T-Mobile & het CBS: Waarom pseudonimiseren en niet anonimiseren?

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

Jarenlang hebben T-Mobile en het CBS achter de schermen samengewerkt aan de ontwikkeling van een algoritme om het mobiliteits- en verblijfsgedrag van Nederlanders te meten. Het CBS mocht hiervoor de gepseudonimiseerde locatiedata van alle T-Mobile gebruikers analyseren. Waarom pseudonimiseren en niet anonimiseren?

De NRC heeft op 10 maart 2021 een opmerkenswaardig artikel gepubliceerd waaruit blijkt dat het CBS sinds 2017 toegang had tot locatiegegevens van de klanten van T-Mobile. Onder toezicht van T-Mobile hebben een aantal CBS-medewerkers op het hoofdkantoor van T-Mobile de locatiedata van mobiele bellers geanalyseerd. In een reactie op het nieuwsartikel verklaarde het CBS dat de geanalyseerde data bestond uit gepseudonimiseerde persoonsgegevens. Het doel van de samenwerking was een door CBS te ontwikkelen algoritme waarmee op basis van de locatiedata van de mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders gemeten kan worden. Dit soort informatie kan voor bijvoorbeeld gemeenten meewegen in investeringsbesluiten omtrent infrastructurele projecten, maar kan ook worden gebruikt bij het afsluiten van gebieden tijdens drukte.

De kwestie heeft veel stof doen opwaaien. Zo vroeg Kamerlid Verhoeven: ‘Welke andere CBS-proefprojecten met grootschalige dataverzameling lopen er?’. Logisch dat deze vraag wordt gesteld, aangezien het doel van de dataverzameling het meten van mobiliteitsgedrag van alle Nederlanders is. In dat kader is het klantenbestand van T-Mobile wellicht te beperkt om een volledig beeld te krijgen van het mobiliteitsgedrag van alle Nederlanders. Zou het kunnen zijn dat er soortgelijke samenwerkingen lopen met andere telecomaanbieders?

Locatiegegevens

Metadata, zoals locatiegegevens, worden door grote gegevensverwerkers regelmatig neergezet als persoonsgegevens die slechts een geringe inbreuk maken op het recht op privéleven. Dit is echter onjuist. Aan locatiegegevens kan bijvoorbeeld gezien worden wat je bewegingspatronen zijn, aan wie je regelmatig een bezoekje brengt, welke winkels je graag bezoekt en waar je woont. Locatiegegevens kunnen zelfs onthullen wat de gezondheidstoestand van een persoon is. Om een simpel alledaags voorbeeld te noemen: een wijkverpleegkundige brengt elke dag een bezoek aan haar patiënten. Op het moment dat haar locatiegegevens onderzocht en gedeeld worden, is precies te zien wie haar patiënten zijn, en wanneer en hoe vaak ze er naar toe gaat.

Om te beoordelen of er in het geval van T-Mobile en CBS sprake is van een privacyinbreuk, moet eerst helder zijn waarom is gekozen voor pseudonimisering boven anonimisering, en wat in deze de invulling van het begrip ‘gepseudonimiseerde persoonsgegevens’ is. In de blog van deze week gaan we met name in op de volgende vraag: ‘Wat kan in het licht van de AVG worden verstaan onder gepseudonimiseerde persoonsgegevens?’

Kamervragen & nader onderzoek

Het nieuws heeft ertoe geleid dat het Agentschap Telecom (AT) en de AP de zaak nader gaan onderzoeken om te bepalen of sprake is van een inbreuk op privacywetgeving. Bovendien zijn er Kamervragen gesteld over de kwestie. Zo vroeg Kamerlid Buitenweg: ‘Welke definitie hanteert u van gepseudonimiseerde persoonsgegevens in dit verband? Zijn gegevens van telecommunicatieverkeer waaruit enkel de unieke IMSI-nummers zijn verwijderd nog steeds persoonsgegevens, of niet?’. Vooral de laatste vraag is relevant om te bepalen of wel of geen sprake is van persoonsgegevens en daarmee een mogelijke overtreding van de AVG.

De AVG is namelijk niet van toepassing op anonieme gegevens, aangezien dit geen persoonsgegevens zijn. Bij anonieme gegevens kan worden gedacht aan persoonsgegevens die zodanig anoniem zijn dat de betrokkene nooit identificeerbaar was of dat helemaal niet meer is. Ook kan hierbij worden gedacht aan gegevens die überhaupt geen betrekking hebben op een persoon. Een andere categorie die buiten het toepassingsbereik van de AVG valt, zijn de zogeheten ‘geanonimiseerde persoonsgegevens’. Dat zijn gegevens die in eerste instantie wel herleidbaar waren naar een bepaald individu, maar waarbij door gebruik van verwerkingstechnieken de mogelijkheid tot identificatie onomkeerbaar wordt verwijderd. Na anonimisering mogen dus geen aanvullende gegevens beschikbaar zijn waarmee alsnog een koppeling kan worden gemaakt met een bepaald individu.

Gepseudonimiseerde persoonsgegevens

Het CBS gebruikt in haar persverklaring de term ‘gepseudonimiseerde persoonsgegevens’. Zoals het woord zelf al zegt, zijn gepseudonimiseerde gegevens iets anders dan geanonimiseerde gegevens. In een van de Kamervragen wordt dan ook de vraag gesteld wat precies de invulling is van de gebruikte term ‘gepseudonimiseerde persoonsgegevens’. Dit is zeer relevant, omdat – in tegenstelling tot geanonimiseerde persoonsgegevens – gepseudonimiseerde persoonsgegevens wél onder het toepassingsgebied van de AVG vallen. Dat komt doordat – met gebruik van aanvullende gegevens – een gepseudonimiseerd persoonsgegeven nog wel te herleiden is naar een specifiek persoon. Pseudonimisering is geen onomkeerbaar proces zoals de anonimisering, omdat er nog steeds ergens aanvullende gegevens beschikbaar zijn waarmee een koppeling kan worden gemaakt naar een specifiek persoon.

De pseudonimisering die het CBS heeft gehanteerd, bestond uit twee stappen. Allereerst werden de IMSI-nummers vervangen door willekeurige getallen. IMSI-nummers zijn wereldwijd unieke nummers die gekoppeld zijn aan simkaarten, waarmee de gebruiker kan worden geïdentificeerd. Vervolgens werd er een extra versleuteling gebruikt die elke 30 dagen vervangen werd.

Het antwoord op de vraag of in deze kwestie wel of geen sprake is van een privacyinbreuk ligt gecompliceerd. Dat komt doordat het CBS slechts onder toezicht van T-Mobile de gepseudonimiseerde gegevens mocht onderzoeken. Met andere woorden, er is geen sprake geweest van het delen van persoonsgegevens in letterlijke zin. Daarnaast heeft T-Mobile slechts inzage gegeven in de gepseudonimiseerde persoonsgegevens. Althans, zo verklaart het CBS. Of dit correct is moet nog blijken uit een feitenonderzoek van het AT en de AP. Wat betreft de vraag of de interpretatie van de term ‘gepseudonimiseerde persoonsgegevens’ – zoals gebruikt door het CBS en T-Mobile – correct is, kan pas meer worden gezegd na afronding van de onderzoeken van de AP en het AT en na een reactie van het demissionair kabinet op de Kamervragen.

Darinka Zarić

Darinka Zarić

Darinka Zarić is jurist bij The Privacy Factory. Nieuwe juridische vraagstukken die ontstaan in een gedigitaliseerde samenleving spreken haar enorm aan. Met name op het gebied van privacyrecht en de inzet van big data. Momenteel volgt zij aan de Vrije Universiteit Amsterdam de master Internet, intellectuele eigendom en ICT.

Volg onze publicaties

cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.