Het boetebesluit werd al met enige verbazing ontvangen en nu zet de rechtbank er ook een dikke streep doorheen: de boete van zeshonderdduizend euro die de Autoriteit Persoonsgegevens heeft opgelegd aan de gemeente Enschede, gaat helemaal van tafel. Volgens de rechtbank is namelijk niet komen vast te staan dat de gemeente de AVG heeft overtreden.

De feiten

Hoe zat het ook alweer: in 2017 heeft de gemeente Enschede in het kader van een passantenonderzoek een aantal sensoren in de binnenstad geplaatst. Deze sensoren registreerden alle voorbijgangers die op hun mobiele telefoon wifi hadden ingeschakeld aan de hand van gepseudonimiseerde gegevens. Het doel van het verzamelen van deze gegevens was het beter in kaart brengen van bezoekersstromen in de stad. De gemeente had de opdracht hiervoor uitgezet bij een private partij, die op haar beurt een onderaannemer had ingeschakeld voor de technische kant.

Naar aanleiding van drie klachten heeft de Autoriteit een onderzoek ingesteld naar deze ‘wifi-tracking’. Op basis van dat onderzoek heeft de Autoriteit geconcludeerd dat er persoonsgegevens werden verwerkt en dat die verwerking onrechtmatig is. De gemeente kreeg voor de overtreding een boete van zeshonderdduizend euro (EUR 600.000) opgelegd. Nadat de bezwaarprocedure geen effect sorteerde, is de gemeente tegen de boete in beroep gegaan bij de rechtbank.

Oordeel van de rechtbank: geen verwerking van persoonsgegevens

De redenering van de Autoriteit komt erop neer dat hoewel de identiteit van de passanten niet direct volgt uit de gegevens die werden verzameld en verwerkt, identificatie wel mogelijk is. De Autoriteit schetst drie manieren waarop dit zou kunnen en betoogt dat dit ‘geen excessieve inspanning’ zou vergen. Dat het in de praktijk niet gebeurt, zoals de gemeente onder meer aanvoerde, is volgens de Autoriteit niet relevant.

Volgens de rechtbank gaat de Autoriteit uit van ‘(on)aannemelijkheden’ en niet van feiten

De rechtbank benadrukt dat de bewijslast voor de overtreding bij de Autoriteit ligt, en dat aan de bewijsvoering hoge eisen (moeten) worden gesteld. Vervolgens maakt de rechtbank korte metten met de redenering én de onderbouwing hiervan door de Autoriteit. Volgens de rechtbank gaat de Autoriteit uit van ‘(on)aannemelijkheden’ en niet van feiten; en heeft de Autoriteit onvoldoende onderzocht of de door haar geschetste manieren inderdaad in de gegeven situatie tot identificatie zullen leiden. De Autoriteit heeft dan, in het licht van de zware bewijslast die op haar rust, onvoldoende bewezen dat sprake is van verwerking van persoonsgegevens. Daarmee is evenmin bewezen dat de gemeente een overtreding heeft begaan waar het gaat om die verwerking.

Autoriteit slaat vaker plank mis

De uitspraak onderstreept dat van de Autoriteit verwacht mag worden dat zij niet alleen onderzoekt of identificatie van een natuurlijk persoon op basis van bepaalde technische gegevens in theorie mogelijk zou kunnen zijn, maar -kort gezegd- ook hoe aannemelijk het is dat dit zal gebeuren. De context is hierbij van belang. Het zal interessant zijn om te zien of de Autoriteit daar in toekomstige boetebesluiten (meer) rekening mee zal houden.

Het is overigens zeker niet de eerste keer dat de Autoriteit wordt teruggefloten. Zo gingen de boetes voor VoetbalTV en DPG Media bij de rechter helemaal onderuit en matigde de rechtbank eerder al de boetes voor BKR en het HagaZiekenhuis.