De Autoriteit Persoonsgegevens heeft wifi-tracker Bluetrace onlangs een last onder dwangsom opgelegd. Bluetrace meet de drukte en het winkelgedrag van klanten in winkels. Daarvoor verzamelen de Bluetrace sensoren het MAC-adres van alle apparaten (denk aan smartphones en tablets) met ingeschakelde wifi die dicht genoeg in de buurt zijn. Ze bewaren het MAC-adres (gehasht) voor 24 uur, samen met de identiteit van de sensor, de signaalsterkte, en de datum en tijd van waarneming. Volgens de AP verwerkt Bluetrace daarmee persoonsgegevens. En doet ze dat in strijd met de Wet bescherming persoonsgegevens (Wbp).
Dat is interessant.
De VerkeersInformatieDienst (VID), een uit de politie ontstaan zelfstandig commercieel bedrijf, doet namelijk precies hetzelfde (maar dan met Bluetooth MAC-adressen) voor het leveren van verkeersinformatie. Ook zij verzamelen naast het MAC-adres de locatie, datum en tijdstip. En slaat deze gegevens (met gehashte MAC-adres) voor maar liefst 3 maanden op. De VID stelt echter onomwonden dat een MAC-adres volgens haar geen persoonsgegeven is. Daar zijn al eerder kanttekeningen bij geplaatst, maar de analyse van het AP in de Bluetrace zaak geeft aan dat de VID ongelijk heeft (en de wet overtreed).
Een MAC-adres alléén is volgens het AP geen persoonsgegeven, omdat dit niet voldoende informatie is om de gebruiker van het apparaat (indirect) te identificeren. Echter, een MAC-adres is, in combinatie de locatie en tijdstip van waarneming, wel een persoonsgegeven. Dit omdat de locatie en tijdstip van waarneming gecombineerd kan worden met andere waarnemingen (op dezelfde plek en het zelfde tijdstip) die wél de identiteit van de gebruiker van het apparaat bepalen. In het geval van Bluetrace bijvoorbeeld door waarnemingen van winkelpersoneel, of het gebruiken van een persoonsgebonden klantenkaart. In het geval van de VID is een simpele camera met ANPR (Autmatic Number Plate Recognition) plaatsen naast de sensor afdoende. Die hebben de oud-collega's van de KLPD vast nog wel ergens liggen ;-)
Volgens het AP leidt het hashen van een MAC-adres (of een willekeurig ander persoonsgegeven) niet tot een geanonimiseerd gegeven: met de hash kan weliswaar niet teruggerekend worden naar het persoonsgegeven, maar kan wel de hash voor een bepaald persoonsgegeven herberekend worden, en zo gecontroleerd worden of het persoonsgegeven in de verzamelde set hashes voorkomt. De gehashte MAC-adressen zijn dus nog steeds persoonsgegevens.
De VID stelt dat ze haar registratie niet heeft aangemeld bij de AP. Dit is, gezien de bovenstaande analyse, een schending van de Wbp. Ik zou zeggen, AP: handhaven die hap. Wat voor Bluetrace geldt, geldt ook voor de VID. En voor Rotterdam Smart City. En voor ...
Werk aan de winkel dus.