Vrije Tribune
Privacycommissie reageert: ‘Iedere koppeling met enig klantgegeven is voor ons onder géén beding aanvaardbaar’
In nasleep van de discussie over big data bij Proximus omschrijft Matthias Dobbelare-Welvaert van deJuristen de Privacycommissie als een verouderd instituut. De commissie zelf weerlegt die bewering en nuanceert dat het in haar standpunt over big data niet over één nacht ijs gaat.
Privacycommissie reageert: ‘Iedere koppeling met enig klantgegeven is voor ons onder géén beding aanvaardbaar’
Geachte Heer Dobbelaere-Welvaert, Meester,
Uw kritiek op ons standpunt in het big data verhaal van Proximus en, in breder opzicht, op de gehele werking van de Privacycommissie is niet in dovemansoren gevallen. Sta ons toe het een en ander toe te lichten. Allen – uzelf en de lezer incluis – zijn immers gebaat bij een correcte weergave van datgene wat u beweert.
De problematiek van big-data is reeds enkele jaren aan de orde. Met verschillende stakeholders zijn niet alleen gesprekken maar ook grondige discussies gevoerd. Dat dit soms eerder onder de vlag van de WP29 (de verzamelde Europese privacycommissies) en de EDPS (Europese toezichthouder) gebeurt is voor ons een bewuste keuze: we geven de voorkeur aan een gemeenschappelijk gedragen advies dan op ons Belgisch eilandje te blijven. Dat is tevens de politiek geweest in het cookies verhaal. Eerder dan “af te wachten”, willen we “afstemmen”. Dit streven naar eenvormigheid is eigen aan de grensoverschrijdende dimensie van nieuwe digitale fenomenen.
Sinds 2010 probeert de Privacycommissie de big-data problematiek te volgen en was het onderdeel van het toen georganiseerde congres over wetenschappelijk onderzoek en privacy (“from obstruction to construction”). Aan het fenomeen werd in 2014 ook intern een vorming gewijd. Het gaat over telecommunicatie maar ook over gezondheidsonderzoek, gebruik van datamining in fiscale zaken, politioneel onderzoek en de financiële sector, waar vooral het opentrekken van de “algemene voorwaarden” om het ongehinderd hergebruiken van klantengegevens ons zorgen baart.
De aanpak van de telecomoperatoren volgen wij al zo’n tweetal jaren
In de discussies over de GDPR (de nieuwe Europese privacywetgeving) heeft de Privacycommissie hard gewerkt en op de barricades stelling genomen om het “verouderde” principe van de finaliteit en de beperkingen van hergebruik van gegevens te verdedigen (discussies over artikel 6.4. GDPR).
De aanpak van de telecomoperatoren volgen wij nu al zo’n tweetal jaren: er zijn gesprekken geweest met verschillende spelers, ook de opdrachtgevers en gebruikers. Tot nu toe ging het om proefprojecten maar die hebben het ons wel mogelijk gemaakt om in dialoog kennis op te doen en ervaring en inzichten uit te wisselen. We namen daartoe zelf initiatieven maar we kregen ook directe vragen over beoogde projecten. Ook al hebben we niet de macht om dergelijke initiatieven te “machtigen” of goed te keuren, we hebben wel ervaren dat verantwoordelijke ondernemingen luisteren en zich ook proberen te schikken naar ons advies.
Het laatste gesprek van de Privacycommissie met Proximus, over de plannen die het had om commercieel rapportages op maat aan te bieden op basis van anonieme locatiegegevens, dateert van 12 juli van dit jaar. Het standpunt van de Privacycommissie is dus niet op enkele uren tijd bepaald.
Inhoudelijk is dat standpunt helder en juridisch correct. Artikel 123 van de Wet Elektronische Communicatie laat operatoren van mobiele netwerken (Proximus of andere) o.m. toe om locatiegegevens die betrekking hebben op een abonnee of een eindgebruiker te verwerken wanneer de betreffende locatiegegevens anoniem zijn gemaakt.
Iedere koppeling met enig klantgegeven, op analyse- of rapportageniveau, is voor de Privacycommissie onder géén beding aanvaardbaar.
Uit de technische uitleg die Proximus tijdens het gesprek heeft gegeven, is gebleken dat de individuele locatiegegevens die het bedrijf als basis gebruikt voor rapportages, effectief anoniem worden gemaakt, waarbij zelfs de technische identifiers van individuele mobiele toestellen elk uur worden geëncrypteerd. Iedere koppeling met enig klantgegeven, op analyse- of rapportageniveau, is voor de Privacycommissie onder géén beding aanvaardbaar.
Bovendien werd als voorwaarde voor het opstellen van mobiliteitspatronen op basis van de aldus geanonimiseerde big data-sets gesteld dat als stamgegeven voor het identificeren van zulke patronen slechts kon worden gewerkt met voldoende geaggregeerde gegevens. Het werken met individuele locatiegegevens, zelfs indien ontdaan van elk klantgegeven en de technische identifier, werd veiligheidshalve door de Privacycommissie dus niet aanvaard.
Proximus engageerde zich om slechts te werken met gegroepeerde locatiegegevens van minstens 30 mobiele eindgebruikers. Bij de uiteindelijke rapportage vindt bovendien nog een extrapolatie plaats op basis van onder meer het marktaandeel van Proximus ten opzichte van dat van andere operatoren.
Als Privacycommissie denken we dus meer dan voorzichtig te zijn geweest, op basis van een gedegen technisch inzicht in de voorgenomen verwerkingen. Daarbij werd niet enkel naar de letter van de wet gekeken. Er werd ook rekening gehouden met alle nuttige principes inzake statistisch onderzoek (primaire anonimisering, aggregatie en extrapolatie), gekoppeld aan een het advies om in géén enkele fase van het proces achterliggende klantgegevens aan te wenden.
Bij deze, mijnheer Dobbelaere, beschikt u nu over de nodige informatie die het u moet toelaten om met voldoende kennis van zaken uw oordeel vorm te geven. Het verheugt ons dat u met ons meedenkt. Wij staan steeds open voor dialoog om deugdelijke oplossingen te helpen zoeken.
Met oprechte groet,
Willem Debeuckelaere, Voorzitter CBPL
Gert Vermeulen, Commissaris, CBPL
Frank De Smet, Commissaris CBPL
Fout opgemerkt of meer nieuws? Meld het hier