Problematische inzage gepseudonimiseerde microdata via CBS, ook door Chinese universiteiten

ChineseAlhier publiceerde ik enkele malen(A, B, C ) over de zeer problematische inzage van microdata van het Centraal Bureau van de Statistiek(CBS) door derden. Dat betreft hoofdzakelijk om universitaire instellingen, maar ook om bedrijven en organisaties. Op de lijst van instellingen die gebruik mogen maken van microdata staan echter ook twee universiteiten in Hong Kong. Sinds 1 juli 1997 is Hong Kong een speciale bestuurlijke regio van China en valt dus onder Chinese jurisdictie. Het is de vraag of het gewenst is dat universiteiten die vallen onder een hier ongewenste staatsvorm microdata van het CBS mogen inzien. Buitengewoon problematisch is het dat daarbij om gepseudonimiseerde data gaat. Die dienen door de uitspraak van de artikel 29 werkgroep van Europese privacy-toezichthouders in april 2014 zeker vanaf dat moment toch als (bijzondere) persoonsgegevens beschouwd te worden. Door intelligente koppelingen tussen databestanden kunnen data namelijk toch naar een persoon herleid worden.

Pseudonimiseren

In de publicatie van 26 oktober 2020 wees ik op het ontbreken van bezwaar tegen het gebruik van door de toenmalige privacy-toezichthouder, de RegistratieKamer, op de wet op het CBS van 2003. Destijds beschouwde men het inzage geven in gepseudonimiseerde data als veilig. Dat is haar toen niet helemaal kwalijk te nemen. Door toename van computerrekenkracht en steeds betere software bleek gaandeweg dat gepseudonimiseerde persoonsgegevens toch herleidbaar zijn tot (bijzondere) persoonsgegevens van individuen. De artikel 29 werkgroep stelde dat pseudonimisering niet een methode van anonimiseren is. Het vermindert alleen de kans herleidbaarheid naar een individu. Zelfs bij anonimiseren is er volgens de werkgroep sprake van een resterend(residual) risico op herleidbaarheid. Door het wijzigen van de inzichten rond gepseudonimiseerde data had het CBS, maar ook de overheid als opdrachtgever, en zeker de privacy-toezichthouder moeten beseffen dat inzage geven in microdata aan derden de basis onder het CBS verloochent.

Datalek

Die basis is namelijk dat het CBS een bijzondere, geborgde verwerker van gegevens op persoons- en bedrijfsniveau t.b.v. beleidsinformatie moet zijn. Het feit dat het CBS gebruikers van microdata verbiedt schermafdrukken te maken of tekst te kopiëren en  in mijn ogen beperkte sancties erop stelt leidt maar tot één conclusie. Dat is dat het CBS zelf ook dondersgoed door heeft dat hier sprake is van een vorm van een datalek.

Chinese universiteiten

Er zijn twee lijsten die het CBS publiceert over instituten/bedrijven die microdata mogen gebruiken. Eén met een doorlopende machtiging van 5 jaar en één zonder die termijn. Op 5-jaarslijst staat de Hong Kong Baptist University. Op de andere lijst staat deze universiteit plus de Chinese University of Hong Kong. Ongeacht of universiteiten zelf stellen dat ze onafhankelijk zijn is het maar helemaal de vraag of ze na de machtsoverdracht in 1997 nog wel volledig vrij zijn in hun handelen en verkregen data niet moeten delen met de gezagsdragers. Zeker de laatste twee jaar stuurt de Chinese overheid aan op verdere Chinese regelgeving in Hong Kong. Bij bezien met welke data men op projectbasis werkt is zorg wel op zijn plaats.

Projecten

Het CBS geeft zelf een overzicht in Excel-formaat over welk projecten er per microdata-gebruiker lopen. In dat overzicht is te zien dat de Hong Kong Baptist University van 2017 t/m 2025 een project heeft lopen onder de naam “The Life-cycle Effects of Childbearing on Mothers’ Market Behavior and Economic”. Daarbij zitten data met als afkorting GBAADRESOBJECTBUS, GBABURGERLIJKESTAATBUS, GBAPERSOONTAB, GBAVERBINTENISPARTNERBUS. Hierbij moet je weten dat GBA staat voor Gemeentelijke Basis Administratie. Het gaat dus wel degelijk om gepseudonimiseerde persoonsgegevens, die gezien de versleuteling thans toch wel als herleidbaar te beschouwen zijn.  De Chinese University of Hong Kong deed van oktober 2015 tot oktober 2016 onderzoek waarbij ook GBA-data speelden.

Aantallen/controle

Aangezien het CBS zelf stelt bij microdata-gebruik dit te controleren is het de vraag of de aantallen onderzoeken wel een controle achteraf op een verantwoorde manier mogelijk maken. De 5-jaars-machtigingenlijst betreft 221 instellingen/bedrijven en de andere lijst bevat er 168. Het is niet voor te stellen hoe men bij al die inzage-hebbers wil controleren of ze niet met pen en papier of met een smartphone dan we met een schermafdruk de data op de Remote Access facility vastlegt.

Herziening oordeel AP

Het is geboden en juist uiterst verstandig als de huidige privacy-toezichthouder opnieuw haar licht laat schijnen over de microdata-faciliteit die het CBS biedt. Zeker in het licht van de veranderde opvattingen over de herleidbaarheid van gepseudonimiseerde gegevens. Daarnaast is het de vraag hoe het zit met het beleid ten aanzien van de microdata binnen de directie van het CBS. Het blijft in mijn ogen nog steeds opvallend dat de Directeur-Generaal, Tjark Tjin-A-Tsoi in maart 2020 vertrok bij het CBS . Dat was toen er ook een discussie over het CBS in de Tweede Kamer speelde. Zou hij het gebruik van microdata niet meer voor zijn rekening willen nemen? Zouden andere krachten dat wel willen(hebben) continueren?

Het blijft gissen.

Maar dat het gebruik van gepseudonimiseerde microdata een slechte zaak is moge u uit het voorgaande wel duidelijk zijn.

W.J. Jongejan, 27 oktober 2020

Afbeelding van tee2tee via Pixabay