Beantwoording vragen NRC

NRC: Uit de Wob-documenten blijkt dat CBS-medewerkers vanaf januari 2018 tot 1 april 2020 ,,onbeperkte toegang’’ hadden tot de ruwe data op locatie bij T-Mobile.

CBS: Vijf medewerkers van het CBS hebben onder gezag en toezicht van T-Mobile onderzoek gedaan op gepseudonimiseerde (niet herkenbare) persoonsgegevens, niet de ruwe data. De samenwerking is contractueel vastgelegd. Zij hebben dezelfde strikte geheimhoudingsverklaring getekend als gewone T-Mobile medewerkers of mensen die T-Mobile inhuurt. Zowel CBS als T-Mobile hebben groot belang bij het beschermen van de privacy en hebben daarom zowel juridische, fysieke als technische beperkingen ingebouwd. Er zijn géén persoonsgegevens uit de T-Mobile-infrastructuur aan het CBS verstrekt. In paragraaf 3.1.2 van dit artikel staat uitgelegd wat die toegang concreet betekent voor de privacy van klanten. De bepalingen van de Telecomwet en de werkwijze zijn uitgebreid onderzocht en in dit rapport gepubliceerd.

Tot 1 januari 2020 hebben deze medewerkers vanwege de veiligheid van de data op locatie bij T-Mobile gewerkt – toen liep het contract af. Wel is daarna gesproken over een mogelijke aanpak samen met RIVM ihkv COVID-19. Dat ging over hoe geaggregeerde data (zie wetsvoorstel) dan naar het CBS zouden komen en over de mogelijkheid om op afstand de software te kunnen afstemmen op COVID-19 omdat iedereen thuiswerkt. Ook daar is in de voorbereiding zorgvuldig naar gekeken. Het ging altijd om geaggregeerde data, niet om ruwe data. Dat staat ook in het contract.

NRC: Het ging hier volgens de documenten om ,,getrianguleerde locatiegegevens”, waarmee nauwkeurige plaatsbepalingen mogelijk zijn.

CBS: Dat staat er inderdaad. Maar dit is feitelijk onjuist. Het stuk is van een planbureau en die hebben dat abusievelijk onjuist opgeschreven. De gegevens waar het feitelijk om gaat zijn gebaseerd op de aanstraling van een telefoon op 1 mast. Dat geeft dus geen exacte plaatsbepaling. Met behulp van wiskundige methoden wordt een globale locatie geschat (de zogeheten Bayesiaanse locatieschatting). Dat betekent dat het CBS met kansen rekent dat iemand in een gebied is en het CBS telt die kansen op. Dus stel dat persoon A voor 70% zeker in een gemeente is en dat van persoon B voor 80% zeker is (in dat uur) dan is de geschatte telling 1,5 personen in dat gebied. Het CBS volgt dus geen toestellen. Dit staat ook in de methodebeschrijving. Het resultaat is genoeg voor de statistische doeleinden van het CBS: een globale schatting van het aantal telefoons in een bepaald gebied. Dit in tegenstelling tot een zogenaamde driehoeksmeting waarmee een exacte plaatsbepaling van een toestel (persoon) mogelijk is. Dat is van belang voor opsporing, maar niet voor de statistiek.

NRC: Uit de documenten blijkt dat T-Mobile de data alleen pseudonimiseerde door de IMSI-nummers van toestellen te vervangen door willekeurige getallen. Volgens de privacywetgeving zijn het dan nog steeds persoonsgegevens, waar T-Mobile volgens deskundigen die ik spreek geen toegang toe had mogen geven. Zij baseren zich daarbij op privacybepalingen in de Telecommunicatiewet en de AVG.

CBS: Het vervangen van de IMSI-nummers was de eerste stap. Daar bovenop werd een extra versleuteling gebruikt die elke 30 dagen werd vervangen. Dit staat ook in de methodebeschrijving. En het zijn inderdaad persoonsgegevens. Zoals eerder gezegd: de betrokken CBS-medewerkers opereerden daar onder toezicht en gezag van T-Mobile onder dezelfde strikte geheimhoudingsverklaringen als werknemers  van T-Mobile. Kortom, toegang was toegestaan volgens een werkwijze die gangbaar is in meer organisaties die met data werken. Wij verwijzen in dat verband naar het stuk van Prof. Dr. G.J. Zwenne.

NRC: Uit de documenten blijkt ook dat er ruim na het begin van de samenwerking met T-Mobile, in 2019, nog twijfels binnen het CBS leefden over de vraag of het statistiekbureau wel aan de privacywetgeving voldeed.

CBS: Dat is niet terug te lezen. Bij het CBS zijn we altijd kritisch over privacy. Door diverse partijen en bronnen te raadplegen. En dat is heel goed, want privacy nemen we uiteraard heel serieus. Het CBS heeft daarom voorafgaand aan het sluiten van de overeenkomsten uitvoerig onderzoek gedaan naar de juridische toelaatbaarheid  van het onderzoek. In 2019 is er ook nog eens een onafhankelijk advies gevraagd aan de heer Prof. Dr. G.J. Zwenne dat heeft geresulteerd in een rapport waar hierboven een link van in staat.

NRC: CBS-medewerkers experimenteerden met de data, onder meer door de reis van mobiele toestellen ,,langs cellen te volgen”. Over dit soort experimenten, die CBS-medewerkers op congressen wilden presenteren, mocht van T-Mobile niet met de buitenwereld worden gecommuniceerd. In alle communicatie werd benadrukt dat het om anonieme data ging.

CBS: Dit is nooit uitgevoerd omdat het niet zinvol was voor het doel van de samenwerking: software/algoritmes te ontwikkelen om uiteindelijk met deze nieuwe databron maatschappelijk relevante statistieken te maken. Over het punt van niet communiceren is volgens ons alleen te zeggen dat het juist goed laat zien dat de CBS-medewerkers onder supervisie van T-Mobile werkten. Het communiceren over de uiteindelijke methodologische kennis is natuurlijk evident: het CBS publiceert die altijd voor iedereen zodat iedereen er verder mee aan de slag kan. Ook is het CBS onafhankelijk en heeft geen voorkeur voor bepaalde bedrijven. Zo zijn de andere telecomoperators ook benaderd om mee te werken en zijn ze daarna op de hoogte gehouden van de voortgang van ons onderzoek.

NRC: Opmerkelijk is dat T-Mobile zelf in een hoorzitting in de Tweede Kamer afgelopen oktober verklaarde dat het niet kan uitsluiten dat zelfs geanonimiseerde locatiedata weer gede-anonimiseerd kunnen worden. T-Mobile bepleitte in het kader van de 'noodwet' ter bestrijding van het coronavirus zelfs een verbod op commercieel gebruik van de data door het CBS. Terwijl uit de documenten blijkt dat het CBS de T-Mobile-data juist wilde gebruiken om een algoritme voor locatiebepaling te ontwikkelen, dat zowel het CBS als T-Mobile succesvolle ,,businescases” zou moeten opleveren.  

CBS: In het position paper van T-Mobile staat:

Uit aanvullend privacy onderzoek (lees deze studie in hoofdstuk 4) blijkt dat de-anonimisering geheel onmogelijk is. Dat is in deze publicatie wiskundig bewezen. Met deze methode het niet mogelijk is om later nog de locatie van een toestel met redelijke zekerheid te bepalen, zelfs niet in de situatie dat “de aanvaller” de beschikking heeft over een onrealistische hoeveelheid informatie. Overigens, ook de Raad van State heeft in het wetgevingstraject de uitspraak gedaan dat de data die de mobiele operators verlaten anoniem zijn. Er is bovendien nooit sprake geweest van verrijking met data want de data hebben T-Mobile nooit verlaten en het CBS heeft ook andersom nooit data geleverd.

Over het commercieel gebruik van data is te zeggen dat het CBS vanuit zijn kerntaak nooit commerciële doelen nastreeft. Het ging om de ontwikkeling van software/algoritmes om uiteindelijk met deze nieuwe databron maatschappelijk relevante statistieken te maken. Het gebruiken van nieuwe databronnen levert ook lastenverlichting en betere kwaliteit van statistiek op. Op het moment dat nieuwe methoden zijn ontwikkeld publiceert het CBS de methodologische  kennis voor iedereen. Zo ook nu. Het is daarbij dus goed om te vermelden dat het CBS alle mobiele aanbieders heeft gevraagd om mee te werken aan deze pilot. Alleen T-Mobile had op dat moment interesse.

NRC: Ook blijkt uit de documenten dat er binnen het CBS plannen waren voor het ,,verrijken” van de locatiedata met andere CBS-gegevens. Iets waar de Autoriteit Persoonsgegevens in het voorjaar voor waarschuwde, omdat dit tot zeer privacygevoelige informatie kan leiden.

CBS: Het is denkbaar dat dergelijk ideeën zijn geopperd. Er is echter nooit een verrijking met andere data geweest. Ook dat staat niet in de overeenkomst vermeld. Eerder schreef ik al dat de data nooit T-Mobile hebben verlaten. Wel is geaggregeerde registerinformatie gebruikt om correctiefactoren te maken zodat de uitkomsten representatief zijn voor heel Nederland. Immers in sommige gebieden zijn er veel of juist weinig klanten van één operator, of zijn er meer kinderen aanwezig die geen mobiel hebben. Om dat te corrigeren gebruikt het CBS deze correctiefactoren uit registerinformatie. Dit staat in de methode beschreven.

In het advies op het wetsvoorstel van de Autoriteit Persoongegevens (AP) van 13 mei  staat: Aandachtspunt bij verrijken door het CBS met behulp van andere broninformatie die beschikbaar is, is nog dat dit zowel kan leiden tot mindere mate van herleidbaarheid (door bijvoorbeeld verdere aggregatie of door ophogen van gegevens aan de hand van bijvoorbeeld bevolkingsgegevens), maar ook tot een grotere mate van herleidbaarheid (wanneer bij wijze van spreken wordt verrijkt met informatie over doodsoorzaken). Dit verdient verdere verduidelijking en al dan niet waarborgen. En op 1 april 2020 zei de AP (Gebruik telecomdata tegen corona kan alléén met wet | Autoriteit Persoonsgegevens): Wie weet waar iemand woont of werkt en die gegevens combineert met de 'geanonimiseerde' locatiegegevens van heel veel mensen, kan met die combinatie achterhalen wie bij welke locatiegegevens hoort. Dat maakt van deze gegevens persoonsgegevens en die mag je niet zomaar delen. Die waarschuwing die je noemde is wat het CBS betreft dus terecht, maar zeker genuanceerder.

NRC: CBS-medewerkers konden in maart vorig jaar het T-Mobile-gebouw vanwege corona niet meer in. Daarom plan ruwe data via een VPN-verbinding naar het CBS te leiden. De T-Mobile-laptops die de CBS-medewerkers in het gebouw van T-Mobile gebruikten, zouden dan via een koerier naar het CBS worden verzonden. Graag hoor ik of er uiteindelijk inderdaad data via zo’n VPN naar het CBS zijn geleid.

CBS: Er is geen data naar het CBS gegaan. De data is niet uit ‘’de bubbel’’ bij T-Mobile geweest. Wel is, in de beginfase van COVID, nagedacht over mogelijkheden als het reizen niet meer mogelijk zou zijn. Dat heeft, mede door de ontwikkelingen rond de wetgeving rond telecom in het kader van COVID, verder niet tot actie geleid.

NRC: Ook wil ik graag weten of het CBS nog beschikt over locatiedata van T-Mobile-klanten.