T-Mobile gaf het Nederlandse statistiekbureau CBS toegang tot data van al zijn klanten, zo bleek donderdagochtend uit onderzoek van NRC Handelsblad. Wat is er precies gebeurd, hoe geheim was dat en hoe gaat het nu verder?
NRC kwam donderdagochtend naar buiten met een artikel over 'hoe het CBS en T-Mobile de privacy schonden'. Ook Tweakers schreef erover. De kern van dat artikel is niet dat T-Mobile geanonimiseerde data deelt met het statistiekbureau - dat is niks nieuws - maar hóe T-Mobile die toegang gaf. CBS-medewerkers kwamen op kantoor bij T-Mobile en kregen daar de beschikking over laptops waar alle data toegankelijk was. De Autoriteit Persoonsgegevens doet onderzoek naar hoe dit is gegaan.
Het gaat alleen om T-Mobile en alleen om de periode tussen begin 2018 tot en met maart 2020, zo blijkt uit de documenten. Het ging om een pilotproject; KPN en Vodafone waren er niet bij betrokken. Het CBS heeft KPN in 2019 wel benaderd, maar tot een samenwerking is het niet gekomen. NRC kreeg documenten over de samenwerking in handen door een beroep te doen op de Wet Openbaarheid van Bestuur.
:strip_exif()/i/2004215794.jpeg?f=imagenormal)
Wat er precies is gebeurd bij T-Mobile
Vijf medewerkers van het CBS konden op T-Mobile-laptops bij gegevens met pseudoniemen in plaats van echte persoonsgegevens, zegt het CBS. Dat was nodig om algoritmes te kunnen bouwen om later de geaggregeerde, geanonimiseerde data te kunnen interpreteren, zo blijkt uit het plan van het CBS. Dat gebeurde op het hoofdkantoor van T-Mobile in Den Haag op locatie. "T-Mobile geeft volledige toegang tot data. Medewerkers van het CBS krijgen na ondertekening van een geheimhoudingsverklaring een toegangspas en een laptop van T-Mobile die in het gebouw blijft."
Dat het gevoelig zou zijn, wisten T-Mobile en het CBS ook wel. Dat blijkt ook uit het plan. "Alle persoonsgegevens blijven binnen de muren van de telecomoperator en worden conform de telecomwet na zes maanden vernietigd." Bij de export van data naar het CBS moest een groep uit minimaal vijftien klanten bestaan om het niet naar personen herleidbaar te maken.
Dat was niet zo op de laptops van T-Mobile zelf. Daarbij heeft in elk geval één CBS-medewerker een experiment besproken om de locaties van een bepaalde klant te tonen en die wilde de bewegingen van die klant laten zien op een congres als voorbeeld, blijkt uit een mailwisseling. Dat experiment is volgens het CBS 'nooit uitgevoerd'.
Het CBS had vooral interesse in locatiedata: hoeveel klanten vanuit welke plaats naar welke plaats gingen. Het CBS wilde dat gebruiken voor het maken van rapporten over mobiliteit en toerisme, zo blijkt uit de documenten die NRC online heeft gezet. Het CBS schreef daar zelf al over: "Uit eerder onderzoek van het CBS is gebleken dat anonieme mobiele telefoondata een veelbelovende bron zijn om te kunnen bepalen hoeveel mensen zich overdag op een bepaalde locatie bevinden. Wat deze bron uniek maakt, is dat het aantal personen gedurende het hele jaar geschat kan worden, ook in kleine gebieden. Het levert snel gedetailleerde, maar anonieme, informatie op, waarmee onderzoekers de dynamiek van de bevolking van uur tot uur kunnen waarnemen."
Bovendien gaat het om data van één mast, niet om exacte locatiebepaling via triangulatie. "Met behulp van wiskundige methoden wordt een globale locatie geschat (de zogeheten Bayesiaanse locatieschatting). Dat betekent dat het CBS met kansen rekent dat iemand in een gebied is en het CBS telt die kansen op. Dus stel dat persoon A voor zeventig procent zeker in een gemeente is en dat van persoon B voor tachtig procent zeker is (in dat uur) dan is de geschatte telling 1,5 personen in dat gebied."
Waarom het CBS en T-Mobile wilden samenwerken
Algoritmes die bewegingen van groepen mensen in kaart kunnen brengen, zijn geld waard. Het CBS dacht daar tientallen miljoenen euro's aan te verdienen per jaar, zo blijkt uit de plannen. Dat geld heeft het statistiekbureau hard nodig. Het is een overheidsinstantie, maar het krijgt niet genoeg geld van de staat en moet dus zelf bijverdienen. "Omdat het basisbudget onvoldoende ruimte biedt om te voorzien in alle statistiekbehoefte binnen de overheid, wordt een deel van de statistieken die het CBS maakt, bekostigd door overheidsorganisaties zelf, voor een groot deel door de ministeries en gemeenten." Het gebruiken van de algoritmes om gemeenten van statistieken te voorzien, zag het CBS als mogelijk verdienmodel.
In ruil voor het gebruiken van de data tijdens de pilot mocht T-Mobile die algoritmes ook gebruiken, blijkt uit de overeenkomst. Ook T-Mobile zag daar geld in. Althans, een mail van het CBS uit 2020 vermeldt dat T-Mobile 'de businesscase als positief ziet'.
Geld was zeker niet de enige overweging. Uit de correspondentie én het contract blijkt ook dat T-Mobile specifiek wilde dat de algoritmes van maatschappelijk belang zijn, bijvoorbeeld om beslissingen te maken over carpoolstroken op bepaalde wegen. Nu is dat cynisch te zien als een manier voor de provider om het verstrekken van gegevens als een goede daad te laten voorkomen, maar het blijkt dat als de paden van 'iets goeds doen' en 'omzet verhogen' elkaar kruisen, bedrijven vaak de neiging hebben om dat te doen: het ene doel kan het andere versterken.
Samenwerking was niet geheim
Het CBS en T-Mobile waren niet bepaald geheimzinnig over de samenwerking. Sterker nog: het stond openbaar op de site van het CBS. Daar stond ook een link bij naar de gebruikte methode. Daarin staat dat gegevens dubbel worden gepseudonimiseerd, waarvan de tweede keer met een elke dertig dagen wisselende sleutel. Het CBS schat dat het veel moeite zou kosten om van een bepaalde persoon in een bepaalde dataset locaties te achterhalen; een kwaadwillende zou toegang moeten hebben tot minstens vier exacte locaties en tijdstippen op een dag. Het CBS vergeet te vermelden dat dat omgekeerd natuurlijk wel kan; aan de hand van locatiedata is te zien waar iemand woont en werkt, en daardoor is het makkelijker om het pseudoniem om te zetten in een echte naam.
Daarnaast wilde het CBS de dataverzameling wettelijk laten vastleggen om zo zeker te weten dat er geen juridische problemen van zouden komen. Dat was nog niet gebeurd, omdat het met T-Mobile immers om een pilot ging.
:strip_exif()/i/2004215802.jpeg?f=imagenormal)
Bovendien was T-Mobile niet de eerste provider die samenwerkte voor dataverzameling voor onderzoek naar mobiliteit. Vodafone leverde jarenlang geanomimiseerde data aan bij onderzoeksbureau Mezuro. Die gebruikte het CBS ook, bijvoorbeeld voor publicaties over het aantal bezoekers in Amsterdam tijdens Koningsdag. "Dit bedrijf is gespecialiseerd in het verwerken en analyseren van grote hoeveelheden telefoondata, die afkomstig zijn van het mobiele netwerk van Vodafone. Deze data worden vervolgens door Mezuro omgevormd tot maatschappelijk waardevolle informatie over de mobiliteit van (groepen) mensen." Vodafone en Mezuro begonnen ermee in 2012. In 2018 stopte Vodafone met het leveren van data.
Het probleem zit dan ook niet erin dat T-Mobile geaggregeerde, anonieme data aanlevert: dat deed Vodafone al bij Mezuro en zeggen hoeveel apparaten verbinding hadden met een bepaalde zendmast levert geen juridische problemen op. Probleem is dat CBS-medewerkers toegang hadden tot data voorzien van een pseudoniem, die dus wel tot een enkele simkaart en met gebruik van locatiedata ook tot een persoon te herleiden kunnen zijn geweest. T-Mobile heeft daar bovendien geen toestemming aan klanten voor gevraagd.
Reacties CBS en T-Mobile
Het CBS en T-Mobile ontkennen beide dat er iets onrechtmatigs is gebeurd. "Het CBS heeft geen toegang gehad tot individuele gegevens van personen en heeft nooit de intentie mensen te kunnen of willen volgen. De gegevens waar het om gaat geven bovendien geen exacte plaatsbepaling aan", aldus het statistiekbureau.
Dat strookt niet met wat er in diverse van de documenten van NRC staat. Zo spreekt deze mailwisseling over de koppeling tussen gegevens van het CBS en T-Mobile over de mogelijkheid die koppeling tot stand te brengen door 06-nummers.
Daarnaast is er nog een WhatsApp-groepsgesprek 'Fast Furious Statistics' van CBS-medewerkers, waarin duidelijk te lezen is dat de medewerkers werken met IMSI-nummers, de unieke identificatienummers van individuele abonnees. Het CBS gebruikte dat om herkomst uit landen te herleiden. "O ja IMSI bestaat uit 15 tekens de eerste drie zijn de MCC (identificatienummer van provider, red.). Echter wat ook nuttige informatie is, zijn de digits erna. Dit zijn de werelddelen waarbij 0 test is en code 9 staat voor satelliet en Antartica." Op 31 maart 2020 stelt iemand voor om imsi's te versleutelen, omdat dat zou moeten van een privacytoezichthouder. Imsi's zijn gekoppeld aan individuele abonnees.
T-Mobile beroept zich op hetzelfde in een topic op het eigen forum gestart door tweaker juliank. "Het is dus apert onjuist dat het CBS toegang had tot individuele persoonsgegevens en inzicht heeft verkregen in wie met wie in contact zou zijn geweest in welke vorm dan ook. In dit onderzoek zijn de geanonimiseerde en geaggregeerde netwerkdata exclusief en zonder daar vergoeding voor te ontvangen met het CBS gedeeld. T-Mobile onderstreept het belang van de CBS-onderzoeken, voor de bevordering van de leefbaarheid in Nederland en heeft daarom meegewerkt."
T-Mobile speelt hier dus duidelijk de 'maatschappelijk belang'-kaart bij zijn statement over dit onderwerp. Ook spreekt de provider over een vergoeding, maar NRC heeft niet geclaimd dat T-Mobile rechtstreeks geld ontving; het kon gebruik maken van de algoritmes en daar mogelijk aan verdienen. Waar het uiteindelijk dus om gaat, is dat vijf CBS-medewerkers op laptops van T-Mobile in het gebouw van de provider datasets hadden met gegevens onder pseudoniem.
Gevolgen
Klanten van T-Mobile hebben niets geweten over deze pilot; de provider koos ervoor om erover te zwijgen. Sterker nog: toen er een hoorzitting was in de Tweede Kamer over het gebruiken van locatiedata van providers om de verspreiding van het virus in de gaten te houden, was T-Mobile een felle tegenstander. "Wie garandeert dat deze gegevens niet door nieuwe technieken, of door het combineren met veel andere databronnen, alsnog herleidbaar zijn? In zo’n geval liggen de persoonsgegevens van onze klanten alsnog op straat en dat is echt onacceptabel voor ons. Niemand weet hoe dan. Zonder stempel van goedkeuring van het Autoriteit Persoonsgegevens is niet van ons te verwachten dat wij de data zomaar afstaan." Dat deed T-Mobile op dat moment ook niet meer; de pilot was gestopt op 1 april vorig jaar.
Een direct gevolg voor klanten is er niet, maar in reactie op het bericht zeggen veel klanten te overwegen een abonnement op te zeggen. Het is de vraag hoeveel dat gebeurt: in overwegingen van klanten spelen meer factoren een rol dan privacy en schending van vertrouwen, waaronder prijs en service.
Het is in elk geval imagoschade in de ogen van sommige consumenten voor het CBS en T-Mobile. Hoewel het verzamelen en gebruiken van statistieken op basis van locatiedata van providers prima anoniem zou kunnen, is het nu een onderwerp dat beladen raakt door dit verhaal. Het CBS ziet locatiedata als goede bron voor statistieken voor gemeenten, maar de kans dat er nu makkelijk samenwerkingen komen met providers wordt kleiner.
Een verrassing is dat niet: T-Mobile schatte van tevoren al in dat het pilotproject een PR-risico was. Zo blijkt uit een CBS-mailwisseling dat de provider de pilot mogelijk om die reden wilde stopzetten. "Door nieuwe wetgeving is de mogelijkheid om T-Mobile te verkopen door Deutsche Telecom aan andere buitenlandse partijen lastiger geworden. T-Mobile is zich daarom in 2019 gaan richten op groei en is daarmee de tweede operator geworden. Voor 2020 staan er een aantal belangrijke strategische doelen op de agenda naast de activering van het 5G netwerk. De focus op deze doelen door de board is zo sterk dat alle risico’s op het gebied van PR nu systematisch worden weggestreept."
Dat wegstrepen van dat risico is duidelijk niet gelukt. Wat nu rest is het onderzoek van de Autoriteit Persoonsgegevens naar wat er is gebeurd. Daar komt mogelijk een waarschuwing of een boete uit voort, want er zijn veel aanwijzingen dat CBS-medewerkers wel degelijk toegang hadden tot individuele gegevens. Maar het CBS en T-Mobile betalen ook een andere boete, namelijk in imagoschade. Dat is een boete die geen bedrijf of overheidsinstantie graag betaalt.
/i/2004654266.png?f=fpa)
:strip_exif()/i/2004293636.jpeg?f=fpa)
/i/1399377471.png?f=fpa)
:strip_exif()/i/2003837294.jpeg?f=fpa)
:strip_icc():strip_exif()/u/567214/crop60759ec284fe4_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/46233/art_planet_60x60.jpg?f=community){kind=small}
/u/763847/crop57206071c0978_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/168028/metal-fox-2.jpg?f=community){kind=small}
/u/32247/jayce.JPG?f=community){kind=small}
:strip_exif()/u/382442/crop5bb654253fa3d_cropped.gif?f=community){kind=small}
:strip_exif()/u/47900/baph.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/25132/kaypro-mini.jpg?f=community){kind=small}
:strip_exif()/u/324634/crop659fcf9abb18b_cropped.gif?f=community){kind=small}
.
/u/314906/crop68a5aa8bdd674_cropped.png?f=community){kind=small}