Eerder ontstond in de media veel commotie over deze door AP opgelegde boete van € 600.000,-- Dat deed de AP na een onderzoek van bijna drie jaar naar de techniek van de tellingen. Dat de boete de tongen losmaakte is heel begrijpelijk, want dit gaat heel veel gemeenten in Nederland aan. Net als Enschede destijds, deden namelijk veel gemeenten aan wifitellingen. Nu heeft de rechtbank dus geoordeeld dat de boete onterecht was. Zie hiervoor de uitspraak van de Rechtbank Overijssel van 2 februari 2024, ECLI:NL:RBOVE:2024:594.

Wat was er aan de hand?

De AP meende dat Enschede met het uitvoeren van wifitellingen onrechtmatig persoonsgegevens had verwerkt, omdat Enschede daarvoor niet de benodigde grondslag uit de Algemene Verordening Gegevensbescherming (AVG) zou hebben. De autoriteit had de boete gebaseerd op een theoretische, potentiële mogelijkheid van identificatie van personen aan de hand van de met de wifitellingen verzamelde (gehashte en getruncate) MAC-adressen en locatiegegevens. Die gepseudonimiseerde c.q. geanonimiseerde MAC-adressen zouden volgens de AP in dit geval voor de gemeente Enschede kwalificeren als persoonsgegevens waarop de AVG van toepassing zou zijn. De AP stelde zelfs dat Enschede identificeerbare personen zou kunnen volgen.

Namens de gemeente Enschede voerden wij onder meer aan dat identificatie van personen in dit geval niet mogelijk is en dus dat er van persoonsgegevens geen sprake was. Van volgen van identificeerbare personen was volgens Enschede dus al helemaal geen sprake. Daarnaast voerde de gemeente aan dat AP in deze kwestie gedegen had moeten onderzoeken of de MAC-adressen voor de gemeente Enschede daadwerkelijk kwalificeerden als persoonsgegevens. Enschede is van mening dat de AP als toezichthoudende autoriteit de boete immers niet op enkele aannames kan baseren, maar zich moet houden bij de feiten. Die feiten moet zij gedegen onderzoeken. Dat heeft AP echter nagelaten en de rechter is dat met de gemeente eens, zo valt te lezen in het vonnis van 2 februari jl.:

“10. De rechtbank merkt op dat de AP bij de weerlegging van de bezwaren van eiser bij herhaling uitgaat van de onaannemelijkheid van omstandigheden en gelijkwaardige bewoordingen in plaats van zich te baseren op onderzoek naar feiten. Gewezen wordt op de volgende randnummers in het bestreden besluit van 6 april 2022. Nr. 22: “De AP acht het niet aannemelijk dat de sensoren daadwerkelijk 70 meter rondom de sensor signalen opvangen “. Nr. 30: ‘Dat dit bevragen er nooit, in geen enkel geval toe zou leiden dat iemand zijn MAC-adres afgeeft, acht de AP niet aannemelijk. Het is in elk geval niet uitgesloten ... “Nr. 37: “De AP heeft weliswaar niet vastgesteld dat inloggen op afstand mogelijk is (...) Hoewel de AP niet heeft onderzocht en vastgesteld (...)“ Nr. 39: “(...) waardoor niet aannemelijk is dat het voor PFM onmogelijk zou zijn om toegang te krijgen tot de informatie die is opgeslagen in het cachegeheugen.” Nr. 42: “De AP vindt het aannemelijk dat bij PFM de kennis en de programmeervaardigheden aanwezig zijn om uit de lange termijntabel ook leefpatronen te kunnen destilleren.”

En:

“13. De rechtbank is van oordeel dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat met het blote oog te achterhalen. De enkele stelling van de AP dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen overtuigt de rechtbank niet. De AP had, gelet op overweging 26 van de AVG moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, waarbij de kosten en de benodigde tijd voor identificatie met in achtneming van de beschikbare technologie op het tijdstip van verwerken en de technologische ontwikkelingen betrokken hadden moeten worden.”

Op grond hiervan is de rechtbank van oordeel dat de AP, met name gelet op de zware bewijslast die op verweerder berust in het geval van het opleggen van een bestuurlijke boete, niet heeft bewezen dat eiser met de door hem gebruikte methode persoonsgegevens heeft verwerkt van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld in de binnenstad van Enschede. Hieruit volgt dat de AP niet heeft bewezen dat eiser de hem verweten overtreding heeft begaan.”

Procesverloop

Sinds de boete werd opgelegd, zijn er jaren over heen gegaan voordat de rechter uitspraak kon doen. Hoe zit dat precies? Na het opleggen van de boete is de gemeente Enschede eerst in bezwaar gegaan bij de AP. De AP heeft vervolgens een zogenaamde beslissing op bezwaar genomen. In de beslissing op bezwaar d.d. 6 april 2022 werd het standpunt van de gemeente door de AP afgewezen. Daarop is de gemeente Enschede in beroep gegaan bij de rechtbank Overijssel. De rechter concludeerde dus recent dat de AP de boete op onjuiste gronden heeft opgelegd. Het beroep van de gemeente Enschede is gegrond en de rechter herroept de boete van 6 ton. De AP moet bovendien de proceskosten van de gemeente Enschede betalen.

Geen wifitracking, maar telling!

Hoe gingen de passantentellingen in de binnenstad van Enschede in zijn werk? Dat staat onder andere in de uitspraak van de rechter. Wij vatten het kort voor u samen. De gemeente Enschede gebruikte van 2018 tot 2020 wifisensoren om de drukte in de binnenstad te monitoren. Zij had daar een externe partij voor ingehuurd. In de periode van 25 mei 2018 tot en met 30 april 2020 werd met tien sensoren het MAC-adres opgevangen van gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld en die in de buurt van de sensor liepen. De MAC-adressen werden tijdelijk op het werkgeheugen van de sensor opgeslagen en vervolgens gehasht, waarna het gehashte MAC-adres direct naar de server van de externe partij werd doorgestuurd. Op de server werden van het gehashte MAC-adres (sedert 1januari 2019) de laatste drie karakters afgeknipt (getruncate).

De AP stelde zich op het standpunt dat de identiteit van een natuurlijke persoon niet direct volgt uit het gepseudonimiseerde MAC-adres en de locatiegegevens van de sensoren, maar dat de natuurlijke persoon op grond van deze identificatoren wel te identificeren zou zijn (r.o. 6 van het vonnis). Dat identificeren zou volgens de AP op drie verschillende manieren kunnen. Deze manieren heeft zij uitgewerkt in het Boetebesluit van 11 maart 2021.

Wij voerden namens de gemeente aan dat de AP op grond van de AVG gehouden is om te onderzoeken of de door haar genoemde manieren van identificatie het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat te achterhalen. Met andere woorden: de gemeente Enschede stelde zich op het standpunt dat de AP moet aantonen dat zij niet alleen een device (zoals een telefoon) kan onderscheiden, maar ook daadwerkelijk de identiteit van de gebruiker daarvan kan achterhalen. Met andere woorden; wat ons betreft moet je weten of de telefoon van Piet of Jan is, om te kunnen spreken van een persoonsgegeven. De AP kan daarbij niet volstaan met het noemen van enkele theoretische of hypothetische mogelijkheden en speculatieve gedachtenexperimenten. Wat ons betreft waren de drie manieren van identificatie waarop de AP de boete heeft gebaseerd dat echter wel. De rechter concludeert dat uit het onderzoek van de AP niet blijkt dat de identiteit van de gebruikers daadwerkelijk te achterhalen is (r.o. 12 en 13).

Waar zit hem dat in? Daarvoor moet eerst gekeken worden naar de definitie van ‘persoonsgegeven’ onder de AVG. Deze is opgenomen in artikel 4, onder 1, van de AVG:

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”);als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”

Overweging 26 van de AVG is van belang bij de uitleg van het begrip persoonsgegeven, deze luidt:

“De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.”

De AP stelde zich op het standpunt dat de identiteit van de natuurlijke persoon weliswaar niet direct volgt uit de data die de sensoren opvangen, maar dat de gebruiker op grond van deze identificatoren wel indirect te identificeren is aan de hand van een drietal identificatiemethoden. In de kern kwamen die alle drie neer op het ter plekke aanspreken van bezoekers in de binnenstad. Met deze methoden zou het volgens AP mogelijk zijn om de identiteit van de personen die horen bij een bepaald MAC-adres te achterhalen.

Namens gemeente Enschede voerden wij aan dat dat niet het geval is omdat niet redelijkerwijs te verwachten is dat de gemeente de identificatiemethoden waarop de AP haar boetebesluit heeft gebaseerd zal inzetten om tot identificatie te komen. Dat is de rechter met Enschede eens:

“De rechtbank is van oordeel dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat met het blote oog te achterhalen. De enkele stelling van de AP dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen overtuigt de rechtbank niet.”

En voorts oordeelt de rechter in r.o. 13 :

“De AP had, gelet op overweging 26 van de AVG moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, waarbij de kosten en de benodigde tijd voor identificatie met in achtneming van de beschikbare technologie op het tijdstip van verwerken en de technologische ontwikkelingen betrokken hadden moeten worden."

Met de uitspraak komt voorlopig een einde aan een langdurig en intensief traject, met een voor de gemeente bevredigende uitkomst. Op de website van de AP valt te lezen dat de AP de uitspraak momenteel bestudeert.