fruit

citroen

fruit

peer

Feiten 3 van 10: “Het is niet altijd mogelijk om het risico van her-identificatie te verlagen onder een eerder bepaalde drempel en tegelijkertijd een betekenisvolle data set te behouden voor specifieke verwerkingen.”

Anonimiseren is een proces dat zoekt naar de juiste balans tussen het reduceren van risico op her-identificatie enerzijds, en de bruikbaarheid van datasets voor de beoogde doelbinding anderzijds. Echter zijn, afhankelijk van de context en de oorsprong van de data, de her-identificatie risico’s onvoldoende te verminderen en beheersbaar.

Een situatie kan voorvallen wanneer een totaal aantal van mogelijke individuen te smal is gedefinieerd. Zodra er categorieën in de data grote verschillen kennen tussen individuen dan is Singling Out mogelijk.

Her-identificatie en Singling Out, alleen bij gegevensmisbruik?

Her-identificatie of Singling Out gebeurt sneller dan je denkt. Er hoeft ook zeker niet altijd sprake te zijn van (bewust) misbruik van gegevens of een ongevraagde inbraak op gegevens. Het gevaar komt dus absoluut niet alleen van buitenaf!

Op basis van voorgaand genoemde smalle selectie is het bijvoorbeeld eenvoudig herkenbaar aan de hand van de koppeling van een database met vingerafdrukken, verkregen voor toegang doeleinden. Minder herkenbaar is het door combinatiemogelijkheden en / of stapeling van een groot aantal demografische attributen of locatie data.

Stapeling van gegevens uit verschillende gegevensbronnen, vanuit verschillende eigenaren en met verschillende doelbinding maakt Singling Out zo simpel dat het een aan zekerheid grenzende waarschijnlijkheid wordt. Gegevens Stapeling is veelal onzichtbaar voor de interne organisatie, het is dus cruciaal om probate maatregelen te treffen en deze periodiek ook te toetsen aan effectiviteit.

Bewust onbekwaam, Onbewust bekwaam, Onbewust onbekwaam?

Hoe je het ook wendt of keert, deze processen zijn beheersbaar te maken.

Zorg allereerst voor toestemming voor de verwerking van gegevens, geef direct duidelijkheid in het doel van de vastlegging(en). Zorg voor goed gedocumenteerde systemen en processen. Leg niet alleen de data vast in de applicaties zelf, maar ook wáár die data wordt opgeslagen. Zorg voor eigenaarschap en richt de juiste verantwoordelijkheden in. Last-but-not-least: zorg voor een werkend de-escalatie protocol wanneer er iets fout (dreigt) te gaan.

fruit

citroen

fruit

peer

Feiten 2 van 10: Encryptie is geen anonimiseringstechniek, maar kan een krachtige pseudonimiseringstechniek zijn.

In het proces van encryptie worden sleutels gebruikt om informatie te transformeren zodat het risico op misbruik wordt geminimaliseerd, tegelijkertijd is hierdoor de vertrouwelijkheid voor een bepaalde periode gewaarborgd.

De oorspronkelijke gegevens moeten toegankelijk blijven, de voor transformatie toegepaste encryptie algoritmes zijn zo ontworpen dat ze omkeerbaar zijn. Dit staat bekend als decryptie. De sleutels die gebruikt worden voor decryptie zijn de eerder genoemde “aanvullende informatie” (zie Overtuigingen 1). Deze maken de persoonsgegevens weer leesbaar en is als gevolg daarvan persoonsidentificatie ook weer mogelijk.

Encryptie wordt begeleid door een uitgebreid en afgewogen beveiligingsproces om de risico’s van decryptie te mitigeren. Vaak wordt gekozen voor het onderbrengen van encryptie data bij een Trusted Third Party (TTP). Er wordt dan gesproken van een “Chinese Muur”, om de ondoordringbaarheid te illustreren.

Encrypted data is anonieme data?

Theoretisch kan gedacht worden dat encryptie sleutels of encrypted data anoniem is, dit is niet het geval. De aanname dat encrypted data niet kan worden decrypted omdat de sleutel is “verwijderd” of “onbekend” is risicovol. Er zijn talloze risicofactoren van invloed op de veiligheid van encrypted data, in het bijzonder op de lange(re) termijn.

Onder deze factoren vallen bijvoorbeeld de sterkte van het encryptie algoritme en die van de sleutel zelf, informatielekken, implementatie aspecten, de hoeveelheid encrypted data en technologische vooruitgang (bijvoorbeeld quantum computing).

Encryptie heeft als doel om data te versleutelen, lees: onleesbaar te maken voor misbruik, dat gebeurt op basis van standaarden. De kracht is ook de zwakte en het fundament voor de tijdelijkheid. Het is en blijft een risico-afweging ten opzichte van het doel.

Kan encrypted data gestolen worden?

Encryptie of cryptografie voorkomt niet dat data gestolen kan worden. De data is onleesbaar gemaakt door “geheimtaal”. De data is na encryptie versleuteld op basis van een bepaald algoritme (cipher suite). Globaal loopt het proces via twee cryptografie soorten: symmetrische encryptie of asymmetrische encryptie.

Hashing wordt vaak ook onder encryptiemethodes geschaard. Feitelijk is hashing geen encryptie omdat het proces van hashing (in principe) niet omkeerbaar is.

Herkent u afwegingen of uitdagingen rond dit onderwerp, plan een gesprek in met Radar Data. We onderzoeken graag samen hoe wij u van dienst kunnen zijn!

fruit

citroen

fruit

peer

Feiten 1 van 10: Pseudonimiseren is niet hetzelfde als anonimiseren.

Binnen de AVG is pseudonimiseren gedefinieerd als “het verwerken van persoonlijke data op een zodanige wijze dat persoonsgegevens niet meer gerelateerd kunnen worden aan een individu zonder het gebruik van aanvullende informatie”. “Dit onder de voorwaarde dat deze aanvullende informatie apart opgeslagen is en bovendien onderworpen is aan technische en organisatorische maatregelen waardoor verzekerd is dat persoonsgegevens niet meer gerelateerd zijn aan een geïdentificeerde of te identificeren natuurlijke persoon.” Dit betekent dat het gebruik van aanvullende informatie kan leiden tot de identificatie van individuen, reden waarom gepseudonimiseerde persoonlijke data nog altijd valt onder persoonsgegevens.

Aan de andere kant van het spectrum staan anonieme data die niet herleidbaar zijn naar specifieke individuen. Wanneer data daadwerkelijk anoniem is en personen niet langer identificeerbaar zijn, dan valt deze data niet binnen de scope van de AVG.

Is geanonimiseerde data altijd anonieme data?

Daarvoor stellen we allereerst de oorsprong vast van de data, bovendien beoordelen we een aantal fasen binnen de informatie levenscyclus: Verzamelen, Gebruiken, Verstrekken en Opslaan. Per fase ligt een aantal wegingsfactoren rond eenvoudige vragen als: Is er toestemming gevraagd en verleend? Tot aan de laatste fase van de Informatie Levenscyclus: de gegevens Verwijderen.

Onregelmatigheden in deze onderdelen zijn er vaak, veelal onbewust. Zo wordt bijvoorbeeld niet altijd toestemming gevraagd of verleend. Doorgaans gebeurt dit op basis van generieke mededelingen op een website. Daarbij wordt niet vrijgeven van de beoogde onderzoeksdoelstellingen. Gegevens worden op 4 tot 10 verschillende plekken bewaard. Dat is niet altijd bekend, evenmin is niet altijd helder waar de gegevens opgeslagen zijn en of dat veilig gebeurt. Het “verwijderen” van gegevens kan dus leiden tot latente backups.

Hoe stel ik vast of data onder de AVG valt en gebruikt mag worden?

Beter is de vraag: Wat zijn de risico’s en hoe richten we van begin tot eind een zorgvuldig proces in? Daar zijn methoden en technieken voor. Algemeen zijn er voor anonimiseren twee opties: Synthetische data generatie en Data maskering. Laatstgenoemde gebruikt functies als Shuffle, Scramble, Blank etc. Maskering draait om hergebruik van data in databases. Data generatie creëert nieuwe data die nog niet bestond. Een derde methode is een hybride aanpak: Genereer synthetische data als maskeer techniek om bestaande data te vervangen.

Anonimiseren is lastig en wordt snel lastiger door technologische ontwikkelingen. Er zijn goede voorbeelden van het verwerken van anonieme data. Een redelijk uniek succesvol voorbeeld is het Centraal Bureau voor de Statistiek (CBS). In de wet is het Centraal Bureau voor de Statistiek aangewezen als organisatie voor het produceren van statistieken voor beleid en onderzoek. CBS is maatgevend als het gaat om het toepassen van technieken voor het anonimiseren van gegevens.

Uw situatie bespreken en meer te weten komen? Maak een afspraak!

fruit

citroen

fruit

peer

Anonimiseren, AVG niet van toepassing?

De AVG spreekt niet over anonimiseren. Logisch ook, immers anonieme data bevatten geen persoonsgegevens. De AVG gaat over (verzamelen, gebruiken, verstrekken, opslaan en verwijderen van) persoonsgegevens. Anonimiseren is het bewerken van persoonsgegevens zodat deze niet meer herleidbaar zijn naar de betrokken belanghebbende natuurlijke persoon. Anonieme data is op geen enkele manier te koppelen aan een individu. Data die compleet anoniem is valt niet onder de AVG.

Anonimiseren noemt men ook wel datamasking. De methode beoogt persoonsgegevens zodanig te verwerken dat deze niet meer te gebruiken zijn om een persoon te identificeren. De oorspronkelijke data moeten hierna verwijderd, de bewerking van anonimiseren moet onomkeerbaar zijn.

Strik eromheen, niets meer aan doen?

Als we bovenstaande iets anders verwoorden, dan komen we tot data die zijn verzameld, gebruikt, opgeslagen, verstrekt en verwijderd. Alhoewel wetgeving doorgaans zorgvuldig gedefinieerd is om duidelijkheid te verschaffen, is deze zelden zo zwart wit als je zou willen. Buiten het proces van anonimiseren zelf zijn er nog meer aspecten te benoemen die als anachronisme zijn te kwalificeren. Dat laatste vooral om het beschaafd en vriendelijk te zeggen, laten we het benoemen als genuanceerd.

Een anachronisme is iets dat niet helemaal (meer) in de beschreven tijd past. Of helemaal niet meer in de tijd past. Een al dan niet gewilde inbreuk op of breuk in de chronologische samenhang van de beschreven toestanden of gebeurtenissen. Een anachronisme bestaat bijvoorbeeld uit het in een onjuiste tijd plaatsen van concepten, personen, begrippen, gebeurtenissen, voorwerpen, gebruiken, uitdrukkingen, woorden, gebruikte technologie, (wijsgerige) opvattingen, muziek, kleding, materialen, planten en dieren. Alles wat in verband staat met een bepaalde tijd (bron: Wikipedia).

Voortschrijdend inzicht?

Wie terugkijkt op enige ervaring in het werkveld van de ICT weet zonder twijfel dat een anachronisme als “voortschrijdend inzicht” door het leven gaat. Dat is een mooie bedekte term, die op een vriendelijke manier richting wil geven aan een wijzende vinger naar iets dat niet (helemaal) goed is gegaan, of (helemaal) niet goed. Onder alle omstandigheden dient men te vermijden te spreken over fout of helemaal fout, dat is taal voor de adviseurs en commissies.

Hoe je er ook naar kijkt, of het wijsheid is of besluiteloosheid, waar zekerheid over bestaat is dat omstandigheden veranderen en technologie ontwikkelt. Dat laatste gaat in een razendsnel tempo dat voor de gemiddelde burger al niet meer bij te houden is. Te verwachten dat de wetgeving daar tijdig op anticipeert is zo waar nog onmogelijker.

Wet van behoud van ellende

De AVG is dus geen behoudswet, externe factoren zijn voortdurend in de aanval om te zoeken naar mogelijkheden om data tot het uiterste in te zetten. Wie het voor de ICT heeft bedacht is onbekend, maar ik hoorde al snel na mijn veld introductie over “de wet van behoud van ellende.”

Radar Data wil deze wet, waarbij in een gesloten systeem de totale hoeveelheid ellende constant is, doorbreken. Om te beginnen met een blogreeks over misverstanden rond anonimiseren, blijft u dus vooral lezen als u hiermee te maken heeft …

Dit is blog 1 van een reeks van 11.

fruit

citroen

fruit

peer

Winnaar internationale fotografieprijs weigert award?

De Duitse kunstenaar Boris Eldagsen heeft een internationale fotografieprijs geweigerd. De foto die hij heeft ingestuurd is gemaakt met behulp van Artificial Intelligence (AI). De foto won de Sony World Photography Award (SWPA), Open Competition, Creative Category 2023. Het gaat om een zwart-wit dubbelportret, door de kunstenaar met AI software gegenereerd.

Het dubbelportret roept direct vragen op. Het is een merkwaardig beeld, met een vreemde sfeer.

Het is niet de bedoeling geweest om met een valse inzending een prijs in de wacht te slepen, want de kunstenaar vraagt om het prijzengeld toe te kennen aan het fotofestival in Odessa, Ukraine. Het ging om het starten van een publieke discussie, want in de ogen van de maker is de inzending geen foto.

Ceci n’est pas une photo?

PSEUDOMNESIA | The Electrician | Boris Eldagsen 2023

De SWPA staat inzending met gebruik van “any device” toe. De titel van het werk is PSEUDOMNESIA | The Electrician. Door de maker vrij vertaald in het Engels als “fake memory”.

Zelfs na zijn uitleg over de totstandkoming van de afbeelding mocht hij de prijs behouden. Het verzoek om een publiek debat over de risico’s en kansen van AI image generators werd genegeerd.

Boris Eldagsen is geen nieuweling, hij fotografeert al sinds 1989 en is al vanaf 2000 bezig met fotomedia. De complexe handeling van het verfijnen van text prompts, de ontwikkeling van complexe workflows en toepassing van verschillende platforms en technieken om zo een afbeelding te creëren. Deze werkwijze is zelfs publiek beschikbaar gemaakt https://www.promptwhispering.ai/ Geen fotografie, maar promptografie of promptography.

Promptography?

Het product van promptography is een afbeelding, tot stand gekomen vanuit een werkwijze waar de fotografie als een visuele taal wordt gebruikt.

Deze uitnodiging tot een dialoog maakt op een toegankelijke, visuele manier zichtbaar welke rol technologie speelt in ons leven. Het gaat niet om de vraag of iets een foto is of niet.

Het zou mooi zijn om op dezelfde eloquente manier rond data management en governance een opening te creëren. Grijpen kunstenaars en filosofen hun rol in dit debat?

fruit

citroen

fruit

peer

Nee? Wij ook niet, tenminste niet als in bijvoorbeeld Business Process Management of andere deelprocessen waar structureel beheer en optimalisatie essentieel zijn. Er is geen standaard voor Data Management, of het zou Data Governance moeten heten. Bestaat er een nood aan Business Data Management? In onze ogen wel en wij verwachten dat er in de toekomst ook een standaard of zelfs wetgeving voor wordt geschreven.

Data als een asset beschouwen, maar het staat vrijwel nooit op de balans. Data als de nieuwe olie, het nieuwe goud. Datagedreven werken, maar bent u werkelijk datagedreven aan het werk of wordt u gedreven door data? Het is niet fijn om toe te geven, maar het eerste is redelijk onzeker en het tweede vermoedelijk de werkelijkheid.

Waarom zorg dragen voor een borging van Data Management?

Binnen de domeinen van Data Privacy en Data Protection zijn wettelijke vereisten vastgelegd aan hoe we om moeten gaan met data. Uiteindelijk ontstaan door een ingreep uit nood: er was sprake van of er dreigde misbruik van (persoons-) gegevens. De illusie dat het bij persoonsgegevens niet verder gaat is al gebarsten. Dagelijks zien we de razendsnelle ontwikkelingen rond Artificial Intelligence en toepassing van algoritmen.

Voor het Data Management proces en Data Governance is het cruciaal om periodiek zorgvuldig door te meten. Een Data Management Lifecycle, die de stappen meet van ontwerp, modellering, uitvoering, monitoring en optimalisatie. Dat klinkt op voorhand zo gek nog niet, op minder essentiële processen is het veelvuldig toegepast. Waarom dan bij Data Governance nog niet, of zeer beperkt?

Waarom wachten op wet- en regelgeving?

Een Data Management Assessment geeft structuur en kaders. U definieert heldere doelen. Weten wat moet, wat gewenst is en waar de grenzen liggen. Voor iedereen periodiek signalering: zijn we goed bezig of moeten we bijsturen?

Een Data Management / Data Governance Assessment kan op elk moment uitgevoerd worden. Advies is om deze assessments periodiek te herhalen en de data centraal te zetten. Meten is weten. Neemt u de stap?