Wifi-tracking, hoe kan het privacyvriendelijker? (deel 2)
Het volgen van mensen in (semi) openbare ruimtes via hun mobiele apparaat – oftewel wifi-tracking – is volgens de Autoriteit Persoonsgegevens in zeer weinig gevallen toegestaan onder strikte voorwaarden. Het MAC-adres van een apparaat wordt verwerkt binnen de wifi-trackingtechnologie. Een MAC-adres is een persoonsgegeven op het moment dat dit wordt gecombineerd met andere (persoons) gegevens die te herleiden zijn naar een persoon. Die herleiding is mogelijk via de geobserveerde locatiegegevens van de mobiele telefoon. Hierdoor betreft het een verwerking van persoonsgegevens en is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. In de vorige blog is ingegaan op de vraag welke voorwaarden de AVG stelt aan organisaties voor het uitvoeren van wifi tracking. In deze blog wordt aan de hand van privacy by design uitgelegd hoe organisaties bij het ontwerp van volgtechnieken, zoals wifi-tracking, rekening moeten houden met privacy.
Wat is Privacy by design?
De AVG stelt verplicht dat organisaties privacy by design moeten toepassen. Dat betekent dat organisaties al in het ontwerpproces moeten nadenken hoe ze de privacy van gebruikers kunnen waarborgen in hun dienst of product. Zo kunnen organisaties persoonsgegevens anonimiseren of deze verwijderen zodra ze niet meer nodig zijn voor het beoogde doel. Een ander voorbeeld van privacy by design is het pseudonimiseren van persoonsgegevens als beveiligingsmaatregel. Privacy Company heeft met steun van het SIDN fonds een privacy by design framework ontwikkeld. Dit framework bestaat uit 7 onderdelen, namelijk dataminimalisatie, pseudonimiseren, encryptie , access control , data protection by default , verwijderen/bewaartermijnen en faciliteren van rechten van betrokkenen.
Hoe kan privacy by design toegepast worden op wifi-tracking?
In de praktijk betekent dat bedrijven en gemeenten voor het uitvoeren van wifi tracking kritisch moeten nagaan welke persoonsgegevens daadwerkelijk nodig zijn voor het beoogde doel, zoals het uitvoeren van een publieke taak of genereren van bedrijfseconomische gegevens. Hoe minder persoonsgegevens er worden verwerkt, des te beter; select before you collect.
Bij het toepassen van wifi-tracking of een vergelijkbare volgtechnieken zijn verschillende privacy-by-design technieken te gebruiken. Welke technieken ingezet kunnen worden, is afhankelijk van het doel van de verwerking. Als het doel is om individuele personen te volgen om ze later bijvoorbeeld advertenties te tonen op basis van hun winkelpatronen kunnen organisaties de verzamelde gegevens niet anonimiseren. Wat ze wel kunnen doen, als beveiligingsmaatregel, is het hashen van identificerende gegevens zoals MAC-adressen.
Als het doel beperkter is, bijvoorbeeld druktemetingen, kunnen de verantwoordelijke organisaties meer privacybeschermende maatregelen treffen. Het is dan bijvoorbeeld mogelijk om de verzamelde gegevens na bijvoorbeeld enkele seconden op de sensor te aggregeren tot statistieken en alleen deze statistieken centraal op te slaan. Er worden op die manier nog steeds persoonsgegevens verwerkt, maar de inbreuk op de persoonlijke levenssfeer is aanzienlijk beperkt. Voor doeleinden die verder gaan dan pure druktemetingen zijn meer complexe privacy-by-design technieken mogelijk. Door het gebruik van bijvoorbeeld Bloom-filters kunnen meetgegevens worden geanonimiseerd op een manier die het nog wel toestaat om statistieken te krijgen over drukte, bezoekersstromen tussen sensoren en terugkerende bezoekers, terwijl de kans op heridentificatie minimaal is.
Een andere privacy by design maatregel die een organisatie kan treffen, is om de bewaartermijn van de gegevens in de software te programmeren, zodat de gegevens automatisch na bepaalde tijd worden verwijderd. Het bedrijf moet om te voldoen aan de AVG de bewaartermijn sowieso vastleggen in het bewaartermijnenbeleid en/of in de (verwerkers-)overeenkomst. De Autoriteit Persoonsgegevens wijst erop dat organisaties de persoonsgegevens maar gedurende een beperkte periode mogen bewaren, zolang het noodzakelijk is voor het doel van de wifi-tracking. Zo mogen bedrijven de meetgegevens binnen hun winkels maximaal 24 uur bewaren.
Pas privacy by design toe om wifi-tracking privacy vriendelijker te maken!
Door middel van privacy by design kan een trackingbedrijf statistieken genereren op basis van wifi-signalen met een minimale privacy-impact op de betrokkenen. Als het anonimiseren technisch niet mogelijk is, kunnen organisaties ook pseudonimiseringstechnieken inzetten om de persoonsgegevens beter te beschermen. Hulp nodig bij het toepassen van Privacy by Design, neem dan even contact met ons op.