Hoe anoniem zijn anonieme gegevens eigenlijk?
Doordat ons leven steeds digitaler wordt, laten we steeds meer gegevens achter; gegevens over ons zoekgedrag, over de video’s die we huren, over de boeken die we kopen, etc. Maar wanneer zijn die gegevens herleidbaar naar een specifiek persoon?
Dat is relevant, want pas dan is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Veel dienstverleners stellen: “wij verzamelen gegevens, maar we weten niet van wie die gegevens zijn, dus wij hoeven ons niet aan de Wbp te houden”. Zij zouden bijvoorbeeld slechts weten van welk IP-adres een bepaalde zoekopdracht komt, en niet van wie dat IP-adres is.
Toch is dat maar de halve waarheid: het wordt steeds makkelijker om te weten wie er achter bepaalde gegevens schuilt. Toen AOL in 2006 miljoenen “geanonimiseerde” zoekopdrachten publiceerde, hadden onderzoekers al snel door van wie bepaalde zoekopdrachten waren (aan de hand van 1 zoekgeschiedenis is de film I love Alaska gemaakt).
Die problematiek blijft actueel. Vandaag meldt Wired dat een rechtszaak aanhangig is gemaakt tegen videoverhuurbedrijf Netflix. Het bedrijf heeft “anonieme” verhuurgegevens gepubliceerd, maar die zijn door onderzoekers gekoppeld aan de openbare filmdatabase IMDb. Zo wisten ze verschillende anonieme gebruikers te ontmaskeren. En de eiser in de rechtszaak is daar niet blij mee:
“[M]ovie and rating data contains information of a more highly personal and sensitive nature. The member’s movie data exposes a Netflix member’s personal interest and/or struggles with various highly personal issues, including sexuality, mental illness, recovery from alcoholism, and victimization from incest, physical abuse, domestic violence, adultery, and rape.
The Plaintiffs’ and class members’ movie data and ratings, which were released without authorization or consent, have now become a permanent, public record on the Internet, free to be manipulated and exposed at the whim of those who have the Database.”
Dat zulllen we vaker gaan zien. Er is steeds meer informatie over ons beschikbaar, soms ook via publieke bronnen zoals Facebook en Hyves. En er worden steeds betere technologieen ontwikkeld om anonieme gegevens te de-anynomiseren. Wat nu misschien nog geen “persoonsgegeven” is, kan dat binnenkort wel worden. De volgende keer dat wordt gesteld dat gegevens “anoniem” zijn, is een stevige korrel zout op zijn plaats.