Persoonsgegevens GBA gemakkelijk identificeerbaar

Geanonimiseerde gegevens zijn minder anoniem dan gedacht, blijkt uit promotieonderzoek van informaticus Matthijs Koot van de Universiteit van Amsterdam.

Postcode
Koot onderzocht van 2,7 miljoen Nederlanders gegevens uit de gemeentelijke basisadministratie (GBA) over geboortedatum, postcode en geslacht. Daaruit bleek onder meer dat 67 procent van de personen uniek identificeerbaar is op de combinatie van geboortedatum en de vier cijfers van de postcode.

Gegevens wel degelijk te de-anonimiseren
Om een database te anonimiseren worden persoonsgegevens bijvoorbeeld ontdaan van namen en persoonsnummers. Personen zijn dan niet meer geïdentificeerd, maar Koot vroeg zich af of zij dan ook niet identificeerbaar zijn. Zijn onderzoek laat zien dat geanonimiseerde gegevens wel degelijk te de-anonimiseren zijn via postcode, geboortedatum en geslacht, maar ook via andere combinaties. Koot ontwikkelde nieuwe technieken op basis van kansberekening waarmee de mate van privacy kwantificeerbaar is. Op die manier is privacy beter te waarborgen. ‘Ik wil mensen die deze data gebruiken ondersteunen. Het CBS zou een codeboek kunnen maken, waar ook individuen toegang toe hebben. Iedereen kan dan zien dat zij in in hoeverre zij in geanonimiseerde databases, zoals voor patiëntgegevens, niet te onderscheiden zijn.’

Verschillende manieren
De metingen van Koot zijn nooit eerder publiekelijk en zo grootschalig met GBA-gegevens verricht. Hij vroeg gegevens op bij 30 gemeenten. ‘De meer dan 400 gemeenten in Nederland beslissen allemaal zelfstandig of ze aan mijn verzoek willen voldoen. Ik vond het interessant om te zien dat de gemeenten die antwoordden mijn verzoek op zes verschillende manieren werd behandeld. Soms kreeg ik de gegevens direct per onbeveiligde mail, soms moest ik iets ondertekenen en werden gegevens versleuteld aangeleverd op cd-rom. Een gemeente weigerde overigens en 13 gemeenten hebben niet gereageerd of vroegen te hoge leges.’

Bonuskaart
Koot voelt zich betrokken bij de maatschappij, met name op het gebied van privacy. ‘Dan kom ik op het “evangeliserende gedeelte” van mijn proefschrift. Je kunt pas goede beslissingen nemen als je goed bent geïnformeerd. De gegevens van het GBA zijn maar voor een paar mensen toegankelijk, maar gegevens als postcode, geboortedatum en geslacht worden ook, met je naam erbij, geregistreerd bij de Bonuskaart van Albert Heijn of bij Bol.com. Kwaadwillenden die zich toegang kunnen verschaffen tot zulke databases kunnen er heridentificatie-aanvallen mee uitvoeren op onvoldoende geanonimiseerde data. Die kwaadwillenden kunnen die gegevens trouwens ook al gedeeltelijk verzamelen van sociale media als Facebook of LinkedIn. Veel mensen zetten daar hun geboortedatum en woonplaats op.’

Niet herleidbaar
Het gaat Koot om gegevens die door organisaties, maar ook door huisartsen, apothekers of enquêtebureaus, als anoniem worden voorgesteld en worden gedeeld voor bijvoorbeeld beleidsonderzoek. ‘Het GBA bevat geïdentificeerde data. Dat is noodzakelijk. Als voor wetenschappelijk onderzoek GBA-gegevens worden gevraagd, kunnen die gegevens bijvoorbeeld zonder naam of burgerservicenummer worden verstrekt. Maar je moet ook afwegen of bij de rest van de gegevens de identiteit van mensen niet herleidbaar is.’

Privacytoets
Als informaticus is Koot uit zichzelf al extra voorzichtig omgegaan met de verstrekte gegevens door ze bijvoorbeeld dubbel te versleutelen en niet op draagbare media op te slaan. ‘Ik vraag me af in hoeverre persoonsgegevens die tijdens wetenschappelijk onderzoek worden verwerkt voldoende worden beveiligd.

Je moet de anonimiteit van geanonimiseerde gegevens kunnen waarborgen. Ik pleit daarom voor het invoeren van een privacytoets op basis van kansberekeningmodules, zodat je kunt controleren of de gegevens voldoende geanonimiseerd zijn.’