Strenge uitleg AP van herleiden tot identificeerbare gegevens

Hoe Nederland een eiland in Europa wordt in covid-bestrijding met telecomdata

Als een van de weinige Europese landen gebruikte Nederland geen analyse van telefoondata om de pandemie te bestrijden. Te gevoelig, vond privacywaakhond Autoriteit Persoonsgegevens. Internationale telecomproviders als Vodafone en T-Mobile verstrekken louter in Nederland geen data meer. Waar zit de angel?

Een kortere versie van dit artikel verscheen in AG Connect Magazine en op de website.

Al rond 2008 presenteerde Alex Pentland, Amerika’s bekendste datawetenschapper, de New Deal voor data aan het World Economic Forum. Grote maatschappelijke problemen zoals met energie, verstedelijking, klimaat, honger, verkeer, planning, zorg en ook epidemieën, moesten we bij de horens vatten met inzet van patroonherkenning van big data. En om te beginnen met telefoondata.

Die moeten uiteraard worden geanonimiseerd. Bovendien, vindt Pentland, moeten individuen ‘eigenaar’ worden van hun persoonsgegevens en deze delen vanuit een datakluis. Pentland werkte het uit met MIT-collega’s uit in het boek Social Physics en publiceerde in de populairste wetenschapsbladen, NewsScientist en AmericanScientific. Onder meer onder de titel The Death of Individuality; dat ons uit de hand gelopen individualisme moeten we indammen voor collectieve inzet van intelligentie en data om wereldproblemen op te lossen.

Dat leidde tot striemende kritiek van Shoshana Zuboff in haar bejubelde boek Surveillance Capitalism waarin ze de kachel aanmaakt met Pentland. Dit soort figuren, aldus Zuboff, legitimeert het datagraaien van de Facebooks en leidt slimme studenten naar het vijandelijke kamp van Silicon Valley. Dat Pentland ook veel meer persoonlijke zeggenschap over data oppert, zag ze over het hoofd.

'Perverse prikkels' in journalistiek

Zie hier in een notendop het gepolariseerde debat over big data, misschien wel het belangrijkste IT-onderwerp van deze tijd. Het woord ‘algoritme’ is in dagbladen, de waarschuwingen van Zuboff en Yuval Noah Harari volgend, tot een ontembaar monster gemaakt. Zo is het Toeslagenschandaal toegeschreven aan beslisregels van machines, maar het was de combinatie van onbarmhartige wetgevers van vlees en bloed en nog onbarmhartiger uitvoerende ambtenaren, ministers en rechters van de Raad van State die de ellende veroorzaakten. Bij de belastingdienst zit al tientallen jaren in de hoofden dat een dubbel paspoort reden genoeg is om extra op te letten of er in dat andere land inkomen wordt genoten of bankrekeningen of vakantiehuis in bezit is. Maar media wisten het ook zeker: ‘het algoritme’ was discriminatoir en de Belastingdienst staakte van schrik voorlopig de inzet ervan voor controle van aangiftes.

‘Ook in journalistiek zitten perverse prikkels vanwege de concurrentie voor aandacht. De meeste aandacht trek je niet met de meest genuanceerde artikelen’, zegt Sander Klous, data-expert van KPMG en Universiteit van Amsterdam over het aanwakkeren van privacyangst door media en het kritiekloos volgen van de AP.

Tegenover Zuboff en Harari staan de utilaristen die menen dat het enorme nut van data-analyse voor de samenleving onbenut blijft doordat privacy-angst elke redelijkheid te boven gaat. Er zijn namelijk, zo weet ook Klous, niet altijd privacygevaren en bovendien afdoende methoden om goed te anonimiseren.

‘De nauwkeurigheid van data voor identificering van personen ontbreekt veelal. Ook met wifi-tracking leefde steeds het idee dat je mensen continu kunt volgen, maar dat is technisch onmogelijk, want er is beperkt contact en vaak zorgen telefoons voor anonieme verbindingen’, ervoer Klous met vele projecten.

Een promovendus onderzocht vier jaar lang bewegingspatronen van bezoekers van de Johan Cruijff Arena met wifi-signalen. Klous: ‘Daarbij werden ook beelden van ernstige privacyschending geschetst, of wij konden zien dat twee mensen tegelijk in één toilet waren bijvoorbeeld. Dat kan echt niet. De privacyschending wordt wat radicaal neergezet, als je ziet wat er technisch mogelijk is. De interpretatie van de Nederlandse AP is vrij extreem.’

Databescherming en fysieke privacy

Klous staat niet alleen, blijkt uit onderstaand relaas. Immers, toen werd het 2020 met de plotselinge pandemie en accent op collectief belang waarvoor individuele privacy moest wijken, tot achter de voordeur. Weerstand tegen fysieke privacyschending was er officieel nauwelijks, want alle privacyactivisten en de toezichthouder AP richten zich op data en de AVG.

Dus boden ze wel fel verzet tegen het voornemen om telecomdata in te zetten om concentraties en bewegingen van groepen mensen in kaart te brengen in de strijd tegen Covid-19: dat zichtbaar werd waar zich concentraties van mensen bevonden. Kennis daaruit wil het RIVM inzetten voor nauwkeuriger modellering over de verspreiding van Covid-19, bijvoorbeeld om lokale maatregelen te nemen voor lockdowns en avondklok, maar ook om het effect van genomen maatregelen te toetsen. Op geen enkele manier zouden besmettingen zichtbaar zijn.

Zoals met talloze stappen, niet enkel de mondkapjes ging VWS onder leiding van minister Hugo de Jonge in de fout, zo legde Netkwsesties in mei 2020 al bloot. De minister dacht het opvragen van telecomdata even te regelen, maar rekende buiten de telecomproviders en AP.

Dat mocht niet conform de AVG en er moest een aparte regeling komen voor aanpassing van de Telecomwet: Tijdelijke wet informatieverstrekking RIVM i.v.m. COVID-19. Over het voorstel daartoe brak de AP de staf: slecht onderbouwd doel, te weinig specificatie van methoden en (dus) waarborgen voor privacy en onduidelijke grens van de tijdelijkheid.

Veelal gaat de Raad van State mee in de bezwaren van de AP, maar dit keer niet. In haar advies stelt de RvS dat het doel om locatiedata van telefoons in te zetten wel degelijk duidelijk en belangrijk is. Bovenal leidt de methode die telecombedrijven, CBS en RIVM zouden toepassen wel degelijk tot afdoende anonimisering en zijn er geen persoonsgegevens meer in het geding. Wel moest staatssecretaris Keijzer haar voorstel op punten beter onderbouwen.

Echter, in juni 2020 kreeg het kabinet een stortvloed aan kritische vragen vanuit de Tweede Kamer te beantwoorden vanuit de vrees voor een permanente big brother. De vaart raakte eruit. Er kwamen wat wijzigingen op het voorstel voor de Tijdelijke wet, zelfs nog in oktober 2020, maar vlot trekken lukte niet meer. Immers, in het najaar verdween ook de urgentie van het afnemen van het aantal besmettingen. Bovendien kwam VWS met een Coronamelder app, die nabijheid van besmette personen zou moeten weergeven; overigens een ander doel dan het werken met GSM-data.  Bij de val van het kabinet werd het wetsonderwerp voor de Tijdelijke wet ‘controversieel’ verklaard waarmee het van de agenda van het demissionaire kabinet.

Echter, het debat voor inzet van telecomdata is daarmee allerminst van tafel. Dat kreeg overigens een valse start met een onthulling van een schandaal met de opzet van een datamodel door het CBS en T-Mobile die de privacy ernstig geschonden zouden hebben; waarop kritiek kwam, ook van hoogleraar Chris Verhoeff.

Wat is anonimisering?

Op het oog is het eenvoudig: anonimiseren van Call Data Records van telefonie (CDR) betekent het ontdoen van persoonsgegevens: nummers eraf, cel-ID locatie, opstelpuntnummer, tijdsduur, technisch informatie, Imei-nummer van de telefoon. Echter voor anonimiteit dient voldaan te worden aan het criterium dat herleiding tot een natuurlijke persoon met alle redelijke middelen niet mogelijk is. ’Singling out’ is doorslaggevend: als de data terug te brengen zijn tot één persoon is er al sprake van een persoonsgegeven, onafhankelijk van de vraag wie het is. Bovendien heb je behalve met directe identificatie (op naam/adres) ook het risico van indirecte identificatie vanuit bijvoorbeeld. Het anonimiseren van locatiegegevens is complex, omdat het met wiskundige technieken ongedaan gemaakt kan worden. Het debat over de toepassing van telecomdata is dankzij de pandemie en vooral de houding van de AP weer in alle hevigheid losgebroken. Het juridisch steekspel is het gevolg is van een summiere uitleg van anonimisering in de AVG, de wet voor databescherming. Daarin staat helder – overweging (26): ‘Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.’

Maar daarmee ben je er nog niet. Er staat ook: ‘Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt…om de natuurlijke persoon direct of indirect te identificeren…’ En daarbij moet je rekening houden met de technologie, kosten en tijd die nodig is om te identificeren.

Eenvoudig: als het een berg inspanning en geld kost om personen te ontdekken in een databrij, dan is identificering niet te verwachten. Waar trek je de lijn? De WP29, de club van voorzitters van Europese toezichthouders op databescherming, heeft zich daar in 2014 streng over geuit: anonimisering moet hoe dan ook onomkeerbaar zijn. ‘Anonimiseren betekent omzetting van persoonsgegevens in data waarmee je niet langer een natuurlijk persoon kunt identificeren; daarbij in ogenschouw nemende ‘alle middelen die hiervoor redelijkerwijs gebruikt kunnen worden’ door zowel een verantwoordelijke als een derde partij. Een belangrijke factor hierbij is dat de verwerking onomkeerbaar moet zijn.’

Strijd Wolfsen-landsadvocaat

AP hanteert de strengste uitleg en stelt dat anonimisering nagenoeg ‘ondoenlijk’ is. Een kenner van privacy die dagelijks werkt met telecomdata is, legt uit: ‘Anonimiseren van een set data kan volgens de AP louter, als de originele data er niet meer zijn. Anders kun je altijd terug gaan naar het originele bestand en kunt dan bellers en gesprekken weer herleiden. Met die opvatting kun je nauwelijks anonimiseren, tenzij dat bronbestand is weggegooid.’

Telecomaanbieders bewaren hun gegevens doorgaans zes tot twaalf maanden om klachten over facturering te behandelen en voor justitie als die gegevens voor concrete verdenkingen vordert  met gerechtelijke toestemming. In ogen van de toezichthouder is het onmogelijk om deze actuele gegevens te anonimiseren.

De privacydeskundige: ‘Daar vinden we allemaal wat van. Andere landen hebben een soepeler standpunt. Wij hebben gewoon een strenge toezichthouder, klaarblijkelijk kan dat in één Europese Unie.’ Haar telecombedrijf moet extra opletten vanwege Artikel 11.5 Telecommunicatiewet. Dit verbiedt gebruik van verkeersgegevens en locatiedata door derden, tenzij die zijn geanonimiseerd. Daarop houdt het Agentschap Telecom toezicht, en die leidt nu het onderzoek naar T-Mobile.

Gerrit-Jan Zwenne van landsadvocaat Pels Rijcken, actief voor het CBS, Justitie & Veiligheid en ook hoogleraar in Leiden, is kritisch. Hij heeft twijfels bij de uitleg van anonimisering door de AP en wijst op de vele andere EU-lidstaten waar telecomdata wel worden ingezet voor beperking van besmetting. In een presentatie bespreekt Zwenne de opstelling van de AP op een aantal terreinen – temperatuurmeting door bedrijven, de Corona-Melder app, en telecomdata. Ook kritisch was hij op opstelling van de toezichthouder bij de CoronaMelder. Volgens hem had AP weinig aandacht voor de bijzondere omstandigheden die de app noodzakelijk maakten. Die kritiek doet AP-baas Wolfsen af als ‘op de grens van het ongepaste’.

Over het gebruik van telecomdata door CBS en RIVM zegt Wolfsen: ‘We zien in andere landen systemen waarbij de overheid locatiegegevens van telecombedrijven gebruikt tegen verspreiding van het coronavirus.’ Zwenne wijst erop dat die ‘ andere landen onder meer 24 EU-lidstaten tellen en het dus niet gaat om regimes als China en Singapore.’ Ook internationaal maken de AP en Wolfsen naam als uitvoerders van streng beleid dat wordt gestuurd door privacy-activisten zoals van Bits of Freedom. Die zijn blij met de AP, maar bedrijven en wetenschappers in big data analyse zien zich in Nederland op achterstand gezet.

Xu, AP en CBS

‘Doorslaggevend in de privacyzorgen is het inmiddels beroemde – en voor sommigen – beruchte paper van ‘Xu et.al.’ dat de datamarkt op scherp zette. Hun uitkomst: het is nagenoeg onmogelijk om locatiegegevens van telefoons definitief te anonimiseren. Zelfs het aanleveren van alleen aantallen niet geïdentificeerde telefoongebruikers in cellen maakt de data niet anoniem. De reden is dat alle telefoonbewegingen vrijwel altijd van en naar het thuisadres van gebruikers gaan. De gevolgde paden van gebruikers zijn voor tientallen procenten correct te schatten. Gelijkluidend onderzoek stelt ook dat geanonimiseerde telecomdata voor geavanceerde hackers niet veilig zijn.

Het CBS wilde aan de slag met telefoondata gezien de intensiteit: per dag maakt een telefoon tot wel 600 keer contact met een antenne, met 5 miljoen klanten van T-Mobile maakt dat miljarden signalen per dag. Gemiddeld verblijft een Nederlander een uur per dag in het verkeer en we leggen samen dagelijks een half miljard kilometer af.

In een uitgebreide uiteenzetting erkent CBS dat telecomdata ‘uiterst privacygevoelig’ zijn, maar weerlegt in een wiskundige analyse de methode-Xu om toch achter de eigenaar van een gevolgde telefoon te komen. Kunnen terugrekenen met grote aantallen is een bekende vraag uit de algebra. Bijvoorbeeld: je telt 5 getallen op; kun je vanuit de uitkomst die getallen met enige zekerheid weer herleiden? Nee, meent het CBS. Zo hanteert Xu 8.400 gebieden met 100.000 nummers, het CBS 355 gemeenten met minimaal 5 miljoen toestellen. En als gevolg van de stappen van de telco is de relatie tussen de tellingen per gebied en per mast niet uniek te herleiden tot een toestel. De papers met identificatie als waarschijnlijkheid zoals van Xu zijn volgens het CBS onnauwkeurig getheoretiseer. Als een hacker de bestanden al zou weten te kraken, zou hij absoluut geen unieke nummers kunnen herleiden, laat staan die aan personen kunnen koppelen.

Een moeilijk punt is wel groepsherkenning. De CBS-analisten geven het voorbeeld van een bus studenten die tussen 2:00 en 3:00 uur naar Groningen rijdt. Als meer dan 15 studenten dezelfde provider hebben is groepsherkenning mogelijk. Deze tracering is mogelijk in combinatie met online beschikbare leden- en agenda-informatie.

Met zo’n gering gevaar is de vraag of het voorkomen van sterfgevallen als belang niet zwaarder weegt dan van herkenning van studenten aan de boemel. Dan nog is het overigens wettelijk verboden voor het telecombedrijf en voor het CBS om te identificeren, zo luidt het laatste argument. Maar theoretisch is herleiding door een hacker mogelijk.

Ook juridische onderbouwing

Zwenne en collega Lars Groeneveld van landsadvocaat Pels Rijcken stellen vast dat het CBS en T-Mobile door het verstrekken van geanonimiseerde en versleutelde bestanden voldoen aan de Telecomwet en AVG. Ofschoon ze ook melden dat de uitvoering van de AVG qua anonimisering aan discussie onderhevig is. Kern is dat een verwerkende partij ‘redelijkerwijs’ de data niet meer tot personen kan herleiden.

De redenatie van het CBS sluit aan bij de richtsnoeren voor het gebruik van locatiedata voor Covid-bestrijding van de European Data Protection Board, gewoonlijk buitengewoon streng met de uitleg van de AVG. Ook die hanteert de ‘redelijkheidstoets’: is identificatie met inzet van redelijke inspanningen mogelijk. Hoe dan ook moet een maatregel die grondrechten zou kunnen aantasten, tijdelijk zijn.

De Memorie van Toelichting bij het wetsvoorstel Tijdelijke Informatieverstrekking RIVM gaat uit van deze definitieve anonimisering van de telecomdata via het CBS. Identificering ‘valt niet redelijkerwijs te verwachten’: het vergt een enorme inspanning en kosten (dus: ‘onredelijk’) voor wie het bronbestand niet heeft. Bovendien mogen de telecombedrijven hun bestanden niet aan derden geven. Identificatie mag gewoon niet, is vastgelegd in de telecomwet. Volgens het Breyer-arrest van het EU-Hof van Justitie is er volgens de landsadvocaten dan geen sprake meer van persoonsgegevens waarop de privacywet van toepassing is. Bovendien bundelt het RIVM data van drie aanbieders en kan niet herleiden uit welk bronbestand  een nummer gedeeld is

De ‘redelijkheid’ is ook uitgangspunt van genoemd advies van de Raad van State stelt in haar advies dat geen persoonsgegevens in het geding zijn. Identificatie van een persoon kost niet enkel ‘excessieve inspanning’, maar is ook verboden.

Mezuro voorop

Toen de regering geanonimiseerde en geaggregeerde telecomdata wilde gaan gebruiken om de pandemie te bestrijden stond niet het CBS maar Mezuro in Weesp vooraan in de rij vanwege jarenlange ervaring met applicaties die gebruik maken van locatiegegevens van telecombedrijven. Mezuro leverde al jaren informatie aan Nederlandse overheden gebaseerd op een -uiteraard -  op privacy goedgekeurd systeem.

Mezuro wil verder liever niets kwijt over haar toepassingen, maar links en rechts is informatie openbaar. Zo heeft de regio Amsterdam blijkens een Kamerstuk de spreiding van toerisme onderzocht met anonieme mobiele telefoonsignalen vertaald naar verplaatsingen van groepen personen.

CBS geeft drukte en bewegingen weer per gemeente, met 355 gebieden aanzienlijk minder gedetailleerd dan Mezuro, dat ook voldoende heeft aan telecomdata van één provider. Mezuro geeft verplaatsingen weer tussen oorsprong en bestemming, in 1.250 regio’s van gemiddeld 33 km2 en 13.000 inwoners: hoeveel mensen verplaatsen zich tussen regio’s en verblijven daar minstens 30 minuten.

Mezuro biedt een platform waarop telecomoperators hun Call Detail Records (CDR’s) van gesprekken kunnen anonimiseren om deze voor toepassingen aan te bieden. In het buitenland biedt Mezuro louter dit platform, in Nederland bemiddelt het ook in diensten aan bedrijven en overheden, vooral aangaande drukte en mobiliteit.

Directeur Wim Steenbakkers: ‘We hebben deze technologie bij het begin van de pandemie direct aangeboden aan het CBS en ministeries gezien het grote maatschappelijk belang. CBS wilde niet samenwerken en vanuit de overheid kwam geen enkele reactie; zelfs geen ontvangstbevestigingen.’

Tot verbazing van Steenbakkers koos de overheid voor een methodiek van CBS die nog in ontwikkeling was: ‘CBS wilde voorheen met Mezuro samenwerken en we moesten know how delen en ons laten beoordelen door CBS. Vervolgens heeft CBS in de markt verteld zelf met gelijksoortige informatie te komen. Ook rond Covid-19 weigerde CBS met Mezuro samen te werken.’

‘Mezuro wil, mag  en kan geen toegang tot de persoonsgegevens van de operator krijgen. Dat ligt dus vast in de overeenkomsten en daarop is de technologie ontworpen’, zegt Steenbakkers, die meent dat zijn methode qua privacy bewezen veilig is.  ‘De anonimiteit van onze informatie hebben we meerdere malen laten controleren door vooraanstaande onafhankelijke experts zoals Matthijs Koot van Secura’. Koot, die gepromoveerd is op het meten en voorspellen van anonimiteit, beaamt dit: ‘Met de huidige stand van de wetenschap is bij Mezuro niet in redelijkheid sprake is van enig reëel risico voor de privacy van individuen.’ Koot sprak ook bij een hoorzitting in de Tweede Kamer

Remco van der Hofstad, hoogleraar Kansrekening aan de TU Eindhoven, werkte vanaf  maart 2020 met Mezuro aan een nauwkeurig model om met geanonimiseerde mobiliteitsinformatie besmettingen te voorspellen. ‘Binnen een week had mijn team een plan van aanpak. Het was ongekend hoezeer de wetenschap probeerde in te springen om de overheid te helpen om dit probleem op een zo goed mogelijke manier aan te pakken’, aldus Van der Hofstad voor de Vaste commissie voor Economische Zaken en Klimaat op 15 oktober 2020.

Ook de hoogleraren Hans Heesterbeek (epidemioloog), Nelly Litvak (algoritmes voor netwerken) en Niels Chavannes (eHealth) werkten mee aan optimalisering van het Mezuro-model dat Nederland indeelt in 1.250 gebieden. Daarbinnen en daartussen worden bewegingen en verblijfsduur van personen gevolgd. ‘Dergelijke analyses zijn zeer relevant, omdat ze inzicht geven in het effect van, bijvoorbeeld, regionale lock-­downs en ander maatregelen’, stelden de hoogleraren.

Identificering was absoluut onmogelijk. Per gebied werden data van steeds minimaal 15 telefoons meegenomen om de kans op identificatie te minimaliseren. De analyses met Mezuro vonden plaats met data uit 2019, waarvan providers de bronbestanden hadden vernietigd, maar gebruik van actuele data was net zo veilig. Van der Hofstad is teleurgesteld over de stilstand als gevolg van de partijen die dwarsliggen: ‘Het resultaat is dat we sinds april 2020 nauwelijks zijn opgeschoten en in een impasse zijn beland…Mijns inziens is een noodwet niet nodig en ongewenst. Er is een technologie die met een druk op de knop geschikte mobiliteitsinformatie oplevert die volgens mij en andere experts voldoet aan de AVG.’

Data luisteren nauw. Een automobilist die alleen door een gemeente rijdt, besmet niet zoveel mensen. Dus is een algemene avondklok voor heel Nederland een grove maatregel. Recent klaagden ook de wetenschappers Sake de Vlas (EUR, modellering) en Denny Borsboom (VU, psychologie) dat de maatregelen tegen besmettingen veel te weinig met gedragsonderzoek waren onderbouwd. De RIVM stond ook geheel niet open voor inbreng van buiten, dus aanpassing van haar modellering met externe bevindingen was hoe dan ook onmogelijk.

Wel kregen Mezuro en de hoogleraren geld van NWO en ZonMw om met Mezuro-data onderzoek te doen naar regionale in plaats van landelijke maatregelen. Recent volgde een wetenschappelijke publicatie in de Journal of the Royal Society. Daaruit blijkt dat telecomdata een grote voorspelbare waarde te hebben bij sterke concentraties van infecties, bijvoorbeeld ‘superspreading’ evenementen. Een regionale optimalisatie van maatregelen leidt tot het voorkomen van meer infecties met minder restricties op bewegingsvrijheid dan met de landelijke aanpak van afgelopen jaar; dus goed voor volksgezondheid en economie. En dit is nog steeds relevant, gezien de varianten die steeds opduiken maar ook als voorbereiding voor nieuwe pandemieën.

Van der Hofstad en Litvak menen, na een nauwgezette wiskundige analyse van de Mezuro-bestanden, dat ze niet gevoelig zijn voor de methode-Xu. ‘Wij kunnen naar eer en geweten niet bedenken hoe enige natuurlijke persoon uit deze informatie te herleiden zou zijn… ‘We weten op geen enkel moment precies hoeveel gebruikers zich bevinden in de Mezuro-gebieden. Als we zien dat er bijvoorbeeld 100 mensen uit Utrecht in Eindhoven gereisd zijn, dan weten we niet wie deze mensen zijn, noch óf, en zo ja wanneer, ze in Den Bosch zijn geweest.’

Dit wordt bevestigd door Koot. Xu et al. nemen aan dat bekend is hoeveel mensen er in welk gebied zijn, maar die data heeft Mezuro niet en dus is er geen startpunt van waaruit individuele paden van gebruikers berekend kunnen worden. Immers, de methode-Xu gebruikt continuïteit van bewegingspatronen, en daarvoor is het zaak om tussenliggende cellen te kennen. Daarnaast zijn nog drie anonimiseringsstappen gedaan door Mezuro volgens de wetenschappers, waarbij het terugrekenen absoluut onmogelijk is geworden.

De AP staat met haar eis dat anonimisering nagenoeg onmogelijk is zo lang de originele bestanden – beveiligd of niet - nog ergens voorhanden zijn tegenover Koot, Van der Hofstad en Litvak, Mezuro en de buitenlandse toezichthouders. Ze stellen dat de originele bestanden met persoonsgegevens bij de operator blijven onder streng toezicht en wettelijke plichten en Mezuro nooit toegang krijgt.

Maar ook logisch klopt de redenering niet volgens genoemde wetenschappers Koot, Litvak en Van der Hofstad: als je wel toegang hebt tot de originele data hoef je niet de de-anonimiseren. Een betrokkene bij één van de telecombedrijven, die absoluut niet openbaar de AP kritisch durven te benaderen, stelt: ‘Als je deze redenatie van de AP volgt kun je alleen de uitkomsten van enquêtes publiceren als je alle ingevulde enquêteformulieren hebt vernietigd. En moet je dan bij geanonimiseerd medisch onderzoek eerst alle medische dossiers van betrokken patiënten vernietigen?’

Politiek moeilijk

De Europese commissie heeft op 8 april 2020 een aanbeveling uitgebracht over het gebruik van o.a. geanonimiseerde mobiliteitsgegevens bij de bestrijding van Covid-19., het doel was te komen tot een gemeenschappelijke ‘toolbox’ met maatregelen om de crisis met behulp van digitale middelen te bestrijden. Niet enkel kwam daar niets van terecht, qua privacy en anonimisering wees dit stuk louter op bestaande wetten.

De AVG of GDPR geldt in alle 28 EU-lidstaten en Vodafone is in een aantal landen wel actief met inzet van telecomdata om locaties en contacten te traceren in bestrijding van Covid-19. Al in maart 2020 bereikten acht Europese telecomproviders een akkoord met de Europese Unie over het verwerken van anonieme locatiegegevens ter bestrijding van de pandemie. Vodafone Group behoorde tot die bedrijven  en stelde vervolgens een vijfpuntenplan op. Ook schreef pr-directeur Joakim Reiter er artikelen over op Politico. Tot vier keer toe belooft Vodafone nader uitsluitsel, maar dat komt niet.

Een anonieme bron die veel met telecomdata werkt, zegt: ‘Operators worden bedolven onder verzoeken voor locatiedata. De garantie dat data daar anoniem zijn, is niet genoeg. Dus wil EZ graag een nieuwe wet maken en dan werken de telecompartijen mee. Maar het demissionaire kabinet wilde er de vingers niet aan branden, en waarschijnlijk een volgend kabinet ook niet.’

Dus kunnen in Nederland enkel de inlichtingendiensten de data pogen te verzamelen, en justitie kan gerichte verkeers- en locatiedata vorderen met een gerechtelijke toestemming bij een concrete verdenking. Door de CBS/T-Mobile zaak zijn operators huiveriger geworden, althans vooral in Nederland. Tot medio 2019 heeft Mezuro in Nederland samengewerkt met ‘een operator’. Dat blijkt Vodafone te zijn. Echter, die is zich wild geschrokken van de CBS/T-Mobile zaak, want de AP vindt botweg dat het niet kan. Vodafone liet direct na de opgeworpen bezwaren in Den Haag weten geen telecomdata te zullen verstrekken zonder nieuwe wetgeving. Mezuro heeft hieronder te leiden en verliest miljoenen met verloren diensten die overheden tot voor kost nog graag afnamen.

Ondertussen hebben buitelandse statistiekinstituten zoals in Duitsland (Destatis), België (Statbel) en Frankrijk (Insee)  telecomdata van providers, ook van T-Mobile en Vodafone, kunnen inzetten voor big data-analyses.*) In Nederland eisen deze partijen, ook KPN, een Tijdelijke wet eisen alvorens ze geanonimiseerde actuele telecomdata willen verstrekken, teneinde niet met de AP en Agentschap in aanvaring te komen.

Nederlanders in het buitenland

Ondertussen kunnen de lichtere regimes in het buitenland ook Nederlandse bellers raken. Providers in Oostenrijk en Zwitserland konden bijvoorbeeld in februari 2020 de +31-nummers verzamelen om te zien hoeveel Nederlandse toeristen in 2020 op verschillende wintersportplaatsen waren bij vermeende brandhaarden. ‘Maar door het ontbreken van Europese samenwerking had dat weinig zin. Bovendien zou de AP ervoor gaan liggen, ook al zou de zusterwaakhond het goedkeuren’, zegt een anonieme bron.

Er is weinig onderzoek beschikbaar of die inzet van telecomdata überhaupt wel tot minder besmetting of betere maatregelen heeft geleid. Wel blijkt dat onderzoek een stuk eenvoudiger is met data van Google. Die anonimiseert volop om de wetenschap ter wille te zijn, met behoud van bestanden met miljarden geïdentificeerde klanten.

De woordvoerder van het CBS zegt dat gebruik van telecomdata stil ligt in afwachting van inwerkingtreding van de wet. T-Mobile, Vodafone en KPN laten alle weten dat ze wachten op de invoering van de wet alvorens nog geanonimiseerde data aan aangewezen partijen te verstrekken. Ook moet (dus) de AP dan akkoord zijn. De drie providers hanteren alle een bewaartermijn van zes maanden voor hun data. Voor de Belastingdienst zijn zij verplicht factuurgegevens maximaal 7 jaar na einde van het abonnement/contract te bewaren maar daar zijn de gesprekgegevens dan vanaf gehaald.

In het onderzoek van Mezuro en wetenschappers zijn data gebruikt over 2019. Gezien de bewaarperiode van zes tot twaalf maanden zouden telecomdata van 2020 nu niet meer voor onderzoek beschikbaar zijn, wat Van der Hofstad als een ‘ramp voor de wetenschap en beleidsmakers’ betitelt. Echter, de telecombedrijven bewaren zelf de geanonimiseerde gegevens. ‘Gegevens die geanonimiseerd zijn conform de AVG, zijn geen persoonsgegevens meer en mag je onbeperkt bewaren omdat ze niet meer indirect zijn terug te herleiden’, aldus T-Mobile.

De status quo leidt tot de conclusie dat actueel onderzoek van bewegingen van mensen met telecomdata in de delta die we Nederland noemen niet mogelijk zal worden. Louter onderzoek met bestanden die tenminste een half jaar oud zijn, kan Nederland toepassen, Mezuro in een fijnmazig netwerk van 1.250 gebieden, het CBS per gemeente.

EZ wil doorzetten

Inmiddels heeft Economische Zaken – nu minister Stef Blok – antwoord gegeven op Kamervragen over de kwestie T-Mobile/CBS waar volgens NRC de privacy ernstig geschonden was en waarnaar het Agentschap Telecom (ook onderdeel van EZ) onderzoek doet. Hij beantwoordt vragen van Katalijne Buitenweg (Groenlinks), van Kees Verhoeven (D66) en van Joba Van den Berg (CDA). Verhoeven stelde de vragen inclusief zware beschuldigingen over privacyschending en misbruik van data.

Blok antwoordt dat het CBS voldoet aan alle privacyregels, maar dat hij voor een oordeel over de  kwestie CBS/T-Mobile de uitkomsten van het onderzoek van Agentschap Telecom en AP afwacht. In het antwoord op de scherpe feitelijke vragen van Buitenweg valt deze formele passage op: ‘De Telecommunicatiewet maakt het de aanbieders van telecommunicatiediensten mogelijk om zonder toestemming van de gebruikers locatiegegevens te verwerken onder de voorwaarde dat deze gegevens zijn geanonimiseerd. Na de anonimisering mogen de gegevens, als de aanbieders van telecommunicatiediensten dat zouden willen, ook met derden worden gedeeld.’

Heeft de houding van de AP in Nederland mensenlevens gekost? Daar kan het CBS het antwoord niet op geven: ‘Covid is een nieuwe toepassing, en er is niet met zekerheid te zeggen of het meten van drukte had bijgedragen. Het RIVM meent van wel en had reden om drukte als indicator in de voorspellingsmodellen op te nemen.’

*) Hier is op 21/9/2021 een correctie toegepast. Er stond dat de genoemde buitenlandse statistiekbureaus telecomdata inzetten om 'brandhaarden en verspreidingspatronen van Covid-19 in kaart te kunnen brengen'. Die informatie van bronnen was onjuist.

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0