Andere wind waait  bij Autoriteit Persoonsgegevens

andereDe Autoriteit Persoonsgegevens(AP) laat steeds meer zien dat er een andere wind waait dan een jaar of twee terug. Deels heeft dat te maken met het van kracht worden van de Algemene Verordening Gegevensbescherming op 25 mei 2018. Hiermee kreeg de AP een duidelijker kader tot haar beschikking en een aanzienlijk krachtiger boetebeleid. Te zien is dat ze zich duidelijk minder serviel opstelt t.o.v. van overheden, zowel de centrale als de gemeentelijke. Losser t.o.v. de centrale overheid konden we zien bijv. bij de toeslagenaffaire richting belastingdienst en bij de ontwikkeling van de corona-app tijdens de geflopte appathon van april 2021. Op 14 juli 2020 schreef ik daarover. Nu zien we hoe de AP de gemeente Enschede een boete van 600.00 euro oplegt. Daarnaast liet de AP op 29 april 2021 een tech-blogpost het licht zien, waarin ze laat zien mankracht en kennis over anonimisering-technieken in huis te hebben.

Grote boetes

Boetes met een omvang van meerdere tonnen aan euro’s legde de AP vanaf 2018 op aan twee ziekenhuizen(Haga te Den Haag en OLVG te Amsterdam). Ook aan de tennisbond, het Bureau Krediet Registratie, een bedrijf dat onterecht vingerafdrukken van werknemers vastlegde en in 2021 nog Booking.com. Nu is de gemeente Enschede aan de beurt. Die deed met het vastleggen van gegevens met wifi-tracking iets waarvoor de AP al in 2016 waarschuwde.

Wifi-tracking

Met die techniek leggen sensoren gegevens van mobiele telefoons vast. Omdat die telefoons op zoek zijn naar een wifisignaal zenden ze diverse data uit. Die data kortdurend vastleggen om het aantal mensen te tellen dat de sensoren passeert is legitiem. Niet het gedurende langere tijd bewaren. Een uitgebreide initiatiefgroep, waarin onder andere het ministerie van Economische zaken, de Nationale CyberSecurity Centrum, de politie en vele andere stakeholders waarschuwde ook daarvoor. Met wifitracking is het bij langdurig bewaren mogelijk om bewegingspatronen van individuele burgers te volgen en zo hun handel en wandel. Het argument van burgemeester Onno van Veldhuizen dat een waarschuwing meer op zijn plaats was geweest is niet valide te noemen in het licht van wat de AP al in 2016 zei.

Tech-blogpost  

Over het anonimiseren en pseudonimiseren van data gaan veel zaken die bij de AP belanden. Op deze website schreef ik de afgelopen vijf jaar tientallen artikelen die met die twee begrippen te maken hebben: het anonimiseren en pseudonimiseren van zorgdata. De AP publiceerde recent een tech-blogpost geschreven door twee van haar technologen Victor Klos en Jonathan Ellen. Het was geen technisch of juridisch advies . Wel is het een waarschuwing van

deze technologen voor het onjuist toepassen van twee technieken. Regelmatig krijgt de AP namelijk bij onderzoeken te maken met organisaties die aangeven dat zij anonieme gegevens verwerken doordat de gegevens ‘gehasht en afgeknipt’ zijn. In de praktijk constateert de AP dat organisaties bij deze vorm van anonimisering vaak fouten maken. Daardoor blijken de gegevens toch niet anoniem te zijn.

Nadere uitleg

De twee technologen leggen uit waar fouten genaakt worden bij twee technieken voor anonimisering , de K-anonimity en het afknippen van “hashes”. Voor een nadere uitleg verwijs ik naar het tech-blogpost. De consequentie van het verkeerd toepassen van die technieken is dat de gegevens dan niet geanonimiseerd zijn, en dus herleidbaar tot individuen. Deze tech-blogpost leidde op de website Security.nl op 30 april 2021 onder hun artikel over de tech-blogpost meteen tot een diepgaande discussie tussen kenners van deze twee technieken.

Uiterst verstandig

Deze tech-blogpost kwam enigszins als een verrassing. Eerder publiceerde de AP alleen op 13 oktober 2017 een dergelijk bericht. Dat ging toen over de gegevens die Microsoft van Windows 10 Home en Pro-gebruikers  verzamelt om fouten in haar software te monitoren. In de blogpost legde de AP uit wat Microsoft zo al monitort.  Ze wees ook op een handleiding om de aan Microsoft terug te leveren data te minimaliseren. Met het sturen van de huidige tech-blogpost over fouten bij het anonimiseren van data geeft de AP ten eerste aan diepgaande technische kennis en dito menskracht in huis te hebben. Ten tweede laat ze zien niet alleen repressief te werken maar ook het veld te willen waarschuwen voor fouten. Deze opzet is uiterst verstandig omdat men hiermee het beeld dat de buitenwacht heeft van de AP bijstuurt, en wel in een goede richting. Beeldvorming is en blijft belangrijk.

Zelfbewuster

Het is in de pers ook te merken aan interviews en berichtgeving door voorzitter Aleid Wofsen en ook in aanzienlijke mate door vicevoorzitter Monique Verdier. Daarin komt de AP zelfverzekerder over dan een jaar of drie terug. Vanuit het kabinet zal men echter de functie van de AP verder moeten faciliteren door de organisatie verder te laten uitgroeien tot de toezichthouder. Eentje zoals die in diverse wetten geacht wordt te zijn.

Het gaat nu in ieder geval de goede kant op.

W.J. Jongejan, 7 mei 2021

Afbeelding van Clker-Free-Vector-Images via Pixabay