Hoe het CBS en T-Mobile de privacy schonden

De coronapandemie levensgevaarlijk? Ja, dat mag zo zijn, ambtenaren bij statistiekbureaus in heel Europa zagen vorig jaar in de wereldwijde uitbraak ook een kans. Een unieke mogelijkheid om de hand te leggen op hypergevoelige locatiegegevens van mobiele bellers. Via hun telefoon is te zien waar zij zich gedurende de dag bevinden. „Toegang krijgen tot de data van telecomproviders… staat al een tijdje hoog op onze agenda”, schreef een ambtenaar van Europees statistiekbureau Eurostat in maart aan zijn nationale collega’s. „We hebben een unieke mogelijkheid om die toegang te krijgen, maar alleen als het lukt om snel resultaten te boeken, zodat ze gebruikt kunnen worden in de strijd tegen Covid-19.”

Als het coronavirus nog niet wijdverspreid is, kan het nuttig zijn de bewegingen van groepen mensen in kaart te brengen. In een persbericht uit mei vorig jaar gaf het ministerie van Economische Zaken het voorbeeld van een zaterdagmiddag waarop veel mensen uit Rijswijk naar Delft reizen. „Als er in één van de twee gemeenten nieuwe besmettingen worden gevonden, kan het RIVM de lokale GGD informeren dat dat ook in de andere gemeente zo zou kunnen zijn.”

In Nederland zou het Centraal Bureau voor de Statistiek (CBS) locatiedata van alle telecomproviders ontvangen en daar bewegingsstatistieken voor het RIVM van maken. Op verzoek van het RIVM werd hiervoor in mei vorig jaar een wetsvoorstel naar de Tweede Kamer gestuurd.

Dat plan werd begin april al fel bekritiseerd door de Autoriteit Persoonsgegevens (AP). De privacyrisico’s zouden groot zijn, zeker als een organisatie, zoals het CBS, over veel andere gegevens van burgers beschikt. „Wie weet waar iemand woont of werkt en die gegevens combineert met de ‘geanonimiseerde’ locatiegegevens van heel veel mensen, kan met die combinatie achterhalen wie bij welke locatiegegevens hoort. […] We moeten voorkomen dat we nu een surveillancemaatschappij optuigen waar we na de coronacrisis mee zitten opgescheept”, zei AP-voorzitter Aleid Wolfsen. Uiteindelijk stemde de Kamer niet in met de plannen.

CBS volgde al langer mensen

Het was dan ook opmerkelijk dat het CBS de bewegingen van grote groepen Nederlanders al vanaf 2017 – ver voor corona dus – bleek te hebben gevolgd. Op zijn website claimde het CBS met „zeer grote datasets” van T-Mobile te hebben gewerkt. Dit bedrijf is de tweede mobiele provider van Nederland en telde begin vorig jaar 5,6 miljoen mobiele klanten. Met die gegevens was gevolgd „waar personen gedurende de uren van de dag verblijven”. Dit inzicht zou belangrijk zijn op terreinen als mobiliteit – waar moet een carpoolstrook komen? – of veiligheid: welke gebieden moeten vanwege drukte worden afgesloten?

Hoe is dit mogelijk, als voor eenzelfde plan om corona te bestrijden al een controversiële spoedwet nodig was? Volgens een CBS-woordvoerder was de samenwerking met T-Mobile slechts „een pilot-project”, waarbij alleen met „geanonimiseerde” gegevens zou zijn gewerkt.

Desondanks reageerde privacywaakhond AP verbaasd tegenover NRC. De toezichthouder zou opgevraagde CBS-documenten gaan bekijken, maar in het najaar was dat vanwege „tijdgebrek” nog niet gebeurd. Daarop vroeg NRC met een beroep op de Wet Openbaarheid van Bestuur (WOB) zelf documenten op bij het statistiekbureau. Die geven een verontrustend inkijkje in de manier waarop het CBS en T-Mobile met de privacy van bellers omgingen. Zo verontrustend, dat het Agentschap Telecom (AT), bijgestaan door de Autoriteit Persoonsgegevens (AP), een onderzoek zijn begonnen naar privacyschendingen.

Algoritme op basis van locatiedata

Al in 2017 sluit het CBS een contract af met T-Mobile. Het statistiekbureau wil een algoritme ontwikkelen dat op basis van de locatiedata van één mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders kan meten. Eenzelfde algoritme is eerder gebouwd door de leverancier van mobiliteitsmetingen, Mezuro, op basis van anonieme Vodafone-data. Het CBS werkte enige tijd met Mezuro samen, maar ging over op een samenwerking met T-Mobile om zelf zo’n algoritme te ontwikkelen en mobiliteitsinformatie aan overheden te kunnen leveren. Volgens een ‘businessplan’ uit 2017 ziet het statistiekbureau zichzelf als „veilige haven voor gevoelige data”.

Het CBS aasde daarom niet alleen op telecomgegevens, maar ook op „data over betalingen” van banken. Er waren plannen voor de ‘verrijking’ van allerlei databestanden, wat privacywaakhond AP zo vreest. „Door gegevens te combineren, wordt het volledige potentieel van deze data benut”, schrijft het CBS. Door bijvoorbeeld te kijken „wie aan wie betaalt” kunnen ook financiële relaties „binnen huishoudens” in kaart worden gebracht in de strijd tegen „schuldenproblematiek”.

In het businessplan koppelt het statistiekbureau de motieven van privacybescherming, als ‘veilige haven’, aan de mogelijkheid geld te verdienen. „De directe waarde van deze cijfers … kan worden geschat in de orde van tientallen miljoenen per jaar.” In e-mailverkeer over de locatiedata van T-Mobile gaat het regelmatig over projecten die „betaald werk” en „opdrachten” voor het CBS kunnen opleveren.

Het CBS, decennialang gevestigd in een grijze kantoorkolos langs een snelweg bij Den Haag, noemt zichzelf tegenwoordig een ‘innovatieve kennisorganisatie’. De nieuwbouw in Den Haag kent een heuse newsroom, waar alle datastromen samenkomen. Als zelfstandig bestuursorgaan moet het CBS deels voor eigen inkomsten zorgen. Twee jaar geleden raakte het in opspraak, omdat het teveel klussen voor de neus van commerciële onderzoeksbureau’s zou wegkapen.

Deze keer claimt Mezuro slachtoffer te zijn. Dat leverde mobiliteitsinformatie aan overheden, maar zegt praktisch alle opdrachten te zijn verloren toen het CBS de indruk wekte dezelfde diensten, op basis van T-Mobile-data, goedkoper te kunnen leveren. T-Mobile leek juist te profiteren van de ondernemingsdrang bij het CBS. In het contract met het CBS staat dat T-Mobile „de methode voor het bepalen van locatiegegevens ook voor eigen doeleinden” mag gebruiken, „zowel tijdens als na de pilot”. Een lucratief algoritme dus, dat met overheidsgeld zou worden ontwikkeld. Ook vroeg T-Mobile het CBS om bezoekers van T-Mobile-winkels op basis van telecomdata in kaart te brengen.

Binnen T-Mobile zijn wel discussies over de vraag of het toegang bieden tot locatiedata van klanten, buiten hun medeweten om, niet tot reputatieschade kan leiden. Op 5 februari vorig jaar mailt een CBS-medewerker dat het telecombedrijf nog een jaar langer door wil met de samenwerking. De directie van T-Mobile laat het CBS weten dat communicatie hierover „uitgesloten” is. De pr-risico’s zouden te groot zijn. Voor zichzelf ziet het CBS dat probleem niet. „De data zijn zo privacygevoelig dat als er één partij vertrouwd kan worden om dit te analyseren … dan is dat het CBS”, aldus het businessplan.

Zorgvuldigheid

Maakt het statistiekbureau deze zorgvuldigheid waar? In het contract tussen beide partijen benadrukt T-Mobile dat het alleen „geanonimiseerde” gegevens beschikbaar stelt die „nimmer tot individuele personen herleidbaar zijn”. Maar voor de ontwikkeling van het algoritme zijn data van niet-anonieme bellers nodig. Uit e-mailverkeer blijkt dan ook dat CBS-medewerkers vanaf januari 2018 laptops van T-Mobile krijgen om in het T-Mobile-gebouw in Den Haag met niet-geanonimiseerde locatiedata te werken. In tegenstelling tot de beweringen van het CBS hadden ze daarbij geen „beperkte”, maar juist „volledige toegang”’, zo staat in het projectplan Fast population statistics based on mobile phone data.

Dat betekent toegang tot de locatiegegevens van miljoenen T-Mobile-klanten. De omvang van de databestanden levert zelfs verwerkingsproblemen op. „Het enige wat ons tegenvalt is dat we over meer en nauwkeurige data kunnen beschikken dan ooit”, schrijft een CBS-medewerker over het verschil ten opzichte van de samenwerking met Mezuro en Vodafone, dat wel alleen geanonimiseerde data leverde.

Tijdens overleg met het Agentschap Telecom verzwijgen het CBS en T-Mobile volgens de toezichthouder de directe toegang tot de telecomdata via laptops bij de provider.

Beide partijen zeggen nu tegen NRC dat de CBS’ers ter plekke alleen bij gepseudonomiseerde data konden. Pseudonimisering betekent dat de unieke IMSI-nummers van mobiele toestellen zijn vervangen door andere nummers. Maar deze data gelden nog steeds als herleidbare gegevens. Als je van iemand weet waar die persoon is geweest, zou je in de data kunnen zoeken naar een telefoon die hetzelfde traject heeft afgelegd om zo de link tussen persoon en telefoon te leggen. Vanaf dat moment zou iemand gevolgd kunnen worden.

Onlangs bleek dat zelfs eenvoudige persoonsgegevens als namen en adressen werden verkocht door GGD-medewerkers. Criminelen gebruiken dit soort informatie om het vertrouwen van mensen te winnen en ze vervolgens geld afhandig te maken. Locatiegegevens zijn vele malen privacygevoeliger, omdat je iemand „de hele dag kunt volgen”, zo schrijven de toezichthouders AT en AP in een toelichting.

E-mailverkeer wijst er bovendien op dat de CBS-medewerkers ook met direct herleidbare gegevens werkten. In maart vorig jaar bespreken CBS-medewerkers via WhatsApp dat ze „IMSI’s” uit privacy-overwegingen moeten gaan „anonimiseren”. Dit duidt er op dat ze dat eerder niet deden.

Ook communicatie over het werken met herleidbare data zou door T-Mobile verboden zijn. „In alle communicatie en output vanuit het CBS over dit onderwerp benadrukken we dat het om geaggregeerde/anonieme data gaat. Dit is voor T-Mobile heel erg belangrijk. De visualisatie van simkaart locatiedata aan een breder publiek sluit hier niet bij aan”, aldus een e-mail.

Pas in het voorjaar van 2019 komt het binnen het CBS tot een discussie over de vraag of het statistiekbureau zich wel aan de privacywetgeving houdt. Het CBS hoopt dan ook locatiedata van KPN te ontvangen. „Daarbij maak ik mij toch wat zorgen. … Kunnen wij die anonimiteit claimen?”, vraagt een hoge CBS-medewerker zich af. Op advies van een „hoogleraar in Leiden” wordt dan voorgesteld net te doen alsof het CBS op verzoek van T-Mobile de locatiedata anonimiseert. Voor de uitvoering van zijn taken, voor bijvoorbeeld facturatie, mag de telecomprovider andere bedrijven toegang geven tot relevante data. De CBS-jurist gaat voor deze misleidende voorstelling van zaken liggen. „Wij doen niets in opdracht of op verzoek van de operator. Volgens de jurist kan dit niet, „gezien de onafhankelijkheid van het CBS”.

Experts: onrechtmatig

Tijmen Wisman, expert gegevensbeschermingsrecht aan de Vrije Universiteit in Amsterdam, denkt dat de samenwerking tussen het CBS en T-Mobile de telecomprovider op een „flinke boete” kan komen te staan. Dat beide partijen claimen dat het slechts om een pilot-project ging, vindt hij misleidend. „Deze pilot heeft jaren geduurd, gaf toegang tot de locatiegegevens van miljoenen Nederlanders en was bedoeld om een concreet product, het algoritme, te ontwikkelen. Bovendien sta je ook tijdens een pilot niet boven de wet.”

Ook Joris van Hoboken, hoogleraar rechten aan de Vrije Universiteit Brussel, reageert kritisch: „Alles was erop gericht om hier geen ruchtbaarheid aan te geven, zodat deze samenwerking niet zou worden gestopt. Want nog los van het probleem dat hier onwettig wordt gehandeld, zou het grote publiek hier natuurlijk totaal niet van gediend zijn. Mensen hebben een mobieltje voor hun persoonlijke communicatie en niet om op grote schaal analyses van zich te laten maken.”

Omdat het T-Mobile-gebouw in maart vorig jaar werd gesloten vanwege corona, hoopte het CBS de gevoelige data dan maar via een beveiligde verbinding naar het statistiekbureau te leiden. De laptops van T-Mobile, die het gebouw eerst niet uit mochten, zouden dan per koerier worden verzonden. „Als de VPN beschikbaar is (en de laptops per koerier zijn gestuurd) kunnen we doorgaan met werk dat van belang kan zijn voor de huidige crisis … Never waste a good crisis”, schrijft een CBS-medewerker op 16 maart 2020.

Geschrokken van de plannen om de coronapandemie met locatiedata te bestrijden, trapt de AP op de rem. De privacywaakhond is dan zeer kritisch over het gebruik van geanonimiseerde gegevens, terwijl het CBS jarenlang toegang had tot alleen gepseudonimiseerde persoonsgegevens. Vanwege de kritische houding van de privacywaakhond stopt T-Mobile de samenwerking met het CBS per 1 april.

Tijdens een hoorzitting in de Tweede Kamer – over het leveren van locatiedata om corona te bestrijden – presenteerde T-Mobile zich afgelopen oktober als het braafste jongetje van de klas. „T-Mobile is in staat een geanonimiseerde dataset te leveren”, zei juridisch directeur Margreet Hoekstra. „Maar wie garandeert dat deze gegevens niet door nieuwe technieken, of door het combineren met veel databronnen, alsnog herleidbaar zijn? In zo’n geval liggen de persoonsgegevens van onze klanten alsnog op straat” In een schriftelijke verklaring bepleitte het bedrijf zelfs een „verbod” op „commerciële activiteiten door RIVM en/of CBS” op basis van telecomdata.

Uiteindelijk zou het maar de vraag zijn geweest of het CBS er in was geslaagd om met nuttige data te komen in de strijd tegen corona. In juni 2020 concludeert een CBS-medewerker dat de geolocatie, het hart van de techniek, nog altijd „erg slecht” is. Ter bestrijding van corona bood Mezuro haar technologie in maart vorig jaar al aan bij het CBS en het kabinet. De overheid sloeg dit aanbod af.

Lees meer op nrc.nl