T-Mobile deelde herleidbare locatiegegevens met CBS voor bouwen van algoritme

T-Mobile heeft jarenlang gebruikersgegevens gedeeld met het Centraal Bureau voor de Statistiek. Het gaat om niet-anonieme, herleidbare gegevens. Onder andere de locatiegegevens werden gebruikt om een algoritme te bouwen waarmee mensenstromen in kaart werden gebracht.

Het CBS sloot al in 2017 een contract af met T-Mobile voor het delen van de gegevens, schrijft NRC op basis van documenten die het opvroeg via de Wet openbaarheid van bestuur. In dat contract staat dat T-Mobile geanonimiseerde locatiegegevens van gebruikers zou mogen doorgeven aan het CBS. Dat wilde daarmee een algoritme maken om te kijken hoe Nederlanders zich verplaatsen in grote groepen. Later werd het plan uitgebreid om ook andere gegevens te verzamelen, waaronder betaaldata, maar het is niet duidelijk of die gegevens ook daadwerkelijk zijn gebruikt. Het CBS wilde met het algoritme ook geld verdienen. Dat is nodig, omdat het instituut weliswaar aan de overheid is gelieerd maar tegelijkertijd ook zelfstandig deels voor zijn eigen budget moet zorgen.

Volgens het contract zou ook T-Mobile gebruik mogen maken van het algoritme. De provider zou daarmee onder andere bezoekersstromen in zijn eigen winkels in kaart willen brengen.

Aanvankelijk zou het alleen gaan om geanonimiseerde data. Maar op een later moment binnen het pilotproject zou de samenwerking zijn overgegaan naar data die wél herleidbaar was tot de persoon. Vanaf januari 2018 mochten CBS-medewerkers met laptops fysiek in het gebouw van T-Mobile werken met de data. Daarbij zou 'volledige toegang' mogelijk zijn, blijkt uit de documenten die NRC las. Er zou zelfs zoveel data beschikbaar zijn dat de werknemers klaagden dat het moeilijk was die allemaal te kunnen verwerken.

Tegen NRC zeggen het CBS en T-Mobile dat het gaat om gepseudonimiseerde gegevens. Daarbij werden imei-nummers vervangen door een andere identifier. Wel zouden er een tijd lang imsi-gegevens te zien zijn die niet gepseudonimiseerd of geanonimiseerd waren.

Het werk met de locatiegegevens gingen door tot zeker het begin van de coronacrisis. Toen kwamen verschillende overheden met het plan om locatiegegevens van telecomproviders te gebruiken om mensenmassa's te volgen. De Autoriteit Persoonsgegevens zei toen dat dat niet zomaar mocht. Daarop besloten het CBS en T-Mobile de samenwerking op 1 april 2020 stop te zetten.

Gebruikers werden niet op de hoogte gehouden van de plannen. Wel werd de samenwerking besproken met de toezichthouders, maar daarbij werd niet verteld dat er toegang was tot niet-anonieme gegevens. Het Agentschap Telecom gaat volgens NRC nu onderzoek doen naar het datadelen. De Autoriteit Persoonsgegevens helpt daarbij.

IT-banen

Reacties (191)

Waltah 11 maart 2021 08:32

Dus als ik het goed begrijp ben je bij T-Mobile twee keer het product? Eén keer als klant die netjes iedere maand een x-bedrag overmaakt en de andere als een dataspeelbal waarbij je gegevens ongevraagd doorverkocht gaan worden. Hoe ga je je als bedrijf hier uitlullen?

kodak

Privacy

@Waltah • 11 maart 2021 09:56

Tmobile heeft een reactie gegeven via hun online community:
https://community.t-mobil...ostid=1603406#post1603406

Ze ontkennen bepaalde zaken maar dat lijkt meer op een woordenspel dan duidelijk zijn waar wel toegang toe was. Het maakt al helemaal niet duidelijk waaruit blijkt dat hier geen toestemming van klanten voor nodig was of waarom dit prima was om te proberen om geld mee te kunnen verdienen.

BoB_HenK @kodak • 11 maart 2021 10:39

De T-Mobile medewerker die deze reactie heeft geschreven, weet overduidelijk niet waar hij/zij het over heeft. Gepseudonimiseerde gegevens zijn voor de GDPR/AVG namelijk nog altijd persoonsgegevens, dus er wordt impliciet gewoon toegegeven dat men inzicht in persoonsgegevens heeft verstrekt

MSalters @BoB_HenK • 11 maart 2021 15:43

Pseudonimisering alleen is vaak onvoldoende, ja. Maar als ik het lees is pseudonimisering toegepast in combinatie met aggregatie. Dan wordt het lastig om te beoordelen. Is die combinatie van maatregelen voldoende om te zorgen dat de geaggregeerde gegevens niet meer terug geleid kunnen worden tot individuen?

J_van_Ekris @MSalters • 11 maart 2021 15:51

In combinatie met locatiegegevens is het altijd lastig. Je kunt met trucs nog wel locatiegegevens ontdoen van de huislocatie, maar de vraag is of dat voldoende is.

BoB_HenK @MSalters • 11 maart 2021 16:02

Maakt niet uit. De wet geeft aan dat gepseudonimiseerde gegevens nog altijd persoonsgegevens zijn. Het verstrekken van deze gegevens wordt iets beter geacht dan het helemaal niet pseudonimiseren, maar nog steeds in overtreding van de wet.

Aggegreren is daarbij een vorm van processing, dus je verwerkt nog altijd persoonsgegevens. Of ze daarmee niet of nauwelijks herleidbaar zijn doet niets aan dat gegeven af.

M3m30 @BoB_HenK • 11 maart 2021 11:12

Klopt, doordat zo te melden is er alleen maar meer bewijs dat ze de wetten overtraden.

iew @BoB_HenK • 12 maart 2021 02:03

Ach alsof het wat uit maakt dat dit boven water is gekomen, ze komen er op één of andere manier toch wel mee weg, zal wel weer een tikje op de vingers en een boete worden.
Maar onderhand vliegen de berichten over lekken en hacks je om de oren tegenwoordig.
Echte keiharde consequenties zitten er nooit aan vast, de bedrijven worden nooit geroyeerd en kunnen gewoon blijven bestaan en daarna gebeurt het gewoon nogmaals.
Kijk maar naar FB, boete op boete maar verder veranderd er weinig.
Zo gaat het telkens overal, en ondertussen buitelen mensen op fora of websites zoals deze over elkaar heen om er schande van te spreken en in welles/nietes discussies, alles word kapot gerationaliseerd.

dutchminator @kodak • 11 maart 2021 12:05

Ik krijg hem in geen enkele browser open door een ingetrokken certificaat. Beetje off-topic, maar ik wil dit wel lezen! Is er ergens een kopie te vinden?

Tsurany @dutchminator • 11 maart 2021 12:23

David - T-Mobile Moderator

Hi allemaal,

Naar aanleiding van de vragen hier nog een aangevulde reactie ten opzichte van de vorige om meer duidelijkheid te verschaffen over dit nieuws.

Vanaf september 2017 tot en met december 2019 heeft T-Mobile meegewerkt aan een CBS pilot project naar de problemen die grote steden ervaren door plots toenemende drukte in de stad. Deze toename heeft onder andere impact op mobiliteit, veiligheid, rampenbestrijding en toerisme in de betreffende stad. De overheid wilde daar beter inzicht in hebben.

Uit eerder onderzoek van het CBS, met andere marktpartijen, bleek dat geanonimiseerde mobiele telefoondata een veelbelovende bron waren. In het belang van de bescherming van privacy van klanten, ging het hier niet om individuele persoonsgegevens maar om geanonimiseerde en geaggregeerde bewegingspatronen die het mogelijk maakt te tellen hoeveel apparaten (altijd met een minimum aantal van 15) zich op een bepaald moment binnen het bereik van een bepaalde zendmast bevonden.

Het is dus apert onjuist dat het CBS toegang had tot individuele persoonsgegevens en inzicht heeft verkregen in wie met wie in contact zou zijn geweest in welke vorm dan ook.

In dit onderzoek zijn de geanonimiseerde en geaggregeerde netwerkdata exclusief en zonder daar vergoeding voor te ontvangen met het CBS gedeeld. T-Mobile onderstreept het belang van de CBS-onderzoeken, voor de bevordering van de leefbaarheid in Nederland en heeft daarom meegewerkt.

Er zijn destijds duidelijke afspraken gemaakt met het CBS over de door T-Mobile beschikbaar gestelde data. Zo hadden CBS-medewerkers, onder hele strikte voorwaarden en na het nemen van de nodige beveiligingsmaatregelen, alleen toegang gekregen tot een set gepseudonimiseerde gegevens onder toezicht en verantwoordelijkheid van T-Mobile. De medewerkers hadden alleen toegang via een T-Mobile versleutelde laptop tot de specifieke dataset voor deze pilot. De set geaggregeerde en gepseudonimiseerde gegevens hebben zodoende de digitale en beveiligde IT infrastructuur van T-Mobile nooit verlaten. De pilot is stopgezet eind 2019.

wankel @dutchminator • 11 maart 2021 14:31

In zo'n geval kan archive.org je vaak helpen. Begin met typen: web.archive.org/, en plak de URL naar keuze erachter.
Bijkomend voordeel: als T-Mobile zich bedenkt, staat het oorspronkelijke bericht daar nog.

dutchnltweaker @kodak • 11 maart 2021 11:25

https://community.t-mobil...ostid=1603433#post1603433

Staat dus ook nergens 1 woord gerept over het CBS of data afstaan voor statistieken in de voorwaarden of privacy voorwaarden. Schandalig eigenlijk.

[Reactie gewijzigd door dutchnltweaker op 22 juli 2024 17:53]

swhnld

@Waltah • 11 maart 2021 10:54

CBS betaald niet voor deze data, dus T-Mobile verdient er niet aan. Uitkomst van de data heeft wel impact op dekking van het mobiele netwerk waar klanten blij van worden, en dus meer klanten op kan leveren voor T-Mobile.

M3m30 @swhnld • 11 maart 2021 11:14

Ware het niet dat t-mobile zelfs voor een verbod op deze samenwerking pleitte vorig jaar in de kamer... want toen wilde het rivm deze data hebben tbv Corona pandemie.
Hoe hypocrieter wil je het hebben...

swhnld

@M3m30 • 11 maart 2021 11:35

Je vergelijkt appels en peren, beide zijn fruit, of in dit geval beide zijn data delen, maar met andere eigenschappen.

RIVM wilde specifiek persoonlijk herleidbare data hebben om besmettingen te kunnen herleiden en mensen in quarantaine te kunnen zetten om Covid besmettingen in te dammen.
Dat is heel iets anders dan verkeer monitoren waar wanneer drukte ontstaat op het mobiele netwerk.

M3m30 @swhnld • 11 maart 2021 11:51

T-Mobile gaf locatiedata aan CBS... sterker nog... laptops waardoor het CBS de klantdata zoals locatiegegevens kon blijven inzien.
CBS had ook toegang tot herleidbare data...

bbstreams @swhnld • 11 maart 2021 12:48

dat gebeurd altijd, indirect, de overheid heeft data nodig, dus gaat geld steken in zaken waar ze gemakkelijk kunnen dataharken, daarom moet toegang tot hardware en software ook zo snel mogelijk zo diep mogelijk versleuteld worden met sterke encryptie protocollen, zodat alleen de eindgebruiker inzage heeft en toestemming kan geven en bij intrekken de data gewist of weer versleuteld wordt.

Ynst2003 @Waltah • 11 maart 2021 09:22

niet om het goed te praten, maar ik denk dat het tegenwoordig het geval is bij >80% van alle (tech-)bedrijven

Memori @Waltah • 11 maart 2021 11:04

Ik ben hier als klant van T-Mobile ook niet blij mee. Eigenlijk reden genoeg om naar een andere te gaan ware het niet dat ik voor maar €7,50 een €20 abbonnement mag afnemen nadat T-mobile mij voor >€2000 aan "onbeperkt tegoed" hadden opgelicht.

Baserk @Waltah • 11 maart 2021 13:25

Oh, gewoon je NSB-maskertje opzetten en dan keihard liegen.

Tijdens een hoorzitting in de Tweede Kamer - over het leveren van locatiedata om corona te bestrijden - presenteerde T-Mobile zich afgelopen oktober als het braafste jongetje van de klas. „T-Mobile is in staat een geanonimiseerde dataset te leveren”, zei juridisch directeur Margreet Hoekstra. „Maar wie garandeert dat deze gegevens niet door nieuwe technieken, of door het combineren met veel databronnen, alsnog herleidbaar zijn? In zo’n geval liggen de persoonsgegevens van onze klanten alsnog op straat” In een schriftelijke verklaring bepleitte het bedrijf zelfs een „verbod” op „commerciële activiteiten door RIVM en/of CBS” op basis van telecomdata.

https://www.nrc.nl/nieuws...-privacy-schendt-a4035030

R4gnax

Privacy

@Baserk • 11 maart 2021 16:08

Dat heet nou in goed Nederlands: "Links lullen, rechts vullen"

Cihan1988 @Waltah • 11 maart 2021 12:48

Niet. Ze gaan de boel tog al verkopen. Alles wat ze kunnen pakken is mooi megenomen toch?

Giel1 11 maart 2021 10:43

Even om de zaak in perspectief te plaatsen: een jaar of 10 geleden heeft het kabinet Rutte-II flink bezuinigd op het bedrag dat het CBS ieder jaar van het ministerie van EZK kreeg. Dat betekende dat een aantal reguliere statistieken op dat moment niet meer uitgevoerd konden worden omdat er simpelweg geen budget voor beschikbaar was. Om toch aan de (toenemende) vraag van ministeries/gemeenten/provincies etc. te kunnen voldoen is het deel aan 'additionele' statistieken, waarvoor deze instanties dus een extra bedrag moeten betalen, flink uitgebreid. De afgelopen jaren is dat deel aanzienlijk gegroeid en haalt het CBS dus steeds meer van haar inkomsten uit dit soort projecten. Wel is men in de afgelopen tijd wat voorzichtiger geworden met het samenwerken/werken voor commerciële partijen, nadat een aantal marktonderzoekbureaus klachten hadden ingediend dat het CBS hun in de weg zou zitten. Ergo, het CBS heeft helemaal niet als doel om geld te verdienen, maar het moet natuurlijk wel betaald worden voor haar diensten om de onderzoekers te kunnen betalen. Jouw data zullen dus nooit zomaar worden 'verkocht', alleen (onder strikte voorwaarden) ter beschikking gesteld aan bv. andere onderzoeksinstituten en universiteiten.

Verder verwerkt het CBS al sinds jaar en dag zo'n álle gegevens van burgers die je maar kunt bedenken. Ze weten alles van je. Gegevens uit het BRP, Belastingdienstgegevens, hypotheken, vermogen et. etc. Zonder die gegevens kan de overheid nooit fatsoenlijk beleid maken omdat het dan geen idee zou hebben waarop te sturen, daarom is die taak van het CBS ook wettelijk vastgelegd. Bij al die bronnen hebben veel mensen ook totaal geen idee dat het CBS daar allemaal toegang tot heeft. Ik snap de verontwaardiging onder veel Tweakers hierover dan ook niet zo goed, als er één overheidsorganisatie heeft bewezen om te kunnen gaan met privacy-gevoelige data dan is het het CBS wel.

Wel ben ik het er mee eens dat het CBS het meteen bij T-Mobile had moeten aangeven toen zij zagen dat het niet ging om geheel geanonimiseerde gegevens (wat T-Mobile stelt, maar door het CBS wordt tegengesproken). Maar verder vind ik deze 'ontdekking' van het NRC wel een hoog 'storm-in-een-glas-water'-gehalte hebben.

[Reactie gewijzigd door Giel1 op 22 juli 2024 17:53]

kodak

Privacy

@Giel1 • 11 maart 2021 11:23

Verder verwerkt het CBS al sinds jaar en dag zo'n alle álle gegevens van burgers die je maar kunt bedenken.

Dat lijkt niet te kloppen. Anders hadden ze namelijk geen inzicht nodig bij tmobile. CBS ontvangt veel gegevens die gaan over mensen en bedrijven maar het is geen archief waar alle persoonlijke gegevens van iedereen worden opgeslagen of verwerkt.

Giel1 @kodak • 11 maart 2021 11:34

Heb je helemaal gelijk in, bedoelde alleen maar te zeggen dat ze over zo'n schat aan informatie beschikken. Maar natuurlijk is dat niet uitputtend.

Tsurany @Giel1 • 11 maart 2021 12:27

Een deel van de informatie die het CBS verwerkt komt bij de overheid zelf vandaan, dat is informatie die vastgelegd wordt om het goed functioneren van de overheid te garanderen en om beleid op te maken.

Echter zodra daar informatie bij komt over mijn exacte locatie, met wie ik contact heb en wanneer ik waar ben geweest dan gaat het mij te ver. Dat is data die de overheid, of welke andere instelling dan ook, niet zou moeten hebben over burgers ongeacht of het kan helpen bij het formuleren van beleid of niet. Ik, en vele anderen met mij gezien de verontwaardiging, zien liever een ineffectievere overheid dan een overheid die exact weet wat je aan het doen bent op welk moment.

andreas_f 11 maart 2021 08:07

Wanneer begrijpen mensen nu eens dat de dataverzamelaars niet luisteren met een zachte aanpak.Het data verzamelen kan door alle bedrijven gedaan worden, en achteraf wordt dan gezegd dat het niet mag, door iets van een autoriteit zonder tanden, maar dan is het kwaad al lang en breed gedaan. En het probleem met digitaal is dat het voor altijd ergens blijft bestaan, in backups, in een testopstelling, bij een ontwikkelaar of DBA op zijn laptop. Data die verzameld is, daarvan kan ook nooit gechecked worden of het ook daadwerkelijk verwijderd is. Het wordt tijd dat er apparatuur/infrastructuur, of een nieuw soort internet komt waarbij je je eigen privacy goed kan regelen in een systeem dat jouw eigen data geld waard is, maar dan voor jezelf, en dat je zelf de keus maakt of je je data verkoopt, verhuurt, of weggeeft.

fapkonijntje @andreas_f • 11 maart 2021 08:33

Dat dit niet goed is twijfel ik geen seconde over... Maar ik heb niet het vermoeden dat men hier kwaad in de zin had, meer dat iemand ergens een forse fout heeft gemaakt met het rationaliseren van deze handel en dat het technisch niet goed op orde was.

Dat ze voor deze fouten flink aangepakt mogen worden vind in ook, maar er werken wel gewoon mensen en mensen maken (denk)fouten. Hoeveel marge geef je voor een foutje en hoe hard wil je optreden? Ik vind dat een lastige grens om zomaar te leggen.

PizZa_CalZone @fapkonijntje • 11 maart 2021 08:40

Het feit dat ze uberhaupt erover nadenken om klantgegevens te verstrekken is achterlijk. Human error of niet, wel of niet herleidbare info... etc. Het had gewoon wat mij betreft nooit gedeeld mogen worden.

K-aroq @PizZa_CalZone • 11 maart 2021 09:09

Dus eigenlijk zeg je dat we het CBS moeten opheffen en dat er voortaan beleid moet worden gemaakt zonder onderbouwing met cijfers. Wat T-Mobile nu heeft gedaan gaat uiteraar (te) ver. Maar alle andere input voor het CBS wordt ook op basis van klant- en persoonsgegevens bepaald. Hoe moet de overheid bijvoorbeeld belastingtarieven gaan vaststellen als niet bekend is wat de lonen zijn die in Nederland worden betaald? Hoe ga je de zorg inrichten als de gegevens over wat voor behandelingen worden gedaan niet mogen worden gedeeld (en je hebt meer nodig dan bijvoorbeeld alleen het aantal botbreuken, je wilt ook weten bij welke mensen het voorkomt en waar zij - ongeveer - wonen). Niet meer verstrekken en delen van dit soort gegevens gaat een gigantische impact hebben. Tenzij jij een fantastisch alternatief weet.

J_van_Ekris @K-aroq • 11 maart 2021 09:47

Hoe moet de overheid bijvoorbeeld belastingtarieven gaan vaststellen als niet bekend is wat de lonen zijn die in Nederland worden betaald? Hoe ga je de zorg inrichten als de gegevens over wat voor behandelingen worden gedaan niet mogen worden gedeeld (en je hebt meer nodig dan bijvoorbeeld alleen het aantal botbreuken, je wilt ook weten bij welke mensen het voorkomt en waar zij - ongeveer - wonen). Niet meer verstrekken en delen van dit soort gegevens gaat een gigantische impact hebben. Tenzij jij een fantastisch alternatief weet.

Ik deel jouw idee dat dit soort data vitaal zijn voor beleid van de overheid. Maar, waarom mag zo'n enorm datawarehouse commerciele motieven ontwikkelen? Als je er bent voor de rijksoverheid, met extreem verregaande wettelijke bevoegdheden om data te verzamelen, dan mag je ook alleen die broodheer dienen.

En dan nog, data minimaliseren indien mogelijk. Anonimisering en pseudonimisering zijn best goed ontwikkelde vakgebieden, dus er kan meer dan een enorm datawarehouse dat alles weet van elke Nederlander in plaintext zonder analyse onmogelijk te maken. Ik weet niet wat men normaal doet bij het CBS, maar als je zo'n positie hebt komt die met verantwoordelijkheden en dan mag ik toch ook aannemen dat je structureel beleid voert op dit onderwerp.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 17:53]

Omni superens @J_van_Ekris • 11 maart 2021 11:37

ls je er bent voor de rijksoverheid, met extreem verregaande wettelijke bevoegdheden om data te verzamelen, dan mag je ook alleen die broodheer dienen.

In principe mee eens. Maar het wordt wel lastig als je broodheer op je bezuinigt.

https://www.cbs.nl/nl-nl/...ken-bezuinigingen-bij-cbs

Jan-Will3m @K-aroq • 11 maart 2021 09:50

Het CBS heeft dit NIET gedaan om het overheids beleid te steunen. Het CBS heeft dit gedaan om geld te verdienen. Mijn alternatief is dus dat het CBS niet commercieel mag zijn. Ze worden tenslotte betaald uit de belasting geld.

GreatDictator @Jan-Will3m • 11 maart 2021 10:24

Volgende week heb je weer de kans om op partijen te stemmen die minder dol op bezuinigingen zijn. De afgelopen twintig jaar heeft de meerderheid van de Nederlanders helaas anders besloten.

J_van_Ekris @Jan-Will3m • 11 maart 2021 12:27

Mee eens: het punt is, net als het Kadaster of RDW, dat het ondernemen van commerciele activiteiten een perverse prikkel in de organisatie inbrengt terwijl je als burger geen keus hebt. Het is eigenlijk van de zotte dat bepaalde informatie zomaar bevraagd kan worden als je bereid bent te betalen.

WouterL @K-aroq • 11 maart 2021 09:15

De wet kent een uitzonderingsbepaling voor data gebruik voor zuiver statistische en analytische aard (dan is er standaard sprake van verenigbaarheid met het oorspronkelijke verzameldoel). Ik denk dat hier vooral het economisch belang van het CBS wringt, alsmede het ontbreken van een waarschijnlijke noodzaak voor het niet-anoniem verstrekken. Kun je ook onderzoeksresultaten vergaren met de anonieme set? Dan is anoniem aanleveren verplicht.

[Reactie gewijzigd door WouterL op 22 juli 2024 17:53]

J_van_Ekris @WouterL • 11 maart 2021 12:24

Niet alleen dat. Het probleem is dat het CBS een wettelijke verankerde positie kent en organisaties soms wettelijk verplicht zijn om gegevens te verstrekken. Daarmee creeer je een bepaalde positie die ook verantwoordelijkheden schept. Die wetgeving, en dus de grondslag van verzameling, is ooit gemaakt met de gedachte dat je als rijksoverheid beleid wilt toetsen.

De uitzondering voor wetenschappelijk en statistisch onderzoek (UAVG 24) is volgens mij hier gewoon niet van toepassing:

Artikel 24. Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden
Gelet op artikel 9, tweede lid, onderdeel j, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:
de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening;
het onderzoek, bedoeld in onderdeel a, een algemeen belang dient;
het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en
bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.[\li]

Aan lid b wordt niet voldaan (want hier gaat het om het commerciele belang van het CBS, niet om het algemene belang van Nederland). En lid d is natuurlijk een kansloze discussie.

WouterL @J_van_Ekris • 11 maart 2021 12:45

Je slaat inderdaad de spijker op zijn kop

Nu is het wat betreft het CBS af en toe niet heel zwart-wit wat voor rol ze per onderzoek nu precies vervullen, dat zal in de praktijk wel verschillen. Soms overduidelijk in opdracht van, dan weer op eigen initiatief. Verwerkingsverantwoordelijkheid is misschien wel het grootste juridische containerbegrip die er is.

Overigens kun je een economisch belang hebben naast een algemeen belang. Dat hoeft elkaar niet altijd te bijten.

[Reactie gewijzigd door WouterL op 22 juli 2024 17:53]

J_van_Ekris @WouterL • 11 maart 2021 12:51

Nu is het wat betreft het CBS af en toe niet heel zwart-wit wat voor rol ze per onderzoek nu precies vervullen, dat zal in de praktijk wel verschillen. Soms overduidelijk in opdracht van, dan weer op eigen initiatief.

Reden te meer om er heel helder in te zijn met wat voor motief je handelt.

PizZa_CalZone @K-aroq • 11 maart 2021 10:02

Ik weet niet hoe we het vroeger deden? Volgens mij werkte het toen ook en was het delen van locatiegegevens niet nodig. Maar ik ben van mening dat wanneer je, je eigen gegevens deelt met een bedrijf, dat ze hier vervolgens vertrouwelijk mee om moeten gaan. Mocht het nodig zijn dat het CBS mijn data moet hebben, dan moet T-Mobile eerst aan mij vragen of ik dit wil afgeven.

Ynst2003 @PizZa_CalZone • 11 maart 2021 08:53

ik denk dat dat tegenwoordig wel het probleem is. Erg naïef en goedgelovig.

- Gerust gesteld worden met 'data wordt anoniem opgeslagen'
- Gerust gesteld worden met 'voor uw en onze veiligheid'
- Niet snappen dat geanonimiseerde datasets gemakkelijk met andere gekochte datasets niet-anoniem gemaakt kunnen worden (had hier weinig uitgemaakt omdat het in dit geval ging over niet-anonieme data)
- 'Ja, maar het heeft voordeel / kan voordeel opleveren voor de klant'.
- De tegenpartij zal nooit van hun afspraak afwijken om de data niet verder te verkopen / delen / analyseren

[Reactie gewijzigd door Ynst2003 op 22 juli 2024 17:53]

iAR @Ynst2003 • 11 maart 2021 09:47

Maar ook: mensen hebben geen idee hoe data werkt. Wat koop je dan, en hoe kun je met meerdere anonieme sets toch minder anoniem worden. Hoe en welke info trekt Facebook allemaal uit je posts? Hoe kan iets onschuldigs heel veel over je zelf vertellen.

Nadat ik Je hebt wel iets te verbergen had gelezen had ik eigenlijk alleen nog maar meer vragen. En is de data industrie niet net zo ingewikkeld als onze financiële industrie?

Gladiator5 @fapkonijntje • 11 maart 2021 08:48

Gewoon heel simpel, geen data van mij opslaan. Nooit heb ik toestemming gegeven om bij locatiedata door te laten sturen. Die daarna weer worden gelekt of worden gehackt, want Nederland en overheidsinstanties hebben al zo goed een ict op order. weer voor de zogenaamde statistieken?

Ja mensen maken fouten, maar ik ben er persoonlijk klaar mee, dat zo'n fout onder ''oepsie, we zullen het niet meer doen word'' geschoven.

Als ik iets fout word ik meteen op de bon geslingerd, en deze personen en of bedrijven hebben gewoon complete schijt aan de maatschappij, en krijgen als bedankje nog zo goed als vrijspel

Kraay89

@Gladiator5 • 11 maart 2021 08:54

Waarschijnlijk heb je daar wel toestemming voor gegeven, middels de algemene voorwaarden, gebruiksvoorwaarden of welke voorwaarden je dan ook geaccepteerd hebt bij het aangaan van een contract met t-mobile.

R4gnax

Privacy

@Kraay89 • 11 maart 2021 09:07

Waarschijnlijk heb je daar wel toestemming voor gegeven, middels de algemene voorwaarden, gebruiksvoorwaarden of welke voorwaarden je dan ook geaccepteerd hebt bij het aangaan van een contract met t-mobile.

Onder de AVG/GDPR moet toestemming voor de verwerking van persoonsgegevens expliciet en losgesteld gegeven worden. Deze kan niet gegeven worden als onderdeel van het accepteren van een bredere set algemene voorwaarden.

J_van_Ekris @R4gnax • 11 maart 2021 09:23

Onder de AVG/GDPR moet toestemming voor de verwerking van persoonsgegevens expliciet en losgesteld gegeven worden. Deze kan niet gegeven worden als onderdeel van het accepteren van een bredere set algemene voorwaarden.

Toestemming voor de verwerking is slechts een van de vele grondslagen. Je hoeft zeker niet over toestemming voor te hebben/geven. Ook is er een uitzondering voor wetenschappelijk en statistisch onderzoek (Artikel 24 UAVG): je mag gegevens die je rechtmatig verwerkt hergebruiken voor verdere statistische doeleinden (dat is de S in CBS zeg maar). Je huurt als T-Mobile vervolgens het CBS in als (sub-)verwerker en je bent klaar.

Immers: een T-Mobile mag zelf statistische analyse doen op belgedrag om bijvoorbeeld producten beter te maken. Dit ontslaat ze niet van het anonimiseren van hun gegevens, waar ze in 2013 al eens door het CBP op zijn aangesproken (zie https://autoriteitpersoon...lyse-aan-na-onderzoek-cbp).

amigob2 @J_van_Ekris • 11 maart 2021 10:27

Het probleem met locatie data is dat het heel moeilijk is om die te anonimiseren.
Voorbeeld, waar is de telefoon het meest rond 2 uur s'nacht, juist mijn huis adres.
Dit is een van de makkelijke manier om locatie data aan personen te hangen.

J_van_Ekris @amigob2 • 11 maart 2021 11:05

Het probleem met locatie data is dat het heel moeilijk is om die te anonimiseren.
Voorbeeld, waar is de telefoon het meest rond 2 uur s'nacht, juist mijn huis adres.
Dit is een van de makkelijke manier om locatie data aan personen te hangen.

Klopt, maar dat ontslaat je niet van de plicht om het te ontdoen van allerlei andere informatie-elementen, zoals de genoemde imsi-gegevens.

En zelfs dan nog: als je serieus over privacy nadenkt en het vraagstuk beschouwt, zou je de data verder kunnen minimaliseren. Bijvoorbeeld door per abbonee te kijken wat zijn thuislocaties zijn (waar is iemand minimaal 2 nachten per week), en die er structureel uit te halen. Haalt al een hoop gevoeligheid weg, iets wat Strava bijvoorbeeld ook heeft moeten leren (zie nieuws: Heatmap fitnesstracker geeft locaties geheime militaire basissen prijs).

MSalters @J_van_Ekris • 11 maart 2021 15:52

Dat klinkt me als overkill, zo'n patroon herkennen.

Toen ik bij TomTom werkte, sloegen we route-data voor verkeerdrukte niet op in de buurt van een begin- of eindpunt van je reis. Dat was onafhankelijk van het adres van die punten.

Het doel van dit systeem was vergelijkbaar: drukte te herkennen. Dan kun je nog aggressiever data weggooien - hele woonwijken kun je negeren.

xbeam @J_van_Ekris • 11 maart 2021 09:46

T-mobile huurde het CBS niet in om hun data te verwerken. Het CBS kocht die data bij T-Mobile met een wist oogmerk. Artikel 24UAVG is helemaal niet van toepassing.

Het CBS wilde met het algoritme ook geld verdienen.

Daarnaast is het volgens mij ook nog eens in de telecom verboden is om klant te actief en passief te volgen gedrag gerelateerde gegevens te verkopen aan derde, en provider mag voor eigen gebruik al niet zonder dit duidelijk te extra naast de algemenenvoorwaaede te overleggen met de eind gebruiker en de controle toegeven de verwerking te kosten loos te stoppen waneer hij dat wil

Artikel 11.5a Telecommunicatiewet

[/Hoofdstuk 11. Bescherming van persoonsgegevens en de persoonlijke levenssfeer §

11.1. Algemene bepalingen Artikel
11.5a
1. De verwerking van locatiegegevens, niet zijnde verkeersgegevens, betreffende abonnees of gebruikers van openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten, is slechts geoorloofd, indien: a. deze gegevens zijn geanonimiseerd, of b. de desbetreffende abonnee of gebruiker voor de verwerking van deze gegevens toestemming heeft gegeven ten behoeve van de levering van een dienst met toegevoegde waarde.

2. Voorafgaand aan het verkrijgen van toestemming als bedoeld in het eerste lid, onderdeel b, verstrekt de aanbieder van de toegevoegde waardedienst aan de abonnee of gebruiker de volgende informatie:
a. de soort locatiegegevens die zullen worden verwerkt;
b. de doeleinden waarvoor de locatiegegevens worden verwerkt;
c. de duur van de verwerking, en d. of de gegevens aan een derde zullen worden verstrekt ten behoeve van de levering van de dienst met toegevoegde waarde.

3. De verwerking van de gegevens ten behoeve van de levering van een dienst met toegevoegde waarde als bedoeld in het eerste lid, onderdeel b, is slechts toegestaan voor zover en voor zolang dat noodzakelijk is voor de levering van de desbetreffende dienst. In afwijking van de eerste volzin mag de aanbieder van de dienst met toegevoegde waarde die gegevens verwerken die noodzakelijk zijn voor het opstellen van een factuur. Artikel 11.5, tweede lid, laatste volzin, is van overeenkomstige toepassing.

4. Een abonnee of gebruiker kan de verleende toestemming voor de verwerking van de hem betreffende gegevens op elk moment intrekken.

5. De aanbieder van een dienst met toegevoegde waarde biedt aan de abonnee of gebruiker wiens gegevens worden verwerkt de mogelijkheid om kosteloos en op eenvoudige wijze de verwerking van diens gegevens tijdelijk te beletten voor elke overbrenging van communicatie of elke verbinding met het openbare elektronische communicatienetwerk dat gebruikt wordt voor de levering van de desbetreffende dienst.

6. De verwerking van de gegevens mag slechts plaatsvinden door personen die werkzaam zijn onder het gezag van de aanbieder of de derde, bedoeld in het tweede lid, onder d, en is beperkt tot die gegevens die noodzakelijk zijn om de dienst met toegevoegde waarde te kunnen aanbieden.

[Reactie gewijzigd door xbeam op 22 juli 2024 17:53]

J_van_Ekris @xbeam • 11 maart 2021 09:51

Vodafone verkocht toch ook zijn data aan TomTom: https://www.ad.nl/economi...vers-filenieuws~acbc1d7b/

xbeam @J_van_Ekris • 11 maart 2021 10:13

Tom Tom verkeer was toch gezamenlijke dienst wat ten goede kwam aan de Vodafone gebruiker die gratis bij Tom Tom kon gebruiken . Daarnaast moest je echt 100 keer apart toestemming geven als je het ging gebruiken en kon je het delen met 1 knop direct stoppen.

Waar in het cbs verhaal profiteert de T-mobile van het verwerken en verkopen van zijn locatie gegevens door T-mobile? Waar komt het te goede van de klant, welke toegevoegde waarde levert het ?

[Reactie gewijzigd door xbeam op 22 juli 2024 17:53]

MSalters @J_van_Ekris • 11 maart 2021 15:56

Dat was geaggregeerde data, zoals bedoeld onder eerste lid, onderdeel a. De dikgedrukte tekst verwijst expliciet naar eerste lid, onderdeel b.

M3m30 @J_van_Ekris • 11 maart 2021 11:17

Als provider x in dit verhaal t-mobile een ander inzicht wilt geven in data.. dan is toestemming bij wet verplicht.

J_van_Ekris @M3m30 • 11 maart 2021 12:09

Niet als die ander als verwerker optreed.

R4gnax

Privacy

@J_van_Ekris • 11 maart 2021 15:52

Toestemming voor de verwerking is slechts een van de vele grondslagen.

Klopt, maar Kraay89 had het specifiek over:

Waarschijnlijk heb je daar wel toestemming voor gegeven, middels de algemene voorwaarden, gebruiksvoorwaarden of welke voorwaarden je dan ook geaccepteerd hebt bij het aangaan van een contract met t-mobile.

En dat is dus iets wat niet kan.

J_van_Ekris @Gladiator5 • 11 maart 2021 09:42

Gewoon heel simpel, geen data van mij opslaan. Nooit heb ik toestemming gegeven om bij locatiedata door te laten sturen.

Kan wel eens zijn dat dit routinematig verzameld wordt om de kwaliteit van het netwerk te monitoren. Dat soort data is soms gewoon nodig om problemen in een netwerk te detecteren (bijvoorbeeld gaten in netwerkdekking).

iAR @J_van_Ekris • 11 maart 2021 09:44

Zo kun je heel veel onder “gerechtvaardigd belang” hangen natuurlijk... helaas.

Cobalt @iAR • 11 maart 2021 10:04

Kan me best voorstellen dat deze data nodig is om te bepalen waar meer zendmasten bij moeten komen om de beste landelijke dekking te hebben.

iAR @Cobalt • 11 maart 2021 13:37

En goed beveiligd op een server van en voor t-mobile is dat ook prima. Liefst ook nog alleen voor de mensen die dat echt nodig hebben.

xbeam @Cobalt • 11 maart 2021 16:19

Klopt en mag ook. Maar het CBS kocht de gegevens om totaal andere dienst te kunnen verkopen aan haar klanten.

Het cbs was geen verwerker voor T-mobile. Maar gebruikte de gegevens voor een eigen product

Gladiator5 @J_van_Ekris • 11 maart 2021 10:19

En in dat geval zou de data intern blijven. wat moet het cbs met deze data in dit voorbeeld?
Volgens mij hoeven zij het netwerk van t-mobile niet te monitoren op problemen in hun netwerk.

J_van_Ekris @Gladiator5 • 11 maart 2021 10:58

En in dat geval zou de data intern blijven. wat moet het cbs met deze data in dit voorbeeld?
Volgens mij hoeven zij het netwerk van t-mobile niet te monitoren op problemen in hun netwerk.

Nee, dat is het probleem: men verzamelt het primair voor "netwerkanalyse" of iets dergelijks, maar het is natuurlijk op duizenden andere manieren te gebruiken. Zo kan het ook verklappen dat je regelmatig bij fastfoodrestaurants in de buurt komt, wat weer interessant is voor advertising. Dat is het hele concept van doelbinding in de privacywetgeving: als je het verzameld voor een legitiem doel, betekent niet dat je daarmee een ander doel mag bedienen.

Tha_Butcha @fapkonijntje • 11 maart 2021 10:04

Dus? Sinds wanneer is dat een geldige argumentatie: "Edelachtbare, ik heb wel gestolen. Maar ik had geen kwaad in de zin, ik probeerde alleen maar mijn gezin te voeden."

Letterlijke quote uit het NRC artikel:

„Als de VPN beschikbaar is (en de laptops per koerier zijn gestuurd) kunnen we doorgaan met werk dat van belang kan zijn voor de huidige crisis … Never waste a good crisis”

Het is geen foutje, dit is gewoon schijt hebben aan de wetgeving omdat je van mening bent dat die niet geldt voor jou. Beter bekent als arrogantie. Hier worden complete overheden om verketterd en al dan niet afgezet. Dus om het een "foutje" te noemen...

Nog een leuke quote:

„De data zijn zo privacygevoelig dat als er één partij vertrouwd kan worden om dit te analyseren … dan is dat het CBS”

MSalters @Tha_Butcha • 11 maart 2021 16:01

Dat is ongeveer 2000 jaar lang een geldig argument in de rechtzaal. Het trekt de mens rea in twijfel.

Hoeveel dat argument bereikt hang af van de wet in kwestie. Als jij met een mes op zak door de politie gefouilleerd wordt, dan is het een beter argument dan als jij met een pistool op zak gepakt wordt. Soms maakt het dus uit voor de strafbaarheid, soms voor de maximumstraf, en soms maakt opzet helemaal niets uit.

bbob

Privacy

@fapkonijntje • 11 maart 2021 08:57

Geen kwaad in de zin. Je deelt informatie die niet anoniem is.
Dat die informatie niet anoniem is lijkt me duidelijk als iemand die gaat verwerken.
Wat het meest kwalijke is, is dat mensen hiet bij CBS en T-Mobile van op de hoogte geweest moeten zijn en niet hebben ingegrepen.
Waarom heeft dit zo lang kunnen duren en waarom heeft niemand zelf ingegrepen.
De enige conclusie is dat medewerkers dus schijnbaar geen waarde hechten aan privacy van hun klanten en ook bij het CBS moeten ze zich goed achter de oren krabben.

Daarnaast dit was ook niet een eenmalig foutje maar is gewoon blijven doorgaan.
Je hebt het over er werken ook mensen, je mag toch verwachten dat die kunnen nadenken en zien welke informatie ze krijgen en dat die informatie niet anoniem is. Dan mag je toch verwachten dat ze dat op zijn minst melden en actie ondernemen zeker als dat niet eenmalig is.

Bij eenmalig kan het een foutje zijn, waarschuwing. Nu gaat het om het delen van privacy gevoelige informatie. De enige straks daarvoor is een dikke forse boete.

Heeft T-Mobile dit datalek ook gemeld aan haar klanten ?

fapkonijntje @bbob • 11 maart 2021 09:10

Ze dachten dat het wel anoniem was, maar dat bleek toch niet zo te zijn. Dat haal ik uit het artikel.

[Reactie gewijzigd door fapkonijntje op 22 juli 2024 17:53]

amigob2 @fapkonijntje • 11 maart 2021 10:28

bbob

Privacy

@fapkonijntje • 11 maart 2021 10:59

Klinkt leuk maar dat betekend dat er dus niemand naar de inkomende en uitgaande databestanden gekeken zou hebben.
Als dat zo is moet je je ook een vraag stellen hoe goed ben je bezig als je data verstuurd zonder te kijken elke data.
Idem voor CBS, je maakt me niet wijs dat er niemand geweest is die de inkomende data niet gezien heeft.
Ze moeten een model maken, daarvoor kijk je welke inkomende data je hebt zodat men daar iets mee kan doen.
Maar wat er misschien wel aan de hand is, mensen wisten het maar hebben en gewoon niets mee gedaan. Is dat onwetendheid of was het misschien toch handig die data in het model wel mee te nemen ?

M3m30 @fapkonijntje • 11 maart 2021 11:19

Ze wisten dat het niet anoniem was.. dat wisten ze... om pr schade te voorkomen... gaven ze dat verhaaltje op...

maxxware @fapkonijntje • 11 maart 2021 09:46

'Geen kwaad in de zin hebben' betekent niet dat je de wet mag overtreden. Als ik 130 rij waar ik maar honderd mag overtreed ik de wet, ook al heb ik geen kwaad in de zin.

fapkonijntje @maxxware • 11 maart 2021 10:12

Misschien moet je de hele reactie lezen en niet de helft?

Ik quote mijzelf;

Dat ze voor deze fouten flink aangepakt mogen worden vind ik ook

M3m30 @fapkonijntje • 11 maart 2021 11:53

Ze wilden niemand inlichten... dus maakten ze verhaal van dat ze niets deden etc.
Nee... ze hadden niets kwaads in de zin hoor... ze wisten alleen dat het niet mocht.. maar dachten.. 'we don't give a ...' en aan er gewoon mee door...

wica @andreas_f • 11 maart 2021 08:42

Het wordt tijd, dat de verantwoordelijke strafrechtelijk aangepakt worden met een celstraf.
Nu calculeren bedrijven de risico's van boetes in hun budget.

snellie123 @andreas_f • 11 maart 2021 09:58

Tim Berners-Lee (de grondlegger van het internet) is bezig met een nieuw project om precies dit "nieuw soort internet" te ontwikkelen. https://www.reuters.com/a...e-interview-idUSKBN29H1JG

sjettepetJR. @andreas_f • 11 maart 2021 11:20

Vraag me ook af wat je nou eigenlijk kan doen als klant. In principe heeft T-Mobile zich jaren lang niet op de juiste manier aan de overeenkomst gehouden. Het wordt eens tijd dat je dan als klant gewoon je geld terug kan eisen.

De wetgeving is er nu wel, maar de handhavende instanties hebben geen tanden. Dus praktisch is de wetgeving niets waard.

gevoelig @andreas_f • 11 maart 2021 21:50

Lijkt mij daarom een goede reden om t-mobile vaarwel te zeggen om een statement te maken. Een helderder signaal kun je niet geven.

Webgnome 11 maart 2021 08:33

Hoe zijn locatiegegevens precies geanonimiseerd? Want volgens mij KAN dat niet. Als je een setje gps gegevens hebt dan kun je op basis van een simpele google maps search toch uitzoeken waar dat is en zo achterhalen wie het zou kunnen zijn?

[Reactie gewijzigd door Webgnome op 22 juli 2024 17:53]

OxWax @Webgnome • 11 maart 2021 09:15

Hoe zijn locatiegegevens precies geanonimiseerd? Want volgens mij KAN dat niet. Als je een setje gps gegevens hebt dan kun je op basis van een simpele google maps search toch uitzoeken waar dat is en zo achterhalen wie het zou kunnen zijn?

In een reactie erkent het CBS dat vijf medewerkers bij T-Mobile onderzoek hebben gedaan op „gepseudonimiseerde persoonsgegevens”. Dit zijn verkeersgegevens waaruit de unieke IMSI-nummers van telefoons zijn verwijderd. Ze gelden nog steeds als persoonsgegevens, ze kunnen door het gebruik van aanvullende informatie over iemand toch aan personen worden gelinkt. T-Mobile erkent ook dat de CBS’ers met gepseudonimiseerde data werkten, maar in tegenstelling tot het CBS, de AP en privacy-experts zijn dat volgens de telecomprovider geen persoonsgegevens.

(betaalmuur maar 'ESC' voor de popup lost dat op

)
https://www.nrc.nl/nieuws...-klanten-met-cbs-a4035114

amigob2 @OxWax • 11 maart 2021 10:34

R4gnax

Privacy

@amigob2 • 11 maart 2021 16:11

Het probleem met locatie data is dat het heel moeilijk is om die te anonimiseren.
Voorbeeld, waar is de telefoon het meest rond 2 uur s'nacht, juist mijn huis adres.
Dit is een van de makkelijke manier om locatie data aan personen te hangen.
Betrek scholen en bedrijf posities en de telefoon gids, en alles is helemaal niet
geanonimiseerd meer.

Inderdaad. In de kern geldt dat pseudonimisering effectief dient te zijn om ook daadwerkelijk als pseudonimisering te gelden. Als je gegevens alsnog terug kunt leiden tot een persoon via dit soort triviale zijpaden, dan is die pseudonimisering dus niet effectief en dus wettelijk niet afdoende.

iAR @Webgnome • 11 maart 2021 09:50

Met al dat thuiszitten tijdens corona zeker. Maar straks had enige tijd geleden toch ook een schandaaltje: legerbasissen waren zo ineens zichtbaar.
En anonieme dataset + anonieme dataset = (mogelijk) minder anonieme dataset.

Anoniem: 767041 11 maart 2021 09:53

Volledig statement https://community.t-mobil...r-t-mobile-met-cbs-329852

TheProf82 11 maart 2021 10:16

Het lijkt alsof er een (kleine?) set van data intern bij T-Mobile werd beheerd en ingezien (onder voorwaarden) door een aantal CBS-medewerkers. Onder verantwoordelijkheid van T-Mobile. Of dat mag ligt er vooral aan of de klanten hierdoor worden getroffen - en of het vooraf duidelijk was gecommuniceerd data ook voor bijv. interne onderzoeken kan worden gebruikt, en hoe dan. Transparantie is daar dus belangrijk - maar ook proportionaliteit. Dat vereist denk ik een analyse vanuit de AP.

Maar het lijkt alsof de grootste dataset een volledig anonieme dataset betreft die gedeeld werd een paar jaar met het CBS. Ik denk dat vele gebruikers hierover zullen vallen - vooral als ze geen idee hebben wat het verschil is tussen anoniem en pseudoniem - en waar de AVG wel/niet van toepassing is en waarom.

Ik zie te vaak dat mensen willen dat hun gegevens uit een anonieme dataset worden verwijderd. Maar als je goed nadenkt over die statement - ervanuitgaande dat iets daadwerkelijk anoniem is - is dat natuurlijk onmogelijke onzin.

Potentieel is de privacy van de daadwerkelijke T-mobile gebruiker (ik o.a.) hier niet, of beperkt geraakt - maar de reputatieschade is al geschied. Benieuwd naar de bevindingen vanuit de AP!

ShellGhost @TheProf82 • 11 maart 2021 10:31

Ben ik niet met je eens. Er staat letterlijk dat er lange tijd gebruik gemaakt mocht worden van IMSI gegevens. https://nl.wikipedia.org/...obile_subscriber_identity
En die gegevens waren niet gepseudonimiseerd of geanonimiseerd.
Daarbij is het totaal onduidelijk wanneer de trail overging in het eigenlijke project en wat er toen gebeurd is. Aangezien er staat dat er tijdens de trail met geanonimiseerde data gewerkt werd, en daarna niet.

MSalters @ShellGhost • 11 maart 2021 16:05

T-Mobile was inderdaad technisch in staat om een IMSI te herleiden naar een persoon, maar was het CBS dat ook?

addictive_rhymz 11 maart 2021 08:08

Ik hoop dat beide partijen hier een flinke boete voor krijgen.

mfkne @addictive_rhymz • 11 maart 2021 08:13

Een (geld-)boete helpt niet, omdat de reeds gedupeerde klanten uiteindelijk zelf voor gaan opdraaien, of in het geval van het CBS de belastingbetalers. Alleen gevangenisstraffen voor CEO/bestuursvoorzitter/directeur zou een afschrikkende werken kunnen hebben.

Renoir @mfkne • 11 maart 2021 08:52

Ja precies dacht ik ook! Ben t-mobile klant en als ze een boete krijgen word ik dus twee keer genaaid benadeeld.

The Zep Man

Privacy

@Renoir • 11 maart 2021 08:57

Als jouw tarief plots verandert in jouw nadeel, dan vervalt de contractperiode en kan je meteen overstappen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:53]

mfkne @The Zep Man • 11 maart 2021 09:35

Het feit dat je mag opzeggen neemt dat de benadeling niet weg.

Renoir @The Zep Man • 11 maart 2021 09:07

Ze kunnen me ook benadelen zonder mijn tarief te wijzigen. Service verminderen, slechtere contracten met de infra leverancier, enz.

The Zep Man

Privacy

@Renoir • 11 maart 2021 09:24

Zolang jouw nadeel aantoonbaar is, dan vervalt de contractperiode. De rest is speculatie.

The Zep Man

Privacy

@mfkne • 11 maart 2021 08:28

Alleen gevangenisstraffen voor CEO/bestuursvoorzitter/directeur zou een afschrikkende werken kunnen hebben.

Correctie: vanaf het niveau van de beslissingsnemers tot en met C*O niveau. Hiermee dragen alle verantwoordelijken de potentiële strafrechtelijke gevolgen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 17:53]

J_van_Ekris @The Zep Man • 11 maart 2021 09:15

[...]
Correctie: vanaf het niveau van de beslissingsnemers tot en met C*O niveau. Hiermee dragen alle verantwoordelijken de potentiële strafrechtelijke gevolgen.

Zeker als men tegen het advies van een DPO is ingegaan, dan kan het interessant worden.

Rud5G @mfkne • 11 maart 2021 08:33

Dit dacht ik exact. $_/-\o_$

beerse @mfkne • 11 maart 2021 10:25

Misschien moet het CBS op een zelfde manier worden gecontroleerd als de AIVD en de MIVD. Het zijn immers allemaal informatie en inlichtingen diensten. De CBS met grote getallen en de andere 2 wat meer gericht. Maar beide gaan met publieke gelden verkregen informatie om. Dat zou voor publieke doeleinden gebruikt mogen worden maar niet zomaar aan elke andere goed betalende (of lief kijkende) klant te worden doorgegeven.

kodak

Privacy

@mfkne • 11 maart 2021 11:29

Dan kan je alles wat door te berekenen is en je aan uitgaven niet bevalt wel benadelen noemen maar zo simpel is dat niet als je iets koopt. Tmobile en cbs hebben budgetten uit inkomsten. Door geld uit het budget voor de directie of kantoorgebouw te halen en te reserveren voor boetes betaal je mee, maar dat deed je hoe dan ook al.

MSalters @mfkne • 11 maart 2021 16:08

Een (geld-)boete helpt niet, omdat de reeds gedupeerde klanten uiteindelijk zelf voor gaan opdraaien

We weten prima in welke situaties boetes doorbelast kunnen worden aan klanten. Dat is vooral het geval bij monopolies. Boetes voor Google vanwege de voorrang voor hun eigen advertenties? Die worden betaald door de adverteerders op Google.

T-Mobile kan de prijzen niet zelfstandig verhogen vanwege concurrentie met KPN en Vodafone; T-Mobiel is in geen enkel model een monopolist of zelfs maar dominant.

J_van_Ekris @addictive_rhymz • 11 maart 2021 08:30

Ik hoop dat beide partijen hier een flinke boete voor krijgen.

Een alternatief: dit als abbonee aangrijpen om een verzoek tot inzage van de verwerkingen te doen. Als je met een paar duizend man een mailtje met dat verzoek aan de DPO doet komt de boodschap wellicht door bij iemand die ervoor had moeten gaan liggen. Men is verplicht dit binnen een redelijke termijn af te handelen.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 17:53]

iAR @addictive_rhymz • 11 maart 2021 09:25

Ik vraag me af of boetes helpen, zeker als er geld mee verdient wordt.
Ik vraag me overigens ook af waarom gebruikers in deze kwestie geen genoegdoening krijgen. Onze data is verkocht, iemand is er beter van geworden maar wij krijgen niks. Ik begrijp niet dat wij aan de machteloos als derde aan de zij lijn staan.

addictive_rhymz @iAR • 11 maart 2021 11:20

Class-action lawsuit? Geen idee of wat ze gedaan hebben wettelijk mag. Zo niet, dan zou er een zaak van gemaakt kunnen worden.

MSalters @addictive_rhymz • 11 maart 2021 16:11

Een class action is in Nederland mogelijk voor schadevergoeding. Dan moet je wel bewijzen dat je schade hebt. Een privacy-schending is geen grond voor smartegeld. Je moet dan bijvoorbeeld aantonen dat de prinvacy schending de oorzaak was van phishing die anders nooit gebeurd was, of iets dergelijks. En voor een class action moet je dus aantonen dat iedereen in die zaak dezelfde soort schade heeft.

tarlitz 11 maart 2021 08:33

Wat zijn providers die wél netjes omgaan met dit soort gegevens? Er wordt veel gesproken over vpns, adblockers, en apppermissies, etc, maar providers komen weinig voorbij.

beerse @tarlitz • 11 maart 2021 10:22

Als internet provider probeert freedom.nl het netjes te doen.
In het verleden had ik een goed gevoel bij xs4all, ook toen ze nog zichzelf mochten zijn onder de kpn paraplu.
Met vpn-s heb je toch te maken met meerdere providers. Het voordeel is dat de informatie wordt verdeelt. Het nadeel is dat er meer partijen bij betrokken zijn en dus meer risico.

Mijn algemene beeld is dat de kleinere partijen zich hier duidelijk in profileren: Of ze proberen het zo goed mogelijk te doen, of ze doen er niets aan. Bij de grotere partijen zie ik helaas steeds vaker een belofte dat ze het goed willen doen maar dat het iets te vaak fout gaat. Van steeds net op de grens tot af en toe er grof overheen.

Anoniem: 563525 @beerse • 11 maart 2021 12:16

Freedom werkt samen met T-Mobile. Ben benieuwd of dat zo blijft.

Luftbanana @tarlitz • 11 maart 2021 09:06

Je kunt geen enkel bedrijf vertrouwen wat mij betreft. Als je niet wil dat je gegevens gedeeld worden, is de eerste stap het voorkomen dat de data ontstaat.

Zet die telefoon gewoon uit, dan hoef je ook geen technische oplossingen te bouwen. Het is even wennen, maar eigenlijk heel simpel. En voor de keren dat je daadwerkelijk je loc, bt, en 4g nodig hebt zet je deze kort aan. Scheelt je ook een hoop notificaties en resulterende stress (de meeste mensen beseffen niet hoeveel stress ze eigenlijk hebben door hun smart handheld).

Mocht er een bedrijf bestaan die beweert je data niet te delen hebben ze wel weer een excuus om veel te duur te zijn. Het is het niet waard joh, pak zelf die controle.

brammetje1994 @Luftbanana • 11 maart 2021 09:28

Zet die telefoon gewoon uit, dan hoef je ook geen technische oplossingen te bouwen. Het is even wennen, maar eigenlijk heel simpel. En voor de keren dat je daadwerkelijk je loc, bt, en 4g nodig hebt zet je deze kort aan. Scheelt je ook een hoop notificaties en resulterende stress (de meeste mensen beseffen niet hoeveel stress ze eigenlijk hebben door hun smart handheld).

Leuk idee, maar dit is geen oplossing en natuurlijk ook niet voor veel mensen mogelijk. Ik dien tijdens werk gewoon bereikbaar te zijn en heb mijn telefoon nodig voor allerlei dingen. Van MFA tot aan het uitvoeren van een test. Als "pak zelf die controle" betekent dat ik mijn eigen gekochte telefoon moet uitdoen voor mijn privacy dan is het écht te gek voor woorden.

Luftbanana @brammetje1994 • 11 maart 2021 11:12

Als "pak zelf die controle" betekent dat ik mijn eigen gekochte telefoon moet uitdoen voor mijn privacy dan is het écht te gek voor woorden.

Ja en dat is het nu juist. Het is allemaal te gek voor woorden tegenwoordig. Je kúnt weinig anders dan comfort en bereikbaarheid inleveren als je écht om je privacy geeft.

wankel @brammetje1994 • 11 maart 2021 14:38

Je hebt gelijk en @Luftbanana bevestigd dat terecht. Uit privacy-overwegingen wil je waarschijnlijk je eigen gekochte telefoon zowiezo flashen met een alternatieve firmware, en als je je echt zorgen maakt/serieus bent, heb je met vliegtuigmodus je MFA nog beschikbaar en moet je op een ander nummer gebeld worden.

Wat anonimiteit betreft: mijn vorige telefoon kon met een alternatieve firmware van IMEI wisselen. Klinkt leuk, tot je je bedenkt dat je telefoon dan waarschijnlijk 1 van de 20 telefoons in Nederland is die telkens van IMEI wisselt. En daarmee als de spreekwoordelijke zere duim uitsteekt.

Anoniem: 767041 @tarlitz • 11 maart 2021 12:09

Daniel Verlaan zegt kpn

J_van_Ekris 11 maart 2021 08:05

Belachelijk dat dit niet geanonimiseerd is. Het CBS kent vrij brede wettelijke bevoegdheden om data te verzamelen, maar dat is onnodig. Wat was de moeite om even de identificeerbare gegevens en andere data door een one-way hash te gooien? Voordat je dit soort dingen gaat doen wordt je geacht een DPIA te doen, waarom beseft men daar niet dat dit gewoon een slecht idee is?

En waarom ontwikkelt een overheidsorgaan als het CBS uberhaupt een algoritme om schijnbaar geld te verdienen?

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 17:53]

Lochtie @J_van_Ekris • 11 maart 2021 08:09

En waarom ontwikkelt een overheidsorgaan als het CBS uberhaupt een algoritme om schijnbaar geld te verdienen?

"Dat is nodig, omdat het instituut weliswaar aan de overheid is gelieerd maar tegelijkertijd ook zelfstandig deels voor zijn eigen budget moet zorgen."

J_van_Ekris @Lochtie • 11 maart 2021 08:18

"Dat is nodig, omdat het instituut weliswaar aan de overheid is gelieerd maar tegelijkertijd ook zelfstandig deels voor zijn eigen budget moet zorgen."

Hiermee zeg je dus eigenlijk dat de grootste en meeste verregaande dataverzamelaar in Nederland feitelijk een commerciele partij is. Op sommige punten is er zelfs een wettelijke plicht om data aan het CBS te verstrekken. Ik hoop dat ergens scherp is vastgelegd wat ze wel en niet met data mogen.....

mard0 @J_van_Ekris • 11 maart 2021 08:57

[...]

Hiermee zeg je dus eigenlijk dat de grootste en meeste verregaande dataverzamelaar in Nederland feitelijk een commerciele partij is.

Vanwaar de verbasing? Veel taken van de regering zijn naar "feitelijk commerciele partijen" gegaan. Denk aan het UWV en het CBR, maar ook natuurbeheer wordt uitbesteed aan partijen als staatsbosbeheer. Zelfs in handhaving vindt dit plaats in de vom van BOA's.

Het is eerder de norm dan een uitzondering.

[Reactie gewijzigd door mard0 op 22 juli 2024 17:53]

Ynst2003 @mard0 • 11 maart 2021 09:02

wat bedoel je te zeggen met 'feitelijk commerciële partijen' i.c.m. het UWV en het CBR?

mard0 @Ynst2003 • 11 maart 2021 09:08

Dit zijn voorbeelden van zelfstandige bestuursorganen:
https://nl.wikipedia.org/wiki/Zelfstandig_bestuursorgaan
Dit houd in dat ze worden geleid als een normaal bedrijf, met de staat aan het hoofd en de staat als enige opdrachtgever (en daarmee inkomsten bron) de staat is.

Ynst2003 @mard0 • 11 maart 2021 09:09

dat is toch niet gek of wel?

mard0 @Ynst2003 • 11 maart 2021 09:14

Je verliest parlementaire controle.
Kijk bijvoorbeeld naar de problemen rond het verlengen van rijbewijzen bij het CBR. Hier is een hoop overgesproken in de 2e kamer, maar uiteindelijk kunnen ze maar weinig aan de situatie doen.

Er kan een wetopgesteld worden dat er meer geld naar het CBR gaat (zonder garanties dat het geld ook besteed wordt zoals bedoeld), en de minister kan gemotiveerd worden om het bestuur te ontslaan. Voor de rest functioneert het zelfstandig.

MSalters @mard0 • 11 maart 2021 16:17

Je beweert hier en in andere reacties een heleboel dingen die simpelweg onwaar zijn.

Om maar iets conreets te noemen: de Tweede Kamer kan simpelweg bij wet de ZBO-status van het CBR opheffen. Dat noem ik niet "maar weinig doen"; dat is het CBR onder direct gezag van de minister plaatsen.

Een belangrijke reden dat het CBR niet onder de minister valt, is dat het politiek onwenselijk is dat de minister beslis-bevoegdheid heeft of iemand al dan niet een rijbewijs krijgt. Daarvan vinden we dat zoiets volgens objectieve regels moet lopen, niet onder een persoonlijke verantwoordelijkheid.

Voor het CBS is die onafhankelijkheid tegenwoordig zelfs een EU-eis. De Grieken hebben hun statistisch bureau wél politieke opdrachten gegeven om de staatsschuld te verdoezelen, om de Euro in te komen.

J_van_Ekris @Ynst2003 • 11 maart 2021 09:14

dat is toch niet gek of wel?

Nee, dat is gewoon een manier om te voorkomen dat alles op de grote hoop "rijksoverheid" gegooid wordt en daarmee een amorfe massa wordt die "iets" doet. Een ZBO is gewoon een manier om piketpaaltjes te slaan en om geldstromen en verantwoordelijkheden scherp te krijgen en houden.

mard0 @Lochtie • 11 maart 2021 08:14

Tja, we willen allemaal een zo klein mogelijke regering want de markt zou het allemaal beter kunnen.....

Vanhetgasaf @mard0 • 11 maart 2021 08:22

Maar ja, we vertrouwen de regering niet en we vertrouwen de markt niet.

Privacy is met de toenemende digitalisering, de oncontroleerbare brij aan data en de opkomst van AI een verloren strijd: "Mijn bestaan is een inbreuk op mijn privacy!"

Oeroeg @J_van_Ekris • 11 maart 2021 08:08

Wat was de moeite om even de identificeerbare gegevens en andere data door een one-way hash te gooien?

Zo eenvoudig werkt dat niet.

J_van_Ekris @Oeroeg • 11 maart 2021 08:13

Zo eenvoudig werkt dat niet.

Ik besef hoe lastig het is om heridentificatie te voorkomen. Maar als je met locatiedata werkt is dat fundamenteel onmogelijk (want die data laat zien waar je woont, sport en werkt). Maar dat ontslaat je niet van je wettelijke plicht om de inbreuk op de privacy te minimaliseren door dataminimalisatie toe te passen.

M3m30 @J_van_Ekris • 11 maart 2021 11:23

Het cbs is een onderdeel van de overheid...

J_van_Ekris @M3m30 • 11 maart 2021 12:11

Het cbs is een onderdeel van de overheid...

Dat dacht ik ook, maar dat is niet te rijmen met het commercieel ontwikkelen van algoritmes....

Anoniem: 767041 11 maart 2021 07:59

https://community.t-mobil...r-t-mobile-met-cbs-329852 Ook hier eff een topic gemaakt voor antwoord van T-Mobile, schande dat hier niet is gecommuniceerd met de klant

Ynst2003 @Anoniem: 767041 • 11 maart 2021 09:05

wat een schandalig aantoonbaar onjuist antwoord zeg.

Goedemorgen allemaal,

Wij hebben op verzoek van CBS tot eind 2019 meegewerkt aan een pilot om drukte in de stad inzichtelijk te maken.

We hebben altijd de privacy van onze klanten vooropgesteld en gegevens waren voor het CBS niet inzichtelijk. Deze pilot diende uitsluitend een maatschappelijk doel. T-Mobile heeft nooit een vergoeding ontvangen

Mochten er nog vragen zijn dan vernemen we het graag!

door David - T-Mobile Moderator

[Reactie gewijzigd door Ynst2003 op 22 juli 2024 17:53]

Jeffrey87 @Ynst2003 • 11 maart 2021 09:43

Zojuist hebben ze een aanvullende reactie geplaatst:

Hi allemaal,

Naar aanleiding van de vragen hier nog een aangevulde reactie ten opzichte van de vorige om meer duidelijkheid te verschaffen over dit nieuws.

Vanaf september 2017 tot en met december 2019 heeft T-Mobile meegewerkt aan een CBS pilot project naar de problemen die grote steden ervaren door plots toenemende drukte in de stad. Deze toename heeft onder andere impact op mobiliteit, veiligheid, rampenbestrijding en toerisme in de betreffende stad. De overheid wilde daar beter inzicht in hebben.

Uit eerder onderzoek van het CBS, met andere marktpartijen, bleek dat geanonimiseerde mobiele telefoondata een veelbelovende bron waren. In het belang van de bescherming van privacy van klanten, ging het hier niet om individuele persoonsgegevens maar om geanonimiseerde en geaggregeerde bewegingspatronen die het mogelijk maakt te tellen hoeveel apparaten (altijd met een minimum aantal van 15) zich op een bepaald moment binnen het bereik van een bepaalde zendmast bevonden.

Het is dus apert onjuist dat het CBS toegang had tot individuele persoonsgegevens en inzicht heeft verkregen in wie met wie in contact zou zijn geweest in welke vorm dan ook.

In dit onderzoek zijn de geanonimiseerde en geaggregeerde netwerkdata exclusief en zonder daar vergoeding voor te ontvangen met het CBS gedeeld. T-Mobile onderstreept het belang van de CBS-onderzoeken, voor de bevordering van de leefbaarheid in Nederland en heeft daarom meegewerkt.

Er zijn destijds duidelijke afspraken gemaakt met het CBS over de door T-Mobile beschikbaar gestelde data. Zo hadden CBS-medewerkers, onder hele strikte voorwaarden en na het nemen van de nodige beveiligingsmaatregelen, alleen toegang gekregen tot een set gepseudonimiseerde gegevens onder toezicht en verantwoordelijkheid van T-Mobile. De medewerkers hadden alleen toegang via een T-Mobile versleutelde laptop tot de specifieke dataset voor deze pilot. De set geaggregeerde en gepseudonimiseerde gegevens hebben zodoende de digitale en beveiligde IT infrastructuur van T-Mobile nooit verlaten. De pilot is stopgezet eind 2019.

Bron

Ynst2003 @Jeffrey87 • 11 maart 2021 10:06

Het is dus apert onjuist dat het CBS toegang had tot individuele persoonsgegevens en inzicht heeft verkregen in wie met wie in contact zou zijn geweest in welke vorm dan ook.

ik weet niet, maar ik denk dat ik het onderzoek van NRC toch eerder geloof in deze, dan T-Mobile zelf..

Vinnie2k @Anoniem: 767041 • 11 maart 2021 09:12

Hun reactie:

David Moderator
17 minuten geleden

Goedemorgen allemaal,

Wij hebben op verzoek van CBS tot eind 2019 meegewerkt aan een pilot om drukte in de stad inzichtelijk te maken.

We hebben altijd de privacy van onze klanten vooropgesteld en gegevens waren voor het CBS niet inzichtelijk. Deze pilot diende uitsluitend een maatschappelijk doel. T-Mobile heeft nooit een vergoeding ontvangen

Mochten er nog vragen zijn dan vernemen we het graag!

Ik ga dit in de gaten houden en hoop dat meer mensen dit gaan aangrijpen om weg te gaan.

Op dit item kan niet meer gereageerd worden.

T-Mobile deelde herleidbare locatiegegevens met CBS voor bouwen van algoritme

Lees meer

IT-banen

Reacties (191)

Sorteer op:

Weergave: