Staatssecretaris: MAC-adressen en apparaatnamen zijn ook persoonsgegevens

In dit artikel:

Beveiligingsonderzoeker Sipke Mellema ontdekte op 3 maart dat routers van telecomprovider Odido analytics-gegevens van thuisnetwerken naar het externe bedrijf Lifemote stuurden. Het lek zou onder meer MAC-adressen, apparaatnamen van gekoppelde toestellen en informatie over wifi-netwerken en nabijgelegen hotspots betreffen. Odido meldt dat een software-update is uitgerold waarmee het doorsturen van die data is gestopt.

D66-Kamerlid Nasser El Boujdaini stelde naar aanleiding van de berichtgeving Kamervragen over de privacyrechtelijkheid van het delen van dergelijke gegevens. Staatssecretaris Erik van Bruggen (Justitie en Veiligheid) antwoordt dat gegevens die toereikend kunnen leiden tot het identificeren van een natuurlijk persoon — waaronder MAC-adressen en apparaatnamen — onder de AVG als persoonsgegevens kunnen vallen (artikel 4, lid 1). Of in dit specifieke geval sprake was van een rechtsgeldige grondslag voor de doorgifte, en of de waarborgen voor overdracht buiten de Europese Economische Ruimte (EER) zijn nageleefd, moet volgens haar door de toezichthouder worden beoordeeld, niet door het kabinet.

De Autoriteit Persoonsgegevens (AP) is inmiddels op de hoogte en kan Odido om opheldering vragen en eventueel vervolgonderzoek instellen. Ook kwesties als het informeren van getroffen klanten en welke maatregelen Odido moet nemen om herhaling te voorkomen zijn volgens Van Bruggen taken voor de AP. Ter toelichting: MAC-adressen zijn unieke hardware-identificatoren die, zeker gecombineerd met andere gegevens, aan personen te koppelen zijn; grensoverschrijdende doorgifte van zulke persoonsgegevens vereist onder de AVG specifieke waarborgen.