Anonieme data niet zo anoniem als gedacht

Anonieme data niet zo anoniem als gedacht
Redactie Young Startup
Redactie Young Startup
Young Startup
Den Haag ('s-Gravenhage)
7 jaar geleden
Gepost in Media

Twee op de drie Nederlanders is gewoon te identificeren op basis van geanonimiseerde persoonsgegevens in de gemeentelijke basisadministratie. Dat blijkt uit promotieonderzoek van informaticus Matthijs Koot.

Het enige dat daarvoor is vereist zijn de vier cijfers van een postcode en een geboortedatum. Koot nam 2,7 miljoen geanonimiseerde persoonsgegevens onder de loep en wist ze in 67 procent van de gevallen te herleiden tot de personen achter deze gegevens. En dat terwijl gegevens van de privacywet in de meeste gevallen ontdaan moeten worden van naam en burgerservicenummer.

‘Die informatie over ons staat in heel veel databases,’ zegt Koot, die vorige week woensdag promoveerde. ‘Denk aan de AH Bonuskaart, Air Miles, Bol.com – die tegenwoordig ook vraagt om je geboortedatum, je internet- en telefoonprovider, maar natuurlijk ook allerlei overheidsdatabases en bij je huisarts en apotheek. Veel mensen hebben hun geboortedatum op hun Facebook en LinkedIn staan, samen met hun woonplaats.’

Niet zo anoniem
Geanonimiseerde persoonsgegevens, waarbij gegevens zijn ontdaan van persoonsnaam en burgerservicenummer, blijken dus helemaal niet zo anoniem als gedacht. ‘Ik maak bezwaar tegen die definitie van anoniem. Juist omdat de onderzoeksresultaten de intuïtie bevestigen dat gegevens die op de beschreven manier zijn geanonimiseerd, gede-anonimiseerd kunnen worden.’

Koot geeft het voorbeeld van een combinatie van geboortedatum en geslacht, die bijvoorbeeld vermeld kunnen staan op de website van een anonieme online praatgroep. ‘Iemand met toegang tot de gegevens uit de gemeentelijke basisadministratie zou jou alleen al op basis daarvan kunnen herleiden tot een groep van veertig geïdentificeerde personen.’ Koot zegt zijn hart vast te houden bij de gedachte dat de gegevens uit zo’n database op straat komen te liggen.

Privacy calculator
Koot vindt dat de verwerking van persoonsgegevens zich tot het noodzakelijke dient te beperken. ‘Als het voor marketingdoeleinden volstaat de leeftijd of het geboortejaar van iemand te hebben, vraag dan niet de volledige geboortedatum.’ Om bedrijven te helpen heeft Koot ook een privacy calculator gemaakt. Daarmee kan worden berekend hoe privacygevoelig de gegevens zijn die ze verzamelen. ‘Het liefst zou ik een soort openbaar codeboek willen zien waarin je kunt opzoeken hoe identificerend bepaalde veel voorkomende combinaties van gegevens zijn.’

De informaticus kan niet zeggen of specifieke groepen, zoals studenten, anders omgaan met hun gegevens. ‘Dat ligt buiten de scope van mijn onderzoek,’ aldus Koot. ‘Wel valt me op dat profielen op sociale media zo nu en dan wel wat erg veel detailinformatie bevatten.’ Laat het een waarschuwing zijn.

Credits: Foliaweb