Mogen Winkels je Smartphone Volgen met WiFi-tracking?

Door Wouter Dammers
wifi tracking smartphone

Met behulp van WiFi-tracking van smartphones kunnen winkels volgen of je in of langs de winkel komt. Mag dat zomaar? En doet minister Kamp niet een beetje te luchtig over de privacygevoelige technologie? Dat lijkt er wel op, want voor gegevensverwerking van shoppers is toestemming nodig, betoogt advocaat Wouter Dammers.

De Nederlandse winkelketens van Dixons en Mycom zouden klanten volgen via de unieke signalen die de smartphones van de winkelbezoekers automatisch uitzenden. De ketens kregen de nodige kritiek te verduren omdat ze zonder te informeren gebruik maakten van deze volgtechnologie.

Minister van Economische Zaken Henk Kamp deed begin februari ook zijn duit in het zakje. Hij stelt te willen overleggen met het College bescherming persoonsgegevens (“Cbp”) of het mogelijk kan worden gemaakt voor winkeliers om voorbijgangers via hun mobiele telefoon te volgen. “Allerlei ontwikkelingen” moeten volgens hem niet zomaar worden afgeremd. “Het is 2014”.

Is Wifi-tracking okay omdat het 2014 is?

Heeft Minister Kamp hier een punt? Is WiFi-tracking “okay”? Om dat te beoordelen is een beetje achtergrond wel handig:

Mobiele telefoons zenden constant signalen uit om communicatie mogelijk te kunnen maken. Zonder die signalen zou je niet bereikbaar zijn. De smartphones van tegenwoordig hebben naast GSM bijvoorbeeld ook WiFi- en Bluetooth-technologie standaard ingebouwd. Met de WiFi-technologie ingeschakeld zoekt een telefoon continu naar een WiFi-netwerk om daarmee contact te kunnen maken. Is er eenmaal contact, dan kan je via je smartphone internetten op het verbonden WiFi-netwerk.

Om die verbinding te kunnen leggen zendt de WiFi-technologie permanent het unieke identificatienummer uit. Dit unieke identificatienummer heet het MAC-adres (Medium Access Control). Dit heeft tot gevolg dat ook zonder verbonden te zijn aan een WiFi-toegangspunt een MAC-adres kan worden uitgelezen.

Mobiele apparaten zoals smartphones zijn sterk verbonden aan hun gebruikers: vaak bevindt de smartphone zich op dezelfde locatie als de eigenaar – men draagt een smartphone vaak met zich mee, bijvoorbeeld in je broekzak of tas. Locatiebepaling en patronen in gedrag van de eigenaar van de smartphone zijn dus gemakkelijk in kaart te brengen aan de hand van (een constant monitoring van) het MAC-adres – bijvoorbeeld in combinatie met de signaalsterkte, of op basis van triangulation.

Je kunt met MAC-adres geprofileerd worden

Wat is er zo erg aan het bepalen van iemand zijn of haar locatie als je alleen een MAC-adres weet? Eerlijk gezegd: met het verwerken van een MAC-adres enkel als hippe klantenteller misschien niet al te veel. Maar daar zit het probleem ook niet: Het zit er vooral in dat je met het MAC-adres geprofileerd (singled out) kan worden. Iedere keer dat je je klantenkaart scant bij de kassa, kan de winkel een beoordeling maken welke MAC-adressen dan in de winkel zijn. Als dit geregeld gebeurt, zullen ze je bij herhaling zien terug komen, en kan een verband worden gelegd tussen jouw MAC-adres en jouw klantennummer. Met dat klantennummer kan wellicht een verband worden gelegd met jouw NAW-gegevens die aan de pas gekoppeld zijn.

mac adress wifi tracking smartphone

Je zult begrijpen dat profilering nog beter kan wanneer dit op grote(re) schaal gebeurt – denk aan het doorspelen van de verzamelde data tussen verschillende ketens, of zelfs hele winkelstraten of steden. Zo kan precies in kaart worden gebracht dat MAC-adres 00:0C:6E:D2:11:E6 graag winkelt bij Winkel X, op doordeweekse dagen tijdens kantoortijden (en dus waarschijnlijk werkeloos is), waarschijnlijk ziekte Y heeft (want medicijn Z gekocht bij de apotheek op de hoek), et cetera. Een gat in de markt voor offline-targeting: je verzamelt allerlei data van allerlei winkels, en verkoopt de consumentprofielen vervolgens door. Interessante data voor jouw verzekering om te weten hoe vaak je een kroket uit de muur trekt…

Mac-adressen vallen onder de Wet bescherming persoonsgegevens

MAC-adressen zijn dus persoonsgegevens. En met die gegevens kan een concrete plaatje van jouw (in dit geval note bene offline) gedrag worden verkregen. De Wet bescherming persoonsgegevens (“Wbp”) is dus van toepassing. Vandaar dat WiFi-tracking niet zonder meer toegestaan: je zult moeten voldoen aan de vereisten die de Wbp aan de verwerking van persoonsgegevens stelt.

Dat betekent onder meer dat je een rechtsgeldige grondslag moet hebben voor de verwerking van de MAC-adressen voor de doeleinden die je daarbij hebt gesteld (“ik wil graag meten hoeveel bezoekers er in mijn winkel zijn, zodat ik mijn personeelsbeleid daarop kan aanpassen”). Verwerkingen voor andere doeleinden (zoals hierboven als voorbeeld gegeven), zijn daarom ook niet zomaar toegestaan.

De Wbp stelt als één van de mogelijke grondslagen het verkrijgen van voorafgaande toestemming voordat de gegevens worden verwerkt. Ook verwerking noodzakelijk voor de uitvoering van een overeenkomst, of als je bij de verwerking een redelijk belang hebt, kunnen verwerkingsgronden zijn.

Voor verwerking gegevens Mac-adressen is toestemming nodig

Belangrijk in dit geval is dat MAC-adressen ook bijzondere gegevens kunnen betreffen. Bijzondere gegevens zijn gegevens betreffende iemand zijn/haar godsdienst, gezondheid seksuele geaardheid, ras of politieke voorkeur bijvoorbeeld. Denk aan bezoek van een kerk waarbij je MAC-adres wordt verwerkt, of – hier relevanter –het kopen van halal vlees, condooms, medicijnen of andere producten die zijn gelinkt aan voornoemde categorieën. In die gevallen is voorafgaande (uitdrukkelijke) toestemming vereist. Voor de overige gevallen zal (ondubbelzinnige) toestemming de meest aangewezen grondslag voor verwerking zijn. Die toestemming mag niet zijn weggestopt in algemene voorwaarden.

En dat betekent – nu even opletten excellentie – dat een opt-out (“dan had je je wifi-signaal maar uit moeten zetten”) in principe niet voldoende is.

Winkel kan met informatie toestemming vragen voor verwerking informatie

Wel kan je door middel van het bieden van voldoende, duidelijke en zichtbare informatie wel toestemming verkrijgen (“Bij het betreden van deze winkel ga je akkoord met de verwerking van de unieke identificatiecode van jouw mobiele apparaat, zodat we jouw locatie en gedrag in kaart kunnen brengen om je op basis daarvan relevante aanbiedingen te kunnen doen”). Of de toestemming wel of niet voldoende zal zijn, zal afhangen van de feiten en omstandigheden van het geval.

Voor die laatste mogelijkheid lijkt ook MyCom en Dixons te hebben gekozen. Ik denk echter dat dat nog wel voor problemen kan wifi trackingzorgen. Want wat als er kinderen in de winkel komen? Als die jonger zijn dan zestien jaar, is de toestemming van de wettelijk vertegenwoordiger/ouder vereist. Het onderscheid tussen kind/ouder kan je niet maken bij het betreden van de winkel aangezien dat leeftijdsdiscriminatie zou betekenen.

En wat doe je met de MAC-adressen van de mensen die langs je winkel lopen – dus niet naar binnen gaan? Dat betekent in principe dat je deze gegevens ook niet zou mogen verwerken.

Is Wifi-tracking juridisch onmogelijk?

Is WiFi-tracking dan in het geheel niet mogelijk? Dat lijkt me niet. Het lijkt er zelfs op dat het Cbp flexibeler omgaat met MAC-adressen dan dat de letter van de wet eigenlijk voorschrijft. Zo heeft het Cbp in de Google Streetview zaak bepaald dat het sniffen van WiFi-netwerken in principe wel zou mogen, mits een opt-out mogelijkheid wordt geboden. Of dit ook 1-op-1 zal gelden voor MAC-adressen van smartphones (nota bene veel persoonlijker dan MAC-adressen van routers), vraag ik me echter af.

Bij WiFi-tracking zal je er voor moeten zorgen dat niet de MAC-adressen zelf (langer dan noodzakelijk) worden verwerkt, maar enkel de statistieken (geanonimiseerde, geaggregeerde data). Zorg er dus voor dat een ontvangen MAC-adres direct wordt geanonimiseerd. Wie hiervoor een technisch foefje weet (privacy by design) mag het zeggen.

Wouter Dammers

Over de auteur

Bekijk het profiel van Wouter Dammers, advocaat bij Lawfox en is gespecialiseerd in IT-, privacy-, intellectueel eigendom-, e-commerce en verbintenissenrecht.