Het stadsbestuur van Kortrijk heeft op 12 juni haar plan voorgesteld om bezoekers in Kortrijk te ‘tracken’ via hun gsm. Hiervoor gaat de stad een samenwerking aan met gsm-operatoren, die het verplaatsingsgedrag van de bezoekers kunnen meten door na te gaan met welke gsm-mast hun gsm zich verbindt. De stad wil ook gebruik maken van het netwerk van camera’s en van het openbare wifi-netwerk.
“Meten is weten”, of nog “De informatie van de operatoren is goud waard”: het stadsbestuur van Kortrijk lijkt mee te gaan in de big data hype. Ze doet in se niets nieuws, gsm-tracking bestaat al een tijdje en wordt door enkele andere steden gebruikt. Maar blijkbaar wil de stad Kortrijk nu een stapje verder.
De bedoeling is om het aantal bezoekers tijdens grote evenementen te tellen en het gedrag van bezoekers te analyseren. Op basis van de gsm van de bezoekers kunnen gsm-operatoren nagaan waar de bezoekers zich bevinden, hoe ze zich verplaatsten, hoe lang ze ergens verblijven, waar ze parkeren… Deze informatie zou Kortrijk dan aanwenden voor allerlei beleidsdoeleinden.
Als privacy-specialisten moesten wij bij dit nieuws toch even slikken. De Privacycommissie laat weten dat er geen problemen zouden zijn met de privacywetsregels omdat alle gegevens anoniem gemaakt zijn. De operatoren zouden namelijk enkel een code doorgeven per gsm, zodat de persoon van wie het toestel is niet geïdentificeerd kan worden.
Dit is wel kort door de bocht. Ten eerste moet in ieder geval een werkelijke toetsing plaatsvinden en een afweging van de risico’s dat de gegevens alsnog tot identificatie kunnen leiden. Hierbij is niet onbelangrijk dat de anonimisering onherroepelijk moet zijn. Gezien de gsm-operatoren wel nog de gegevens van iedere gsm-gebruiker hebben, kunnen hier vragen over gesteld worden.
De Groep 29, de Europese werkgroep rond privacy en gegevensverwerking, heeft in een advies uit 2014 reeds uitdrukkelijk gesteld dat wanneer een verwerkingsverantwoordelijke (de gsm-operator) de originele, identificeerbare gegevens niet verwijdert op gebeurtenisniveau, en een deel van die dataset doorgeeft na het verwijderen van identificeerbare gegevens, de resulterende dataset nog steeds valt onder de noemer van persoonsgegevens.[1] Enkel wanneer deze gegevens voldoende worden samengevoegd, zodat men geen individuele gebeurtenissen meer kan afleiden, wordt de tweede dataset als anoniem beschouwd.
Dit houdt in dat de gsm-operator informatie mag doorgeven zoals “Op 24 december was een toename van bezoekers in Kortrijk van 150%”. Maar tot op tien meter nauwkeurig kunnen bepalen waar iemand zich bevindt, zoals stad Kortrijk deze ochtend vermeldde in de pers, is zonder meer een brug te ver.
Vervolgens is het al voldoende dat personen op basis van de persoonsgegevens onrechtstreeks geïdentificeerd kunnen worden om onder de privacyregels te vallen. Het Nieuwsblad en De Standaard vermelden dat de informatie van de operatoren gebundeld zal worden met die van de camera’s en van het openbare wifi-netwerk. Een beetje goede IT’er kan simpelweg door deze datasets te combineren, gemakkelijk uitvissen wie wat waar gedaan heeft. Dat is ruim voldoende om achter een identiteit te komen. Dat personen dus niet-identificeerbaar zouden zijn, klopt naar onze mening niet helemaal. Ook hier stelt Groep 29 dat derden, aan wie een geanonimiseerde dataset werd doorgegeven, verplicht rekening moeten houden met de context wanneer ze de datasets combineren met andere andere datasets. “Indien deze factoren en kenmerken een onaanvaardbaar risico doen ontstaan dat betrokkenen worden geïdentificeerd, valt de verwerking opnieuw binnen de werkingssfeer van de gegevensbeschermingswetgeving.”
Door de gegevens simpelweg anoniem te verklaren, is de kous dus niet af. De Privacycommissie zou een werkelijke toetsing moeten maken, waarbij alle omstandigheden in rekening worden gebracht en een afweging gebeurt met de rechten van bezoekers. Pas als dit onderzoek concludeert dat de anonimiseringsmechanismen voldoende zijn en de risico’s van identificatie relatief klein, dan is een dergelijke samenwerking mogelijk. Tot dan zou de toestemming van de Kortrijkse bezoekers gevraagd moeten worden.
Tot slot vermelden we graag nog de Algemene Verordening Gegevingsbescherming (in het Engels de General Data Protection Regulation of GDPR), die in mei 2018 in werking treedt. Onder deze nieuwe wet wordt een verschil gemaakt tussen anonimisering en pseudonimisering. In het tweede geval worden persoonsgegevens ook niet-identificeerbaar gemaakt, maar dit is omkeerbaar. Dergelijke gepseudonimiseerde gegevens vallen uitdrukkelijk onder de privacy-wetgeving. Zeker iets dat ook door de stad Kortrijk in de gaten zal moeten gehouden worden.
[1] Groep Gegevensbescherming Artikel 29, “Advies 5/2014 over anonimiseringstechnieken”, 0829/14/NL, goedgekeurd op 10 april 2014, te vinden op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_nl.pdf.
Geschreven door Morgane van Ermengem, legal officer bij theJurists Europe.