Gemeenten die binnensteden aantrekkelijker maken met gratis wifi moeten goed opletten of zij wel veilig omgaan met de persoonsgegevens die daarbij verwerkt worden. Een wifinetwerk dat niet voldoet aan de eisen van de Wet Bescherming Persoonsgegevens (Wbp) kan in de toekomst boetes opleveren, waarschuwt advocaat Pascal Hulsegge van JPR Advocaten.
Gemeenten verantwoordelijk voor publieke wifi
De regels omtrent persoonsgegevens worden met de aankomende privacyverordening en de per 2016 ingaande Meldplicht Datalekken strenger. Een groeiend aantal gemeenten biedt inmiddels gratis wifi aan in de binnensteden, maar vaak worden gebruikers daar niet goed over geïnformeerd en weten gemeenten bovendien niet wat er met de verwerkte persoonsgegevens gebeurt. Een gemeente is echter zelf verantwoordelijk wanneer het misgaat bij de verwerking van deze gegevens, stelt Hulsegge. Maar daarvan zijn zij zich niet altijd bewust.
Gebruikers via MAC-adressen identificeerbaar
'Personen kunnen via het unieke MAC-adres van hun telefoon worden geïdentificeerd. Het Cbp heeft tijdens onderzoek naar Google Streetview geconcludeerd dat MAC-adressen vallen onder de reikwijdte van de Wbp. Je kan met deze adressen zelfs bewegingen van personen in een bepaald gebied registreren. Volgens de Wbp moet hierover goed geïnformeerd worden en dit gebeurt niet. Het is ook niet duidelijk wat er met de verzamelde MAC-adressen gebeurt', zo vertelt Hulsegge. Door de publieke wifinetwerken krijgen gemeenten te maken met de Telecommucatiewet en de bepalingen die de Wet Bescherming Persoonsgegevens (Wbp) geeft. Volgens Hulsegge geven gemeenten bij aanbesteding wel aan dat het netwerk moet voldoen aan de wettelijke eisen, 'maar dat ontslaat ze niet van hun positie als verantwoordelijke.' En dat kan boetes opleveren van maximaal 810.000 euro, al moet een gemeente het wel heel bont maken voor bedragen van die orde.
Opslag persoonsgegevens in kaart brengen
Om aan de wet te voldoen moeten gemeenten de opslag van persoonsgegevens die worden verzameld met een wifinetwerk goed in kaart brengen. ‘Zo is het langer dan noodzakelijk bewaren van gegevens in strijd met de Wbp. Daarnaast wordt het risico op een datalek vergroot als er een langere termijn is waarin onbevoegden beschikking kunnen krijgen over deze gegevens. Ook is het van belang dat bezoekers van een gemeente die geen gebruik willen maken van het wifi-netwerk er op worden geattendeerd dat hun MAC-adres, dat in beeld kan komen omdat telefoons vaak automatisch verbinding maken met een netwerk, toch kan worden verwerkt.’ Aldus Hulsegge.
'Gemeente geen formele opdrachtgevers'
City Wireless is één van de partijen die in samenwerking met onder meer gemeenten gratis wifi aanbiedt in binnensteden, waaronder die van Amsterdam, Den Haag, Delft, Alkmaar en Utrecht. Gemeente Delft geeft aan dat de gemeente een rol speelt bij het project, maar dat Stichting Centrum Management Delft (SCMD) de formele opdrachtgever is. 'De SCMD huurt een gemanagede wifidienst bij de provider City Wireless. City Wireless is een ACM-geregistreerde provider die voldoet aan alle wettelijke bepalingen ten aanzien van het bieden van gratis wifidiensten in de openbare ruimte.' Dat MAC-adressen onder persoonsgegevens gezien worden, beaamt de gemeente. 'Contractueel gezien is City Wireless verantwoordelijk voor het informeren van de gebruikers. Bij het inlogproces op Delft Free Wifi moeten gebruikers de gebruiksvoorwaarden en privacy statement accepteren alvorens ze de dienst kunnen gebruiken.'
'Conform de markt gebruikelijke wijze'
Volgens gemeente Delft heeft de SCMD het inlogproces op het netwerk bekeken en geconcludeerd dat dit ‘conform de in de markt gebruikelijke wijze’ gebeurt en voldoet aan de wettelijke bepalingen. In de voorwaarden en privacy statement staat daarnaast vermeld welke gegevens verzameld worden en wat er met de gegevens gebeurt. De MAC-adressen worden gebruikt door City Wireless om het gebruik van het wifinetwerk te meten. ‘In de rapportagetool is te zien hoeveel gebruikers van het wifinetwerk gebruik maken en of dit unieke gebruikers of nieuwe gebruikers zijn. Daarnaast worden de verkeersgegevens bewaard conform de bewaarplicht uit de telecomwet, maar sinds die niet meer in gebruik is worden deze niet meer bewaard. De SCMD gebruikt de MAC-gegevens in het geheel niet.’
Gemeenten niet risicoloos
Toch gaat Delft niet zonder risico te werk gaat, stelt Hulsegge. Er moet bij de samenwerking in de zin van de Wbp duidelijk naar voren worden gebracht wie verantwoordelijk is. ‘Als het voor burgers onduidelijk is dat SCMD verantwoordelijk is voor de verwerking van persoonsgegevens van het wifi-netwerk zal volgens de Wbp aan de hand van de feitelijke omstandigheden moeten worden bepaald aan wie het uiteindelijk moet worden toegerekend. Het is daarbij doorslaggevend wie uiteindelijk bepaalt of er gegevens worden verwerkt, welke persoonsgegevens worden verwerkt en voor welk doel. Als dat in dit geval de gemeente is, kan zij in dit geval toch als verantwoordelijke worden aangemerkt.’
Verzetten tegen verwerking gegevens
Hulsegge wijst er op dat gebruikers zich moeten kunnen verzetten tegen de verwerking van hun MAC-adressen zonder toestemming, zo niet dan wordt er niet aan de wettelijke verplichting voldaan. ‘Daarnaast is de ‘in de markt gebruikelijke wijze’ juist onvoldoende doordat er over het algemeen niet wordt voldaan aan de informatieverplichting, terwijl het informeren van burgers relatief weinig moeite kost. Zo kunnen Gemeente Delft, City Wireless en SCMD simpelweg de voorwaarden en het privacy statement duidelijk op hun website plaatsen.’
Bron: Binnenlands Bestuur Digitaal, Sjoerd Hartholt