CBP: Wifi-tracking rond winkels in strijd met de wet
Het volgen van mensen in en rond winkels via de wifi-signalen van
hun mobiele apparaten zonder hen hierover te informeren, is in
strijd met de wet. Dit benadrukt het College bescherming
persoonsgegevens (CBP) na onderzoek bij het bedrijf Bluetrace. Het
bedrijf levert technologie waarmee in en rondom winkels de
wifi-signalen van mobiele apparaten worden opgevangen. Bluetrace
verzamelt via wifi-tracking locatiegegevens van winkelbezoekers en
voorbijgangers zonder hen hierover te informeren. Dit is in strijd
met de Wet bescherming persoonsgegevens (Wbp). Bovendien verzamelt
en bewaart Bluetrace meer gegevens dan noodzakelijk is voor het in
kaart brengen van bezoekersaantallen. Bluetrace heeft na het
onderzoek laten weten maatregelen te hebben genomen. Het CBP zal de
komende tijd controleren of de aangegeven maatregelen leiden tot
beëindiging van de geconstateerde overtredingen.
Bluetrace verzamelt en analyseert meetgegevens die het bedrijf
verkrijgt via wifi-tracking. Het bedrijf biedt winkeliers daarmee
bedrijfseconomische informatie: hoeveel mensen passeren de winkel,
hoeveel bezoekers gaan de winkel in en hoelang blijven zij op een
bepaalde plaats in de winkel. Dit soort gegevens is gevoelig van
aard. Het gaat om locatiegegevens die iets zeggen over iemands
verblijfplaats en winkelgedrag. "Mensen komen ongevraagd en onwetend
in bestanden waaruit bijvoorbeeld valt af te leiden waar zij wanneer
waren en wat hun winkelgedrag is. Dat mag niet", zegt Wilbert
Tomesen, vicevoorzitter van het CBP. "Deze gegevens kunnen worden
gebruikt om mensen anders te behandelen of mensen te confronteren
met hun afgelegde route. Dat gaat veel te ver, zeker als dat stiekem
en op de openbare weg gebeurt".
Maatregelen Bluetrace
Bluetrace heeft na het onderzoek aangegeven maatregelen te hebben
getroffen, waaronder het hashen van gegevens en het verkorten van de
bewaartermijn tot 48 uur. Het CBP heeft nog niet beoordeeld of deze
maatregelen daadwerkelijk leiden tot beëindiging van de
geconstateerde overtredingen.
In winkels
Bluetrace verzamelt zowel gegevens van mensen binnen als buiten de
winkel. Het verzamelen van gegevens over drukte en bezoekersgedrag
bínnen winkels kan noodzakelijk zijn voor Bluetrace om haar diensten
te verlenen. Bluetrace voldoet echter niet aan de wettelijke
voorwaarden om dit te mogen doen. Het bedrijf informeert de
winkelbezoekers bijvoorbeeld niet over de gegevens die worden
verzameld en waarvoor dat gebeurt. Bovendien meet Bluetrace 24 uur
per dag, zeven dagen per week en bewaart zij de gegevens voor
onbeperkte tijd. Het CBP stelt dat Bluetrace haar doel ook zou
kunnen bereiken door op een beperktere schaal te meten en minder
gegevens te verwerken, gedurende een kortere periode.
Buiten winkels
De wifi-sensoren van Bluetrace registreren ook het aantal
voorbijgangers op de openbare weg buiten de winkels. Bluetrace legt
daardoor ook de aanwezigheid van voorbijgangers en buurtbewoners
vast. Bluetrace maakt onvoldoende duidelijk waarom dit noodzakelijk
is en mag deze gegevens daarom niet verzamelen.