Grondslagen bij wifitracking en bluetoothtracking

Grondslag voor wifitracking en bluetoothtracking

In artikel 6 van de AVG staan  6 grondslagen genoemd. Hiervan komen 3 grondslagen in aanmerking voor wifitracking en bluetoothtracking door bedrijven: 

• toestemming;
• overeenkomst;
• gerechtvaardigd belang.

Of u wifitracking en bluetoothtracking kunt baseren op een van deze grondslagen, hangt af van uw specifieke situatie. 

Grondslag toestemming

Volgens deze grondslag mag u persoonsgegevens verwerken als de betrokkenen hiervoor toestemming hebben gegeven. De grondslag toestemming komt in aanmerking voor wifi- en bluetoothtracking. Alleen is het praktisch en technisch gezien lastig uitvoerbaar door de voorwaarden waaraan toestemming moet voldoen. Want toestemming is alleen geldig als deze aan een aantal eisen voldoet.

Grondslag overeenkomst

Is het noodzakelijk om iemand te volgen met wifi- en bluetoothtracking om een overeenkomst met die persoon uit te voeren? Dan kunt u deze verwerking van persoonsgegevens mogelijk baseren op de grondslag overeenkomst. Of dit zo is, hangt af van het volgende:

• Is de verwerking van persoonsgegevens strikt noodzakelijk?
• Geeft de gebruiker toestemming voor eventuele verwerking van informatie uit randapparatuur?

Verwerking persoonsgegevens noodzakelijk?

Een betrokkene en u zijn vrij om overeen te komen wat u wilt (contractsvrijheid). Mits u aan het Burgerlijk Wetboek voldoet (niet in strijd met goede zeden etc.). Dat u een overeenkomst met iemand sluit, betekent echter niet automatisch dat u zich ook kunt beroepen op de grondslag overeenkomst.

U moet namelijk afwegen of het verwerken van de gegevens noodzakelijk is. Daarbij moet u vaststellen wat de precieze redenen zijn voor het contract. Dat wil zeggen: de inhoud, het doel en of de gegevensverwerking echt noodzakelijk is om dat doel te behalen.

Dat u wifitracking en bluetoothtracking opneemt in de overeenkomst, wil dus niet automatisch zeggen dat u ook voldoet aan de eis dat deze verwerking noodzakelijk is om de overeenkomst uit te voeren.

Toestemming verwerking informatie uit randapparatuur

Krijgt u bij wifitracking en bluetoothtracking toegang tot informatie in de randapparatuur van een gebruiker door de manier waarop de wifi- of bluetoothsensoren gegevens hiervan uitlezen? Zoals identifiers en locatiegegevens? Dan mag dit alleen als de gebruiker hiervoor toestemming heeft gegeven.

Is deze verwerking van informatie uit de randapparatuur van de gebruiker niet noodzakelijk om de overeenkomst uit te voeren? Dan geldt de toestemming alleen als:

• de betrokkene afzonderlijk toestemming kan geven voor deze verwerking;
• u de overeenkomst ook uitvoert als de betrokkene géén toestemming geeft.

Grondslag gerechtvaardigd belang

Of u de grondslag gerechtvaardigd belang kunt gebruiken, hangt ervan af wat het doel is van de wifitracking en bluetoothtracking.

De verwerking van persoonsgegevens in de openbare ruimte heeft extra impact. De overheid mag dit alleen als er wetgeving is. Een private partij kan vaak geen beroep doen op de grondslag gerechtvaardigd belang. 

Soms kunt u als bedrijf wel een beroep op deze grondslag doen. Bijvoorbeeld als wifi- en bluetoothtracking noodzakelijk is om:

• het private eigendom te beschermen in de openbare ruimte;
• de veiligheid van voorbijgangers te waarborgen, bijvoorbeeld in een station;
• gevaarlijke drukte op bepaalde punten te voorkomen (‘crowd control’). 

De bescherming van privaat eigendom in de openbare ruimte geldt als een gerechtvaardigd belang. Ook de bescherming van de fysieke veiligheid van mensen is aan te merken als een gerechtvaardigd belang. Om dit belang te beschermen, kan het voor u als bedrijf noodzakelijk zijn om (ook) persoonsgegevens te verwerken. 

U voldoet daarmee aan de eerste eis om een beroep te kunnen doen op de grondslag van gerechtvaardigd belang. U moet dan nog wel voldoen aan de andere voorwaarden van artikel 6, eerste lid, onder f van de AVG:

• uw verwerking moet voldoen aan de vereisten van proportionaliteit en subsidiariteit;
• u moet uw belangen en die van de betrokkenen tegen elkaar afwegen.

Proportionaliteit en subsidiariteit

Het vereiste van proportionaliteit houdt in dat de inbreuk op de privacy van de betrokkenen in verhouding moet staan tot het doel van de wifitracking of bluetoothtracking.

Het vereiste van subsidiariteit houdt in dat er geen minder zwaar middel mogelijk is dan wifitracking of bluetoothtracking, dat minder inbreuk maakt op de privacy.

Zo moet u toelichten waarom u uw gerechtvaardigd belang niet op een andere manier en zonder de verwerking van persoonsgegevens even effectief kan beschermen.

Belangenafweging

Bij de belangenafweging speelt mee of u extra maatregelen treft om de ongewenste gevolgen voor betrokkenen te voorkomen of beperken. Bijvoorbeeld door:

• De trackinggegevens onmiddellijk, op de sensor, te anonimiseren.
• Per meetlocatie de gegevens telkens op een andere manier te hashen, zodanig dat er geen technische mogelijkheid is om betrokkenen door de tijd heen over meerdere locaties te volgen.
• Nadere waarborgen te treffen, zoals het beperken van de metingen in ruimte en tijd tot specifieke tijden en locaties (in plaats van 24 uur per dag en 7 dagen per week meten).
• Een andere manier is om betrokkenen de mogelijkheid te bieden zich af te melden voor wifitracking en bluetoothtracking (opt-out). Hierdoor kunnen zij zich onttrekken aan metingen in hun (privé)omgeving. Het is hierbij belangrijk dat u de opt-outmogelijkheid duidelijk kenbaar maakt.