Personentelling zonder camera's

De meeste gebouwen hebben de sensor al gebouwd. Ze weten het alleen nog niet.

Elk commercieel vastgoed dat Wi-Fi draait (een winkelcentrum, een vervoersknooppunt, een museum, een kantoorcomplex) heeft access points verspreid over zijn vloeren voor connectiviteit. Diezelfde apparaten kunnen, met de juiste softwarelaag, de mensen die door de ruimte bewegen tellen en in kaart brengen. Geen nieuwe hardware aan het plafond, geen camera gericht op de ingang. Het tellen gebeurt in het netwerk dat er al was.

Wat een telefoon uitzendt als niemand kijkt

Wi-Fi-apparaten wachten niet tot ze worden uitgenodigd. Wanneer de Wi-Fi van je telefoon aan staat en je nog niet met een netwerk verbonden bent, zendt die probe-requests uit, korte signalen die vragen of een bekend netwerk in de buurt is. Access points in de buurt detecteren deze signalen. Jaren lang droeg elke probe een unieke hardware-identificator (het MAC-adres) die het in principe mogelijk maakte een specifiek apparaat over tijd en ruimte te volgen.

Apple introduceerde MAC-adres-randomisering in iOS 8 in 2014; Android volgde vanaf versie 8. Apparaten sturen nu probe-requests met roterende, gerandomiseerde MAC-adressen in plaats van een vast hardware-ID. Omdat elke probe-burst een nieuw, gerandomiseerd adres draagt, blijft er geen vast hardware-ID over om een apparaat over tijd en ruimte te volgen. Voor het volgen van individuen is dat het einde van de weg. Voor het tellen van bezoekers in aggregaat is het eigenlijk het startpunt: de randomisering betekent dat de ruwe data nooit een stabiele persoonlijke identificator bevatte om mee te beginnen.

Privacy door architectuur, niet door beleid

Het onderscheid is belangrijk. Veel privacycontroles berusten op beloften, een bewaartermijn, een verwijdingsroutine, een privacybeleid. Wi-Fi-tellen zonder MAC-persistentie berust op architectuur: de persoonlijke identificator was nooit vastgelegd in een vorm die aan een individu koppelt. Je kunt iemand niet heridentificeren vanuit een roterend hardware-adres dat met elke probe-burst verandert.

De bezoekerstelling via Wi-Fi anonimiseert op het punt van verzameling. Probe-signalen worden verwerkt tot tellingen en stroomstatistieken; de onderliggende signaaldata wordt niet opgeslagen. Wat blijft is geaggregeerd: hoeveel apparaten werden gedetecteerd in een zone gedurende een bepaald uur, hoe lang de gemiddelde verblijf was, welke route door een ruimte het meest voorkomend was. Geen rij in enige database correspondeert met een persoon.

Een AVG-proof bezoekersanalysesysteem gebouwd op Wi-Fi-sensing vereist geen bezoekerstoestemming om te werken, omdat het geen persoonsgegevens verwerkt. Dat is de juridische test, en die passeert ze. Het is ook waarom dit de enige methode voor bezoekersanalyse in Europa is die door een gegevensbeschermingsautoriteit is goedgekeurd.

Het gebouw dat je al bezit

Het installeren van speciale optische personentellers bij elke ingang (en bij elke zonegrens, roltrap en lifthal) vereist projectplanning, bedrading en doorlopend hardware-onderhoud. Wi-Fi-sensing gebruikt access points die faciliteiten of IT al beheert voor connectiviteit.

Dekking strekt zich uit overal waar het Wi-Fi-netwerk reikt. Een winkelcentrum met tientallen access points over vijf verdiepingen krijgt zone-analyse over alle vijf verdiepingen, niet alleen een hoofdtelling bij de voordeur. Een vervoersknooppunt kan zien hoe passagiers zich in realtime verdelen over een concourse. Voor musea en culturele locaties of ov-knooppunten is die diepte van inzicht nu bereikbaar zonder een bekabelingsproject.

De datalevering is rijker precies omdat het sensornetwerk al in het gebouwweefsel is verweven. Geen marginale camera om te rechtvaardigen bij een planningsautoriteit, geen lens gericht op een wachtrij, geen beeld van een gezicht bij enige stap.

Wat camera’s anders doen, en waarom dat telt voor het publiek

Camera-gebaseerde systemen kunnen dingen die Wi-Fi-tellen niet kan: ze kunnen volwassenen van kinderen onderscheiden, mensen op beelden met hoge precisie tellen en in sommige configuraties terugkerende bezoekers herkennen. Dit zijn echte capaciteiten.

Ze zijn ook de bron van publiek ongemak. Gezichtsherkenning gekoppeld aan retailanalyse heeft regelgevingsaandacht getrokken in heel Europa. Zelfs waar camera’s geen herkenning draaien, merken bezoekers in openbare ruimtes ze steeds vaker op en stellen vragen. De uitstraling, bedoeld of niet, is bewaking. Die frictie heeft kosten: in bezoekerservaring, in personeelstijd die vragen beantwoordt, en af en toe in persaandacht die niemand besteld heeft.

Wi-Fi-sensing heeft geen van die uitstralingen. Er is geen zichtbare hardware gericht op mensen. Er is niets voor een bezoeker om bezwaar tegen te maken, omdat niets over hen wordt vastgelegd. Dat verschil is significant in omgevingen waar vertrouwen er toe doet (culturele instellingen, openbaar transit, zorginstellingen) en steeds meer ook in retail, naarmate bezoekersteller- of bezoekersanalyse-beslissingen nauwkeuriger worden bekeken.

Kalibratie en nauwkeurigheid

Een redelijke vraag: als het systeem individuen nooit ziet, hoe weet het dan dat het klopt?

Kalibratie. Tellingen afgeleid van Wi-Fi-signalen worden gevalideerd ten opzichte van handmatige telsessies, een bekend aantal mensen loopt door een zone en de schatting van het systeem wordt bijgesteld. De verhouding Wi-Fi-ingeschakelde apparaten onder bezoekers varieert per locatie en tijd; kalibratie corrigeert daarvoor. Het resultaat is hoge nauwkeurigheid op geaggregeerd niveau, wat precies is wat operationele en strategische beslissingen vereisen. Een retailer moet weten of er op een zaterdag 2.000 of 4.000 mensen zijn doorgekomen; ze hebben geen volkstelling van individuen nodig. Diezelfde kalibratie en consistente definities zijn ook wat bepaalt wat een bezoekersbenchmark werkelijk waard is zodra je locaties met elkaar gaat vergelijken.

De technische uitdaging van MAC-randomisering, nu standaard op moderne apparaten, wordt op algoritmisch niveau afgehandeld, niet door terug te vallen op persistente identificatoren. Het privacyvoordeel blijft intact; de statistische uitvoer blijft betrouwbaar.

De DPIA uitvoeren

Voor organisaties die onder de AVG vallen, is een gegevensbeschermingseffectbeoordeling voor personentelling de formele stap die bevestigt dat een technologie rechtmatig ingezet mag worden. Voor Wi-Fi-gebaseerde systemen die anonimiseren bij verzameling en alleen aggregaten opslaan, is die beoordeling eenvoudig: de verwerking begint en eindigt met niet-persoonsgegevens. Er zijn geen bijzondere categorieën data, geen toestemmingsmechanisme te bouwen, geen rechten van betrokkenen te administreren.

Die eenvoud heeft operationele waarde. Het betekent dat een locatie bezoekersanalyse kan inzetten zonder een juridisch project dat parallel loopt, en zonder de doorlopende compliance-overhead van het beheren van persoonsgegevens.

Het netwerk dat er al was

De beste sensor is degene die niets extra’s vereist. Gebouwen investeren in Wi-Fi voor connectiviteit; met geschikte software wordt diezelfde infrastructuur een nauwkeurig, anoniem, continu werkend bezoekersintelligentiesysteem. Geen camera, geen nieuw hardwarebudget, geen identiteit.

De datalevering (uurlijkse tellingen, verblijftijden per zone, stroomroutes, trendvergelijkingen) is de kwaliteit van inzicht die voorheen alleen beschikbaar was met indringerender en duurder technologie. Het gebouw bezat de sensor al. Het moest alleen weten hoe te luisteren. Een DPIA voor personentelling bevestigt de juridische positie voor elke organisatie die formele goedkeuring nodig heeft voordat ze inzet.