“Iets dat anoniem lijkt, is meestal niet anoniem, zelfs als het met de beste bedoelingen is ontworpen.” Met die quote van Matt Blaze, expert cryptografie en data privacy, wijst burgerrechtenbeweging EFF er nog eens op dat het anonimiseren van persoonsgegevens in de meeste gevallen een mythe is, die door bedrijven wordt gebruikt om aan grootschalige dataverzameling te kunnen doen en hun ‘surveillance ecosysteem’ te rechtvaardigen. “Soms zeggen bedrijven dat onze persoonlijke data worden “geanonimiseerd”, waarbij wordt gesuggereerd dat het een mechanisme is waarbij her-identificatie niet mogelijk is. Maar dat is niet mogelijk, anonieme data blijken dat zelden ook echt te zijn.”
De EFF verwijst onder meer naar onderzoeken waaruit bleek dat slechts drie kenmerken van een persoon nodig zijn om de grote meerderheid van een bevolking te identificeren. Logisch als je voor jezelf eens nadenkt met hoeveel anderen je dezelfde geboortedatum, postcode en geslacht deelt. Veel zullen het er inderdaad niet zijn. Om data effectief te de-identificeren zal er dus meer nodig zijn dan enkel die informatie uit een dataset te verwijderen die rechtstreeks naar een individu te herleiden is, zoals naam, adres of gsm-nummer. Dat zou ook moeten gebeuren met informatie die de persoon in kwestie in combinatie met andere informatie kan identificeren.
EFF vertrouwt er niet op dat bedrijven zich op dat gebied zelf zullen reguleren. Het financiële voordeel en zakelijke nut van onze persoonlijke voorkeuren weegt voor hen vaak zwaarder door dan onze privacy en anonimiteit. Als het aan de EFF ligt mag de privacy van gebruikers niet worden opgeofferd voor de winsten van bedrijven. Bedrijven zouden er toe moeten verplicht worden om voor elke dataverzameling aan gebruikers hun vrije, geïnformeerde en vrijwillige toestemming via opt-in te vragen.
Locatiegegevens als voorbeeld
In dat verband geeft de EFF het voorbeeld van locatiedata, de data die door allerhande apps verzameld worden over al je verplaatsingen: van je winkelbezoeken en uitstapjes tot ziekenhuisbezoeken en deelnames aan manifestaties. Die data zijn zelfs precies genoeg om verdachten aan de plaats van een misdrijf te koppelen en tijdens een rechtszaak als onomstotelijk bewijs gebruikt te worden. Dat maakt dat individuele locatiegegevens meteen ook unieke persoonlijke identificatoren zijn. En zelfs als locatiegegevens zogezegd anoniem zouden zijn gemaakt, dan kunnen ze opnieuw geïdentificeerd worden door ze te correleren met andere openbaar beschikbare gegevens of informatie die wordt verkocht door datamakelaars. Uit onderzoek bleek dat onderzoekers 50% van de mensen uniek konden identificeren met behulp van slechts twee willekeurig gekozen tijd- en locatiegegevens. Bovendien wordt de locatie tracking van een app dikwijls al zodanig ontworpen dat er by default persoonlijke profielen worden opgebouwd.
Tussen haakjes, de EFF wijst er ook op dat het samenvoegen van locatiegegevens ook op een privacyvriendelijke manier kan gebeuren. Dan kan bijvoorbeeld het geval zijn voor een druktebarometer waarop geen individuele nummers of andere gegevenspunten worden verzameld maar enkel hoeveel telefoons op een bepaald moment of tijdens een bepaalde periode op een bepaalde locatie gemeld zijn. Uiteraard is de druk op dat gebied wel dikwijls groot om meer details bij te houden, waardoor de privacy weer wordt uitgehold.
De conclusie van de EFF is duidelijk. “For data brokers dealing in our personal information, our data can either be useful for their profit-making or truly anonymous, but not both.”
Onderzoeken
- Boris Lubarsky: Re-Identification of “Anonymized” Data (Georgetown Law
Technology Review) - Latanya Sweeney: Simple Demographics Often Identify People Uniquely (pdf, Carnegie Mellon University)
- Philippe Golle: Revisiting the Uniqueness of Simple Demographics in the US Population (pdf, Palo Alto Research Center)