Australië wil aantonen kwetsbaarheid gepseudonimiseerde (zorg)data strafbaar stellen

arrestatie

Enkele dagen terug, om precies te zijn op 8 februari, trok een artikel op de website The Register mijn aandacht. Het gaat om een wonderlijk wetsvoorstel dat de senaat nu in Australië behandelt. Het gaat om de  Privacy Amendment (Re-identification Offence) Bill 2016. In dit wetsvoorstel wil men het aantonen, dat data in gepseudonimiseerde databases  toch makkelijk te herleiden zijn tot individuele personen strafbaar stellen, met een maximum gevangenisstraf van twee jaar. Directe aanleiding voor het wetsontwerp is een wetenschappelijk artikel, geschreven door drie wetenschappers van de universiteit van Melbourne in 2016 dat het betrekkelijk eenvoudig was een gepseudonimiseerd bestand van een zorgverzekeraar(Medicare) gedeeltelijk te ontcijferen. Dat bestand was openbaar en toegankelijk geweest via een overheidswebsite. In plaats van dergelijke publicaties te beschouwen als een soort gratis advies en een extra stimulans om data veiliger op te slaan en te beheren heeft men in een soort reflex de faliekant verkeerde weg gekozen. Pogingen tot de-pseudonimisering wil men strafbaar gaan stellen zonder de (overheids)-instanties die de databases beheren de verplichting op te leggen om de gegevens deugdelijk te pseudo- of te anonimiseren. Een zeer onevenwichtig besluit dus.

Kwetsbaar

Ook al beweren data-verzamelende instanties anders, een gepseudonimiseerd of geanonimiseerd databestand is echt zo veilig nog niet. Er is een gezegde van professor Paul Ohm uit de Verenigde Staten, dat zegt:

“Given enough data, perfect anonymization is impossible no matter how hard one tries.” 

Intelligente koppelingen met andere databases, maar ook basaal denkwerk kan de pseudonimisering of anonimisering toch doorbreken, waardoor de data tot individuen herleidbaar zijn. De drie eerder genoemde wetenschappers beschikten over een globale beschrijving van het encryptie-algoritme, dat openbaar toegankelijk was op een overheidswebsite. Door reverse-enginering en door zwakten in het pseudonimisatie-proces kon men betrekkelijk makkelijk de identiteit van een deel van de zorgaanbieders achterhalen. Die zwakten bestonden bijv. het wel versleutelen van de persoonsgegevens van patiënten, maar niet van veel andere data, zoals die van medische verrichtingen.

“Most of the data are not encrypted, including Medicare item codes for tests and doctors’ visits, pharmaceutical benefits (PBS) item codes, and other information such as pricing and location. The codes describe what medical activity occurred, for example a particular kind of test, a particular prescription, or a visit to a GP or specialist. The ID numbers describing who received or provided the service are encrypted.”    

 Zeer onevenwichtig

Door critici van het wetsvoorstel zijn een aantal fundamentele bezwaren ingebracht tegen dit wetsvoorstel. De Australian Greens stellen terecht dat er een delicaat evenwicht bewaard moet worden bij het bewaken van privacy. Dat evenwicht houdt in dat overheidsinstellingen en instituties datasets afdoende de-identificeren voorafgaand aan het publiek beschikbaar stellen en tegelijkertijd research aanmoedigen op het gebied van informatieveiligheid, cryptologie en data-analyse. Zij vinden dan ook dat het wetsvoorstel een holistische benadering van het probleem ontbeert. Ook oordelen zij dat de strafrechtelijke benadering van mensen, die research doen op het gebied van informatieveiligheid en research in het algemeen belang, in schril contract staat met het niet verantwoordelijk houden van overheid(sinstellingen) voor het slecht pseudo- of ano-nimiseren van databestanden.

Nederland

Wat leert dit alles ons? Ook in ons land is het niet zo dat we alle data-verzamelende instanties op voorhand moeten geloven dat de data op afdoende wijze gepseudonimiseerd dan wel geanonimiseerd zijn. Door de enorme datahonger in de zorg is er bij het verzamelen van datasets eerder sprake van datamaximalisatie dan van dataminimalisatie. Daardoor zijn databestanden ook kwetsbaarder voor het kunnen herleiden van data tot individuen, zeker als slechts bepaalde onderdelen van de bestanden ge-pseudo- of ge-ano-nimiseerd zijn . Het moge duidelijk zijn dat ik ook van mening ben dat alleen maar een wet maken om af te schrikken op dit terrein geen hout snijdt. Onevenwichtige wetgeving kan ook meer schade dan voordeel opleveren. Inbreng van ICT-ers en wetenschappelijke onderzoekers kan juist zwakten in bestaande systemen bloot leggen en kan als gratis advies aan de dataverzamelaars beschouwd worden, die de plicht moeten hebben de verzamelde data prudent te beheren. Wat in Australië gebeurt kan ook makkelijk naar Nederland overwaaien. Aan de overzijde van de Noordzee zijn in het Verenigd Koninkrijk al geluiden te horen die klinken als de Australische.

Men zij gewaarschuwd.

W.J. Jongejan