Leiden: gps-tracking van bezoekers binnenstad voldoet aan AVG
Het gebruik van gps-tracking om zo de herkomst, aantallen en spreiding van bezoekers aan de Leidse binnenstad te analyseren voldoet aan de AVG, zo stelt het stadsbestuur van Leiden. D66, PvdA en PvdD hadden het college vragen over de werkwijze gesteld. "De gemeente Leiden monitort bezoekers van Leiden op basis van bij een dataleverancier ingekochte gps-gegevens om zo de bezoekersaantallen, bezoekersprofielen en bezoekersherkomst te monitoren. Inzichten hierin helpen de Leidse bezoekerseconomie verder te ontwikkelen, maar de privacy van onze bezoekers loopt hiermee gevaar en dat past niet bij een gastvrije stad", zo staat in de vragen van de partijen.
"Is de grondslag ‘gerechtvaardigd belang’ wat het college betreft een valide grond voor de applicaties om persoonsgegevens te verzamelen en deze te verkopen aan een dataverzamelaar?", wilden de drie partijen onder andere weten. Het college werd ook gevraagd hoe er wordt gecontroleerd of de gecontracteerde dataverzamelaar, waar de anonieme data wordt ingekocht, op een rechtmatige manier persoonsgegevens verwerkt.
"Wij willen benadrukken dat de monitoring voldoet aan de AVG. Leiden gebruikt in deze datamonitor geen persoonsgegevens. Wel worden geanonimiseerde locatiegegevens gebruikt, die niet herleidbaar zijn tot individuen", laat het college in een reactie weten. "Er heeft geen toetsing door de AP plaatsgevonden. Dit was niet noodzakelijk, omdat er geen persoonsgegevens worden verwerkt."
De gemeenteraadsleden hadden ook gevraagd hoe de gemeente bezoekers attendeert op het gebruik van locatiegegevens. Daarop laat het college weten dat er een informatiepagina online staat. "Verder is het belangrijk dat iedereen zich bewust is dat via je mobiele telefoon continu data worden verzameld en gedeeld, tenzij je daar actief maatregelen op neemt. gps-tracking wordt zo jaarrond overal in Nederland uitgevoerd, als individuen daar toestemming voor gegeven hebben via apps. Ook als wij geen data-analyse zouden uitvoeren via de monitor, worden deze data alsnog verzameld."
Het college merkt op dat de expliciete toestemming van gebruikers de basis vormt voor het verzamelen van locatiegegevens door apps. "Echter, wij onderkennen dat gebruikers zich mogelijk niet altijd volledig bewust zijn van de consequenties van deze toestemming, zoals bij veel mobiele applicaties het geval kan zijn. Dit blijft een belangrijk aandachtspunt binnen de discussie over de balans tussen gebruiksvriendelijkheid en transparantie in gegevensverzameling. Dit punt wordt meegenomen in de evaluatie van de datamonitor." Deze evaluatie staat voor eind 2026 gepland.
Heb zo'n vermoeden dat het stadsbestuur van Leiden dat ook vindt voldoen aan de AVG.
Of is er iets grondig mis in Leiden of de AVG voldoet is foutief.
Is het ethisch verantwoord en willen we dit als burger zijnde? -Nee.
Daarnaast is het een verspilling van belastinggeld, want burgers mogen uiteindelijk voor de kosten opdraaien.
Bij die tracks die ze verzamelen zal woon-werkverkeer zijn, en als je zowel woon- als werkadressen kan plaatsen kan je mensen identificeren. Als mensen direct of indirect identificeerbaar zijn dan zijn het persoonsgegevens. Dat is ook waar als je niet zelf beschikt over de gegevens waarmee dat kan, juist omdat er druk gehandeld wordt in dat soort gegevens en ook gegevens lekken.
Dat die gegevens te koop zijn bij datahandelaren is geen garantie dat de toestemming rechtmatig is verkregen. De AVG stelt daar best gedetailleerde eisen aan en die worden nogal eens genegeerd. Als verwerker, ook als je als gemeente die tracks hebt gekocht, moet je kunnen aantonen dat die toestemming is gegeven, en niet alleen dat, de betrokkene moet die toestemming op elk moment kunnen intrekken. Als dat lastig wordt, en dat lijkt mij hier evident het geval, dan wordt het tijd om wel toetsing door AP te vragen en niet zomaar aan te nemen dat het wel goed zit. En dat die gegevens toch al op straat liggen is geen argument. Als je zo gaat redeneren kan een heler aanvoeren dat de spullen die hij verhandelt toch al gestolen zijn.
Q: Hoe meet Resono passanten?
A: Passanten worden gemeten via het tellen van smartphones die opt-in locatiegegevens delen via apps in ons mobile panel.
Nu ben ik zeer benieuwd welke apps dat zijn en hoe die opt-in tot stand is gekomen. Zijn dat specifieke 'panel-apps' of is Resono één van honderden partners, al dan niet met gerechtvaardigd belang, die via een omweg aan deze data komt. Bijvoorbeeld omdat de opt-in via één of andere populaire app wordt verkregen.
Hier staat dus zwart op wit dat gemeente Leiden wéét dat de data is verkregen zonder de door AVG vereiste expliciete en geïnformeerde toestemming, en ze deze dataset toch kopen. Want waarom zou je je als overheid aan de wet houden? Lang leve de rechtsstaat!
Hier staat dus zwart op wit dat gemeente Leiden wéét dat de data is verkregen zonder de door AVG vereiste expliciete en geïnformeerde toestemming, en ze deze dataset toch kopen. Want waarom zou je je als overheid aan de wet houden? Lang leve de rechtsstaat!
Dat staat niet in de GDPR de eigenzinnigheid van de AP doet veel kwaad over wat privacy betekent.
Het wonderlijke in dat gebeuren is dat de Big Brother neigingen van een ongecontroleerde AP als zoete koek voor waar aangenomen worden. 1984 was als boek als waarschuwing bedoeld niet als handleiding
Q: Hoe meet Resono passanten?
A: Passanten worden gemeten via het tellen van smartphones die opt-in locatiegegevens delen via apps in ons mobile panel.
Nu ben ik zeer benieuwd welke apps dat zijn en hoe die opt-in tot stand is gekomen. Zijn dat specifieke 'panel-apps' of is Resono één van honderden partners, al dan niet met gerechtvaardigd belang, die via een omweg aan deze data komt. Bijvoorbeeld omdat de opt-in via één of andere populaire app wordt verkregen.
Metadata, voor al uw track en trace behoeften, naast diepgaande profilering. Later verzameld en gecombineerd in gecentraliseerde continentale, zo niet mondiale, systemen.
Ik ben het vaak niet met je eens, maar dit is erg goed verwoord
Hier staat dus zwart op wit dat gemeente Leiden wéét dat de data is verkregen zonder de door AVG vereiste expliciete en geïnformeerde toestemming, en ze deze dataset toch kopen. Want waarom zou je je als overheid aan de wet houden? Lang leve de rechtsstaat!
Dat staat niet in de GDPR de eigenzinnigheid van de AP doet veel kwaad over wat privacy betekent.
Het wonderlijke in dat gebeuren is dat de Big Brother neigingen van een ongecontroleerde AP als zoete koek voor waar aangenomen worden. 1984 was als boek als waarschuwing bedoeld niet als handleiding
„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
De gemeente Leiden had beter op safe kunnen spelen door wel een DPIA uit te voeren.
De gemeente Leiden had beter op safe kunnen spelen door wel een DPIA uit te voeren.
Bij die tracks die ze verzamelen zal woon-werkverkeer zijn, en als je zowel woon- als werkadressen kan plaatsen kan je mensen identificeren. Als mensen direct of indirect identificeerbaar zijn dan zijn het persoonsgegevens. Dat is ook waar als je niet zelf beschikt over de gegevens waarmee dat kan, juist omdat er druk gehandeld wordt in dat soort gegevens en ook gegevens lekken.
Dat die gegevens te koop zijn bij datahandelaren is geen garantie dat de toestemming rechtmatig is verkregen. De AVG stelt daar best gedetailleerde eisen aan en die worden nogal eens genegeerd. Als verwerker, ook als je als gemeente die tracks hebt gekocht, moet je kunnen aantonen dat die toestemming is gegeven, en niet alleen dat, de betrokkene moet die toestemming op elk moment kunnen intrekken. Als dat lastig wordt, en dat lijkt mij hier evident het geval, dan wordt het tijd om wel toetsing door AP te vragen en niet zomaar aan te nemen dat het wel goed zit. En dat die gegevens toch al op straat liggen is geen argument. Als je zo gaat redeneren kan een heler aanvoeren dat de spullen die hij verhandelt toch al gestolen zijn.
Daarnaast kun je bij verwerkers geen toestemming intrekken.
Q: Hoe meet Resono passanten?
A: Passanten worden gemeten via het tellen van smartphones die opt-in locatiegegevens delen via apps in ons mobile panel.
Nu ben ik zeer benieuwd welke apps dat zijn en hoe die opt-in tot stand is gekomen. Zijn dat specifieke 'panel-apps' of is Resono één van honderden partners, al dan niet met gerechtvaardigd belang, die via een omweg aan deze data komt. Bijvoorbeeld omdat de opt-in via één of andere populaire app wordt verkregen.
Lijkt me trouwens niet bepaald annoniem als je dit op dit detail niveau aan data hebt.
Doet het er ook nog toe wie er aan de macht zijn in leiden ? Zo zit PvdD niet in het gemeentebestuur, en het CDA wel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
