FYI.

This story is over 5 years old.

Tech

In de FEBO wordt jouw (snack)gedrag illegaal getrackt

De Autoriteit Persoonsgegevens heeft de leverancier van de trackingkastjes een dwangsom opgelegd.

Snackers, opgelet. De bekende snackbarketen FEBO heeft al sinds mei 2014 kastjes in hun filialen staan die bijhouden hoeveel mensen er langslopen, hoeveel mensen er naar binnen lopen en welke mensen dat zijn. Bluetrace, het bedrijf dat de kastjes levert, is gisteren na verschillende waarschuwingen van de Autoriteit Persoonsgegevens een dwangsom opgelegd om binnen zes maanden te voldoen aan de privacywetgeving. Ergo: je snackgedrag wordt illegaal getrackt.

Advertentie

Naast de welbekende wereld van online tracking, bestaat er sinds een poos een hele industrie rond het tracken van gedrag van mensen in het echte leven. Dankzij onze smartphone, die als een wanhopige dertiger constant op zoek is naar verbindingen, kunnen bedrijven nu via wifi en/of Bluetooth binnen een straal van tientallen meters bepalen waar een telefoon is, welke kant deze opgaat en hoe snel deze beweegt.

De techniek heet wifi-tracking en wordt op steeds meer plekken ingezet om het gedrag van consumenten in het echte leven bij te houden. Zo toonde een onderzoek van RTL Z afgelopen juni aan dat er in meer dan dertig gemeenten – waaronder Amsterdam, Rotterdam en Utrecht – systemen in gebruik zijn die bijhouden waar mensen lopen en hoeveel mensen dat zijn.

Zoals je je kan voorstellen, is dit een beetje eng. De meeste mensen willen helemaal niet dat er zonder hun toestemming wordt bijgehouden hoe lang ze voor een winkel staan te dralen – en waarschijnlijk al helemaal niet als die winkel een snackbar is.

Privacywaakhond Autoriteit Persoonsgegevens (AP) buigt zich al langer over de problemen die dit soort systemen kunnen opleveren – en heeft zich met name gericht op Bluetrace, de trackingleverancier van FEBO. In januari en december 2014 bepaalde de privacywaakhond CBP dat Bluetrace niet aan de voorwaarden voldeed. Begin juni 2015 nog steeds niet. Eind 2015, dito.

Nu lijkt de maat vol en heeft het bedrijf onder dreiging van een dwangsom zes maanden de tijd om te voldoen aan alle eisen. In dit geval wil de AP vooral dat Bluetrace:

Advertentie

- geen persoonsgegevens verzamelt van omwonenden in aangrenzende of nabijgelegen woningen;
- de persoonsgegevens van voorbijgangers na het verzamelen direct verwijdert of anonimiseert;
- mensen in en buiten de winkels begrijpelijke informatie geeft over wie voor welk doel welke persoonsgegevens verwerkt, hoe lang deze worden bewaard en waar men meer informatie kan vinden.

De zeer onbehulpzame woordvoerder van Bluetrace verwees me bij een belletje hierover naar het persbericht dat zij gisteren uitstuurden om in zijn woorden de "wind uit de zeilen" van de AP te halen. In dit persbericht is te lezen dat "in de winkels en openbare ruimten waar Bluetrace de aanwezigheid van consumenten telt en meet, informatieborden worden geplaatst."

Tijdens mijn journalistieke bezoek aan de FEBO zojuist was dit in ieder geval nog niet het geval. Er stond nergens een waarschuwing of informatie. De grillburger was wel erg lekker. Daarnaast meldt de AP in hun persbericht over de goede voornemens van Bluetrace: "De informatie is echter onvolledig en onjuist. Ook wordt de informatie niet in alle gevallen op tijd, uiterlijk op het moment van vastleggen van de gegevens, gecommuniceerd."

Bluetrace vertelde me wel dat ze enkel bezoekers en voorbijgangers tellen en de mac-adressen waarmee apparaten geïdentificeerd worden meteen worden geanonimiseerd – al kan die anonimisatie volgens de AP te makkelijk worden teruggedraaid. Daarnaast kan de data gekoppeld worden aan andere identificerende informatie.

Advertentie

Dit bevestigt ook Rejo Zenger van privacyorganisatie Bits of Freedom. "Alle bedrijven die zich verdedigen door te zeggen dat ze gegevens anonimiseren door ze te hashen – dat klopt simpelweg niet." Bedrijven als Bluetrace zouden makkelijk de geanonimiseerde gegevens terug kunnen krijgen en bovendien zouden die gekoppeld kunnen worden aan andere informatie zoals camerabeelden of betalingsgegevens.

Je gaat niet ergens niet meer heen omdat je zo'n bordje ziet

Over de bordjes die geplaatst zouden moeten worden is hij ook snel klaar. "Je kan al bijna niet ontkomen aan dit soort tracking. Die bordjes waar mensen mee geïnformeerd worden zijn belangrijk, maar gaan daar niet zo veel aan veranderen." Je gaat niet ergens niet meer heen omdat je zo'n bordje ziet.

Het andere punt waar Bluetrace van de AP verbetering in moet aanbrengen, is misschien nog wel de kwalijkste: het tracken van omwonenden. Als je in de buurt van een FEBO woont, weet de snackgigant nu of je wel of niet thuis bent. Zenger vertelt dat dit probleem mogelijk opgelost zou kunnen door omwonenden hun mac-adres in een soort bel-me-niet-register op te laten nemen, "maar dan heb je weer een bedrijf die een lijst heeft van wie waar woont."

Sommige van deze trackingbedrijven, zoals Citytraffic, bieden een opt-out aan waar je je mac-adres kan invullen om niet getrackt te worden. Bij Bluetrace is dit echter niet het geval. Wat je wel kan doen? Je kan bijvoorbeeld je wifi en Bluetooth uitzetten, gebruik maken van een app als Pry-fi, of zoals Minister Kamp vorig jaar voorstelde, je telefoon uitzetten.

De titel van dit stuk gaat over FEBO, maar zij zijn in principe niet verantwoordelijk voor het gedrag van Bluetrace. Sorry dus dat ik jullie hier gebruik als voorbeeld, FEBO. Ik houd nog steeds van jullie grillburgers. Maar ik houd ook van mijn privacy.

Er zijn verschillende bedrijven die dit soort diensten aanbieden aan winkels en gemeenten. Je kan er dus rustig vanuit gaan dat er weinig plekken in het centrum van steden en dorpen zijn waar je NIET getrackt wordt. Zelfs bij het halen van een vette bek.

Zoals Ice Cube het wellicht zou zeggen als hij toevallig zowel geïnteresseerd was in gefrituurde snacks als in privacy:

Check yo self before you snack yourself.