Uitspraak
RECHTBANK OVERIJSSEL
Zittingsplaats Zwolle
Bestuursrecht
zaaknummer: ZWO 22/775
uitspraak van de meervoudige kamer in de zaak tussen
het college van burgemeester en wethouders van Enschede, eiser,
gemachtigde: mr. M.H. Elferink,
en
Autoriteit Persoonsgegevens, hierna: AP,
gemachtigde: mr. J.M.A. Koster.
Inleiding
In deze uitspraak beoordeelt de rechtbank het beroep van eiser tegen de door de AP aan hem opgelegde bestuurlijke boete van € 600.000,-.
Met het bestreden besluit van 6 april 2022 op het bezwaar van eiser tegen het boetebesluit van 11 maart 2021 is de AP bij dat besluit gebleven.
De rechtbank heeft het beroep op 29 november 2023 op zitting behandeld. Eiser is verschenen bij K.B.H. Ligthart-Kaalverink, bijgestaan door de gemachtigde en mr. M.M. Kortier. De AP heeft zich laten vertegenwoordigen door zijn gemachtigde, bijgestaan door mr. W. van Steenbergen en V. Klos.
Verder is [naam] , hierna [naam] , gehoord.
Totstandkoming van het besluit
1.1
Op 5 september 2017 heeft eiser besloten om vanaf 6 september 2017 te starten met 24/7- passantentellingen via sensoren in de binnenstad van Enschede om inzicht te krijgen in de bezoekersaantallen. De opdracht daartoe is gegund aan [bedrijf 1] B.V., thans [bedrijf 1] . Dit bureau heeft voor de techniek [bedrijf 2] B.V. ingeschakeld.
1.2
Op 16 juli 2018 heeft de AP een klacht ontvangen van [naam] met het verzoek om handhavend op te treden tegen de gemeente Enschede vanwege wifi-tracking dat een inbreuk maakt op de privacy van de inwoners en bezoekers van Enschede.
1.3
De AP heeft op 2 december 2018 en 4 januari 2019 nog twee klachten over wifi-tracking door eiser ontvangen.
1.4
De AP heeft vervolgens een onderzoek ingesteld. In dit kader is informatie opgevraagd bij eiser, het [bedrijf 1] en [bedrijf 2] B.V. Toezichthouders van de AP hebben op 29 mei 2019 plaatselijk onderzoek gedaan bij een aantal winkeliers in de binnenstad van Enschede waar een sensor hing.
1.5
Op 21 april 2020 heeft de AP een onderzoeksrapport uitgebracht, waarin samengevat geconcludeerd is dat het verwerken van persoonsgegevens van eigenaren/gebruikers van mobiele apparaten waarop de wifi staat ingeschakeld in de binnenstad van Enschede onrechtmatig is. Verweerder concludeert dat eiser als verwerkingsverantwoordelijke vanaf 25 mei 2018 tot de datum van het rapport in strijd heeft gehandeld met de Algemene Verordening Gegevensbescherming (AVG).
1.6
De AP heeft naar aanleiding van dit rapport op 8 mei 2020 het voornemen bekend gemaakt om eiser een sanctie op te leggen, te weten een bestuurlijke boete en/of een last onder dwangsom.
1.7
Eiser heeft een zienswijze ingediend tegen dit voornemen.
1.8
Bij besluit van 11 maart 2021 heeft de AP eiser een bestuurlijke boete opgelegd van € 600.000,- omdat eiser (van 25 mei 2018 tot en met 30 april 2020) zonder grondslag persoonsgegevens heeft verwerkt van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld in de binnenstad van Enschede. Daarmee heeft eiser artikel 5, eerste lid onder a, jo. artikel 6, eerste lid van de AVG overtreden.
1.9
Eiser heeft tegen dit besluit bezwaar gemaakt. Op 16 september 2021 heeft een hoorzitting plaats gevonden.
1.1
Bij het in beroep bestreden besluit van 6 april 2022 heeft de AP het bezwaar ongegrond verklaard.
Beoordeling door de rechtbank
Is [naam] aan te merken als derde-partij?
2.1
De rechtbank heeft [naam] op aangeven van de AP als derde-partij aangemerkt. Eiser heeft zich op het standpunt gesteld dat [naam] niet als zodanig is aan te merken.
2.2
[naam] heeft een verzoek om handhaving ingediend. Zo’n verzoek is slechts een aanvraag in de zin van artikel 1:3, derde lid, van de Algemene wet bestuursrecht (Awb), indien dit verzoek door een belanghebbende is gedaan. De reactie op zo’n verzoek ingediend door een belanghebbende, is vervolgens een besluit als bedoeld in artikel 1:3, eerste lid, van de Awb, waartegen rechtsmiddelen kunnen worden aangewend. Onder belanghebbende wordt ingevolge artikel 1:2, eerste lid, van de Awb verstaan: degene wiens belang rechtstreeks bij een besluit is betrokken. Alleen wie een voldoende objectief en actueel, eigen en persoonlijk belang heeft dat rechtstreeks betrokken is bij het handhavingsbesluit, is in beginsel belanghebbende bij dat besluit. Het is de vraag of [naam] zo’n belang heeft.
2.3
Ter zitting heeft [naam] onweersproken verklaard dat hij – bewoner van Enschede – met ingeschakelde wifi op zijn mobiele telefoon de sensoren in de binnenstad heeft gepasseerd en zal zijn gesignaleerd. Hij vindt dit verwerking van persoonsgegevens en acht dit een schending van zijn privacy.
2.4
Naar het oordeel van de rechtbank onderscheidt [naam] zich met dit passeren van de sensoren niet van andere personen die de binnenstad van Enschede bezoeken, maar is hij wel als belanghebbende aan te merken, mits vast komt te staan dat eiser in strijd met de AVG persoonsgegevens heeft verwerkt. Reden daarvoor is dat de Europeesrechtelijke bescherming van de persoonlijke levenssfeer daartoe noopt. Daarmee hangt het antwoord op de vraag of [naam] als derde-partij in deze zaak is aan te merken af van het oordeel van de rechtbank in deze uitspraak of eiser persoonsgegevens heeft verwerkt. De rechtbank vindt voor deze wijze van beoordeling steun in de uitspraak van de Afdeling bestuursrechtspraak van de Raad van State d.d. 18 februari 2018 (ECLI:NL:RVS:2018:590).
Toetsingskader
3.1
Ingevolge artikel 4, onder 1, van de AVG wordt onder persoonsgegevens verstaan: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
3.2
Onder overweging 26 van de AVG is bepaald dat de beginselen van gegevensbescherming voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon moeten gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
3.3
Artikel 5, eerste lid, onder a, van de AVG bepaalt dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”).
3.4
Ingevolge artikel 6, eerste lid, van de AVG is de verwerking alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a)
de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens
voor een of meer specifieke doeleinden;
b)
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de
betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een
overeenkomst maatregelen te nemen;
c)
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de
verwerkingsverantwoordelijke rust;
d)
de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een
andere natuurlijke persoon te beschermen;
e)
de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of
van een taak in het kader van de uitoefening van het openbaar gezag dat aan de
verwerkingsverantwoordelijke is opgedragen;
f)
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van
de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de
grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van
persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de
betrokkene een kind is.
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
3.5
De AP kan op grond van artikel 18, eerste lid, van de Uitvoeringswet AVG in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de AVG door een overheidsinstantie of een overheidsorgaan een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.
3.6
Artikel 83, vijfde lid, aanhef en onder a, van de AVG bepaalt dat inbreuken op de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9 zijn onderworpen aan administratieve geldboeten tot € 20.000.000,--.
Is sprake van een overtreding? Is sprake van (verwerken van) persoonsgegevens?
4. De rechtbank wijst erop dat volgens vaste rechtspraak, als het opleggen van een bestuurlijke boete door een bestuursorgaan een discretionaire bevoegdheid betreft, de bewijslast van de overtreding bij het bestuursorgaan ligt, waarbij aan de bewijsvoering hoge eisen worden gesteld. De rechtbank zal toetsen of de AP genoegzaam bewijs heeft geleverd voor de stelling dat eiser in strijd met artikel 5, eerste lid onder a, jo. artikel 6, eerste lid van de AVG persoonsgegevens heeft verwerkt.
5. Uit de door eiser en de AP overgelegde stukken blijkt dat in het kader van de beoogde passantentelling in de binnenstad van Enschede in de periode van 25 mei 2018 tot en met 30 april 2020 met tien sensoren het MAC-adres is opgevangen van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld. De MAC-adressen werden tijdelijk op het werkgeheugen van de sensor opgeslagen en vervolgens gehasht (gepseudonimiseerd), waarna het gehashte MAC-adres direct naar de server van PFM werd doorgestuurd. Op de server werden van het gehashte MAC-adres (sedert 1 januari 2019) de laatste drie karakters afgeknipt.
6. De AP stelt zich op het standpunt dat de identiteit van de natuurlijke persoon niet direct volgt uit het MAC-adres dan wel het gepseudonimiseerde MAC-adres en de locatiegegevens van de sensoren, maar dat de natuurlijke persoon op grond van deze identificatoren wel te identificeren is.
7. De AP heeft hiertoe drie verschillende manieren genoemd, te weten:
a.
identificatie van personen aan de hand van de gegevens opgeslagen op de sensor:
identificatie van personen aan de hand van de gegevens opgeslagen op de sensor:
PFM kent de exacte locatie van de sensoren en heeft toegang tot het werkgeheugen en de software die draait op elke sensor. Tegelijk met een nieuwe detectie van een mobiel apparaat door een sensor is het voor iemand van PFM mogelijk om ter plaatse waar te nemen welke persoon binnen het bereik van de sensor loopt. Vooral op stille momenten in de binnenstad leidt dit direct tot identificatie van natuurlijke personen. Ter controle kan de persoon worden gevraagd naar zijn/haar MAC-adres.
identificatie van personen aan de hand van de gegevens in de kortetermijntabel (tot 1 januari 2019):
PFM draagt zorg voor het verzamelen en valideren van de gegevens. De kortetermijntabel op de server berust bij PFM. Van mobiele apparaten die het bereik van een sensor ingaan worden gegevens met daaraan gekoppeld ‘status 1’ opgenomen in de kortetermijntabel en als hetzelfde mobiele apparaat even later het bereik van de sensor weer verlaat, dan worden gegevens met ‘status 2’ verzonden naar de kortetermijntabel. Indien echter een mobiel apparaat binnen het bereik van een bepaalde sensor blijft, bijvoorbeeld omdat die persoon daarbinnen woont of werkt, dan staat er in de kortetermijntabel alleen een status 1 record met daarbij het gepseudonimiseerde MAC-adres, datum en tijdstip. Als voor langere tijd een status 2 record uitblijft dan is het PFM bekend dat de betreffende persoon (mogelijk bewoner of winkelmedewerker) zich nog steeds binnen het bereik van de sensor bevindt. Iemand van PFM kan vervolgens ter plaatse vaststellen om welke persoon het gaat en de persoon identificeren.
identificatie van personen aan de hand van de gegevens in de langetermijntabel:
Voor PFM is het ook op basis van de historische gegevens, opgenomen in de langetermijntabel op de server, mogelijk om natuurlijke personen te identificeren. Verweerder heeft vastgesteld dat er in de langetermijntabel van ná 1 januari 2019, dus na invoering van het afknippen van drie karakters van het gehashte MAC-adres, leef- en bewegingspatronen te herkennen zijn. Dit zal ook het geval zijn in de langetermijntabel van vòòr 1 januari 2019, toen er nog unieke gepseudonimiseerde MAC-adressen in stonden, omdat toen ook steeds zes maanden aan gegevens werden bewaard. Aan de hand van een patroon is het voor PFM mogelijk om te voorspellen wanneer de betreffende natuurlijke persoon zich ergens bevindt, bijvoorbeeld de persoon die elke nacht tussen 04:00 en 05:00 uur zich beweegt tussen sensoren in de binnenstad van Enschede. In de nacht lopen er nauwelijks andere mensen op straat en is het voor PFM mogelijk om ter plaatse deze persoon te identificeren.
8. Deze drie manieren van identificatie van natuurlijke personen vergen van PFM volgens de AP, gelet op de vereiste tijd, kosten en mankracht, geen excessieve inspanning. Dat medewerkers van PFM deze middelen in de praktijk niet inzetten om personen in de binnenstad van Enschede te identificeren doet er niet aan af dat ze dit redelijkerwijs zouden kunnen. De identificatie kan ook door medewerkers van [bedrijf 1] gedaan worden omdat hij op basis van de service level agreement met PFM toegang heeft tot alle gegevens die PFM verzamelt. Ook eiser kan de identificatie doen omdat hij op basis van de bewerkersovereenkomst met [bedrijf 1] ook toegang heeft tot alle gegevens.
9. De AP komt tot de conclusie dat de combinatie van MAC-adres en locatiegegevens en de combinatie gepseudonimiseerd MAC-adres en locatiegegevens op de sensor vanaf 25 mei 2018 tot en met 30 april 2020 en in de korte- en lagentermijntabel tot aan 1 januari 2019 kwalificeren als persoonsgegevens in de zin van de AVG.
10. De rechtbank merkt op dat de AP bij de weerlegging van de bezwaren van eiser bij herhaling uitgaat van de onaannemelijkheid van omstandigheden en gelijkwaardige bewoordingen in plaats van zich te baseren op onderzoek naar feiten. Gewezen wordt op de volgende randnummers in het bestreden besluit van 6 april 2022. Nr. 22:
“De AP acht het niet aannemelijk dat de sensoren daadwerkelijk 70 meter rondom de sensor signalen opvangen”. Nr. 30:
“Dat dit bevragen er nooit, in geen enkel geval, toe zou leiden dat iemand zijn MAC-adres afgeeft, acht de AP niet aannemelijk. Het is in elk geval niet uitgesloten …”Nr. 37:
“De AP heeft weliswaar niet vastgesteld dat inloggen op afstand mogelijk is (…) Hoewel de AP niet heeft onderzocht en vastgesteld (…)”Nr. 39:
“(…) waardoor niet aannemelijk is dat het voor PFM onmogelijk zou zijn om toegang te krijgen tot de informatie die is opgeslagen in het cachegeheugen.” Nr. 42:
“De AP vindt het aannemelijk dat bij PFM de kennis en de programmeervaardigheden aanwezig zijn om uit de langetermijntabel ook leefpatronen te kunnen destilleren.”
“De AP acht het niet aannemelijk dat de sensoren daadwerkelijk 70 meter rondom de sensor signalen opvangen”. Nr. 30:
“Dat dit bevragen er nooit, in geen enkel geval, toe zou leiden dat iemand zijn MAC-adres afgeeft, acht de AP niet aannemelijk. Het is in elk geval niet uitgesloten …”Nr. 37:
“De AP heeft weliswaar niet vastgesteld dat inloggen op afstand mogelijk is (…) Hoewel de AP niet heeft onderzocht en vastgesteld (…)”Nr. 39:
“(…) waardoor niet aannemelijk is dat het voor PFM onmogelijk zou zijn om toegang te krijgen tot de informatie die is opgeslagen in het cachegeheugen.” Nr. 42:
“De AP vindt het aannemelijk dat bij PFM de kennis en de programmeervaardigheden aanwezig zijn om uit de langetermijntabel ook leefpatronen te kunnen destilleren.”
11. Verder begrijpt de rechtbank dat de AP de in het boetebesluit van 11 maart 2021 genoemde waarneming van natuurlijke personen met een camera als mogelijk niet legaal middel in het bestreden besluit van 6 april 2022 heeft laten vallen.
12. De rechtbank constateert dat de AP haar besluiten in essentie heeft gebaseerd op de mogelijkheid voor eiser om natuurlijke personen aan de hand van gehashte, gepseudonimiseerde en afgeknipte MAC-adressen ter plaatse te identificeren. Hierbij gaat de AP in de genoemde manieren uit van de mogelijkheid dat een medewerker van de door eiser ingeschakelde bureaus of een medewerker van eiser zelf op enig moment in de vroege ochtend, als er weinig mensen op straat zijn, ter plaatse in staat zou kunnen zijn om vast te stellen dat een specifieke, unieke gebruiker van een mobiel apparaat zich binnen het bereik van een sensor bevindt en deze persoon dan mogelijk zou kunnen identificeren.
13. De rechtbank is van oordeel dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat met het blote oog te achterhalen. De enkele stelling van de AP dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen overtuigt de rechtbank niet. De AP had, gelet op overweging 26 van de AVG moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, waarbij de kosten en de benodigde tijd voor identificatie met in achtneming van de beschikbare technologie op het tijdstip van verwerken en de technologische ontwikkelingen betrokken hadden moeten worden.
14. Op grond hiervan is de rechtbank van oordeel dat de AP, met name gelet op de zware bewijslast die op verweerder berust in het geval van het opleggen van een bestuurlijke boete, niet heeft bewezen dat eiser met de door hem gebruikte methode persoonsgegevens heeft verwerkt van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld in de binnenstad van Enschede. Hieruit volgt dat de AP niet heeft bewezen dat eiser de hem verweten overtreding heeft begaan.
15. Hieruit volgt vervolgens dat [naam] niet als derde-partij is aan te merken.
Conclusie
16. De AP heeft eiser op onjuiste gronden een bestuurlijke boete opgelegd zodat dit besluit niet in stand kan blijven. Het beroep van eiser is gegrond. De rechtbank zal het bestreden besluit van 6 april 2022 vernietigen en het boetebesluit van 11 maart 2021 herroepen.
17. De rechtbank ziet aanleiding de AP te veroordelen in de proceskosten van eiser. Deze kosten zijn op grond van het Besluit proceskosten bestuursrecht (Bpb) berekend op € 2.998,- (1 punt voor het bezwaarschrift + 1 punt voor de hoorzitting à € 624,- per punt + 1 punt voor het beroepschrift + 1 punt voor het verschijnen ter zitting x wegingsfactor 1 x € 875,- per punt).
18.1
Eiser heeft verzocht om vergoeding van reis- en verletkosten van de namens haar verschenen vertegenwoordiger K.B.H. Ligthart-Kaalverink. Aan reiskosten is een bedrag van € 148,90 gedeclareerd en aan verletkosten een bedrag van € 356,- voor twee uur ten behoeve van het bijwonen van de zitting.
18.2
De rechtbank is van oordeel dat de reiskosten voor vergoeding in aanmerking komen. De reiskosten worden vergoed op basis van het openbaar vervoer, tweede klas. Daarom stelt de rechtbank de voor vergoeding in aanmerking komende reiskosten vast op € 29,78.
18.3
Voor een vergoding van de verletkosten ingevolge artikel 2, eerste lid, aanhef en onder e, van het Bpb bestaat geen aanleiding nu naar het oordeel van de rechtbank mevrouw Lighart-Kaalverink in dienst is bij eiseres en niet is gebleken dat zij onbetaald verlof heeft moeten opnemen voor het bijwonen van de zitting. Daarnaast zijn deze kosten op geen enkele wijze onderbouwd.
19, Tevens bestaat aanleiding om de AP te gelasten het door eiser betaalde griffierecht van € 365,- te laten vergoeden.
Beslissing
De rechtbank
- verklaart het beroep gegrond;
- vernietigt het bestreden besluit;
- herroept het besluit van 11 maart 2021;
- veroordeelt de AP in de proceskosten, tot op heden begroot op € 3.027,78;
- gelast dat de AP aan eiseres het door haar betaalde griffierecht van € 365,- vergoedt.
Deze uitspraak is gedaan door mr. J.W.M. Bunt, voorzitter, en mr. A. Oosterveld en
mr. W.J.B. Cornelissen, leden, in aanwezigheid van Y. van Arnhem, griffier. De uitspraak is uitgesproken in het openbaar op
griffier
voorzitter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Informatie over hoger beroep
Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden. Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State vragen om een voorlopige voorziening (een tijdelijke maatregel) te treffen.