Jarenlang hebben T-Mobile en het CBS achter de schermen samengewerkt aan de ontwikkeling van een algoritme om het mobiliteits- en verblijfsgedrag van Nederlanders te meten. Het CBS mocht hiervoor de gepseudonimiseerde locatiedata van alle T-Mobile gebruikers analyseren. Waarom pseudonimiseren en niet anonimiseren?
De NRC heeft op 10 maart 2021 een opmerkenswaardig artikel gepubliceerd waaruit blijkt dat het CBS sinds 2017 toegang had tot locatiegegevens van de klanten van T-Mobile. Onder toezicht van T-Mobile hebben een aantal CBS-medewerkers op het hoofdkantoor van T-Mobile de locatiedata van mobiele bellers geanalyseerd. In een reactie op het nieuwsartikel verklaarde het CBS dat de geanalyseerde data bestond uit gepseudonimiseerde persoonsgegevens. Het doel van de samenwerking was een door CBS te ontwikkelen algoritme waarmee op basis van de locatiedata van de mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders gemeten kan worden. Dit soort informatie kan voor bijvoorbeeld gemeenten meewegen in investeringsbesluiten omtrent infrastructurele projecten, maar kan ook worden gebruikt bij het afsluiten van gebieden tijdens drukte.
De kwestie heeft veel stof doen opwaaien. Zo vroeg Kamerlid Verhoeven: ‘Welke andere CBS-proefprojecten met grootschalige dataverzameling lopen er?’. Logisch dat deze vraag wordt gesteld, aangezien het doel van de dataverzameling het meten van mobiliteitsgedrag van alle Nederlanders is. In dat kader is het klantenbestand van T-Mobile wellicht te beperkt om een volledig beeld te krijgen van het mobiliteitsgedrag van alle Nederlanders. Zou het kunnen zijn dat er soortgelijke samenwerkingen lopen met andere telecomaanbieders?
Locatiegegevens
Metadata, zoals locatiegegevens, worden door grote gegevensverwerkers regelmatig neergezet als persoonsgegevens die slechts een geringe inbreuk maken op het recht op privéleven. Dit is echter onjuist. Aan locatiegegevens kan bijvoorbeeld gezien worden wat je bewegingspatronen zijn, aan wie je regelmatig een bezoekje brengt, welke winkels je graag bezoekt en waar je woont. Locatiegegevens kunnen zelfs onthullen wat de gezondheidstoestand van een persoon is. Om een simpel alledaags voorbeeld te noemen: een wijkverpleegkundige brengt elke dag een bezoek aan haar patiënten. Op het moment dat haar locatiegegevens onderzocht en gedeeld worden, is precies te zien wie haar patiënten zijn, en wanneer en hoe vaak ze er naar toe gaat.
Om te beoordelen of er in het geval van T-Mobile en CBS sprake is van een privacyinbreuk, moet eerst helder zijn waarom is gekozen voor pseudonimisering boven anonimisering, en wat in deze de invulling van het begrip ‘gepseudonimiseerde persoonsgegevens’ is. In de blog van deze week gaan we met name in op de volgende vraag: ‘Wat kan in het licht van de AVG worden verstaan onder gepseudonimiseerde persoonsgegevens?’
Kamervragen & nader onderzoek
Het nieuws heeft ertoe geleid dat het Agentschap Telecom (AT) en de AP de zaak nader gaan onderzoeken om te bepalen of sprake is van een inbreuk op privacywetgeving. Bovendien zijn er Kamervragen gesteld over de kwestie. Zo vroeg Kamerlid Buitenweg: ‘Welke definitie hanteert u van gepseudonimiseerde persoonsgegevens in dit verband? Zijn gegevens van telecommunicatieverkeer waaruit enkel de unieke IMSI-nummers zijn verwijderd nog steeds persoonsgegevens, of niet?’. Vooral de laatste vraag is relevant om te bepalen of wel of geen sprake is van persoonsgegevens en daarmee een mogelijke overtreding van de AVG.
De AVG is namelijk niet van toepassing op anonieme gegevens, aangezien dit geen persoonsgegevens zijn. Bij anonieme gegevens kan worden gedacht aan persoonsgegevens die zodanig anoniem zijn dat de betrokkene nooit identificeerbaar was of dat helemaal niet meer is. Ook kan hierbij worden gedacht aan gegevens die überhaupt geen betrekking hebben op een persoon. Een andere categorie die buiten het toepassingsbereik van de AVG valt, zijn de zogeheten ‘geanonimiseerde persoonsgegevens’. Dat zijn gegevens die in eerste instantie wel herleidbaar waren naar een bepaald individu, maar waarbij door gebruik van verwerkingstechnieken de mogelijkheid tot identificatie onomkeerbaar wordt verwijderd. Na anonimisering mogen dus geen aanvullende gegevens beschikbaar zijn waarmee alsnog een koppeling kan worden gemaakt met een bepaald individu.
Gepseudonimiseerde persoonsgegevens
Het CBS gebruikt in haar persverklaring de term ‘gepseudonimiseerde persoonsgegevens’. Zoals het woord zelf al zegt, zijn gepseudonimiseerde gegevens iets anders dan geanonimiseerde gegevens. In een van de Kamervragen wordt dan ook de vraag gesteld wat precies de invulling is van de gebruikte term ‘gepseudonimiseerde persoonsgegevens’. Dit is zeer relevant, omdat – in tegenstelling tot geanonimiseerde persoonsgegevens – gepseudonimiseerde persoonsgegevens wél onder het toepassingsgebied van de AVG vallen. Dat komt doordat – met gebruik van aanvullende gegevens – een gepseudonimiseerd persoonsgegeven nog wel te herleiden is naar een specifiek persoon. Pseudonimisering is geen onomkeerbaar proces zoals de anonimisering, omdat er nog steeds ergens aanvullende gegevens beschikbaar zijn waarmee een koppeling kan worden gemaakt naar een specifiek persoon.
De pseudonimisering die het CBS heeft gehanteerd, bestond uit twee stappen. Allereerst werden de IMSI-nummers vervangen door willekeurige getallen. IMSI-nummers zijn wereldwijd unieke nummers die gekoppeld zijn aan simkaarten, waarmee de gebruiker kan worden geïdentificeerd. Vervolgens werd er een extra versleuteling gebruikt die elke 30 dagen vervangen werd.
Het antwoord op de vraag of in deze kwestie wel of geen sprake is van een privacyinbreuk ligt gecompliceerd. Dat komt doordat het CBS slechts onder toezicht van T-Mobile de gepseudonimiseerde gegevens mocht onderzoeken. Met andere woorden, er is geen sprake geweest van het delen van persoonsgegevens in letterlijke zin. Daarnaast heeft T-Mobile slechts inzage gegeven in de gepseudonimiseerde persoonsgegevens. Althans, zo verklaart het CBS. Of dit correct is moet nog blijken uit een feitenonderzoek van het AT en de AP. Wat betreft de vraag of de interpretatie van de term ‘gepseudonimiseerde persoonsgegevens’ – zoals gebruikt door het CBS en T-Mobile – correct is, kan pas meer worden gezegd na afronding van de onderzoeken van de AP en het AT en na een reactie van het demissionair kabinet op de Kamervragen.