Aan de hand van geanonimiseerde telefoongegevens zijn de interactiepatronen van gebruikers toch te herleiden. Om die reden voldoet de huidige anonimiseringspraktijk niet meer aan de Europese privacywet. Dat concluderen onderzoekers in het Amerikaanse wetenschappelijke tijdschrift Nature .
Momenteel is er strikte Europese wetgeving als het om de privacy van telefoonberichten en gesprekken. Niemand mag deze gegevens inzien, verspreiden of verkopen zonder uitdrukkelijke toestemming. De berichten bevatten echter ook zogenaamde metadata. Dit zijn gegevens over het bericht, zoals hoe laat het is verstuurd of wanneer een app is geopend. Ook bevat het informatie over met welk apparaat je contact hebt gehad en waar je was ten tijde van het openen van de app. Dit wordt allemaal opgeslagen in de metadata.
De privacywetgeving omtrent metadata is echter een stuk soepeler. Met deze gegevens mag veel meer worden gedaan als ze worden geanonimiseerd. Deze gegevens zijn vervolgens te verkopen zonder expliciete toestemming van de gebruiker.
Een algoritme kan op basis van metadata allerlei zaken voorspellen. Zo kun je zien wie iemands partner is, waaraan hij hoe veel geld besteedt of waar hij zich door de dag heen bevindt. Om te voorkomen dat bedrijven zo gedetailleerde persoonsprofielen kunnen opstellen, moet de metadata geanonimiseerd worden.
Het onderzoek
De informatici uit het Verenigd Koninkrijk, Zwitserland en Italië laten nu echter zien dat het toch mogelijk is om de anonieme metadata naar jou als persoon te herleiden. Dit kan door middel van een techniek die ‘geometrische deep learning’ heet. Dit is dezelfde techniek die ten grondslag ligt aan onderzoek naar neurale netwerken in bijvoorbeeld het brein.
Het onderzoek bestond uit een dataset van geanonimiseerde telefoongegevens van 43.000 mensen. Op basis van de interacties die al deze mensen per week hadden, kon het model in meer dan de helft van de gevallen aanwijzen wie de interactie had én met wie zij communiceerde. Alleen op basis van directe interacties kan het model iemand 15% van de tijd correct identificeren.
Implicaties
“Deze onderzoekers hebben weer een extra manier gevonden om individuen te herleiden”, zegt hoogleraar ICT en recht aan de Radboud Universiteit Nijmegen, Frederik Zuiderveen Borgesius, tegen het NRC. “Ze kunnen hiermee nog geen naam of adres op de telefoongegevens plakken, maar helemaal anoniem is het ook niet meer, en dat wordt wel vaak geclaimd. De grens van wat persoonsgegevens zijn en wat dus onder de AVG [Algemene Verordening Gegevensbescherming] valt, schuift dankzij dit soort technieken steeds verder op.”
Om de metadata te mogen verkopen zullen telecombedrijven de metagegevens nog verder moeten anonimiseren. Zuiderveen Borgesius voegt daaraan toe: “Ze kunnen ze ook gewoon netter gaan behandelen door zelf analyses te gaan doen, over hoe mensenmenigtes zich door een stad verspreiden bijvoorbeeld, en de uitkomsten te verkopen.”
Op deze manier zouden de identificeerbare gegevens over personen niet meer in handen van andere bedrijven komen. Bedrijven die de metadata willen gebruiken om je te volgen of beter aan je te adverteren hebben dan pech. Alleen de maatschappelijk relevante conclusies van onderzoek zouden openbaar gemaakt worden.
