De gemeente Enschede heeft zich bij het tellen van voorbijgangers in de binnenstad niet schuldig gemaakt aan privacyschending. Althans, de rechtbank in Zwolle oordeelt dat er niet aantoonbaar is gemaakt dat individuele personen geïdentificeerd konden worden via het wifisignaal in hun mobiele telefoon. Een boete van 600.000 euro die door privacywaakhond AP was opgelegd, hoeft de gemeente dus niet te betalen.
In de periode mei 2018 tot april 2020 werden ongeveer een miljoen voorbijgangers in de winkelstraten van de Enschedese binnenstad geteld aan de hand van hun wifisignaal. Sensoren vangen deze signalen op. Via de signalen wordt een code van twaalf tekens (het zogeheten MAC-adres) verzonden die uniek is voor de smartphone. Zo kan worden vastgesteld welke route een bepaalde telefoon - dus een persoon - aflegt door de binnenstad. Volgens de Autoriteit Persoonsgegevens (AP) was daarom sprake van privacyschending.
Aan de hand van drie onderzoeksvoorbeelden legde de privacywaakhond de gemeente Enschede in het voorjaar van 2021 een boete van 600.000 euro op. Sprekend was de telefoon die elke nacht tussen 4.00 en 5.00 uur opdook. Een nachtelijke wandelaar dus. De AP is van mening dat daarmee vrij eenvoudig de identiteit van die persoon is vast te stellen.
Dat het bedrijf dat de data voor de gemeente verwerkte de unieke codes 'afknipte' en een (vaste) versleutelcode gebruikte, deed daar volgens de AP niets aan af. De gemeente Enschede heeft zich altijd tegen deze uitleg verzet en ging bij de bestuursrechter in Zwolle in beroep tegen de boete. De uitspraak in die zaak was deze vrijdagmiddag.
De rechtbank gaat niet mee in de lezing van de Autoriteit Persoonsgegevens. Die heeft volgens de rechter onvoldoende onderzocht of de identiteit van de gebruikers daadwerkelijk te achterhalen was. De AP zou te veel zijn uitgegaan van aannames in plaats van feitelijke vaststellingen. "Dat medewerkers (van de gemeente of het ingehuurde bedrijf met toegang tot de database, red.) dit zouden kunnen doen, overtuigt de rechtbank niet", staat er in het vonnis.
Volgens de rechter rust er bij het opleggen van bestuurlijke boetes een zware bewijslast bij organisaties als de AP. Het rapport en de bevindingen op basis waarvan de privacywaakhond tot haar conclusie is gekomen, overtuigt de bestuursrechter daarin niet. De boete wordt dus ongegrond verklaard. "De AP heeft kennis genomen van de uitspraak en bestudeert deze zorgvuldig", aldus een woordvoerster. Een beroepsprocedure bij de Raad van State is nog mogelijk.
Wethouder Harmjan Vedder van de gemeente Enschede zegt in een persverklaring dat hij blij is 'dat de rechter de onterechte megaboete van 600.000 euro schrapt'. "Dit onderstreept dat we zorgvuldig zijn omgegaan met de privacy van onze inwoners en de bezoekers van onze stad", aldus Vedder. "We blijven een grote verantwoordelijkheid houden om ethisch om te gaan met data en technologie. Ook in deze zaak heeft dat voor ons voorop gestaan."
De Enschedese 'wifizaak' kan worden gezien als een voorbeeldzaak voor heel Nederland. De uitspraak van deze vrijdag betekent in principe dat gemeenten (die na het opleggen van de boete aan Enschede massaal hun tellingen staakten) het gebruik van wifisensoren onder voorwaarden kunnen hervatten, tenzij er in een eventueel hoger beroep alsnog een ander oordeel volgt. Dit kan een belangrijke rol spelen bij het verder ontwikkelen van zogeheten 'smart cities'.