30.000 festivalgangers registreerden op Rock Werchter 2013 de chip van hun festivalbandje. Organisator Live Nation verwerkte die persoonsgegevens maar deed daarvan géén aangifte bij de Privacycommissie. ‘Dat is een overtreding van de privacywet’, zegt Willem Debeuckelaere, voorzitter van de Privacycommissie. ‘Het gaat zelfs om een strafrechtelijke inbreuk waar geldboetes tot 100.000 euro op staan.’
Iedere bezoeker van Rock Werchter 2013 kreeg aan de ingang van de festivalwei een polsbandje met RFID-chip. RFID staat voor Radio Frequency Identification: identificatie door middel van radiogolven. Die technologie laat toe vanop afstand informatie van de chip te lezen en op te slaan.
Als een festivalorganisator op elk moment weet waar hoeveel bezoekers zich precies bevinden, kan hij zo’n massa-event veel efficiënter managen. Het kan bijvoorbeeld handig zijn voor logistiek maar ook vanuit veiligheidsoverwegingen, met name voor crowd control. Denk aan de tragedie op de Love Parade in Duisburg, waar massapaniek leidde tot 21 dodelijke slachtoffers.
Privégegevens in ruil voor vijf euro korting
‘Koppel je Facebookprofiel aan je festivalbandje’, spoorde Live Nation de festivalgangers bovendien aan. Wie dat deed, kreeg vijf euro korting op de officiële T-shirts van Rock Werchter, gratis toegang tot een tentoonstelling over muziekfotografie in het Antwerpse Fotomuseum, maakte kans op een maand gratis muziek via Deezer en kon een Peugeot 208 winnen. ‘Wie zijn kansen om een magnifieke auto te winnen gevoelig wil verhogen, weet wat te doen!’, klonk het op de Werchter-website.
Nog zo’n voordeel in ruil voor het prijsgeven van je privégegevens: door het festivalbandje te scannen aan één van de acht Share Points op het festivalterrein, kon je ‘op eenvoudige wijze al je vrienden informeren over je doen en laten in het festivalpark’. Na scanning kreeg de Facebookstatus van de geregistreerde festivalgangers een automatische update.
30.000 van de 140.000 bezoekers van het zomerfestival koppelden – vrijwillig – hun privégegevens aan het gechipte festivalbandje. Dat blijkt uit een filmpje van PlayPass, het Antwerpse bedrijf dat de RFID-technologie voor Werchter 2013 leverde, en wordt bevestigd door Live Nation.
Lees het privacybeleid van Rock Werchter 2013.
Wie wilde weten wat organisator Live Nation precies met de ingezamelde privé-gegevens zou doen, moest de kleine lettertjes van de Privacyverklaring op de website van het festival lezen. Daarin stond onder meer dat het bedrijf de privégegevens kon doorspelen aan derden, meer concreet aan elke officiële festivalpartner die inschreef op de RFID‐technologie.
‘Natuurlijk vinden we privacy wel belangrijk’
De privacywet van 1992 is zo klaar als een klontje: wie persoonsgegevens verwerkt, moet dat voorafgaand melden aan de Privacycommissie. MO* ontdekte in het openbaar register van de Privacycommissie dat Live Nation wel aangifte heeft gedaan van camera’s op het festivalterrein maar niét van de RFID-chips gekoppeld aan privégegevens van de festivalbezoekers.
‘Jongeren krijgen een speeltje aangereikt dat er leuk en flashy uitziet, maar intussen maken ze al hun privégegevens over aan marketeers zonder dat ze er iets voor terugkrijgen.’
‘Dat is dan een strafrechtelijke inbreuk’, reageert Willem Debeuckelaere, voorzitter van de Privacycommissie. ‘Hier staan geldboetes op die gaan van 100 euro tot 100.000 euro. Bovendien kan een rechter de straf opleggen om het vonnis te laten publiceren in een of meerdere kranten, en kan hij ook de verbeurdverklaring uitspreken van de dragers van de persoonsgegevens. Met andere woorden: de verwerkte gegevens mogen dan niet langer gebruikt worden.’
‘Het doet me denken aan de Rattenvanger van Hamelen, die met zijn fluit alle kinderen de stad uitlokte, recht de dieperik in. Jongeren krijgen een speeltje aangereikt dat er leuk en flashy uitziet, maar intussen maken ze al hun privégegevens over aan marketeers zonder dat ze er iets voor terugkrijgen. Je valt natuurlijk niet in een ravijn maar je wordt wel verleid om iets te doen en ondertussen geef je al je persoonsgegevens zomaar door.’
‘Alles van A tot Z met Privacycommissie besproken’
Nele Bigaré, woordvoerster van Rock Werchter, bevestigt dat Live Nation in 2013 geen aangifte heeft gedaan van de verwerking van de persoonsgegevens. ‘Natuurlijk vinden wij privacy wél belangrijk’, zegt Bigaré. ‘Maar vorig jaar wisten we gewoonweg niet dat die aangifteverplichting bestond.’
Bigaré benadrukt dat Live Nation voor de invoering van het RFID-systeem gekoppeld aan Facebookprofielen herhaaldelijk contact heeft gehad met de Privacycommissie (die dat ook bevestigt). Bigaré: ‘We hebben het systeem van A tot Z met de Privacycommissie besproken en bekeken. We wilden alles volledig in orde brengen. Alleen: dit aspect, de aangifteplicht, is toen niet ter sprake gekomen. De Privacycommissie zegt dat dat toen niet de kern van de zaak was, en dat het hele dossier pas is afgehandeld na het plaatsvinden van Rock Werchter –en toen was het te laat voor de aangifte.’
‘In ieder geval: voor Rock Werchter 2014 gaan we bij de Privacycommissie wél voorafgaand aangifte doen,’ zegt Bigaré, ‘want het systeem van vorig jaar wordt herhaald.’
De wet kennen
Volgens Willem Debeuckelaere is het niet de wettelijke opdracht van de Privacycommissie om bedrijven op hun aangifteplicht te wijzen. ‘De wetgever zou ons die taak kunnen opleggen, maar dat zou enorm veel bijkomende werklast opleveren. Kijk, iedereen behoort de wet te kennen, ook Live Nation. Van een asielzoeker die twintig minuten op Belgisch grondgebied is, verwachten we dat hij de wet kent. Dan mag je dat toch ook wel verwachten van een bedrijf zoals Live Nation? Het gaat niet over zomaar een verwerkingske. 30.000 persoonsgegevens, dat is toch wel een flink pak.’
‘Van een asielzoeker die twintig minuten op Belgisch grondgebied is, verwachten we dat hij de wet kent. Dan mag je dat toch ook wel verwachten van een bedrijf zoals Live Nation?’
Wel voegt Debeuckelaere eraan toe dat de voorafgaandelijke aangifteplicht op termijn waarschijnlijk zal afgeschaft worden. ‘Daarover bestaat een Europees voorstel. De huidige regeling is immers ingevoerd op een moment dat elektronische gegevensverwerking veeleer uitzondering dan regel was. Nu is het net andersom. Je mag ervan uitgaan dat het tot de normale verwachtingen van burgers behoort dat hun gegevens elektronisch worden verwerkt.’
‘Zelf vind ik die voorafgaandelijke aangifte wel nog altijd een goede zaak,’ zegt Debeuckelaere, ‘in die zin dat het verantwoordelijke van de verwerking ertoe verplicht goed na te denken: “Voor welke doelstellingen ga ik het doen?” Het geeft de verantwoordelijke geen vrijgeleide. Bovendien geeft het de mensen die misschien naïef of volgzaam waren, de mogelijkheid om na te kijken wie er achter de gegevensverwerking zit en waar ze hun recht van verzet of verbetering kunnen uitoefenen.’
Wat Live Nation met uw gegevens doet
Bigaré legt uit wat Live Nation heel concreet met de 30.000 verwerkte privégegevens heeft gedaan: ‘De statusupdates op Facebook zijn door ons niet verzameld, noch bijgehouden of doorgespeeld aan derden. Evenmin bekeken, onderzochten noch registreerden we welke Facebookgebruiker voor welk podium stond. Het gaat louter om een gadget, een nice to have voor festivalgangers – als ze dat willen. Dit heeft geen verdere commerciële insteek voor ons.’
‘De verzamelde privégegevens zijn enkel gebruikt voor het toekennen van 1000 Deezer-abonnementen en de auto van Peugeot. Dat waren de voordelen en prijzen voor wie via RFID registreerde. Verder zijn de data niet gebruikt en zullen ze ook niet gebruikt worden.’
‘Data zijn enkel doorgegeven aan de festivalpartners waarvoor festivalgangers zich vrijwillig aangemeld hebben. In 2013 was dat Peugeot. In de praktijk zijn enkel de gegevens van festivalgangers die hebben deelgenomen aan de wedstrijd uiteindelijk gedeeld met Peugeot.’
‘Voor alle duidelijkheid:’, besluit Bigaré, ‘er is geen kwaad opzet in het spel.’