12 reacties

    1. Een bedrijf als Flitsmeister anonimiseert alle binnekomde locatie gegevens door de eerste X honderd meter en de laatste X honderd meter van een route weg te knippen. Voor Flitsmeister is dat uiteraard voldoende om files op de snelwegen te kunnen spotten. Dat zou hier toch ook kunnen? Zou dat dan wel voldoende geanonimiseerd zijn?

  1. Zouden aantallen (per provincie of regio) van mobieltjes die zich per dag niet buiten een gebied van 1KM2 komen, niet buiten een gebied van 10KM2 komen, etc voldoende kunnen zijn? Dan heb je puur getallen die zeggen hoeveel mensen zich verplaatsen, terwijl je niet weet wie zich ophoud in welk specifiek gebied. Volgens mij is dit geen persoonsgegeven meer omdat het niet meer over individuen gaat, maar over iedereen binnen een groot gebied.

    1. Inderdaad. Toen ik anderhalve week geleden (?) voor het eerst het idee hoorde om telefoongegevens te gebruiken, werd erbij gezegd dat het doel was om vroeg te zien of er een samenscholing was, zodat de overheid dit snel kon stoppen door het strand/park/natuurgebied te sluiten. Daarvoor hoeven de telecomproviders bijvoorbeeld alleen maar door te geven als er meer dan 30 telefoons er op een strand/park/natuurgebied zijn, en dat kan volkomen anoniem zijn, en nuttig voor handhaving van het samenscholingsverbod.

  2. Voor aggregatie bestaan redelijk goede wiskundige technieken. In basis komt het er op neer dat er niet 1 maar meerder (zeg 3) centrale verzamelaars zijn, en dat ik dan niet “breedtegraad=52” doorstuur naar eentje, maar “breedtegraad=-5” naar #1, “breedtegraad=”+80” naar #2 en “breedtegraad=-23” naar #3, en dat ik niet dezelfde identifier gebruik. Individueel hebben ze geen idee wie ik ben en waar ik zit, maar tezamen kan je nog best wel enige wiskundige bewerkingen doen, zoals het gemiddelde van een groep mensen uitrekenen.

    En dan denk je wellicht “daar heb ik toch niet zo veel aan, als ik alleen het gemiddelde kan berekenen?”, of “dat is toch gevoelig voor een hacker die naar alledrie de servers breedtegraad=-90 opstuurt?” Tot mijn verrassing bestaan er technieken die meerdere wiskundige operaties toestaan, en die ook nog betrouwbaar blijven als tot 50% van de input onbetrouwbaar is.

    Het enige nadeel. Ik kan het je niet uitleggen. Ik neem aan dat er gebruik wordt gemaakt van secure multiparty computation. Als je de details wil hebben, lees bijvoorbeeld “Prio: Private, Robust, and Efficient Computation of Aggregate Statistics” van Corrigan-Gibs en Boneh. Ik heb een praatje ooit gevolgd, maar geef toe dat ik moest afhaken bij de wiskunde in de tweede helft.

    1. (Voordat je door mijn woorden afhaakt, de eerste helft van de slides is goed te begrijpen, en ik vind deze paper een van de meest indrukwekkende die ik in mijn carrière ben tegengekomen, dus toch een aanrader)

      1. Ik ken het praatje ja, en zeker bijzonder interessant. Voor zover ik (en ik zeg niet dat ik het inhoudelijk volledig begrijp, ik sta er voor open om gecorrigeerd te worden) weet echter is dit voor het gewenste doel niet een geschikte methodiek. Het doel is hier namelijk het voorkomen van besmetting die ontstaat als mensen op hetzelfde moment binnen een geringe afstand van elkaar komen. Als tien man allemaal verspreid op een voetbalveld staan is er niets aan de hand; als ze met z’n tienen in de kleedkamer zitten wel. Als tien mensen dezelfde supermarkt binnen stappen waar een uur geleden een besmet persoon is geweest is er ook weinig aan de hand. De data die je dus nodig hebt moet een zekere, en vrij hoge, mate van precisie hebben voor zowel de locatie alsmede de tijd; aan statistisch nauwkeurige gemiddelden achteraf heb je weinig. Ter plekke op het moment zelf ingrijpen door een stel ambtenaren naar bijv een stadspark of zo te sturen om mensen te manen naar huis te gaan is er helemaal niet bij met deze methode.

        Ik vrees dan ook dat autoriteiten aan echt geanonimiseerde data vrij weinig hebben, hoogstens voor analyse van de verspreiding achteraf of om academische redenen. Voor het voorkomen van verspreiding helpt het niet.

  3. Als het louter het bijhouden is waar er met iemand contact geweest is op het lokale device, zie ik het als mogelijk maar verre van triviaal. (Abstractie makend van het feit dat de meeste -of quasi alle- devices niet veilig zijn. en deze devices een werkende bluetooth (bereik tot een 10 meter) hebben en voldoende opslagmogelijkheid) Ik heb nog geen oplossing gezien die nog maar in de buurt komt.

    Bovendien vraagt het broadcasts naar iedereen van alle mogelijke besmette contacten naar iedereen die zich op een -ruime- regio geabonneerd heeft (haalbaar met een zeer grote “webpagina” die 1 keer per dag bekeken wordt). –> wel veel extra trafiek als er wat besmettingen zijn. Er moet ook voor gezorgd worden dat er geen zijdelingse lekken zijn, bv. door het opvragen van een kaart van de locatie na de melding. Dat zijn dan nog maar de vanzelfsprekendheden, het gaat veel verder. –> Dit is een zeer moeilijke opgave, maar de top crypto specialisten zijn deze zaken gewoon en zullen dit wel kunnen oplossen en onderzoeken. (reken wel op de een deftige kostprijs en lange doorlooptijd voor er enige zekerheid is)

    Alleen zijn noch android noch iOS hier veilig genoeg voor.

    Bovendien lost het niets op: Je zit in het OV te wachten aan een verkeerslicht en ernaast wacht een fietser die later besmet blijkt te zijn… Iemand gebruikt het OV tijdens de spits (eerst met de bus naar station A, dan met de trein naar station B in een grote stad, dan nog eens met de tram en ‘savonds omgekeerd) en gaat winkelen in een wat grotere supermarkt. Na 5-10 dagen blijkt die besmet te zijn. Met een cirkel van een kleine 10 meter denk ik meer dan 10.000 contacten.

    De gevolgen van geïntroduceerde stress zullen hoger zijn dan deze van de eventuele nieuwe besmettingen. Bovendien zullen slimme mensen ze niet installeren of deze zetten hun slimme telefoon regelmatig af (als ze er al één courant gebruiken).

    1. Vermits het kan zonder privacy gevoelige gegevens te bewaren of delen, is er geen noodwet nodig. Meer nog door de AVG kan dit dan ook niet meer.

      Dat dit meer werk,kennis, kunde en zeer zorgvuldig werken vraagt van de betrokkenen dan een privacy onveilige oplossing, speelt hier geen rol.

  4. Je stelt dat het vervangen van een mei nummer door wat dan ook anonimiseren zou zijn. Als ik de GDPR doorwerk gebruiken ze voor dat soort bewerkingen pseudonimiseren. Voor het aggregeren op een niveau dat een persoon onherkenbaar niet meer te herleiden is het woord anonimiseren. Een discussie wanneer iets nu anoniem is wort lastig als je de betekenis van een woord variabel laat zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.