1 maart 2021 - < 1 minuten leestijd
Veel gemeenten geven aan dat zij in hun smart cities alleen gebruik maken van “anonieme gegevens”. In veel gevallen bedoelen ze daarmee dat zij gebruik maken van gepseudonimiseerde gegevens. Ontslaat dit gemeenten van hun plicht om te voldoen aan de privacy wet- en regelgeving?
Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Gegevens kunnen alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens. Bij pseudonimisering gaat het echter nog steeds om persoonsgegevens. De gemeente is dus nog steeds verplicht te voldoen aan de privacywet en -regelgeving.
Ook al zou het zo zijn dat een gemeente uitsluitend anonieme gegevens verwerkt, ook dan moeten gemeenten zich realiseren dat geanonimiseerde gegevens makkelijker op personen terug zijn te voeren dan men veelal denkt. Onderzoekers van de Amerikaanse MIT-universiteit kwamen tot de conclusie dat je maar vier informatiepunten nodig hebt, zoals locaties of aankopen, om negentig procent van de individuen te kunnen identificeren.
Met het argument van gemeenten dat zij in smart cities “alleen maar anonieme gegevens verwerken”, zijn ze er dus niet. Gemeenten doen er in hun risicoanalyse goed aan, er vanuit te gaan dat zij met persoonsgegevens te maken hebben (en dat zij derhalve aan de privacy wet- en regelgeving moeten voldoen).
Wilt u alvast meer lezen over de privacy van de (smart) citizen in a smart city? Bestel dan het KNVI boek: Smart Humanity; de mens met 1-0 op voorsprong, verkrijgbaar via Managementboek.
Natascha van Duuren, advocaat/partner IT, IE & Privacy
Lees ook:
Deel 1: De privacy van de (smart) citizen in the smart city
Deel 2: Data, veel data
Deel 3: Anonieme persoonsgegevens?
Deel 4: Risico van structurele benadeling, onterechte uitsluiting of stigmatisering
Ook interessant?
