Toezichthouder: AVG geldt niet voor echt geanonimiseerde data
De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, zo heeft de Europese privacytoezichthouder (EDPS) laten weten op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken.
Het zou daarbij alleen om geanonimiseerde data gaan om de bewegingen van mensen in kaart te brengen. "Echt geanonimiseerde data valt buiten de reikwijdte van de databeschermingsregels", aldus de EDPS. Die merkt op dat het echt anonimiseren van data meer is dan alleen het verwijderen van identifiers zoals een telefoonnummer of IMEI-nummer. De Europese Commissie zou echter van plan zijn om de gegevens ook te aggregeren, wat aanvullende bescherming biedt, zo stelt de privacytoezichthouder.
Hoewel de privacywetgeving dan niet van kracht is, gelden er nog steeds veiligheids- en vertrouwelijkheidsverplichtingen voor commissiemedewerkers die de data verwerken. Wanneer de Europese Commissie derde partijen inzet voor de gegevensverwerking moeten die dezelfde veiligheidsmaatregelen doorvoeren en mogen de data niet voor andere zaken gebruiken.
De EDPS is ook te spreken dat de gegevens die de telecomproviders aanleveren wordt verwijderd zodra de noodsituatie voorbij is. "Het moet duidelijk zijn dat deze speciale diensten worden uitgerold vanwege deze specifieke crisis en een tijdelijk karakter hebben", gaat de toezichthouder verder, die tevens opmerkt dat dergelijke ontwikkelingen vaak niet de mogelijkheid hebben om terug te gaan wanneer de noodsituatie voorbij is. In dit geval gaat het om een buitengewone situatie.
Afsluitend krijgt de Europese Commissie het advies om tijdens het gehele proces een Data Protection Officer erbij te betrekken en wanneer de beoogde plannen voor het verwerken van gegevens veranderen een nieuw overleg met de EDPS is vereist (pdf).
https://www.theguardian.com/technology/2019/jul/23/anonymised-data-never-be-anonymous-enough-study-finds
https://techcrunch.com/2019/07/24/researchers-spotlight-the-lie-of-anonymous-data/
Ik help het je hopen. Ga niet mauwen als de doos van Pandora opnieuw nog wijder wordt opengezet.
Men wil linksom of rechtsom (dat maakt niet uit) komen tot een surveillancestaat a la Mainland China,
maar dan wat geniepiger en versluierd, niet zo open into your face.
Dat alles zal moeten helpeln om weinigen stand te laten houden tegen zeer velen.
Alles voor je eigen bestwil toch en ten faveure van je gezondheid!
Kindertjes zitten nu al te lang thuis en missen de harde hand van de Spartaanse staat.
Jodocus Oyevaer
HOE DAN? Ik kan wel een paar geinige dingen bedenken, maar ik zou eigenlijk verwachten dat er duidelijk gezegd wordt waarvoor die gegevens gebruikt gaan worden.
Wanneer data geanonimiseerd is kan deze niet gedeanonimiseerd worden. Dan is de data gewoonweg niet geanonimiseerd.
Voorbeeld:
Mark Rutte wordt --> GCT4m04Cy!tzfV3f^bpS%yY
Mark Rutte wordt weggegooid waardoor GCT4m04Cy!tzfV3f^bpS%yY niet meer herleidbaar is tot Mark Rutte. Niemand weet dat GCT4m04Cy!tzfV3f^bpS%yY Mark Rutte is.
Mark Rutte wordt --> GCT4m04Cy!tzfV3f^bpS%yY
Mark Rutte wordt weggegooid waardoor GCT4m04Cy!tzfV3f^bpS%yY niet meer herleidbaar is tot Mark Rutte. Niemand weet dat GCT4m04Cy!tzfV3f^bpS%yY Mark Rutte is.
Dit werkt totdat we enkele locatiegegevens hebben van GCT4m04Cy!tzfV3f^bpS%yY, of de tijdstippen waartussen GCT4m04Cy!tzfV3f^bpS%yY op een bepaalde tv-zender in beeld is geweest (zelf al zouden we die zender alleen kennen als Aj!ai@r1eu6o)
Daarom heeft anoniem 12:26 gelijk dat afgeleide data niet anoniem te krijgen is. In de overwegingen bij de GDPR wordt dit pseudomieme data genoemd en niet anonieme, omdat deze door combinaties met andere data herleidbaar is tot personen.
Anonieme data in de zin van de GDPR is vrijwel alleen te bereiken met verregaande aggregatie, of bij gebruik van nepdata. Pas dus op met claims als: het is anoniem, dus het mag.
Mark Rutte wordt --> GCT4m04Cy!tzfV3f^bpS%yY
Mark Rutte wordt weggegooid waardoor GCT4m04Cy!tzfV3f^bpS%yY niet meer herleidbaar is tot Mark Rutte. Niemand weet dat GCT4m04Cy!tzfV3f^bpS%yY Mark Rutte is.
Maar als je weet dat GCT4m04Cy!tzfV3f^bpS%yY overdag in het torentje is en 's avonds naar het huis van Rutte gaat, dan kun je het wel herleiden. En als je GCT4m04Cy!tzfV3f^bpS%yY 's avonds op de wallen ziet, dan vraag je je toch af wat Rutte daar doet. En niet wat GCT4m04Cy!tzfV3f^bpS%yY daat doet.
Het is alleen goed te anonimiseren als je gaat aggregeren. Daarom worden bij ons medewerkerstevredenheidsonderzoeken ook altijd geaggregeerd per afdeling. En als de afdeling te klein is, per eenheid. En als die te klein is, in de totale groep "rest".
Peter
Maar als je weet dat GCT4m04Cy!tzfV3f^bpS%yY overdag in het torentje is en 's avonds naar het huis van Rutte gaat, dan kun je het wel herleiden. En als je GCT4m04Cy!tzfV3f^bpS%yY 's avonds op de wallen ziet, dan vraag je je toch af wat Rutte daar doet. En niet wat GCT4m04Cy!tzfV3f^bpS%yY daat doet.
Ik denk dat GCT4m04Cy!tzfV3f^bpS%yY daar dan 's avonds bezorgde mensen (zoals oaz#ohmohk6H en Yohwa|u0rohz) in deze moeilijke tijd een hart onder de riem komt steken.
Anonieme data in de zin van de GDPR is vrijwel alleen te bereiken met verregaande aggregatie, of bij gebruik van nepdata. Pas dus op met claims als: het is anoniem, dus het mag.
Anonieme data in de zin van de GDPR is vrijwel alleen te bereiken met verregaande aggregatie, of bij gebruik van nepdata. Pas dus op met claims als: het is anoniem, dus het mag.
Hoe minder je weet over een persoon, de beter het is voor wat betreft de informatieveiligheid rondom een persoon. Het bekend zijn van een BSN en een naam kan zeker wél een probleem zijn. Zéker die combinatie specifiek. Een groot probleem zelfs. Je hebt vast liggen slapen toen dat recentelijk speelde met het Kadaster en de KvK?
Wat voor misbruik kan er gemaakt worden als via een unieke ID mega-data een langzaam maar zeker steeds preciezer data-profiel van een wereldburger wordt opgebouwd. Vraag het maar eens aan Google en facebook. Helaas krijgen we dat nooit precies te horen, wat men naast het verdienen aan data-goud men er verder mee doet en hoe het door sommigen kan worden misbruikt.
We hebben sinds er een paar klokkenluiders over bericht hebben, die nu bekend staan als volksvijand nummer 1,
wel een zeker idee over gekregen. En het stemt niet tot vreugde. Daar kunnen dus een aantal tandenloze papieren toezichttijgers ook niet al te veel aan veranderen. Trouwens de "gemaksmens"deert het niet al te veel, die laten al alles over zich heengaan.
#sockpuppet
https://www.theguardian.com/technology/2019/jul/23/anonymised-data-never-be-anonymous-enough-study-finds
https://techcrunch.com/2019/07/24/researchers-spotlight-the-lie-of-anonymous-data/
Dat is wel waar, maar de AVG, die de AP hier hanteert, legt de lat voor anonieme data zo hoog dat dit meegenomen wordt. De AVG zegt over identificeerbaar zijn: "Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen." (Cursief door mij).
Dat is een behoorlijk hoge drempel. En inderdaad, algorithmes (bijvoorbeeld selectietechnieken) heeft men aan gedacht, zelfs aan technologie die nog niet is uitgevonden.
Hoe minder je weet over een persoon, de beter het is voor wat betreft de informatieveiligheid rondom een persoon. Het bekend zijn van een BSN en een naam kan zeker wél een probleem zijn. Zéker die combinatie specifiek. Een groot probleem zelfs. Je hebt vast liggen slapen toen dat recentelijk speelde met het Kadaster en de KvK?
Met een UBO kvk kadaster en wat meer is het doel namelijk om te weten wie de verantwoordelijke bij zakelijke transacties is.
Dat een naam BSN in dat soort gevallen geheim zou moeten zijn is dat verkapte faciliteren van foute zaken.
Een BSN is ooit bedacht met het idee om de fouten in administratieve verwisselingen te verminderen. Niets meer niets minder.
Dat staat nog steeds zo in de wet en in de mvt gebruik BSN. Dat je onwettelijke zaken probeert goed te praten als recht op privacy is een zeer vreemde insteek. Waarom zou er zo weinig fraude zijn met de naam M.Rutte. Iedereen kent die naam dus iedereen kan zich zo noemen. Leg uit.
Vraag: wat is volgens jou dan de oplossing om misbruik volledig uit te bannen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.