Anonieme data zijn toch niet zo anoniem

De anonieme data over miljarden mensen die in datacenters ligt opgeslagen, is niet zo anoniem als we denken. ©Bloomberg

Het ‘anonimiseren’ van data om de privacy te beschermen is niet zo betrouwbaar als veel bedrijven ons willen doen geloven. Onderzoekers van UCLouvain en Imperial College in Londen hebben aangetoond dat een computer vaak wel de personen achter de data kan opsporen.

Ons dagelijkse doen en laten en onze gezondheidsgegevens worden door steeds meer apps en sensoren continu in kaart gebracht en opgeslagen in grote databanken, al dan niet om doorverkocht te worden aan andere partijen. Doorgaans krijgen we van de organisaties die die data verzamelen de belofte dat onze data anoniem verwerkt worden – dus zonder dat er een concrete naam aan gekoppeld wordt - en dat er dus geen risico is dat onze persoonlijke data in verkeerde handen vallen.

Maar dat anonimiseren van data is helemaal niet zo waterdicht als het klinkt. Onderzoek door de universiteit van Louvain-la-Neuve (UCLouvain) en Imperial College in London toont aan dat een algoritme met grote precisie kan inschatten tot welke persoon een reeks gegevens behoren. Concreet betekent dit dat u een naam en een profiel kunt koppelen aan een reeks anonieme gegevens. De studie verschijnt dinsdag in het vakblad Nature Communications

15
Data
De onderzoekers toonden aan dat het met slechts 15 stukjes informatie mogelijk is om 99,98% van de Amerikanen in elke database correct te identificeren.

Het algoritme dat de onderzoekers schreven, bepaalt de waarschijnlijkheid dat een combinatie van kenmerken volstaat om één enkele persoon uit enkele miljarden mensen te identificeren. ‘Zodra uw gegevens geanonimiseerd zijn, kunt u er geen enkel recht meer op laten gelden. Daarom zou er maar een heel kleine kans mogen bestaan op identificatie. Maar wij hebben net het tegengestelde aangetoond’, zegt de Belg Yves-Alexandre de Montjoye, die de Computational Privacy Group aan het Imperial College leidt.

De onderzoekers toonden aan dat het met slechts 15 stukjes informatie mogelijk is om 99,98% van de Amerikanen in elke database correct te identificeren. Met de nationaliteit als 16de kenmerk kan dat zelfs op de hele wereldbevolking worden toegepast.

GDPR

Onderzoekers en journalisten hebben al eerder proefondervindelijk aangetoond dat het mogelijk is om concrete personen op te sporen aan de hand van zogenaamde anonieme data. Maar nu de studie met wetenschappelijke zekerheid aantoont dat anonimisering helemaal niet effectief is, kan dat mogelijk gevolgen hebben voor de dataverwerking door overheden, bedrijven en andere organisaties. De verwerking van niet-anonieme data valt in de EU onder de strenge GDPR-wetgeving, die de verkoop ervan zonder toestemming van de betrokkene verbiedt.

De Belgische privacywaakhond, de Gegevensbeschermingsautoriteit (GBA), wilde nog geen commentaar geven op de studie omdat ze die zelf nog niet heeft kunnen inzien.

Lees verder

Advertentie
Advertentie

Tijd Connect