Pseudonieme data: Waarom eigenlijk?

google 2084

Heet hangijzer in de discussie over privacy en de nieuwe privacy regels in de EU (de General Data Protection Regulation (GDPR), op Twitter ook wel bekend als #EUdataP) was het gebruik van “pseudonymous data” en hoe hiermee omgegaan mag worden. De Facebooks en Googles van deze wereld zien liefst dat pseudonieme data gelijkgesteld wordt aan anonieme data, privacy voorvechters zitten dan weer aan de andere kant van het spectrum: pseudonieme data volledig gelijktrekken met persoonsgegevens.

Er is voorlopig geen uitsluitsel aangezien de GDPR nog alle kanten uit kan: het Europees Parlement heeft nu weliswaar een definitieve compromistekst, maar de European Council (Raad van Ministers) moet nog met een definitief voorstel komen en dáárna mogen beiden een robbertje gaan vechten over de definitieve vorm die er sowieso niet voor 2015 is.

Maar wat is nu pseudonieme data, en waarom is deze categorie van data in het leven geroepen in de nieuwe Europese verordening?

Wat is pseudonieme data?

Er zijn twee soorten data: persoonsgebonden data en anonieme data. Persoonsgebonden data, of persoonsgegevens, houdt in alle data die op de een of andere manier kunnen leiden tot een uniek identificeerbaar persoon. Om discussies over mijn parafrasering te vermijden, de exacte definitie uit de privacywet (art. 1, §1):

Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

Anonieme data is uiteraard de tegenpool: data die op geen enkele manier te herleiden is tot een natuurlijk persoon. Pseudonieme data ligt daar precies tussen en is een subset van persoonsgegevens: ze kunnen wel leiden tot een identificeerbaar persoon, maar niet op basis van de set van data waarin ze gepresenteerd worden. Een paar voorbeelden:

  • IP adres geregistreerd bij bezoek aan een site: dit adres identificeert op dat moment het gebruikte apparaat waarmee de site bezocht is. Koppel dat aan ISP data of link dat IP aan de verzamelde statistieken van b.v. een webshop waar wèl een naam en adres bekend is en je zit aan een uniek persoon. Echter, een IP adres op zich is niet zonder meer te koppelen aan een persoon
  • Mobiel telefoonnummer: een dataset waar een mobiel nummer gebruikt wordt om gebruikersstatistieken bij te houden is niet onmiddellijk te herleiden tot een persoon. Echter, een beetje googlen of sociale netwerken afspeuren kan vaak al leiden tot een koppeling tussen een mobiel nummer en een uniek persoon.
  • Een gecodeerd rijksregisternummer: een onderzoeker of beleidsbepaler heeft de mogelijkheid unieke subjecten te volgen zonder zicht te hebben op hun identiteit. Dit geldt uiteraard enkel zolang de onderzoeker niet beschikt over de mogelijkheid de codering terug te draaien of over voldoende meta data om alsnog terug te gaan tot unieke personen.

Waarom is de categorie “pseudonieme data” in het leven geroepen?

Het grote argument van b.v. Google (zoals ook aangehaald in het onderzoek door de CBP naar de privacy policy) is nu net dat pseudonieme data geen persoonsgegevens zijn en dat er daarom een onderscheid moet worden gemaakt. Een IP adres is een IP adres en is gekoppeld aan een apparaat niet aan een persoon.  Ook andere partijen zoals de IAB (Interactive Advertising Bureau, verantwoordelijk voor 86% van alle online marketing in VS) pleiten voor het onderkennen van pseudonieme data in de GDPR.

Dat is ook gelukt, na flink wat gelobby. In artikel 4 §2a van het GDPR voorstel uit het Europees Parlement is een aparte definitie gecreëerd voor pseudonieme data. Zelfs de ICO en het CDT pleiten vóór dit onderscheid en hebben ook geen problemen met verminderde veiligheidsvoorschriften voor zulke data zolang het gaat om data “waar alle persoonlijke identificeerbare data uit verwijderd is en er geen redelijke waarschijnlijkheid is op her-identificatie”. Maar wat is dan nog nut van dit onderscheid als je pseudonieme data weer gaat onderverdelen in persoonsgebonden pseudonieme data en anonieme pseudonieme data?

Niets, behalve dat voor Google, Facebook, de IAB, etc. dit onderscheid helemaal niet de bedoeling is: het creëren van deze categorie “pseudoniem” is slechts de voet in de deur voor het vervolg. Zij willen pseudonieme data als één categorie met minder voorschriften rond beveiliging en geinformeerde toestemming en al helemaal niet met een “right to erasure”. Sterker nog, liefst in een vorm van zelf-regulering, zoals reeds zeer succesvol bleek in het geval van Safe Harbor.

Feit is namelijk dat deze bedrijven in het tijdperk van Big Data onmogelijk pseudonieme data kunnen verwerken zónder mogelijkheid tot her-identificatie: Google vertegenwoordigd 25% van het internetverkeer wereldwijd en 60% van de apparaten op de planeet draait dagelijks iets van Google. Facebook heeft 1,3 miljard (!) gebruikers en zoals al eerder aangehaald verzorgd IAB tracking cookies op het merendeel van de online advertentie markt in de VS.

Conclusie

Het creëren van de categorie “pseudonieme” data is wat mij betreft overbodig. Wanneer er transparant wordt gecommuniceerd over wat er met persoonsgegevens gebeurt en betrokkenen (als ze uberhaupt willen) geïnformeerd kunnen besluiten of ze hiermee instemmen is er geen probleem.

Bedrijven in de data industrie denken ten onrechte dat hun verdienmodel aan een zijden draadje hangt: dagelijks zie ik om mij heen voorbeelden van consumenten die het eigenlijk prima vinden als Amazon hen advies geeft over andere boeken, Google advertenties genereert die precies op hun verlangens inspelen en Zalando ze een week later toch nog even herinnert aan die schoenen die vorige week op hun site bekeken werden.

Maar laat die paar paranoïde figuren zoals ik het recht behouden daar op een eenvoudige wijze “Nee!” tegen te zeggen en mijn data terug te halen als ik er toch een keer ingetrapt ben.