CBP handhaaft dwangsom Google grotendeels

Afbeelding: Google Maps Street View Camera van Ian Britton | Licentie: CC BY-NC

Nadat Google bezwaar aantekende op het besluit van CBP een dwangsom op te leggen, beslist het CBP nu de dwangsom te handhaven.

In haar beslissing op bezwaar schrijft het CBP:

Met betrekking tot het standpunt van Google dat het MAC-adres, als op zichzelf staand gegeven, niet gebruikt kan worden om een bepaalde persoon te identificeren, merkt het CBP op dat het in het bestreden besluit ook niet heeft geconcludeerd dat dit mogelijk is. In het bestreden besluit heeft het CBP geconcludeerd dat de houder van de wifi-router kan worden geïdentificeerd door het MAC-adres in de Google GLS in te voeren en met behulp van de door Google opgeslagen gegevens over de locatie van de wifi-router en de signaalsterkte de locatie van de wifi-router vast te stellen. Ten overvloede zij opgemerkt dat Internet Service Providers, die gebruik maken van DHCP (Dynamic Host Configuration Protocol) en niet werken met vaste IP-adressen, een bestand bijhouden van de MAC-adressen van de aan hun eindgebruikers uitgegeven routers.

Ten aanzien van het argument van Google dat de locatiegegevens die Google opslaat slechts een benadering geven van de plaats waar de wifi-router zich waarschijnlijk bevindt, overweegt het CBP als volgt. Google heeft bij de door haar uitgevoerde analyse (bijlage 3 bij het aanvullend bezwaarschrift) geen gebruik gemaakt van de mogelijkheid de GLS variërend in signaalsterkte te bevragen, zodat vervolgens gekozen kan worden voor de meest nauwkeurige uitkomst. Hierdoor schetst Google naar het oordeel van het CBP een onjuist beeld van de nauwkeurigheid die bereikt kan worden bij het bepalen van de locatie van de wifi-router. Door gebruik te maken van signaalsterkte kan in werkelijkheid een veel nauwkeuriger terugkoppeling van de locatie van de wifi-router uit de GLS worden gekregen, zo blijkt uit eigen onderzoek van het CBP. Zoals ook in het bestreden besluit vermeld, blijkt uit onderzoek naar RSSI locatiebepaling dat het met behulp van op signaalsterkte gebaseerde modellen mogelijk is tot op enkele meters nauwkeurig te bepalen waar de wifi-router zich bevindt.4 Vervolgens kan via openbare bronnen de houder van de wifi-router worden geïdentificeerd.

Hierbij wijst het CBP erop dat Google bovendien in veel gevallen over de SSID beschikt. Aangezien het een feit van algemene bekendheid is dat SSID’s dikwijls een eigen naam van de houder van het wifi-netwerk weergeven, kan het SSID eveneens als hulpmiddel functioneren bij de identificatie. De stelling van Google dat de houder van een wifi-router in de meeste gevallen de standaardinstelling van een SSID niet wijzigt (randnummer 54 van het aanvullend bezwaarschrift) is niet in overeenstemming met hetgeen feitelijk kan worden geconstateerd bij het zoeken naar een draadloos netwerk met behulp van een netwerkapparaat. Deze stelling van Google is overigens niet nader onderbouwd.

Verder heeft Google aangevoerd dat waar het mogelijk is om vast te stellen dat een wifi-router met een specifiek MAC-adres zich in een bepaald gebouw bevindt, daarmee nog niet de identiteit van de houder van de wifi-router is achterhaald, aangezien in de meeste gevallen meer personen in het gebouw wonen of daarvan gebruik maken. Ten aanzien van dit argument overweegt het CBP dat met de gegevens die Google tot haar beschikking heeft het in de meeste gevallen mogelijk is de locatie van de wifi-router op ‘huisdeur-niveau’ te bepalen. Vervolgens zal de houder van de wifi-router aan de hand van openbare registers zoals het kadaster of de telefoongids kunnen worden geïdentificeerd. Het is juist dat in sommige gevallen een wifi-router door meerdere personen kan worden gedeeld. Hier kan echter tegenin worden gebracht dat dit dikwijls niet het geval is. Bovendien betekent cumulatief gebruik van een wifi-router niet dat geen sprake meer is van identificeerbaarheid. Ook telefoonnummers, kentekens van auto’s en postcode met huisnummers, waarbij eveneens geldt dat deze door meerdere personen kunnen worden gedeeld, zijn in het verleden aangemerkt als persoonsgegevens.5 Het enkele feit dat een categorie gegevens niet altijd herleidbaar is tot één persoon, maakt dus niet dat deze categorie in zijn algemeenheid uitgesloten dient te worden van kwalificatie als persoonsgegeven.