Het onderzoek werd uitgevoerd door de UCLouvain samen met het Imperial College of London. Zij stellen vast dat geanonimiseerde data met behulp van machine learning en kunstmatige intelligentie kan worden teruggebracht tot individuen. Hun bevindingen worden ook gepubliceerd in het wetenschappelijke tijdschrift Nature Communications.

Bedrijven of overheden die data vragen van klanten of burgers zijn voor de verwerking onderhevig aan de privacywetgeving, zoals de GDPR. Maar zodra die data wordt geanonimiseerd valt ze niet meer onder die wetten en mag ze in principe worden verkocht aan derden. Dat anonimiseren gebeurt onder meer door er ruis aan toe te voegen en persoonlijke identificaties zoals namen, telefoonnummers, adressen en e-mailadressen te verwijderen. Zo is iemand niet langer herkenbaar, werd tot op heden aangenomen.

Maar met moderne technologie tonen beide onderzoeksinstellingen dat dat in praktijk niet het geval is. Met hooguit 15 kenmerken zoals leeftijd, geslacht, burgerlijke staat.. slaagden ze er in om uit een dataset van Amerikaanse burgers mensen met 99,98 procent correctheid te herkennen.

"Als het gaat over mannen van rond de dertig die in New York leven dan zijn dat er veel. Maar als we kijken naar degenen die op 5 januari zijn geboren, met een rode sportwagen rijden, twee dochters en een hond hebben, dan zijn dat er zeer weinig," geeft Dr Luc Rocher van UCLouvain als voorbeeld.

Het gevaar zit hem vooral in situaties waarbij geanonimiseerde data wordt doorverkocht. Wie in staat is om mensen te identificeren krijgt zo een hoop persoonlijke gegevens in handen.

"Het is vrij standaard dat bedrijven dit soort gegevens vragen en op dat moment vallen ze onder de GDPR. Maar ze zijn wel vrij om die data door te verkopen zodra ze geanonimiseerd is. Ons onderzoek toont aan hoe makkelijk, en accuraat, individuen terug kunnen getraceerd worden," zegt Dr Yves-Alexandre de montoye van het Imperial College of Londen.

Het is niet de eerste keer dat geanonimiseerde gegevens toch kunnen worden getraceerd. Jaren geleden bleek al dat geanonimiseerde IP-adressen konden teruggeleid worden tot ongeveer 1 op 2 gebruikers.

Belgische patiëntgegevens

Ook in België worden persoonlijke gegevens door de overheid geanonimiseerd doorgegegeven aan commerciële spelers. In een interview met Data News afgelopen zomer legde minister van Volksgezondheid Maggie De Block uit hoe patiëntgegevens als big data worden ter beschikking gesteld voor de farmaceutische industrie. Daarbij ging het enkel om geanonimiseerde gegevens. Wel merkten zij en (toenmalig staatssecretaris voor Privacy, nu minister) Philippe De Backer er op dat er ook bijkomende strenge voorwaarden zijn, zoals een duidelijke finaliteit van de gegevens. In theorie mag die data nadien dus niet worden ingezet voor andere doeleinden.