Het ‘anonimiseren’ van data om de privacy te beschermen is niet zo betrouwbaar als veel bedrijven ons willen doen geloven. Dat blijkt uit Brits/Belgisch onderzoek.
Of het nu om apps of sensoren voor internet of things gaat. Of om zoek-, transport- of gezondheidsdata: bedrijven registreren steeds meer menselijk gedrag, en dit in digitale vorm. Meer dan eens worden die persoonlijke data doorgespeeld of -verkocht aan andere bedrijven, maar dan wel doorgaans met de belofte dat die data anoniem worden gemaakt. Op die manier zou de privacy gegarandeerd blijven, waar die data ook terechtkomen.
Verbinden
Maar bij dat anonimiseren knelt nu net het schoentje. Onderzoekers van UCLouvain en Imperial College in Londen konden namelijk aantonen dat computers vaak wel het individu achter die anonieme data te weten kan komen. En dat dat anonimiseren van data dus vaak niet zo feilloos is als velen zouden vermoeden.
Het onderzoek door de twee onderzoeksinstellingen toont aan dat een algoritme vrij nauwkeurig kan inschatten tot welke persoon een reeks gegevens behoren. Het blijkt vlotter dan gedacht om naam en profiel te verbinden aan een reeks anonieme data. Het betreffende onderzoek staat in het vakblad Nature Communications.
Algoritme
Het algoritme dat de onderzoekers van van UCLouvain en Imperial College uitdokterden, bepaalt de waarschijnlijkheid dat een combinatie van kenmerken volstaat om één enkele persoon uit enkele miljarden mensen te identificeren.
De onderzoekers toonden aan dat het met slechts vijftien stukjes informatie het mogelijk is om 99,98 procent van de Amerikanen in elke databank correct te identificeren. Met de nationaliteit als zestiende kenmerk kan dit percentage zelfs op de hele wereldbevolking worden toegepast.
De impact van het onderzoek is behoorlijk groot. ‘Zodra uw gegevens geanonimiseerd zijn, kunt u er geen enkel recht meer op laten gelden. Daarom zou er maar een heel kleine kans mogen bestaan op identificatie’, vertelt de Belgische onderzoeker Yves-Alexandre de Montjoye in De Tijd. ‘Maar wij hebben net het tegengestelde aangetoond’, stelt de Montjoye, die de Computational Privacy Group leidt aan het Imperial College.
