De University of Melbourne heeft illegaal wifi-locatiedata gebruikt om personen te identificeren die vorig jaar aan een demonstratie deelnamen, zo heeft de privacytoezichthouder van de Australische deelstaat Victoria geoordeeld. Volgens de Office of the Victorian Information Commissioner werden gebruikers van het wifi-netwerk niet goed geïnformeerd over het gebruik van de data en werd de data voor een ander doel gebruikt dan waarvoor het oorspronkelijk werd verzameld (pdf).

Tijdens de demonstratie gaf de universiteit de instructie dat deelnemers uit een bepaald gebouw moesten vertrekken. Een aantal mensen gaf daar geen gehoor aan. Vervolgens gebruikte de universiteit wifi-locatiedata, studentenkaartfoto's en camerabeelden om studenten te identificeren die in het gebouw bleven. De wifi-locatiedata bevatte de gebruikersnamen van personen die op dat moment in het betreffende gebouw op het wifi-netwerk waren ingelogd.

Vervolgens werden op basis van de gevonden gebruikersnamen studentenkaartfoto's gezocht. Als laatste werden camerabeelden gebruikt om aanwezige studenten te verifiëren, Naast studenten bleken ook medewerkers aan het protest te hebben deelgenomen. De universiteit startte tegen de deelnemers een procedure. Studenten kregen een reprimande en waarschuwing, deelnemend personeel kreeg een formele geschreven waarschuwing.

De privacytoezichthouder deed onderzoek en stelde dat gebruikers van het wifi-netwerk in de gebruiksvoorwaarden niet duidelijk werden ingelicht waarvoor hun wifi-locatiedata kon worden gebruikt. "Gegeven dat individuen niet wisten dat hun wifi-locatiedata werd verzameld en hoe het kon worden gebruikt, konden ze geen geïnformeerde keuze maken of ze het wifi-netwerk tijdens de sit-in wilden gebruiken, en bewust te zijn van de mogelijke gevolgen die dat kon hebben", aldus de toezichthouder.

De universiteit stelde dat de verzamelde wifi-locatie voor onderzoek naar dergelijke misdragingen mocht worden gebruikt, maar dat was volgens de toezichthouder niet zo. Het oorspronkelijke doel om de data te verzamelen was om misdragingen met betrekking tot het netwerk te onderzoeken, geen andere zaken. De universiteit mocht de wifi-locatiedata dan ook niet gebruiken om personen te identificeren die het gebouw niet wilden verlaten, aldus de toezichthouder.

De Office of the Victorian Information Commissioner besloot geen "compliance notice" op te leggen, waarin staat welke maatregelen een organisatie moet naleven. De universiteit heeft tijdens het onderzoek zelf al allerlei maatregelen genomen, waardoor een compliance notice volgens de toezichthouder niet meer nodig is. De universiteit erkent dat het studenten beter had moeten informeren, maar houdt vol dat het gebruik van de wifi-locatiedata in dit geval proportioneel was.