Jaarlijks betaalt de stad Kortrijk 40.000 euro aavoor de info. Grote leverancier van deze privacy gevoelige informatie is Proximus die de verkoop van de gegevens als doordacht verdienmodel ziet. Kortrijk is het eerste ‘bekende’ voorbeeld van deze werkwijze maar slechts het begin van ‘ondoorzichtige’ verkoop van gegevens.  Hoewel men beweerd dat het anonieme gegevens zijn liet de schepen zich ontvallen dat de koppeling met data van Visa- en/of Bancontactgebruik een schat aan informatie geeft.

Arne Vandendriessche, schepen van Economie, licht toe dat Kortrijk onder bezoekers verstaat niemand die hier studeert, werkt of woont, maar enkel de mensen die hier komen om te shoppen of om iets te beleven.

“Wanneer we de gegevens combineren met data van het Visa- en/of Bancontactgebruik, weten we waar het geld wordt besteed en waarom mensen naar onze stad komen. Of welk evenement de bezoekers naar hier heeft gelokt”, zegt schepen Vandendriessche. 

Het Kortrijkse stadsbestuur koopt datarapporten aan bij Proximus. De grote gsm-operator houdt voortdurend bij hoeveel Proximus-klanten zich op welk moment in een bepaald gebied van de Kortrijkse binnenstad bevinden.

Autoriteit neemt haar verantwoordelijkheid in dit dossier niet 

Naar aanleiding van haar standpunt over het aanbieden door Proximus van rapporten op basis van anonieme locatiegegevens van hun eindgebruikers, haalde Matthias Dobbelaere eerder hard uit naar de Autoriteit. Hij liet verstaan dat de Autoriteit haar verantwoordelijkheid in dit dossier niet neemt, gezien ze “niet gehinderd door enige technische kennis op enkele uren tijd kan beslissen dat dit geen inbreuk uitmaakt op de Privacywetgeving”. 

Deze kritiek is niet alleen feitelijk ongefundeerd, ook juridisch wordt de bal volledig misgeslagen. In 2016 werd reeds een gesprek tussen de Autoriteit met Proximus over de plannen die het had om commercieel rapportages op maat aan te bieden gevoerd. Inhoudelijk was het standpunt, dat tijdens bedoeld gesprek aan Proximus werd gecommuniceerd, helder en juridisch correct. 

Artikel 123 van de Wet Elektronische Communicatie laat operatoren van mobiele netwerken (Proximus of andere) o.m. toe om locatiegegevens die betrekking hebben op een abonnee of een eindgebruiker te verwerken wanneer de betreffende locatiegegevens anoniem zijn gemaakt.

Individuele locatiegegevens door de Autoriteit niet aanvaard

Wellicht kunnen we van mening verschillen over de grens waar de privacy regels worden overschreden. Het heeft een poos geduurd vooraleer de eerste meting kon worden uitgevoerd, want de Privacycommissie heeft met argusogen naar het project gekeken.

Als Autoriteit denken we dus meer dan voorzichtig te zijn geweest, op basis van een gedegen technisch inzicht in de voorgenomen verwerkingen. Daarbij werd niet enkel gekeken naar de letter van de wet.

Bovendien werd als voorwaarde voor het opstellen van mobiliteitspatronen op basis van de aldus geanonimiseerde big data-sets gesteld dat als stamgegeven voor het identificeren van zulke patronen slechts kon worden gewerkt met voldoende geaggregeerde gegevens. Het werken met individuele locatiegegevens, zelfs indien ontdaan van elk klantgegeven en de technische identiteit, werd veiligheidshalve door de Autoriteit dus niet aanvaard.

“De telecomwetgeving laat ons ook toe om geanonimiseerde data te gaan verwerken en op die manier te gebruiken. Op dat moment zijn het niet langer persoonsgegevens.”, zegt woordvoerder Fabrice Gansbeke.

Proximus engageerde zich om slechts te rapporteren over gegroepeerde locatiegegevens van minstens 30 mobiele eindgebruikers. Bij de uiteindelijke rapportage vindt bovendien nog een extrapolatie plaats op basis van o.m. het marktaandeel van Proximus t.a.v. dat van andere operatoren.

Verwarring en tegenspraak over ‘opt-out’ regeling

Volgens schepen Vandendriessche kan je ook weigeren dat je data verzameld worden, via een zogenoemde “opt-out”, een mogelijkheid om je uit te schrijven. Wat de wijze is om je uit te schrijven heeft de stad Kortrijk niet duidelijk toegelicht. 

Ook op de website van Proximus kan je je niet uitschrijven omdat dat niet nodig is. Toch zegt  Gansbeke dat het bedrijf aan het bekijken is hoe zo’n opt-outregeling er kan komen. Volgens Vandendriessche kan je dit opzoeken via de website van de Gegevensbeschermingsautoriteit, maar daar is niets over een opt-out te vinden. De Gegevensbeschermingsautoriteit is een onafhankelijk orgaan dat erop toeziet dat uw persoonsgegevens volgend de wet worden verwerkt.

Lees ook: Anonieme OV-chipkaart is niet anoniem