Kritiek op Proximus voor verkoop van “anonieme locatiegegevens”

Matthias Dobbelaere, oprichter en partner bij deJuristen, schreef een open brief aan Proximus en de Privacycommissie. Aanleiding was het nieuws dat Proximus “anonieme locatiegegevens” gaat verkopen. Ethisch, juridisch en commercieel niet correct, volgens Dobbelaere. Die bovendien ook onaangenaam verrast was door de reactie van de Privacycommissie die vond dat er geen vuiltje aan de lucht was.

proximus-my-analyticsKernpunt van de kritiek op Proximus is het ontbreken van een opt-out. Nergens biedt de provider de mogelijkheid om het bijhouden en verhandelen van locatiegegevens te weigeren. Iets wat zelfs notoire privacyschenders als Facebook en Google wel doen (for what it’s worth, uiteraard). Wat ons betreft: om helemaal correct te handelen, zou Proximus dit soort praktijken eigenlijk enkel als opt-in mogen aanbieden. Op die manier moet je als klant een actieve en bewustere keuze maken, in het geval je er mee akkoord zou gaan dat Proximus geld verdient aan jouw persoonlijke data. Tenslotte betalen we in België al meer dan genoeg aan telecomproviders en hoeven we niet nog eens extra te betalen door onze persoongegevens te grabbel te gooien.

Ander punt van discussie is de vraag rond de anonimisering van de data. In hoeverre de persoonsgegevens ook effectief anoniem zijn, is alles behalve duidelijk. In een reactie op de open brief, beweert de Privacycommissie stellig dat de data anoniem gemaakt worden. Maar door in één en dezelfde zin anoniem en geëncrypteerd te gebruiken, zaait de Privacycommissie zelf nog wat extra twijfel. Encryptie heeft immers helemaal niets te maken met anonimiteit. Het betekent enkel dat de data versleuteld en dus beveiligd zijn. Maar ze blijven wel gebonden aan de persoon. En we zouden ondertussen toch allemaal moeten weten hoe verdomd moeilijk het is om persoonsgegevens volledig te anonimiseren, zoals Matthias Dobbelaere in zijn open brief ook aanhaalt. Het mag dan wel mooi klinken, “anonieme data”, maar de realiteit is dikwijls anders. Ook op dat punt blijft wantrouwen dus meer dan gerechtvaardigd.

Alles samen redenen genoeg, vond Matthias Dobbelaere, voor een open brief waarin hij serieuze vraagtekens plaatst bij het nieuwe initiatief  van Proximus en bij de rol van de Privacycommissie. Omdat hij op beide punten overschot van gelijk heeft, nemen we hieronder grote delen van zijn open brief over. De volledige versie kan je hier lezen. De uitgebreide reactie van de Privacycommissie kan je hier lezen. Wie het graag beknopt heeft, kan ook terecht bij Radio 1, waar Dobbelaere een minuut kreeg om uit te leggen waarom hij niet wil dat zijn gegevens verkocht worden. De uitgebreider argumentatie vind je hieronder.

Open brief aan Proximus (en de Privacycommissie)

(…) We lezen dat Proximus start met het verkopen van ‘anonieme locatiegegevens’, en dat voor maar liefst 700 euro per set. Ethische, juridische en commerciële vragen steken de kop op, het meest jammerlijke is wellicht dat onze Privacycommissie, die toch haar verantwoordelijkheid dient te dragen, op enkele uren tijd kan beslissen dat dit geen inbreuk uitmaakt op de Privacywetgeving. Hierbij niet gehinderd door enige technische kennis.

Anoniem

Proximus beweert dat het gaat om anonieme locatiegegevens. Dat klinkt mooi, maar is dat ook zo? In een gerenommeerd onderzoek van de MIT & de K.U. Leuven getiteld ‘Unique in the Crowd: The Privacy bounds of human mobility’, volgden ze gedurende 15 maanden meer dan één en half miljoen individuele gebruikers. De omstandigheden waren verbazingwekkend gelijklopend: éénmaal per uur connecteerde de telefoon van de persoon met de centrale. De telefoon stuurde een locatieping uit. Wat bleek? Vier van die locatiepunten was voldoende om 95% van de 1,5 miljoen gebruikers te gaan identificeren. Vier locatiepunten. Laat het even bezinken.

We weten op moment van schrijven niet precies welk technisch procedé Proximus gebruikt (of zal gebruiken) om haar gegevens te anonimiseren. Transparantie en een opt-out zijn niet voorhanden. Wie zal de gegevens anonimiseren? Waar en hoe worden deze gegevens bewaard en beveiligd? Welke voorzorgen neemt Proximus om hackers buiten te houden? Welke zekerheden hebben u en ik dat dit in de toekomst niet verder wordt uitgebreid en onze rechten niet verder worden uitgeput?

Juridische bezwaren

(…) In artikel 1 van de Privacywetgeving lezen we dat ‘alles wat kan terugleiden naar een persoon, een persoonsgegeven uitmaakt’. Zo vallen IP-adressen wel zonder discussie onder de toepassing van de privacywetgeving, ook al zal niet elk IP-adres altijd terugleiden naar een persoon (denk aan een bibliotheekpc, of de smartphone van een vriend, et cetera). Nu, als uit onderzoek blijkt dat 95% geidentificeerd kan worden aan de hand van vier locatiepunten, dat is het heel duidelijk dat deze gegevens persoonsgegevens kunnen worden, en dus niet zomaar verhandeld kunnen worden zonder de uitdrukkelijke toestemming van de betrokkene.

Etische en commerciële bezwaren

Over de etische en commerciële bezwaren kunnen we kort zijn. Persoonsgegevens (zelfs al zijn ze geanonimiseerd en voorlopig beperkt) die een operator inzamelt, hoeven niet te grabbel gegooid te worden voor wat extra inkomsten. (…) We zijn in België bovendien gezegend met één van de duurste abonnementformules ter wereld. Zo heeft elke consument ook een contract met zijn operator. Dat contract bestaat uit twee condities: ‘bedrag x’ voor mobiel bereikbaar te kunnen zijn. Nergens in dat contract wordt gerept over het verhandelen van zijn of haar data voor extra inkomsten. Het is niet alleen ethisch verwerpelijk, het is ook commercieel onjuist.

Proximus en de Privacycommissie

Aan Proximus: (…) Niet alleen heeft u als marktleider een morele verantwoordelijkheid, daarnaast zet dit initiatief de deur op een kier voor meer ingrijpende en gevaarlijke tendensen die een loopje nemen met onze privacy. Wil u toch volharden in de foute keuze, geef uw klanten dan tenminste waar ze recht op hebben: een volwaardige en transparante opt-out, samen met de nodige informatie hoe en op welke manier de gegevens verwerkt zullen worden. Dat is geen vraag, maar een recht dat elk van uw consumenten heeft.

Aan de Privacycommissie: Ik vind u een verouderd apathisch instituut. U heeft tijd en budget om zinloze (maar wel mediagenieke) rechtszaken tegen Facebook te gaan voeren, terwijl dat geld had kunnen gebruikt worden om degelijke en snelle adviezen te schrijven en te investeren in positieve incentives en opleiding rond privacy voor bedrijven.

U speelt uw rol vandaag niet uit. U bent wellicht gehinderd door een overdruk aan aanvragen. Ik vraag met drang om uw rol in het Belgische landschap te herzien. U heeft een nieuwe staatscommissaris en dus een nieuwe opportuniteit om mensen & budget op een meer nuttige manier in te zetten.