Winkels in de Bas Group (Dixons, Mycom en iCentre) gebruiken wifi en bluetooth om het gedrag van hun klanten (en de mensen op straat) te volgen. Dit is niets nieuws. In 2012 schreef ik al over hoe we, meer algemeen, ook in de fysieke wereld gevolgd worden. De vraag is: is dit een probleem?

Juridisch gesproken is iets een persoonsgegeven als het (wellicht met enige moeite) te herleiden is tot een natuurlijk persoon. Voor een IP adres is dat vaak een geval (via de administratie van de Internet Service Provider, ISP). Bovendien kunnen websites waar je een account hebt eenvoudig een koppeling maken met de IP adressen waarvandaan je inlogt. (Zo detecteert bijvoorbeeld Google verdachte inlogpogingen.)

De vraag is of dit voor een MAC adres ook geldt. Een MAC adres (het unieke adres van je WiFi of Bluetooth netwerk op je telefoon) wordt niet direct aan je naam gekoppeld. Het is in die zin dus geen persoonsgegeven. Aan de andere kant is het wel tot jou als persoon te herleiden. Je telefoon is persoonlijk en het MAC adres identificeert uniek je telefoon, en dus jouzelf. Door een dag lang de locatie van een specifieke telefoon te volgen is te zien waar de eigenaar woont en werkt. Op basis daarvan is je naam wel te achterhalen. Ook Google en Apple weten waarschijnlijk wel het MAC adres van je smartphone, en kunnen dat dus koppelen aan je naam. (Als iemand hier een bron voor heeft die dit bevestigd of ontkent dan hoor ik het graag.) Als laatste is het probleem van dergelijke unieke nummers dat, ook zijn ze in eerste instantie niet tot jou als persoon te herleiden, dat die koppeling op een willekeurig moment wel gemaakt kan worden, en dat dan je volledige geschiedenis alsnog aan jou als persoon gekoppeld wordt. Het meest simpele voorbeeld in dit geval is als je een aankoop in één van de Bas Groep winkels doet en je als klant laat registeren.

Merk op dat encrypten of hashen van de MAC het niet minder een persoonsgegeven maakt. Het nummer blijft per persoon uniek. En dus een perfect index in een database.

Het College Bescherming Persoonsgegevens reageert opvallend lauw. Het stelt dat zodra mac-adressen worden opgeslagen, klanten hierover moeten worden geïnformeerd. En zegt

Mensen die hier niet van gediend zijn, moeten de gelegenheid krijgen hun wifi of bluetooth tijdelijk uit te schakelen, zeker omdat ook op straat gegevens worden gewonnen.’

Dat is een problematisch standpunt. Ten eerste zal de telefoon al ontdekt zijn door het systeem voordat de burger de sticker op het raam van de winkel gezien heeft. Als hij überhaupt naar de winkel kijkt. Ten tweede is een smartphone zonder netwerk een tamelijk nutteloos apparaat. Er zijn zelfs systemen die klanten volgen op basis van GSM signalen. Moeten we dan de telefoon maar helemaal uitzetten als we aan winkelen? Of thuis laten?

Uiteindelijk is de omvang van het privacy probleem afhankelijk van de toepassing: wat wil men precies met de invoering van dit systeem bereiken. Als het echt alleen gaat om het meten van het aantal mensen in en vlak bij de winkel op bepaalde tijdstippen, dan hoeven de MAC addressen inderdaad maar heel even bewaard te worden (om dubbel tellingen te voorkomen). Als ze vervolgens echt weggegooid worden is er nies aan de hand. Alle heisa was makkelijk te voorkomen geweest als Bas Groep eerste een privacy impact assessment had gemaakt, op basis daarvan een systeem had ontwikkeld volgens de principes van privacy by design, en uiteindelijk het publiek duidelijk had geïnformeerd over wat ze precies verzamelen, en met welk doel.

Als de Bas Groep echter ook andere doelen heeft, dan is er meer aan de hand. In zijn algemeenheid geldt dat de juridische status van dit soort systemen niet 100% duidelijk is (zoals ook wel blijkt uit de reactie van het CBP), terwijl gevoelsmatig hier wel een privacy issue speelt. Eerder pleitte ik voor een ‘Volg-Me-Niet register’ in de fysieke wereld. Ik ben van gedachten veranderd. Het zou een ‘Volg-Me-Wel register moeten zijn.

(Met dank aan een aantal deelnemers van CPDP, de privacy conferentie die jaarlijks in Brussel gehouden wordt.)