ook op straat en in fysieke winkels mogelijk is om klanten te volgen. Zo kunnen ze bijvoorbeeld kijken of je met je vriendin naar binnen gaat of dat je
verveeld buiten de winkel blijft staan wachten. Handig voor de winkelier natuurlijk, maar problematisch als je dat niet wilt of niet weet dat je gevolgd wordt door die winkels.

En dat is precies wat er nu gebeurt. Sterker nog, het blijkt dat trackende bedrijven zich daarbij ook nog eens niet aan de wet houden. Neem bijvoorbeeld Bluetrace.

Bluetrace
Bluetrace is een Amsterdams bedrijf dat technologie aan organisaties biedt om hun klanten te volgen.

"Our Wi-Fi and Bluetooth solutions offer insight into customer and visitor movements for venues including shopping malls, smart buildings, health care centres, leisure facilities, public and semi-public locations, traffic, events and airports. From data to insights to greater effectiveness."

Uit het rapport van het College Bescherming Persoonsgegevens (het CBP - de Nederlandse privacytoezichthouder) wordt duidelijk dat het bedrijf een aantal grote klanten heeft die in potentie heel veel Nederlanders kunnen volgen. Ze plaatsen een soort antennes die de wifi en bluetooth signalen
van mobiele telefoons kunnen opvangen. Met die technologie kunnen ze dus drukte en menselijke verplaatsing meten. Met andere woorden, het is 24 uur per dag 7 dagen per week vast te leggen hoe bepaalde unieke personen zich binnen en buiten de winkel bewegen.

Mag dat?
Je locatiegeschiedenis is natuurlijk ontzettend gevoelige informatie en dus is de Nederlandse privacywetgeving van toepassing. Als je als bedrijf zulke persoonsgegevens wil verzamelen, mag dat alleen onder bepaalde voorwaarden. Dat mag alleen met een geldige grondslag (heb je toestemming van
de klant of een andere reden om de gegevens te verwerken) als je daar transparant over bent en als je bepaalde grenzen in acht neemt (het verzamelen moet wel proportioneel zijn). Bluetrace faalde op elk vlak.

Wat zegt het College Bescherming Persoonsgegevens?
Net als Google en City Tracking eerder op hun vingers getikt zijn omdat ze niet transparant waren, was ook Bluetrace niet transparant: hoewel sommige winkels een sticker hadden met `WIFI BT Teller' was de informatievoorziening te onvolledig.

Daarnaast werd gevoelige informatie zonder toestemming van de burger verzameld. Er was ook geen andere geldige grondslag die het verzamelen van die gegevens wel rechtvaardigde.

Tot slot werden de gegevens die binnen en buiten de winkel onbeperkt bewaard en gaven zo een uitgebreid beeld van de locatie van de gevolgde personen. Het verzamelen van gegevens van personen buiten de winkel is al helemaal disproportioneel, zegt het CBP.

Hoog tijd voor boetes
Wat het gedrag van Bluetrace extra storend maakt is dat het CBP al eerder onderzoek heeft gedaan. In januari 2014 bleek Bluetrace ook al niet transparant over wat ze precies deden. Eind 2014 stelde het CBP vast dat Bluetrace nog geen privacybeleid had. Begin juni 2015 nog steeds niet. En nu,
eind 2015 nog altijd niets. Dat is natuurlijk superirritant, zeker waar het gaat om een bijna twintig jaar oude juridische verplichting. Het is daarom goed dat het CBP binnenkort boetes kan gaan uitdelen aan hardleerse bedrijven.

Wat zegt Bluetrace

Bluetrace zelf is zich van geen kwaad bewust: in hun persbericht geven ze aan zich intussen te houden aan de Nederlandse wet. Of dat zo is moet toekomstig onderzoek van het CBP nog uitwijzen. Wij hebben alvast een advies voor Bluetrace: focus je even wat minder op de winkelende klant en wat
meer op de wet.

Kan jij iets doen?
Volgens minister Kamp wel: gewoon je mobiele telefoon uitzetten. En als je niet getrackt wilt worden, dan kun je de winkels vermijden waarvan je weet dat er tracking plaatsvindt, of aangeven dat je er niet van gediend bent. Dat zijn in het geval van Bluetrace bijvoorbeeld de Febo, Dixons,
MyCom en iCenter.