Over privacy en over data-analyse berichten Nederlandse journalisten graag tendentieus, zoals recent de Volkskrant over het Inlichtingenbureau en Follow the Money waar feitenvrij de nieuw toeslagenaffaire werd onthuld. Goed onderbouwde verhalen over concrete bedreigingen van datamisbruik vind je ook, zoals recent in Vice over verwerking van nummerborden wereldwijd, of bij specialisten als Daniël Verlaan bij RTL, over het datalek bij Allekabels.nl. Het gaat regelmatig gruwelijk mis met data, net als met journalistiek trouwens maar daar verneem je veel minder van. Hoe zou dat komen?
CBS en T-Mobile aan de schandpaal
Van september 2017 tot en met december 2019 heeft T-Mobile in eigen huis enkele onderzoekers van het CBS toegang gegeven tot telecomdata voor een proefproject Fast population statistics based on mobile phone data. Daarvoor is een contract getekend, met onder meer vastlegging van anonimisering. De data zou het CBS willen gebruiken om ruimtelijke drukte en beweging te bepalen, om zo kennis over mobiliteit, verkeer, toerisme, veiligheid, rampenbestrijding, ruimtelijke ordening etc te vergroten.
De overheid wilde daar beter inzicht in hebben, maar het CBS bevindt zich ook in een traject van mogelijke commercialisering. Bovendien zou T-Mobile zelf wellicht garen kunnen spinnen bij exploitatie van deze data.
Momenteel is T-Mobile marktleider in telefonie met 7 miljoen simkaarten, een derde gedeelte van de markt, maar ten tijde van de samenwerking met CBS, nog voor de overname van Tele2, waren het er 6 miljoen, van 5 miljoen personen.
Op 10 maart 2021 publiceerde NRC.nl het artikel Toezichthouder onderzoekt het delen van locatiedata van T-Mobile-klanten met CBS, dat op 11 maart de krant opende, gevolgd door het onderzoek Hoe het CBS en T-Mobile de privacy schonden. De artikelen waren onderbouwd met wob-verzoeken; waarop het CBS ruimhartig had geantwoord, gezien bijvoorbeeld de vrijkomende Whatsapp-berichten.
De NRC-artikelen werden begeleid door de podcast Hoe het CBS en T-Mobile de privacy van miljoenen Nederlanders schonden. De titel impliceert een extrapolatie van de zaak: van enkele onderzoekers met mogelijke inzage in telefoniedata op naam tot ‘privacyschending van miljoenen Nederlanders’. Nu ben ik een van die vijf miljoen klanten. In hoeverre is m’n privacy geschonden?
Vertrekkende Kamerleden
Drie Kamerleden stelden naar aanleiding van het NRC-onderzoek, apart van elkaar, vragen over het CBS/T-Mobile dataproject. Kees Verhoeven – die de D66-fractie ondertussen verliet – vroeg veroordelend op 12 maart aan demissionair staatssecretaris van Economische Zaken Mona Keijzer: ‘Wist u dat het CBS op grote schaal werkte met direct en indirect herleidbare locatiegegevens van miljoenen burgers?...Wat vindt u van de opportunistische handelswijze van T-Mobile, inclusief het verzwijgen van activiteiten en het openlijk bepleiten van terughoudendheid met commercieel datagebruik?’
Joba van den Berg-Jansen (CDA) vroeg neutraal: Van hoeveel mobiele klanten van T-Mobile, en eventuele andere telecomproviders, zijn gegevens uitgewisseld? Is het juist dat deze klanten hiervan niet op de hoogte zijn? In hoeverre is dit toegestaan?’ En ze wil weten hoe het zit met commerciële doelen van CBS en T-Mobile, en met de grenzen tussen pseudonimisering en anonimisering.
Kathalijne Buitenweg van GroenLinks, ook vertrekkend Kamerlid, stelde nuchtere Kamervragen, over gedrag van T-Mobile en de vijf CBS-ambtenaren in de omgang met de identificerende klantgegevens met data, met als belangrijke toevoeging: ‘Hoe verhoudt de samenwerking tussen het CBS en T-Mobile zich tot het voorstel voor de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19?
Op 8 april lieten de ministers Dekker en Van ’t Wout weten dat de beantwoording niet lukt binnen drie weken. Twee maanden later zijn er nog geen antwoorden
Gevoelige metadata
Het gaat steeds om verkeersgegevens: wie heeft er met wie wanneer en waar via welke antennes gebeld, oftewel CDR of Call Detail Records; data die KPN, Vodafone en T-Mobile nodig hebben om te factureren en voor hun netwerkmanagement. Klanten zien die gegevens deels staan in hun factuuroverzicht. En Justitie kan inzage vorderen, maar beschikt niet meer over een databank met telecomdata na een Europees verbod. (Zie dossier bewaarplicht)
Bij de telecombedrijven zelf kunnen medewerkers van de klantenservice ze oproepen om klachten over facturering te behandelen. Die werknemers schenden dan niet direct de privacy van die klanten, noch kunnen ze hele bestanden tegelijk zien. Ze tekenen voor geheimhouding, maar kunnen mogelijk het belgedrag van hun familie/kennissen of van BN’ers inzien. Daar hoor je nooit wat van.
Telecombedrijven verwijderen deze belgegevens na een half jaar of negen maanden uit hun systemen, zo legt een privacydeskundige van één van de bedrijven uit. Ze wil anoniem blijven. Anonimisering van de bestanden betekent het ontdoen van de CDR’s van alle A- en B-nummers (beller en gebelde) en toestelnummers (Imei). Dan zijn ze geanonimiseerd. Tenzij er bij een antenne een of weinig mensen wonen dat je nog een abonnee zou kunnen identificeren.
Wie liegt: AP of T-Mobile en CBS?
Nu naar T-Mobile/CBS, oftewel ‘het T-Mobile/CBS schandaal’ voor de zoekers naar #ophef. NRC onthulde dat in een proefproject vanaf 2017 tot 2020 vijf CBS-ambtenaren jarenlang binnen het gebouw van T-Mobile toegang tot niet-anonieme locatiegegevens van T-Mobile-klanten hadden. Ze wilden een algoritme bouwen om met locatiedata mobiliteit en verblijfsgedrag van Nederlanders te meten. Waaronder: hoe lang personen in winkels (ook van T-Mobile) blijven. Zulke informatie is maatschappelijk en deels commercieel interessant.
De beschuldiging noopt het Agentschap Telecom, en Autoriteit Persoonsgegevens tot onderzoek. Daar staat bij: ‘nadat ze hier door NRC op zijn gewezen’. Zo parmantig zijn journalisten, Maar klopt het ook? Nee. Negen maanden eerder, in juni 2020, berichtte NRC al over dezelfde kwestie: Lang voor de coronaspoedwet volgde het CBS al telefoons van burgers. Daarin staat: ‘Privacywaakhond AP reageert verbaasd. “Dit is opmerkelijk. Wij gaan in gesprek met het CBS. Het is aan het CBS om dan aan te tonen dat het volgens de regels handelde”, aldus een schriftelijke reactie. Of er ook daadwerkelijk onzorgvuldig met de locatiedata is omgesprongen, kan waarschijnlijk alleen na onderzoek door de privacywaakhond blijken.’
Dus NRC schreef in juni 2020 onopvallend over deze kwestie en in maart 2021 een opening krant met als kop: Toezichthouder onderzoekt het delen van locatiedata van T-Mobile-klanten met CBS. Een van beide beweringen is niet waar. Is dat onderzoek van AP in juni 2020 begonnen of niet? Zo ja, wat leverde het op? Zo nee, waarom dan nu pas zoals nu in NRC gemeld?
Voorlichter Quinten Snijders van de AP: ‘De AP heeft toen een gesprek gevoerd met het CBS en enkele documenten opgevraagd. De AP-collega’s gespecialiseerd in onder meer telecom gaven toen prioriteit aan lopende zaken, zoals de plannen van het kabinet om telecomdata te gebruiken in de strijd tegen corona. Wegens het nijpende capaciteitsgebrek kwam de AP pas eind 2020 toe aan het bestuderen van de documenten. Volgens de informatie die de AP toen had, ging het toen om een pilotproject in 2017, dat in datzelfde jaar gestopt was.’
Dus de mededeling van juni dat AP onderzoek ging doen, was niet juist. Het CBS zegt over deze aankondiging in juni 2020: ‘ Tot op heden is ons niks bekend van een onderzoek dat de AP heeft gestart tegen ons over de pilot met T-Mobile.’
Maar het gaat verder: AP stelt hier dat CBS en T-Mobile hebben gelogen over de duur van het project, want dat zou dus in 2017 zijn gestopt. Daarover zegt het CBS: ‘We hebben de AP ook alle informatie gestuurd over de periode 2018/2019.’
De AP heeft er niets aan toe te voegen, dus is wel duidelijk wie hier de waarheid tart. Nu is bekend dat AP-baas Aleid Wolfsen een-tweetjes met media van hoger orde acht dan de waarheid spreken, maar dit 'misverstand' gaat wat ver. En NRC laat de AP bij de grootse onthulling in maart 2021 toehappen, maar deed dat al in juni 2020.
Overigens leidt het Agentschap Telecom het onderzoek. De woordvoerder: ‘Agentschap Telecom richt zich in dit onderzoek op dat deel van de wetgeving waar wij toezichthouder op zijn. In dit geval zijn dat telecommunicatiewet 11.5 een 11.5a. Die gaan over respectievelijk verkeersgegevens en locatiegegevens. De resultaten van het onderzoek worden rond de zomer verwacht.’ In Artikel 11.5 Telecommunicatiewet verbiedt gebruik van verkeersgegevevens en locatiedata door derden, tenzij die zijn geanonimiseerd.
Antwoorden van CBS en T-Mobile
In de Kamervragen, vooral die van Kees Verhoeven, worden conclusies getrokken die vooruitlopen op het onderzoek. Hij vindt de bewijsvoering door NRC evident. We hebben nog een ronde met uitvoerig wederhoor bij T-Mobile en CBS gedaan, want die meenden door de krant onvoldoende gehoord te zijn.
1. Wat klopt er volgens T-Mobile niet aan het NRC-artikel?
‘A. T-Mobile heeft absoluut geen inzage in persoonsgegevens van ‘van miljoenen klanten’ gegeven in de klassieke zin, zoals NAW en locaties…Het CBS heeft uitsluitend onder strikt toezicht- en op locatie van T-Mobile verwerkingen uitgevoerd…Ze werkten altijd op een door T-Mobile beveiligde laptop binnen het netwerk van T-Mobile, en deze bleef altijd in een kluis bij T-Mobile bewaard.
Bovendien waren de vijf CBS medewerkers volgens een overeenkomst /contract ook gebonden aan de T-Mobile voorwaarden zoals die voor iedere T-Mobile werknemer geldt bij het werken met deze gegevens.
B. Het ging in deze pilot om geanonimiseerde en geaggregeerde gegevens. Dit zijn tellingen van apparaten (met altijd met een minimum aantal van 15) die zich op een bepaald moment binnen het bereik van een bepaalde zendmast bevonden. De gebruikte gegevens zijn niet te herleiden tot personen. Ook niet door ons. [Aantal van 15 wordt genoemd in een uitspraak van de rechtbank Amsterdam.)
C. Verdachtmakingen dat we gevraagd hebben data rond T-Mobile shops inzichtelijk te maken. Dit een bijzonder ongelukkige woordkeuze is geweest van de interne CBS medewerkers. Het is denkbaar dat er tussen data-experts op enig moment over gesproken is. De detaillering van de data waarmee gewerkt is absoluut niet afdoende om zulke specifieke inzichten te genereren.
D. NRC schrijft over toegang tot de locatiegegevens van miljoenen T-Mobile-klanten. De pilot behelsde het tellen van apparaten binnen het dekkingsgebied van een mast, van waaruit een cel wordt gevormd. Waar binnen de cel zich apparaten bevonden was niet bekend. De benodigde informatie om te kunnen zien aan welke mast een apparaat is verbonden is dus zeer summier. Zie het contract.
Onterecht doet NRC de verdachtmaking: ‘CBS werkte met direct herleidbare gegevens’. Dit is onjuist. CBS medewerkers hebben toegang gehad tot een beperkt aantal gegevens die al gepseudonimiseerd waren, die zijn niet tot individuen te herleiden.
2. In het contract staat: ‘Het staat T-Mobile vrij om de methode voor het bepalen van locatiegegevens ook voor eigen doeleinden te gebruiken, zowel tijdens als na afloop van de pilot.’ Wat zat er voor T-Mobile aan mogelijke opbrengst in?
‘Hoewel het contract stelt dat wij de methode voor eigen gebruik mochten inzetten, was dit nooit voor T-Mobile de reden om bij te dragen aan deze pilot. We hebben met deze pilot een maatschappelijke bijdrage willen leveren op een voor een telecomprovider passende manier.’
Vragen aan CBS
1. In hoeverre is de klacht tegen jullie over privacyschending zoals geuit in het NRC-artikel juist?
CBS: ‘Die is inhoudelijk onjuist. Het CBS heeft als wettelijke taak het maken van statistiek over groepen in de samenleving en verwerkt dagelijks gevoelige gepseudonimiseerde data. Het voorkomen van onthulling van personen of bedrijven is wettelijk verplicht. Bij elke stap in het proces is dan ook de privacy getoetst, daarin zijn we ook transparant geweest door dit te publiceren en uit te leggen.
Deze pilot voldeed aan de strengste wettelijke privacy-eisen. Het CBS heeft geen toegang gehad tot individuele gegevens van personen. De gegevens waar het om gaat geven bovendien geen exacte plaatsbepaling aan. Het CBS rekent door het optellen van kansen of een telefoon in een gebied aanwezig zou kunnen zijn. Het resultaat is goed genoeg voor de statistische doeleinden en volledig anoniem: een globale schatting van het aantal aanwezige personen in een bepaald gebied.
De werkwijze is (net als al onze werkwijzen en methoden) openbaar gepubliceerd in dit document en deze technische handleiding. De uitkomsten zijn bovendien anoniem zo blijkt uit onderzoek van hoogleraar Zwenne en de Raad van State.’
2. NRC suggereert opzettelijk oprekken van wettelijke grenzen omdat de coronacrisis betere omstandigheden schept om data te ge/misbruiken?
CBS: ‘Dat is de kleur die de journalist eraan geeft. Het CBS had de pilot net afgerond en er zijn gesprekken geweest om te kijken of we iets konden betekenen voor het RIVM in deze crisis… In zijn algemeenheid: Elke overheid mag bij het CBS een verzoek voor statistische informatie indienen om daarmee beleid te verbeteren. Bij uitvoering en daar waar zo’n verzoek geen onderdeel van het basispakket is, brengt het CBS de kostprijs in rekening.
3. Waarom enkel data van T-Mobile en niet van KPN en Vodafone? Heeft CBS wel gepoogd met deze partijen een contract af te sluiten?
‘Het CBS heeft inderdaad en uiteraard gesprekken gehad met alle aanbieders. Alleen T-Mobile wilde op dat moment samenwerken in een pilot.’
4. Citaat NRC: ‘E-mailverkeer wijst er bovendien op dat de CBS-medewerkers ook met direct herleidbare gegevens werkten. In maart vorig jaar bespreken CBS-medewerkers via WhatsApp dat ze „IMSI’s” uit privacy-overwegingen moeten gaan „anonimiseren”. Dit duidt er op dat ze dat eerder niet deden.’ Volgens NRC wordt er later alsnog anonimisering toegepast. Wat lezen jullie eruit?
CBS: ‘Pseudonimisering is direct toegepast. We hebben nooit ook enig IMSI gezien. IMSI blijven in de telefooncentrale waar bijna niemand bij kan komen en zeker niemand van de analyseafdeling van T-Mobile. In de praktijk worden de “dubbel gepseudonimiseerde IMSI” afgekort tot IMSI. Dat zijn lange cijfercodes.’
5. NRC publiceert e-mail over grenzen passeren met visualisatie van data. Wat staat hier volgens jullie?
CBS: ‘Dit was een misverstand. T-Mobile dacht dat er toch de schijn gewekt zou worden dat het tracking data zouden zijn, waarbij mensen gevolgd worden. We willen geen associatie met GPS-data zoals Google die verwerkt. Juist vanwege misverstanden en de gevoeligheid was er nauwe afstemming met T-Mobile over publicatie.’
6. NRC: Pas in het voorjaar van 2019 komt het binnen het CBS tot een discussie over de vraag of het statistiekbureau zich wel aan de privacywetgeving houdt. „Daarbij maak ik mij toch wat zorgen. … Kunnen wij die anonimiteit claimen?”, vraagt een hoge CBS-medewerker zich af. Op advies van een „hoogleraar in Leiden” wordt dan voorgesteld net te doen alsof het CBS op verzoek van T-Mobile de locatiedata anonimiseert…De CBS-jurist gaat voor deze misleidende voorstelling van zaken liggen.’
CBS: ‘Er was discussie over hoe de juridische interpretatie van anoniem is en hoe we pseudonimisering dienen te zien volgens de Telecomwet. Prof. Zwenne geeft daar juridisch uitsluitsel over. Dit ter bevestiging van onze eigen juridische analyses. Zie ook ons Statement pilot T-Mobile en CBS.’
Ex en buurman bespioneren?
Uiteraard proberen T-Mobile en CBS zich hier vrij te pleiten, vooral ten behoeve van T-Mobile dat een forse boete kan krijgen. Zowel medewerkers van T-Mobile als van CBS moeten beroepshalve met vertrouwelijkheid omgaan. Twijfel aan de onkreukbaarheid van het CBS met enorme hoeveelheden gegevens kan de hele Haagse datafabriek op de grondvesten doen schudden. De AP heeft het eenvoudiger, krijgt nauwelijks kritische vragen, want werkt mee aan de shaming door media. Ofschoon het soms de hand overspeelt.
De AP is voor big data en anonimisering niet alleen toezichthouder, maar interpreteert de regels ook zelf. In het geding is hier de strenge uitleg van anonimisering. In feite is dat pas mogelijk als de data nergens meer naar personen herleidbaar zijn, dus als het bestand is vernietigd. Dus na die genoemde 6 tot 9 maanden bewaarperiode van de telecombedrijven. T-Mobile had het CBS louter bestanden mogen verschaffen die niet enkel geanonimiseerd waren, maar waarvan het bronbestand niet meer bestond.
Is daarmee ook een inbreuk gemaakt op de persoonlijke levenssfeer van vijf miljoen Nederlanders, zoals NRC meent te mogen stellen? Hebben de vijf CBS-ambtenaren vrolijk door hun telefoongegevens kunnen bladeren, zeer gevoelige gegevens; van hun ex’en, zussen, buren en ook ministers, advocaten, journalisten te weten komen met wie ze hoe lang belden en/of hoe ze zich door het land bewogen? Bevatten de bestanden namen en hele telefoonnummers? Hadden ze ook toegang tot bronbestanden. Contractueel was dit onmogelijk volgens partijen. Bovendien tekenen alle CBS’ers voor geheimhouding. De bewering ‘privacy van miljoenen Nederlanders geschonden’ gaat hoe dan ook te ver.
Sander Klous, big data professor aan de Universiteit van Amsterdam en werkzaam voor KPMG: ‘Volgens mij heeft CBS de wettelijke functie om een heleboel privacygevoelige data te verwerken en volgt daarin standaard de wet. Ik heb me dus verbaasd over de toonzetting van het NRC-artikel.
Als je een nieuwe statistiek ontwikkelt, ga je een nieuw proces in en is het logisch dat je oriënteert met een blik op de data. Dan kom je op de werkvloer tot het inzicht dat je in conflict kan komen met de privacyregels en ga je daar naar handelen. Het wordt nu in een frame geplaatst van grootschalige privacyschending.’
Collega-hoogleraar Chris Verhoef stelt in AG Connect onder de kop Ophef: ‘Grote schande, want dit gaat leiden tot een surveillancemaatschappij…NRC heeft de afgelopen decennia onder een steen geleefd als ze dit echt menen. Apple en Google weten al heel lang waar mensen zich gedurende de dag bevinden, en ook 's nachts, en ook wat ze aan het doen zijn: wandelen, in het ov, rijden in de auto, of je aan het funshoppen bent, recreëren, naar de supermarkt gaat, of drogisterij, vertoeft in het park, op het station bent, naar je werk gaat (want men weet waar je werkt), je in je eigen buurt beweegt (want men weet waar je woont), en nog veel meer. En dat zijn alleen nog maar je mobiele data.’
Anoniem in de krant?
Het Agentschap Telecom is nu eerst aan zet in het onderzoek naar eventueel gemaakte overtredingen. Die gaat over de beveiliging van telecomdata. T-Mobile loopt een groter risico op een forse boete dan het CBS. Een uitspraak brengt meer helderheid over grenzen van pseudonimiseren en anonimiseren door de AP, die voor vele partijen van belang zijn.
Overigens is het bezigen van de term ‘hoogleraar in Leiden’ door NRC met een beschuldiging een voorbeeld van bedenkelijk pseudonimiseren - met een menselijk algoritme - om hem toch eenvoudig te identificeren. Bekend is dat de Leidsche hoogleraar Gerrit-Jan Zwenne het CBS als advocaat bijstaat…
*) Beeld: De verzoeking van de heilige Antonius van Jan Mandijn, Frans Hals Museum, Haarlem