• Expertise
  • Over ons
  • Team
  • Cliënten
  • Contact
  • Datadelen in smart mobility – voert wishful thinking de boventoon voor anonimiseren?

    Tekst: Danny Hoekzema en Laura van Gijn

    In het kader van Nederlandse smart-mobilityprojecten worden veel (persoons)gegevens gedeeld. Deelnemers aan deze projecten ­– markt en overheid – menen daarbij dat het gaat om geanonimiseerde gegevens. Dit lijkt onwaarschijnlijk – met het oog op de ‘redelijke middelen’ die beschikbaar zijn om de gegevens te de-anonimiseren. De oplossing van de overheid om door middel van interne maatregelen de ‘redelijke middelen’ te beperken, voldoet niet en ondermijnt de bescherming van de gegevens. Moet innovatie door datadelen dan worden gestaakt? Wij vinden van niet. De trusted third party arrangement biedt mogelijk uitkomst, alhoewel deze in 2012 geopperde tussenoplossing wel even afgestoft zal moeten worden.

     

    1 Inleiding

    Smart mobility is snel terrein aan het winnen in onze samenleving. We willen sneller, schoner, veiliger en efficiënter van A naar B. Sterker nog, we moeten wel. Ruim 21% van de CO2-uitstoot in Nederland is afkomstig van mobiliteit – klimaatdoelen kunnen niet worden gehaald zonder revolutionaire oplossingen voor de manieren waarop we ons verplaatsen. De doelstelling vastgelegd in het Klimaatakkoord is daardoor niet minder revolutionair: ‘Zorgeloze mobiliteit, voor alles en iedereen in 2050. Geen emissies, uitstekende bereikbaarheid, toegankelijk voor jong en oud, arm en rijk, valide en mindervalide. Betaalbaar, veilig, comfortabel, makkelijk én gezond. Slimme, duurzame, compacte steden met optimale doorstroming van mensen en goederen. Mooie, leefbare en goed ontsloten gebieden en dorpen waarbij mobiliteit de schakel is tussen wonen, werken en vrije tijd’. Kortom, gas erop en innoveren.

    De ontwikkeling van smart mobility is per definitie data driven. Het is tenslotte door de dataficatie van mobiliteit dat nieuwe oplossingen nog slimmer en dus nog sneller, schoner, veiliger en efficiënter worden. De richtsnoeren van de European Data Protection Board (EDPB) voor connected cars en mobiliteitsgerelateerde applicaties (consultatiefase) benoemt zelfs dat waar auto’s aanvankelijk vooral werden geassocieerd met vrijheid, autonomie en een private space, onze trouwe vierwielers tegenwoordig steeds meer data-genererende techhubs zijn.

    Internationaal gezien is Nederland koploper op het gebied van smart mobility. Het Ministerie van Infrastructuur en Waterstaat moedigt de markt en overheid sinds 2016 onder het motto ‘learning by doing’ aan om te pionieren en te leren door de ideeën in de praktijk te brengen. ‘Waarbij we niet alle antwoorden vooraf weten, maar samen aan de slag gaan om de onzekerheden die we tegenkomen nader te onderzoeken en uit te werken. En tot resultaten te komen’. Door middel van learning by doing moet ook duidelijkheid komen over ‘de voorwaarden voor verantwoord gebruik en hergebruik van allerlei soorten data door slimme voertuigen’ (zie bron).

    Een inventarisatie onder actuele Nederlandse smart-mobilityprojecten leert ons dat de markt en overheid de oplossing voor ‘verantwoord gebruik en hergebruik van allerlei soorten data’ lijken te hebben gevonden in het anonimiseren van gegevens. Opvallend. Was de bottom line van het advies van de Artikel 29-werkgroep (WP29) over anonimiseringstechnieken niet juist dat anonimiseren vrijwel onmogelijk is?

    In dit artikel bespreken wij aan de hand van twee concrete smart-mobility voorbeelden de uitdagingen voor markt en overheid bij het onderling delen van anonieme gegevens. Dit levert een kritische reflectie op, waarbij we tegelijkertijd een kans zien voor een pragmatische oplossing.

    2 Persoonsgegevens en smart mobility gaan hand in hand

    In het kader van smart mobility worden veel gegevens gegenereerd. Dat een groot deel van deze gegevens kwalificeert als persoonsgegevens staat volgens de EDPB niet ter discussie: ‘[m]uch of the data that is generated by a connected vehicle relate to a natural person that is identified or identifiable and thus constitute personal data. For instance, data include directly identifiable data (e.g. the driver’s complete identity), as well as indirectly identifiable data such as the details of journeys made, the vehicle usage data (e.g., data relating to driving style or the distance covered), or the vehicle’s technical data (e.g., data relating to the wear and tear on vehicle parts), which, by cross-referencing with other files and especially the vehicle identification number (VIN), can be related to a natural person. Personal data in connected vehicles can also include metadata, such as vehicle maintenance status’. Op de verwerking van deze persoonsgegevens is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.

    De ontwikkelingen op het gebied van smart mobility gaan snel en staan in de belangstelling van de Europese en nationale privacyautoriteiten. In opvolging van de Richtsnoeren Connected Cars van de EDPB, heeft de Autoriteit Persoonsgegevens (AP) recent de handleidingConnected car? Bescherm uw privacy!’ gepubliceerd. Daarnaast heeft de AP op 24 maart 2020 aangekondigd onderzoek te doen naar de privacy compliance van Nederlandse autofabrikanten.‘[O]ok al krijgt de AP nu nog niet zoveel signalen van automobilisten binnen over hun auto, we zien wel dat er veel nog niet goed is geregeld. Veel mensen zijn zich er simpelweg nog niet van bewust wat hun auto allemaal over hen weet’, aldus AP-bestuurslid Katja Mur.

    De door middel van smart mobility gegenereerde persoonsgegevens zeggen veel over de betrokkene. ‘Uit locatiegegevens is bijvoorbeeld af te leiden hoe vaak iemand naar de dokter gaat, de sportschool bezoekt of juist een snackbar en hoe laat iemand thuiskomt van werk. Maar ook of iemand naar een verslavingskliniek rijdt, een familielid bezoekt in de gevangenis of de auto elke week parkeert bij een kerk, moskee of synagoge’ (bron).  Overigens is het herkennen van patronen in deze gegevens geen rocket science. Amber, een aanbieder van deelauto’s, geeft aan dat zij toekomstige ritten dusdanig goed kunnen voorspellen dat zij een ‘beschikbaarheidsgarantie’ kunnen afgeven: ‘Automobilisten zijn gewoontedieren, ze rijden vaak op dezelfde momenten bepaalde ritten. […] Met onze software kunnen we de vraag [naar deelauto’s] tot op een kwartier vooraf voorspellen.’ Het belang de dataficatie van mobiliteit te reguleren kan niet duidelijker worden onderstreept.

    2.1 Cruciale rol publiek-private samenwerking

    Bij het in praktijk brengen van smart mobility is de rol van de overheid vaak cruciaal – ook waar het gaat om toepassingen die in beginsel zelfstandig door de markt uitgevoerd kunnen worden. Dit heeft drie redenen. Allereerst participeert de overheid actief mee in smart mobility met het doel sneller te innoveren. Ten tweede omdat smart mobility, zoals eerder aangestipt, cruciaal is voor beleidsdoeleinden. Minister Van Nieuwenhuizen-Wijbenga (Ministerie van Infrastructuur en Waterstaat) schreef eind 2018: ‘De stip op de horizon is een veilig, slim en duurzaam verkeers- en vervoersysteem waarvan de delen naadloos op elkaar aansluiten en elkaar versterken’. Ten derde hebben marktdeelnemers in veel gevallen de medewerking van de overheid nodig voordat ze smart mobility in praktijk mogen brengen – bijvoorbeeld doordat bepaalde vergunningen of ontheffingen nodig zijn.

    Gevolg is dat smart mobility veelal plaatsvindt in de vorm van publiek-private samenwerkingen. Het Ministerie van Infrastructuur en Waterstaat onderstreept: ‘In een continu veranderende werkelijkheid moeten overheden hun publieke taken en verantwoordelijkheden blijvend kunnen waarmaken. Tegelijk moet het bedrijfsleven kansen kunnen benutten om te vernieuwen’.

    De overheid stelt hierdoor vaak voorwaarden aan haar medewerking – in allerlei vormen. Eén van de voorwaarden die wij in onze praktijk regelmatig (lees: altijd) tegenkomen is dat de overheid de marktdeelnemer verplicht stelt de door middel van smart mobility gegenereerde gegevens met haar te delen. Denk bijvoorbeeld aan gegevens over geplande en uitgevoerde reizen, begin- en eindpunt reis, heatmaps, doel van de reis en afgelegde route (locatiegegevens), rijgedrag, parkeergegevens en informatie over de rijstijl.

    2.2 Twee concrete voorbeelden

    Deze praktijk van datadelen kan worden uitgelegd aan de hand van twee actuele smart-mobilitytoepassingen, namelijk Deelmobiliteit Amsterdam en TURNN.

    Deelmobiliteit Amsterdam

    In Amsterdam zijn verschillende aanbieders van deelmobiliteit actief. Daarbij biedt de aanbieder, vaak via een digitaal platform, toegang tot het gebruik van een bepaald vervoersmiddel zoals een auto of scooter. Gebruikers betalen voor het gebruik op basis van gebruiksduur of op basis van de afgelegde kilometers (of een combinatie van die twee). Veel deelauto’s zijn free floating, wat inhoudt dat deze geen vaste standplaats hebben en in principe op iedere parkeerplek geparkeerd kunnen worden. Deelmobiliteit wordt in Nederland op grote schaal toegepast – volgens de laatste cijferswerden in 2019 al ruim 51.000 deelauto’s aangeboden.

    Voor het aanbieden van deelmobiliteit is in de gemeente Amsterdam een stadsbrede autovergunning nodig. Aan het verstrekken van deze vergunning stelt de gemeente de voorwaarde dat de aanbieder gegevens deelt, zoals ‘gegevens over het gebruik van de voertuigen, waaronder herkomst en bestemming, het aantal ritten gedurende de dag en het jaar, het aantal geparkeerde voertuigen per vergunningsgebied en het aantal actieve gebruikers’, een en ander ‘met inachtneming van privacyregels’. De gemeente gebruikt deze gegevens naar eigen zeggen omdat (meer) inzicht in het gebruik nodig is om te kunnen bepalen in hoeverre deze regeling bijdraagt aan de gemeentelijke doelstellingen op het gebied van duurzaamheid en luchtkwaliteit. Daarnaast is het van belang dat er ook meer inzicht komt op de effecten van autodelen op het gebied van mobiliteit en wat de effecten zijn op de parkeerdruk in de stad (zie bron).

    TURNN

    Een ander voorbeeld waarbij de overheid mobiliteitsdata uit de markt haalt is de applicatie TURNN. Door middel van deze applicatie moet de bereikbaarheid van het Drentse en Groninger platteland worden verbeterd waarbij het vervoerssysteem tegelijkertijd betaalbaar moet blijven. Met behulp van TURNN kunnen reizigers hun reis van deur tot deur plannen, waarbij de applicatie de reiziger up-to-date houdt over vertraging of uitval door middel van real-timenotificaties.

    TURNN wordt aangeboden in het kader van het grotere project Mobility as a Service (MaaS) van het Ministerie van Infrastructuur en Waterstaat en regionale overheden samen met 24 marktdeelnemers. MaaS heeft als doel om door middel van zeven pilots zoveel mogelijk publieke en private data te bundelen teneinde nieuwe mobiliteitsdiensten te ontwikkelen. TURNN is één van deze pilots. Voor deelname aan MaaS is vereist dat de marktdeelnemer onder meer gegevens beschikbaar stelt met betrekking tot het doel van de reis (privé, woon-werk, werk-werk, etc.), het type vervoersmiddel dat voor de reis is gebruikt, een (dynamisch) uniek persoonlijk identificatienummer en het begin- en eindpunt van de reis (onder meer via GPS-coördinaten) (zie bron).

    3 Anonieme gegevens

    Bovenstaande door de overheid opgevraagde gegevens zouden anoniem zijn. De gemeente Amsterdam verlangt dat de gegevens van deelmobiliteit worden gedeeld volgens een ‘door gemeente bepaalde [technische] specificatie’, waarbij navraag leert dat deze specificatie onder andere voorziet in de vereiste handelingen waardoor de gegevens geanonimiseerd zouden zijn. Ten aanzien van TURNN is meer algemeen bepaald: ‘[h]et ministerie, de regio’s, de makers van de apps en vervoerders gaan de verkregen data (anonieme reisgegevens) via de MaaS-apps analyseren. Om zo inzichten te krijgen waarmee het gehele mobiliteitssystemen geoptimaliseerd kan worden’. Oftewel, in beide voorbeelden wordt gesteld dat de gedeelde gegevens (uiteindelijk) geanonimiseerd zijn.

    Dat is uiteraard een aantrekkelijke stelling – de AVG is namelijk niet van toepassing op geanonimiseerde gegevens. Overweging 26 van de AVG licht toe: ‘De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens.’

    Ook de EDPB benoemt in haar Richtsnoeren Connected Cars: ‘Once a dataset is truly anonymised and individuals are no longer identifiable, European data protection law no longer applies. As a consequence, anonymization, where relevant, may be a good strategy to keep the benefits and to mitigate the risks in relation to connected vehicles’. Voor het anonimiseren van persoonsgegevens verwijst de EDPB naar het WP29-advies met betrekking tot anonimiseringstechnieken (Advies anonimiseringstechnieken). Maar: de kern van dit WP29-advies is dat anonimiseren nagenoeg onmogelijk is.

    3.1 Anonimiseren is contextafhankelijk

    Het Advies anonimiseringstechnieken geeft aan dat rekening moet worden gehouden met de ‘bijzondere context en omstandigheden van een specifiek geval’ om te bepalen of persoonsgegevens anoniem zijn. Daarbij moet volgens het Advies anonimiseringstechnieken ‘worden gekeken naar “alle” middelen “waarvan mag worden aangenomen” dat zij “redelijkerwijs” door degene die voor de verwerking verantwoordelijk is dan wel door derden in te zetten zijn om de persoon te identificeren’. Dit noemen wij het redelijkemiddelencriterium – zodra de redelijke middelen aanwezig zijn, kan van anonieme gegevens niet langer gesproken worden (en betreft het dus hoogstens pseudonieme gegevens).

    Het redelijkemiddelencriterium wordt in de eerste plaats ingevuld door de concrete middelen die noodzakelijk zijn om het anonimiseren terug te draaien (en dus, de gegevens te de-anonimiseren). Relevante factoren zijn de daarvoor benodigde kosten en moeite in de vorm van tijd, beschikbaarheid van (goedkope) technische middelen, beschikbaarheid van andere (publiek toegankelijke) datasets en de ontwikkeling van informatie- en communicatietechnologie. Bovendien bepaalt het Advies anonimiseringstechnieken dat ‘wanneer een voor de verwerking verantwoordelijke de originele (identificeerbare) gegevens niet verwijdert op gebeurtenisniveau, en een deel van die dataset doorgeeft (bijvoorbeeld na het verwijderen of maskeren/afschermen van identificeerbare gegevens), de resulterende dataset nog steeds valt onder de noemer van persoonsgegevens’.

    3.2 Objectieve invulling redelijkemiddelencriterium

    Een objectieve invulling van het redelijkemiddelencriterium – waarbij alle beschikbare middelen meegewogen worden – leidt ertoe dat het anonimiseren van gegevens in de context van smart mobility zeer problematisch is. Onder andere de omvangrijke middelen van de overheid, het opendatabeleid en het bewaren van originele (identificeerbare) gegevens gooien roet in het eten.

    Omvangrijke middelen

    Voor de invulling van het redelijkemiddelencriterium moet onder andere worden gekeken naar de kosten en moeite om de gegevens te de-anonimiseren, de beschikbaarheid van daartoe beschikbare technische middelen en de beschikbaarheid van andere datasets.

    Toegepast op de situatie van smart mobility zal de marktdeelnemer, de aanvankelijke verwerkingsverantwoordelijke ten aanzien van de originele (identificeerbare) gegevens, er rekening mee moeten houden dat de middelen die de overheid redelijkerwijs kan inzetten om de gegevens te de-anonimiseren omvangrijk zijn. De overheid beschikt in de regel namelijk over aanzienlijk financiële en technische middelen die zij kan inzetten om de gegevens te de-anonimiseren. Daarnaast kan de overheid de gedeelde gegevens combineren met de talrijke andere databronnen die zij tot haar beschikking heeft. Voorbeeld: een geanonimiseerde reisbeweging is al snel identificeerbaar door deze bijvoorbeeld te combineren met de beelden van verkeerscamera’s.

    Door de ruime beschikbaarheid van deze middelen is het aannemelijk dat de overheid de gedeelde gegevens kan de-anonimiseren, waardoor deze opnieuw (of eerder, nog steeds) kwalificeren als (gepseudonimiseerde) persoonsgegevens in de zin van de AVG en er dus rekening moet worden gehouden met de vereisten die de AVG aan de verwerking van deze persoonsgegevens stelt.

    Opendatabeleid overheid

    Aanvullend op de omvangrijke middelen van de overheid, moet de marktdeelnemer ook rekening houden met het opendatabeleid van de overheid. De gedachte achter dit beleid is dat het openbaar maken van gegevens leidt tot een toename in transparantie en verantwoording over het overheidshandelen.
    Daarnaast ondersteunt het opendatabeleideconomische en maatschappelijke innovatie en een effectievere en efficiëntere overheid.

    Een bekend voorbeeld van opendatabeleid is de website data.overheid.nl. Dit initiatief begeleidt nationale en lokale overheden bij het openstellen van de hen beschikbare gegevens. Tevens kan iedere derde bij data.overheid.nl aankloppen om navraag te doen naar het bestaan van bepaalde datasets of om de openbaarheid van specifieke datasets te verzoeken. Het begrip derde is breed en kan in beginsel iedereen zijn, een private partij, maar ook een andere overheid.

    Het gevolg van dit beleid is dat voor de kwalificatie van anoniem gegeven niet alleen rekening moet worden gehouden met de middelen die de overheid als ontvangende partij kan inzetten om de persoonsgegevens te de-anonimiseren. Tevens moet rekening worden gehouden met de mogelijke openbaarmaking van deze gegevens door die overheid en dus de redelijke middelen die derden in dit verband zouden kunnen inzetten.

    Bewaren originele persoonsgegevens

    Een andere drempel van het Advies anonimiseringstechnieken is het standpunt dat gegevens niet anoniem kunnen zijn zolang de originele persoonsgegevens niet zijn verwijderd. Het enkele feit dat de verwerkingsverantwoordelijke deze originele (identificeerbare) gegevens niet verwijdert, leidt ertoe dat de gedeelde gegevens niet als anoniem kunnen kwalificeren. WP29 licht dit in het Advies anonimiseringstechnieken toe in een – buitengewoon toepasselijk – voorbeeld: ‘Wanneer een organisatie bijvoorbeeld gegevens over reizigersbewegingen verzamelt, worden de individuele reispatronen op gebeurtenisniveau nog steeds met persoonsgegevens gelijkgesteld voor elke partij, en wel zolang de voor de verwerking verantwoordelijke (of enige andere partij) toegang heeft tot de oorspronkelijke onbewerkte gegevens, ook al werden de direct identificerende gegevens […] verwijderd uit de aan derden doorgegeven dataset’. Kortom: zolang de originele (identificeerbare) gegevens niet zijn vernietigd, kwalificeren de gedeelde gegevens niet als anoniem en is de AVG hier gewoon op van toepassing. Een eventuele maatregel waarbij de ontvangende partij gepseudonimiseerde gegevens ontvangt zonder de sleutel om de gegevens te de-anonimiseren, doet daaraan niet af.

    Bij veel toepassingen van smart mobility leidt dit standpunt tot problemen: de marktdeelnemers kunnen de originele (identificeerbare) gegevens in de meeste gevallen niet (direct) verwijderen op het moment dat zij ‘anonieme’ gegevens delen met de overheid. Deze zijn namelijk nog nodig voor de eigen dienstverlening. De originele (identificeerbare) gegevens worden bijvoorbeeld bewaard om de betrokkene inzicht te bieden in de gebruiksgeschiedenis, het reisadvies te personaliseren of om te factureren op basis van het gebruik.

    Kortom, het volgt uit de objectieve invulling van het redelijkemiddelencriterium dat de overheid de redelijke middelen tot haar beschikking heeft om de gedeelde gegevens te de-anonimiseren. De gedeelde gegevens kwalificeren daardoor niet als geanonimiseerd (hooguit als gepseudonimiseerd) en dus blijft de AVG onverkort van toepassing.

    3.3 Subjectieve invulling

    Het lijkt erop dat er – mogelijk onder het mom van de pragmatische slogan ‘learning by doing’ – naast een objectieve invulling van het redelijkemiddelencriterium ook een subjectieve invulling is ontwikkeld.

    Bij deze benadering wordt het redelijkemiddelencriterium niet langer ingevuld door te kijken naar alle beschikbare middelen voor de-anonimiseren, maar wordt gekeken naar de daadwerkelijk beschikbare middelen. Een voorbeeld: alhoewel de overheid in de basis omvangrijke middelen tot haar beschikking heeft om gegevens te de-anonimiseren, kan zij zichzelf door middel van (interne technische en organisatorische) maatregelen beperken in het gebruik van (een deel van) deze middelen. Dit zou leiden tot een praktische situatie waarin de middelen die redelijkerwijs ingezet kunnen (of mogen) worden onvoldoende zijn om de gegevens te de-anonimiseren. Daarmee zouden de gegevens alsnog kwalificeren als geanonimiseerd.

    Deze strategie lijkt te zijn toegepast bij het delen van gegevens in het kader van Deelmobiliteit Amsterdam. Alhoewel de gedeelde gegevens op basis van de objectieve invulling niet als anoniem kwalificeren, moeten diverse (interne technische en organisatorische) maatregelen het de-anonimiseren van de gegevens voorkomen. Genomen maatregelen zijn onder andere:
    1. iedere verwerking van de gedeelde gegevens moet voldoen aan het Manifest van TADA – een beoordelingskader dat voorschrijft dat verwerkingen beheerst en gecontroleerd moeten plaatsvinden: weet en denk na over wat je met de gegevens mag, kan en wil;
    2.de interne doorgifte van de gegevens kan alleen plaatsvinden op basis van een dataleveringsovereenkomst waarin de doeleinden voor de doorgifte zijn vastgelegd en is getoetst in hoeverre deze doeleinden verenigbaar zijn met de doelstelling opgenomen bij de toestemmingsvraag aan de betrokkene;
    3.het combineren van gegevens wordt slechts gedaan nadat een DPIA is uitgevoerd waarbij onder meer is onderzocht of de beoogde combinatie van gegevens kan leiden tot de-anonimiseren;
    4.er zijn binnen de gemeente toezichthoudende organen die de rechtmatigheid van het gebruik van de gegevens toetsen, waaronder de privacy officer, de functionaris gegevensbescherming en de Commissie Persoonsgegevens Amsterdam.

    Rekening houdend met deze maatregelen concludeert de gemeente Amsterdam dat de redelijke middelen die overblijven onvoldoende zijn om de gegevens te de-anonimiseren. De gegevens zouden daardoor als geanonimiseerd kwalificeren.

    Wij bestrijden dit standpunt. Alhoewel wij inzien dat dergelijke maatregelen de privacybescherming bevorderen, is het onwenselijk de illusie te creëren dat deze gegevens daadwerkelijk anoniem zijn. De maatregelen leiden tot pseudonimisering – wat op zichzelf een legitieme beveiligingsmaatregel is – maar niet tot geanonimiseerde gegevens.

    In het Advies anonimiseringstechnieken zien wij evenmin aanknopingspunten voor de subjectieve invulling van het redelijkemiddelencriterium. De tendens is eerder tegengesteld. In september 2019 is een Guidance Note uitgebracht waaraan de Information Commissioner’s Office (ICO) – de Britse privacyautoriteit – haar medewerking heeft verleend. Hierin wordt korte metten gemaakt met de subjectieve benadering: ‘If your organisation holds both the pseudonymised dataset and the cipher or code, your organisation is holding Personal Data as defined in GDPR. Regardless of the ‘controls’ you have in place, the organisation has access to direct, real-world identifiers. Since data protection is a corporate responsibility, any internal controls are not considered sufficient here and it is not possible to render this data no longer Personal Data. However, pseudonymisation does reduce the risk when processing Personal Data for research, and as such is a safeguard provided in GDPR’.

    Daar komt bij dat in het geval van de overheid interne maatregelen onder politieke of maatschappelijke druk kunnen bezwijken. De recente (of huidige) coronacrisis is daarin exemplarisch, maar dit is niet het enige voorbeeld. De overheid heeft inmiddels een uitgebreid track record van situaties waarin de overheid – als puntje bij paaltje komt – politieke of veiligheidsbelangen laat prevaleren boven privacy. Alleen dit jaar al kwamen de risicoprofielen bij de belastingdienst en het etnisch profileren door SyRI bovendrijven. Onze conclusie is dat deze ‘learning by doing’ aanpak heeft geleid tot een subjectieve invulling die onrechtmatig is en daardoor niet de privacyvriendelijke oplossing biedt om gegevens te delen.

    3.4 Mogelijke tussenoplossing?

    De objectieve en subjectieve invulling van het redelijkemiddelencriterium leiden veelal tot een welles-nietesdiscussie over anonimiseren. Een pragmatische oplossing lijkt echter voorhanden. De ICO heeft namelijk de deur op een kier gezet voor de trusted third party arrangement (TTP).

    De TTP wordt eind 2012 geïntroduceerd in de code of practice voor anonimiseren. ICO benoemt daarbij: ‘A trusted third party (TTP) arrangement can be particularly effective where a number of organisations each want to anonymise the personal data they hold for use in a collaborative project. This model is being used increasingly to facilitate the large scale research using data collected by a number of organisations. Typically, the TTP will operate a data repository to which the various participating organisations will disclose their personal data. A trusted third party is an organisation which can be used to convert personal data into an anonymised form. This is particularly useful in the context of research, as it allows researchers to use anonymised data in situations where using raw personal data is not necessary or appropriate. Trusted third parties can be used to link datasets from separate organisations, and then create anonymised records for researchers.

    Daarmee lijkt een tussenvariant – namelijk niet datadelen met elkaar, maar met een onafhankelijke derde – geboren. In deze tussenvariant worden de afspraken contractueel vastgelegd. Daarmee lijkt de TTP in zekere zin op de subjectieve invulling van het redelijkemiddelencriterium, hoofdzakelijk verschil is echter dat de middelen niet langer intern afdwingbaar zijn, maar extern afdwingbaar door middel van een overeenkomst.

    In hoeverre de TTP ook onder de huidige omstandigheden nog toepassing kan vinden is niet duidelijk. Aangezien de TTP in 2012 door ICO is geïntroduceerd, maar er daarna in het Advies anonimiseringstechnieken of de overwegingen van de AVG niets meer over is genoemd, zal voor het antwoord op deze vraag de bijgewerkte code of practice van de ICO worden afgewacht. Deze is al aangekondigd.

    Dat wil niet zeggen dat de TTP nog niet zijn weg naar de praktijk heeft gevonden – al dan niet in combinatie met de bijzondere positie van wetenschappelijk onderzoek in de AVG. In het voorbeeld van TURNN is namelijk contractueel afgesproken dat persoonsgegevens in verschillende stappen (door verschillende partijen) van de identificatoren worden ontdaan, waarna de geanonimiseerde gegevens in een leeromgeving worden geplaatst. De beheerder van deze leeromgeving – de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO) – kan deze gegevens vervolgens gebruiken voor (door de overheid of marktdeelnemers gewenst) onderzoek. Dit onderzoek vindt plaats binnen contractueel vastgelegde kaders: gegevens mogen niet worden gecombineerd met andere datasets, externe partijen krijgen geen toegang tot de gegevens en onderzoek vindt slechts plaats na goedkeuring van het onderzoeksvoorstel door een onafhankelijke raad van advies.[1]

    Daarmee lijkt de TTP een uitweg bieden voor de zwart-witdiscussie over anonimiseren – een oplossing die hard nodig is om de gewenste innovatie te bereiken. Een heroverweging van deze oplossing door de privacyautoriteiten is ons inziens dan ook gewenst. Overigens hebben we vernomen dat de Autoriteit Persoonsgegevens bij het bespreken van de anonimiseringsaanpak bij TURNN is geconsulteerd – en dat zij daarbij een vrijwel onmerkbaar instemmend knikje hebben gegeven.

    4 Conclusie

    Anonieme gegevens delen in het kader van smart mobility is vrijwel altijd wishful thinking. Ons voorstel en streven is echter niet om de ontwikkelingen in smart mobility in te perken en de broodnodige vooruitgang op dit vlak af te remmen – daarvoor zijn de klimaatdoelen te belangrijk. Startpunt van de discussie moet echter wel zijn dat zowel overheid als markt erkennen dat de met de overheid gedeelde gegevens wel degelijk onder het bereik van de AVG vallen, nu volledig anonimiseren in deze situatie een fictie is. Dat neemt niet weg dat het zoveel mogelijk pseudonimiseren van de gedeelde data en het beperken van de manieren waarop de overheden deze data mogen verwerken, belangrijke maatregelen kunnen zijn om het datadelen in lijn met de AVG te brengen. De verwerkingen kunnen hierdoor worden gebaseerd op grondslagen zoals publieke taak of gerechtvaardigd belang.

    Een mogelijke pragmatische oplossing kan wat ons betreft worden gevonden in de TTP. Een tussenoplossing die de gegevensbescherming en innovatie op het gebied van smart mobility kan verenigen zonder daarbij het risico dat de privacy het onderspit delft onder politieke of maatschappelijke druk. Het is momenteel onduidelijk of en in hoeverre de privacyautoriteiten de TTP in lijn met privacywetgeving beschouwt. Een heroverweging van deze oplossing zou daarom wat ons betreft wenselijk zijn.

    Over ons

    De Roos Advocaten is an experienced, accessible and transparent law firm. We provide excellent legal advice in the areas of Corporate Law, Intellectual Property Law, Financial Law, Commercial Contract Law and Privacy Law. We are the legal extension of your company.

    Hulp nodig?

    Onze gespecialiseerde advocaten zijn altijd beschikbaar voor een vrijblijvend eerste adviesgesprek. Heeft u een juridische kwestie waar u vertrouwelijk advies over wilt inwinnen? Aarzel niet om met ons contact te zoeken.

    Ontvang onze nieuwsbrief

      Wij gebruiken jouw emailadres voor het toesturen van de nieuwsbrief. Niet voor andere doeleinden. Wil je meer weten? Zie hier onze Privacy Policy.