Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
4 Reacties Bewaren
privacy

'Anonieme' ruwe data geeft schokkend persoonlijke details

De digitale variant van het doorhalen van namen in documenten is het anonimiseren van gegevens in ruwe datasets. Maar dat gebeurt niet altijd zorgvuldig, waardoor er ontzettend veel persoonlijke informatie uit te halen is.

Quasi-identifiers zijn gegevens die niet uniek zijn en daarom niet gelden als persoonsgegevens onder de Wet bescherming persoonsgegevens (Wbp) - en buitenlandse equivalenten van dergelijke privacywetten. In de Europese Unie wordt dat pseudonieme data genoemd: gegevens die je alleen kunt herleiden door data te combineren.

Door verschillende datasets van quasi-identifiers te combineren, kom je toch terecht bij persoonlijk identificeerbare gegevens. Een belangrijke praktijkles in 'anoniem bestaat niet', ook niet als het "maar om metadata" gaat.

Orignele data te herleiden

Een mooi voorbeeld over hoe je met geaggregeerde data tóch uitkomt bij persoonlijke informatie gaat over 'anonieme' taxigegevens. Uit 20 GB aan geWOB'de ruwe data over taxiritten in New York zijn identificeerbare gegevens verwijderd. Zo zijn details als het taxinummer 'geanonimiseerd', maar al snel zagen Reddit-gebruikers dat je in elk geval al kunt herleiden dat een bepaalde rit van taxi X is, omdat de waarde erbij hetzelfde is. Maar erger: die waardes zijn te herleiden.

Die waarde is namelijk een MD5-hash. Zo'n hash is niet te herleiden als je geen informatie hebt over de originele invoer. Maar als je dat wel weet, is de informatie wel te achterhalen. Neem wachtwoorden. Die zijn vaak gehasht met bijvoorbeeld MD5, maar de oorspronkelijke waardes vóór het hashen zijn te achterhalen als je een flinke lijst met bekende wachtwoorden hebt. Zo kun je uitrekenen dat 'waarde X' overeenkomt met 'wachtw00rd', als je weet dat 'wachtw00rd' een veelgebruikte term is in je database.

De taxinummers bestaan uit zes cijfers, of zeven cijfers beginnend met '5'. Daarnaast zijn er licentienummers, die bestaan uit cijfers en letters. Website Medium berekent dat alles bij elkaar zo'n 22 miljoen combinaties mogelijk zijn. Een computer berekent in enkele minuten deze miljoenen hashwaardes van de mogelijke cijfers en deze kunnen in een vergelijkingstabel worden geduwd met de MD5-hashes van taxinummers. Met behulp van Amazons rekenkracht is de dataset in een uurtje gedeanonimiseerd.

Metadata en persoonsgegevens

Datzelfde kan met andere 'geanonimiseerde' data worden gedaan en opeens hebben we een dataset in handen met gênant specifieke informatie. Goed, dat blijft metadata (wie, waar, wanneer) en dat is geen persoonlijke, inhoudelijke informatie, zegt bijvoorbeeld minister Plasterk. Rare uitspraak eigenlijk, want door alleen al te volgen wie met wie op welk moment informatie uitwisselt, kun je al het een en ander concluderen over de inhoud.

Analysebedrijf Neustar beschrijft in een uitgebreide blogpost hoe deze dataset met ook GPS-gegevens van de eindlocatie verder gecombineerd kan worden om te kunnen benaderen waar beroemde mensen wonen. Bradley Cooper stapt in taxi 12345 en stapt uit - waarschijnlijk bij zijn huis of andere plek waar je hem verder kunt traceren. Uit de data is zelfs te achterhalen welke route de taxi nam, door te kijken naar beginplaats, eindplaats, ritduur en ritafstand.

Nachtclubbezoekjes

Het is kinderspel met beroemdheden, omdat er al zoveel informatie over te vinden is - zoals de foto's van Jessica Alba die een taxi instapt. Maar ook doorsnee taxiklanten zijn niet veilig. Neustar gebruikte de data bijvoorbeeld om ritjes naar de nachtclub van pornomagnaat Larry Flynt te destilleren. Vervolgens werden de gegevens geclusterd om er mensen uit te halen die de club vaak frequenteren. In een voorbeeld was uit de GPS-informatie direct te achterhalen om welk adres het precies ging. Via Google werd de identiteit van de klant ontdekt, rechtbankdocumenten, informatie van social media - enzovoorts.

Dit zou allemaal niet zo problematisch zijn, als de gegevens daadwerkelijk goed geanonimiseerd waren geweest, beargumenteert Neustar. Net als met een wachtwoorddatabase, volstaat het MD5-hashen van de datavelden niet.

Onder de Wbp zijn alle herleidbare persoonsgegevens beschermd, dus ook hier moet salt worden gebruikt - willekeurige data wordt dan toegevoegd aan de hashfuntie - om de gegevens niet te kunnen achterhalen. In de huidige vorm was het de equivalent van het gebruiken van een te lichte markeerstift bij het censureren van documenten, waardoor de onderliggende tekst nog te lezen is.

Toestemmingsvereiste

En daarmee zijn we terug bij de discussie die momenteel nog steeds in Brussel speelt: hoe privacygevoelig is pseudonieme data en moet voor de verwerking ervan toestemming worden gegeven? En is het mogelijk dergelijke grote datasets daadwerkelijk onherleidbaar te anonimiseren?

Gerelateerde vragen

Meer vragen »

Oudste boven ▾ Reacties

    • 0 +1
      maarten
      maarten op 27 oktober 2014 om 12:30 Meld misbruik

      En daarmee zijn we terug bij de discussie die momenteel nog steeds in Brussel speelt: hoe privacygevoelig is pseudonieme data en moet voor de verwerking ervan toestemming worden gegeven?

      Nee, daar zijn we dus niet bij terug. Heeft de auteur van deze bijdrage het artikel wel gelezen, dus ook de laatste alinea's waar het concept van 'differential privacy' wordt uitgelegd? Daar staat, ik citeer: So, we’re at a point now where we can agree this data should not have been released in its current form. But this data has been collected, and there is a lot of value in it – ask any urban planner. It would be a shame if it was withheld entirely.Met andere woorden, de discussie is geen ja/nee-kwestie. Het is, zoals altijd, ergens ertussenin: afdoende geanonimiseerd zodat individuen niet meer terug te vinden zijn, in ieder geval niet met de huidige nauwkeurigheid, maar wel dat er nog voldoende bruikbare gegevens overblijven.



      Maar helaas ken ik privacyvoorvechters goed genoeg om te weten dat hun enige stellingname in deze een glashard 'NEE!' is, oprecht nuttige informatie be damned.

      |
    • 0 +1
      R.J. T.
      R.J. T. op 27 oktober 2014 om 12:10 Meld misbruik

      Scherp opgemerkt Boaz!

      |
    • +1 +2
      Jachim Boaz
      Jachim Boaz op 27 oktober 2014 om 10:58 Meld misbruik

      De taxinummers bestaan uit zes cijfers, of zeven cijfers beginnend met '5'. Website Medium berekent dat er zo'n 22 miljoen mogelijke combinaties zijn.



      Dat is ofwel een typo ofwel wordt er verbazend slecht gerekend. Er zijn exact 1 miljoen 6-cijferige nummer met voorloopnullen (van 000000 t/m 999999) en door er een 5 voor te plakken ontstaat er nog een reeks van 1 miljoen getallen, oftewel 2 miljoen in totaal.

      Reactie gewijzigd op 27 oktober 2014 om 13:28 |
    • 0 +1
      Andreas Udo de Haes
      Andreas Udo de Haes op 27 oktober 2014 om 14:01 Meld misbruik

      Goed punt, artikel is aangepast. Het gaat om zowel taxinummers als licentienummers, en die laatste zijn een combi van letters en cijfers. In totaal 22 miljoen mogelijke combinaties, aldus Medium.

      |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview