Wifi en bluetooth
Wifi en bluetooth worden steeds vaker gebruikt voor ‘tracking’. Een organisatie kan bijvoorbeeld de drukte in een winkelgebied meten door telefoongegevens te verzamelen van de mensen in het gebied. Met wifi- en bluetoothtracking verzamelt u als organisatie een combinatie van gegevens. Daarmee is iemand te identificeren. Dat betekent dat deze gegevens persoonsgegevens zijn.
Op deze pagina
Indirect identificerende persoonsgegevens
Bij wifitracking en bluetoothtracking verzamelt u doorgaans iemands MAC-adres (het unieke nummer van een telefoon of ander mobiel apparaat), het serienummer en/of de locatie van de sensor en een tijdstip.
Van direct identificerende gegevens is in dit geval geen sprake. Het gaat hier immers niet om gegevens als namen, adressen en telefoonnummers. Alleen een MAC-adres onthult ook niet direct de identiteit van een persoon.
Toch zijn het persoonsgegevens. We noemen dit indirect identificerende persoonsgegevens. Dat komt omdat u de gegevens kunt combineren met elkaar of met andere gegevens. Zo kunt u de gegevens terugbrengen tot een bepaald persoon.
Aanvullende gegevens waarmee u mensen indirect kunt identificeren zijn bijvoorbeeld camerabeelden, betalingsgegevens in winkels, inloggegevens van openbare wifihotspots of het gebruik van toegangspoortjes met unieke identificatoren, zoals RFID-tags.
Inzet tracking door gemeenten
Andere organisaties dan bedrijven, zoals gemeenten, kunnen via wifitracking en bluetoothtracking persoonsgegevens verwerken als dit noodzakelijk is om hun taak uit te voeren. Bijvoorbeeld om de openbare orde te bewaken of de veiligheid op straat te handhaven.
Als gemeente mag u wifitracking en bluetoothtracking alleen toepassen onder strikte voorwaarden:
- U moet er een zelfstandige wettelijke grondslag voor hebben.
- Het mag alleen in specifieke periodes.
- Het mag alleen in precies omschreven gebieden, waarin het echt nodig is. Op andere momenten en plaatsen moet de meetapparatuur voor de wifi- of bluetoothtracking uit staan.
Snelle antwoorden
Als ik bij wifi- en bluetoothtracking ‘hashing’ toepas, gaat het dan nog steeds om persoonsgegevens?
Ja. Ook als u hashing toepast op de MAC-adressen die u verzamelt, blijven het persoonsgegevens.
Pseudonimisering
Alleen het hashen van MAC-adressen, zonder aanvullende maatregelen, betekent niet dat u geen persoonsgegevens meer verwerkt. Er is dan namelijk geen sprake van anonimisering, maar van pseudonimisering.
Bijvoorbeeld omdat u zelf de hashingformule heeft. Dat betekent dat u de originele MAC-adressen opnieuw zou kunnen berekenen. De gegevens zijn dan dus niet anoniem. Het toepassen van een ‘salt’ doet daar niets aan af.
Het resulterende gehashte MAC-adres zelf is te beschouwen als (pseudonieme) identificator. En die staat in de wet expliciet genoemd als persoonsgegeven.
Voorwaarden anonimiseren
Volgens de Algemene verordening gegevensbescherming (AVG) is er pas sprake van anonieme gegevens als persoonsgegevens zodanig anoniem zijn gemaakt dat de betrokkene niet (meer) direct of indirect te identificeren is.
AVG wel of niet toepassing
Zijn de persoonsgegevens daadwerkelijk geanonimiseerd? Dan is de AVG niet (meer) van toepassing op die gegevens.
Meer informatie over anonimiseren vindt u in de Opinie 'anonimiseringstechnieken' van de Europese privacytoezichthouders.
Kan ik verhinderen dat Google Streetview mijn wifi-gegevens verzamelt?
Ja, dat kan. Wijzig de netwerknaam (SSID) van uw wifi-router door er ‘_nomap’ aan toe te voegen. Is uw huidige SSID bijvoorbeeld 'Saskia'? Dan wordt dat 'Saskia_nomap'.
Voor meer informatie, zie: Hoe meld ik me af voor locatieservices van Google?
Komt u er niet uit? Dan kunt u contact opnemen met uw internetprovider.
