Dwangsom voor bedrijf dat mensen volgt via mobieltje

Winkeliers mogen niet zomaar wifi-signalen van mobiele apparaten volgen om informatie te verzamelen over het gedrag van bezoekers en voorbijgangers.

Een wifi-tracker aan het plafond van een elektronicawinkel. Foto Remko de Waal/ANP

De Autoriteit Persoonsgegevens (AP) heeft een dwangsom opgelegd aan Bluetrace. Dat bedrijf volgt het gedrag van winkelpubliek en brengt dat in kaart door wifi- en Bluetooth-signalen van smartphones te volgen. Het bedrijf handelt volgens de AP in strijd met de Wet bescherming persoonsgegevens.

Het publiek wordt volgens de AP niet goed voorgelicht, zij zouden niet op de hoogte zijn dat zij gevolgd worden. Ook wil de privacywaakhond dat Bluetrace binnen zes maanden stopt met het verzamelen van gegevens van mensen die in winkelgebieden wonen, omdat zij niet gevolgd mogen worden. Daarnaast moeten persoonsgegevens direct geanonimiseerd of verwijderd worden.

Voldoet Bluetrace niet aan de wensen van de Autoriteit Persoonsgegevens, dan kan het een boete van 5.000 euro per week verwachten.

De wifi-trackers van Bluetrace houden bij waar mensen zich in de of rond de winkel begeven, en hoeveel tijd ze daar doorbrengen. Dat doet het bedrijf door bij te houden waar bijvoorbeeld telefoons zich in de winkel bevinden, onder meer aan de hand van gegevens die gratis wifi-netwerken opleveren. Bluetrace verkoopt die informatie aan onder meer winkelketens en winkelcentra. Het bedrijf is naar eigen zeggen marktleider op het gebied van meet- en telsystemen op basis van wifi- en bluetoothsignalen in Nederland.

‘Voldoen wel aan regelgeving’

Bluetrace vindt dat het juist wel voldoet aan de wens van de Autoriteit Persoonsgegevens. Het zegt consumenten te vertellen dat het “zogenaamde MAC-adres van zijn mobiele apparaat, bijvoorbeeld telefoon of tablet wordt getrackt”. In winkels en openbare ruimten waar Bluetrace-apparaten zijn, worden informatieborden geplaatst.

Bluetrace voldoet al volledig aan de eisen die worden gesteld aan de privacy bescherming van consumenten. Het bedrijf werkt conform de Europese ‘General Data Protection Regulation’. Deze regelgeving wordt binnen twee jaar ook in Nederland ingevoerd.

Het bedrijf werd eerder al op de vingers getikt door de autoriteit. Het bedrijf nam toen maatregelen, maar dat is volgens de autoriteit onvoldoende gebeurd. Bluetrace heeft het volgen van winkelend publiek beperkt tot de openingstijden en bewaart zijn gegevens nu 24 uur.

Dixons

In het verleden werkte Bluetrace onder meer voor BAS Group, de toenmalige eigenaar van onder meer Dixons, MyCom en iCenter. In tweehonderd winkels werd apparatuur geïnstalleerd om het gedrag van klanten te volgen, ook via mobiele apparaten. Het toenmalige CBP - dat nu de AP is - waarschuwde toen al dat de wifi-gegevens persoonsgegevens zijn en dus door wetgeving beschermd worden.

Andere klanten van het bedrijf zijn FEBO, dat wilde weten hoeveel voorbijgangers de snackbar in lopen, en de gemeente Gouda, dat mede dankzij een gratis wifi-netwerk mensenstromen in de gaten kan houden.