T-Mobile deelde herleidbare locatiegegevens met CBS voor bouwen van algoritme

T-Mobile heeft jarenlang niet-anonieme gebruikersgegevens gedeeld met het Centraal Bureau voor de Statistiek, meldde Tweakers onlangs. Deze werden gebruikt om een algoritme te bouwen waarmee mensenstromen in kaart werden gebracht. NRC Handelsblad onderzocht een overeenkomst uit 2017 tussen de twee, waarbij het slechts „een pilot-project”, zou zijn waarbij alleen met „geanonimiseerde” gegevens zou zijn gewerkt. Dat blijkt dus niet waar, zo ontdekte de krant met een beroep op de Wet Openbaarheid van Bestuur, die daarmee een verontrustend inkijkje gaf in de manier waarop het CBS en T-Mobile met de privacy van bellers omgingen.

In 2017 ging het CBS een samenwerking met T-Mobile aan. Het doel was een algoritme ontwikkelen dat op basis van de locatiedata van één mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders kan meten. En dat noemen we dan wel “algoritme” maar het gaat natuurlijk om big data machine learning: gooi een grote bak met data in een opgevoerde versie van Excel en kijk hoe de grafiekjes lopen. En ja, dat werkt alleen met hele grote bergen data, en daarbij moet je per datapunt zo veel mogelijk informatie hebben. Het CBS aasde daarom niet alleen op telecomgegevens, maar ook op „data over betalingen” van banken en op andere informatie, wat je ‘verrijking’ kunt noemen of ‘datagraaien’ afhankelijk van aan welke kant je staat.

In het contract met het CBS staat dat T-Mobile „de methode voor het bepalen van locatiegegevens ook voor eigen doeleinden” mag gebruiken, „zowel tijdens als na de pilot”. Maar geen zorgen, „De data zijn zo privacygevoelig dat als er één partij vertrouwd kan worden om dit te analyseren … dan is dat het CBS”, aldus het businessplan.

En dan val ik van mijn stoel want dan blijkt men het verschil tussen pseudoniem en anoniem niet te kennen. Cruciaal, want de AVG is van toepassing op pseudonieme data – maar niet op anonieme. Dus wat krijg je dan, dat iedereen zegt dat de data anoniem is. Maar ik heb hier een AI die met 95% accuratesse voorspelt dat jouw data niet anoniem is maar alleen gepseudonimiseerd*. En ja hoor: “de unieke IMSI-nummers van mobiele toestellen zijn vervangen door andere nummers.” Dat is klassiek pseudonimiseren en nadrukkelijk niét anonimiseren. Ook niet als die andere nummers random zijn. Met de rest van de data is nog méér dan genoeg analyse te doen om over personen uitspraken te kunnen doen.

Gebruikers werden niet op de hoogte gehouden van de plannen. Wel werd de samenwerking besproken met de toezichthouders, maar daarbij werd niet verteld dat er toegang was tot niet-anonieme gegevens. Het Agentschap Telecom gaat, samen met de Autoriteit Persoonsgegevens, nu onderzoek doen naar het datadelen.

Arnoud * De AI zegt altijd “dit is pseudonimiseren” en dat klopt 95% van de tijd. Waar haal ik mijn VC funding voor deze GDPR Compliance Lawyerbot?

11 reacties

  1. Als dit besproken is met een toezichthouder dan heb ik ernstige twijfels over de competenties bij deze toezichthouder. Locatiegegevens over mobiliteits- en verblijfsgedrag kunnen toch per definitie nooit anoniem zijn?

    Van 99.9% van de puntjes kan je prima achterhalen waar deze personen wonen. Om per huishouden verder onderscheidt te maken hoef je alleen maar te kijken wie er elke dag naar een school gaat, boodschappen doet of de kroeg in duikt.

  2. Dus, we hebben het CBS die oneigenlijk data verwerkt, de politie [1][2] die zich niet echt heeft ingelezen in de AVG, en de Belastingdienst die in 2024 hoopt te voldoen aan de AVG [3].

    Je zou toch bijna denken dat uitvoeringsorganisaties boven de wet staan. Het scheelt dat de AP vooralsnog (wegens minimaal budget) beperkt handhaaft

    1. https://tweakers.net/nieuws/174764/ict-systemen-van-nederlandse-politie-voldoen-vrijwel-allemaal-niet-aan-de-wet.html
    2. https://www.nu.nl/tech/6121460/tienduizenden-mensen-mogelijk-onterecht-in-gezichtendatabase-van-de-politie.html
    3. https://www.ad.nl/tech/belastingdienst-voldoet-pas-in-2024-volledig-aan-privacywet~aaecb0e8/
    1. Je zou toch bijna denken dat uitvoeringsorganisaties boven de wet staan

      Klopt, want ze plaatsen zichzelf gewon boven de wet en komen er mee weg met als excuus ‘heel moeilijk en ingewikkeld’. Animal Farm…

      En het draait allemaal om ICT. Lees eens het feuilleton ‘UWV: Kroniek van een faalfabriek’ op Geenstijl (afgelopen week deel 68) en dan krijg je een beetje een idee waarom de overheid continu op alle vlakken zo’n totale miljardenverslindende clusterf**k op ICT gebied is. Tranentrekkende interne incompetentie, verdediging van interne koninkrijkjes, animositeit tussen onderknuppels onderling, tussen UWV, Belastingdienst en andere instanties, grote ICT boeren die tientallen tot honderden ‘ICT-ers’ van het niveau ‘schoolverlater’ projecturen laten draaien zonder enig ontwerp (!) of afstemming en dus met de wetenschap dat het ‘werk’ achteraf per definitie de prullenbak in kan. Terwijl letterlijk honderden miljoenen als veredelde ‘Melker baan’ invulling naar grote ICT bedrijven verdwijnen lees je dan dat een van de weinige UWV ICT goeroes 2 weken vrij neemt, en thuis zelf een database met applicatie in elkaar draait waar het UWV dan nog jarenlang succesvol mee werkt. Twee manweken werk (!), terwijl aan veel dossiers bij het UWV al meer dan een decennium wordt gewerkt zonder enig resultaat. Er is daar een perverse wisselwerking tussen de UWV managers en de grote ICT bedrijven: de ICT bedrijven willen vooral veel opdrachten en omzet, de managers blijven belangrijk zolang het werk niet af is. En dat uitzichtloze spelletje wordt allemaal betaald van jouw en mijn belastingcenten…

      1. Dat feuilleton vertelt 1 versie van het verhaal. Geschreven door de ICT goeroe zelf, en de crux is dat die goeroe in twee weken meer voor elkaar krijgt dan grote teams in twee jaar.

        Herinnert hij zich alles correct? Vergeet hij niet details die nadelig voor hem zijn? Ik weet het niet, en zou graag de versie van de “andere kant” ook eens horen.

        1. Het voorbeeld wat ik aanhaal van die 2 weken werk was een andere man dan de schrijver van het feuilleton. Zijn eigen werk beschrijft hij regelmatig in detail, en bijna altijd denk je dan ‘ja, logisch, veel slimmere aanpak dan waar het UWV en ICT-boeren mee bezig zijn’, en elke keer wordt het afgeschoten om de herkenbare maar idiote reden dat een succesvolle aanpak van zo’n klein clubje externen bedreigend is als de groteske projecten van het UWV zelf steeds falen. Het is een politiek stuk drijfzand, belangenverstrengeling, ego’s en regelrechte corruptie waarbij het allang niet meer gaat om projectmatig efficiënt naar een oplossing toe te werken. Eigenlijk is dat ook de kern van het feuilleton, niet zozeer het werk wat hij zelf heeft neergezet.

    2. Ze staan in zekere zin ook boven de wet. Natuurlijk moeten ze zich formeel aan de wet houden, maar er zitten nauwelijks consequenties aan als ze dat niet doen. Gaat het helpen als de AP een boete oplegt aan de belastingdienst, de politie, of een andere uitvoeringsorganisatie? Natuurlijk niet, het is vestzak-broekzak. Het ergste dat er kan gebeuren is dat een minister, staatssecretaris of directeur “verantwoordelijkheid” neemt, wat een eufemisme is voor even wachten tot het volgende baantje op de caroussel langskomt. Er is geen druk van de markt, geen aandeelhouders, geen persoonlijke aansprakelijkheid en we gaan toch niet stoppen met belasting innen, of politietaken uitvoeren. Zolang alle verantwoordelijke ambtenaren niet persoonlijk aansprakelijk zijn en gevrijwaard blijven van gevolgen zoals vervolging staan ze in de praktijk boven de wet.

      1. Laten we eens uitgaan van het principe dat de overheid zich altijd aan de wet houdt (als uitgangspunt, de praktijk is weerbarstiger). Daaruit volgt dat bij eventuele overtredingen ambtenaren geacteerd hebben buiten hun bevoegdheid. Dat kan dan per definitie nooit gebeurd zijn in het kader van hun dienstverband. Daarmee zijn ze dus persoonlijk verantwoordelijk voor wetsovertredingen. Nu ben ik niet van plan dit te willen opleggen op het niveau van laagbetaalde ambtenaren, die alles in opdracht doen en anders gegarandeerd een zondebok worden, maar als je meer dan drie keer modaal verdient, dan ben ook capabel genoeg om tegen een meerdere te zeggen: wat je nu voorstelt gaat tegen de wet, en maakt mij persoonlijk aanspreekbaar voor de gevolgen. De hoge salarissen worden immers toch ook steeds gerechtvaardigd met een verwijzing naar de grote verantwoordelijkheid?

        1. Ja dat klinkt leuk, maar ik denk dat je alleen maar naar de toeslagenaffaire als voorbeeld hoeft te kijken om te zien dat dat helaas niet de praktijk is. Iedereen, van hoog tot laag, heeft volkomen en totaal gefaald. De lijst met overtreden wetten is armlang, en tot het hoogste niveau zijn ambtenaren willens en wetens bewust bezig geweest met liegen tegen de rechter, discrimineren, het instandhouden van illegale praktijken etc. Bij de toezichthouders evenzo, maar iedereen weet dat er geen hoge ambtenaar of minister voor achter de tralies gaat verdwijnen. En dit is niet het enige voorbeeld natuurlijk, mogelijk wel het ergste.

          En “ik volgde slechts orders op” houdt ook geen stand. Ook uitvoerende ambtenaren worden geacht te weten wat ze aan het doen zijn en moeten opdrachten die duidelijk tegen de wet in gaan weigeren uit te voeren.

  3. Dat is heus geen exclusief probleem van de overheid – het grote verschil is dat bij de overheid dingen openbaar worden gemaakt, desnoods na een paar keer Wobben. Kijk naar alle bedrijven en je ziet hetzelfde soort gedrag. Alleen in het bedrijfsleven blijft dat onzichtbaar, want niemand is verplicht dat soort f*ckups in hun jaarversalg te zetten. Op thedailywtf.com kun je fraaie staaltjes zien.

    1. Dat mag zo zijn. Maar als het wel naar buiten komt. Dan … wanneer het AP er een keer werk van maakt … kun je een hele dikke boete gaan krijgen. En die … hmm, ja, betalen de klanten dan. Dus nee, ok. Er is inderdaad niets anders dan wanneer het de overheid betreft en de burgers betalen, met hun privacy.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.