24 nov
2016

De Autoriteit verduidelijkt standpunt over Big Data praktijk van Proximus

Naar aanleiding van haar standpunt over het aanbieden door Proximus van rapporten op basis van anonieme locatiegegevens van hun eindgebruikers, haalt Matthias Dobbelaere hard uit naar de Autoriteit (Data News 24/11). Hij laat verstaan dat ze haar verantwoordelijkheid in dit dossier niet neemt, gezien ze “niet gehinderd door enige technische kennis […] op enkele uren tijd kan beslissen dat dit geen inbreuk uitmaakt op de Privacywetgeving”. Deze kritiek is niet alleen feitelijk ongefundeerd, ook juridisch wordt de bal volledig misgeslagen.


Gesprekken met Proximus

Het laatste gesprek van de Autoriteit met Proximus, over de plannen die het had om commercieel rapportages op maat aan te bieden op basis van anonieme locatiegegevens, dateert van 12 juli van dit jaar. Het standpunt van de Autoriteit is dus niet op enkele uren tijd bepaald.

Ingenomen standpunt

Inhoudelijk is dat standpunt, dat tijdens bedoeld gesprek helder aan Proximus werd gecommuniceerd, helder en juridisch correct. Artikel 123 van de Wet Elektronische Communicatie laat operatoren van mobiele netwerken (Proximus of andere) o.m. toe om locatiegegevens die betrekking hebben op een abonnee of een eindgebruiker te verwerken wanneer de betreffende locatiegegevens anoniem zijn gemaakt.

Uit de technische uitleg die Proximus tijdens het gesprek heeft gegeven, is gebleken dat de individuele locatiegegevens die het bedrijf als basis gebruikt voor rapportages, effectief anoniem worden gemaakt, waarbij zelfs de technische identifiers van individuele mobiele toestellen elk uur worden geëncrypteerd. Iedere koppeling met enig klantgegeven, op analyse- of rapportageniveau, is voor de Autoriteit onder géén beding aanvaardbaar.

Bovendien werd als voorwaarde voor het opstellen van mobiliteitspatronen op basis van de aldus geanonimiseerde big data-sets gesteld dat als stamgegeven voor het identificeren van zulke patronen slechts kon worden gewerkt met voldoende geaggregeerde gegevens. Het werken met individuele locatiegegevens, zelfs indien ontdaan van elk klantgegeven en de technische identifier, werd veiligheidshalve door de Autoriteit dus niet aanvaard.

Proximus engageerde zich om slechts te rapporteren over gegroepeerde locatiegegevens van minstens 30 mobiele eindgebruikers. Bij de uiteindelijke rapportage vindt bovendien nog een extrapolatie plaats op basis van o.m. het marktaandeel van Proximus t.a.v. dat van andere operatoren.

Als Autoriteit denken we dus meer dan voorzichtig te zijn geweest, op basis van een gedegen technisch inzicht in de voorgenomen verwerkingen. Daarbij werd niet enkel gekeken naar de letter van de wet. Er werd ook rekening gehouden met alle nuttige principes inzake statistisch onderzoek (primaire anonimisering, aggregatie en extrapolatie), gekoppeld aan een absoluut verbod om in enige fase van het proces achterliggende klantgegevens aan te wenden.