Rob Honing en Edwin Kusters van Pseudonimiseer

‘Wij maken klantanalyses mogelijk met bescherming van hun privacy’

De winkelier die wil weten hoe vaak bezoekers terugkomen in zijn winkel. De Belastingdienst die frauderende leaserijders wil ontmaskeren: Organisaties die zich met dergelijke vraagstukken bezighouden, lopen vaak tegen de grenzen van de privacywet aan. Het bedrijf Pseudonimiseer is gespecialiseerd in technische oplossingen voor zulke privacydilemma’s. “Door persoonsgegevens te versleutelen kunnen onze opdrachtgevers klant- en gedraganalyses maken en toch de privacy van hun klanten en doelgroepen beschermen”, aldus de oprichters Edwin Kusters en Rob Honing.

                                                                                                              Tekst: René Schellingerhout / Sytske van der Sluis
                                                                                                              Fotografie: Rogier Steyvers

Het westelijk havengebied in Amsterdam is de thuishaven van Pseudonimiseer. De winnaar van de ‘SPN Innovatie Award 2015’ deelt een modern pand met weids uitzicht op het IJ met het performance improvement bedrijf Hot ITem. Rob Honing is er verantwoordelijk voor de Marketing en Sales:

16 17 18 en 19 Edwin Kusters en Rob Honing Pseudonimiseer 2 “Hot ITem bestaat zeventien jaar en werkt van oudsher veel met data voor marketing- en salesdoeleinden. Twee jaar geleden klopte een telecombedrijf bij ons aan. Op hun website stond een FAQ videodienst. Op deze video’s konden klanten zien hoe ze bijvoorbeeld een modem moesten aansluiten. De gedachte was dat dit tot minder telefoontjes naar het callcenter zou leiden. Ze wilden van ons weten of dit ook echt zo was. Je kunt die vraag beantwoorden door het klik- en belgedrag van klanten aan elkaar te koppelen. Je ziet dan of bijvoorbeeld Rob Honing op de website is geweest, welke video hij heeft bekeken en of hij daarna nog heeft gebeld. Maar de juridische afdeling zei: ‘dit mag niet’. Het is in strijd met de telecomwet en met de Wet bescherming persoonsgegevens.

Toen zeiden Edwin en ik tegen elkaar; ‘als dit bij hen niet mag, dan lopen nog veel meer bedrijven tegen dezelfde juridische muur op.’ Toch wilden we iets bedenken om een analyse te kunnen uitvoeren die de vraag beantwoordde. Daarbij was het uitgangspunt dat het voor de klant niet noodzakelijk was om te weten wie de website heeft bezocht en wie heeft gebeld, maar of dat is gebeurd. Uiteindelijk is besloten om pseudoniemen te gebruiken. We hebben een pilot gedefinieerd die antwoord gaf op de vraag. Na de pilot hebben we een Trusted Third Party opgericht met de naam Pseudonimiseer. Zo is het balletje gaan rollen.”

Piketpaaltjes
16 17 18 en 19 Edwin Kusters en Rob Honing Pseudonimiseer 3Deze pilot legde de basis voor de huidige diensten van Pseudonimiseer. Het bedrijf is in de twee jaar van haar bestaan veel wijzer geworden over de wijze waarop klanten naar privacy kijken, stelt Kusters, die verantwoordelijk is voor de technische concepten. “Klanten denken bij privacy nog sterk in juridische kaders. Die kaders zijn vastgelegd in de Wbp, met uitgangspunten als dataminimalisatie en proportionaliteit. Het zijn piketpaaltjes die aan de rand van de afgrond zijn geplaatst. De vraag is of je als bedrijf steeds die grens moet opzoeken. Als je Google bent waarschijnlijk wel, want hun verdienmodel is gebaseerd op het maximaliseren en gebruiken van persoonlijke data. Maar voor veel business-to-consumer bedrijven in Nederland is dat helemaal niet de essentie van hun verdienmodel. Als je als bedrijf dan toch tot het gaatje wilt gaan, loop je een groot risico op imagoschade. Want je kunt juridisch gezien wel aan de goede kant van de afgrond blijven, als consumenten vinden dat je hen als bedrijf een streek hebt geleverd, is het goed mis.” Toch gaan bedrijven volgens Kusters vaak onbewust over die grens heen. “Als een medewerker zijn usb-stick in de trein laat liggen met adresgegevens van klanten, biedt zijn werkgever excuses aan en zegt dat het nooit meer zal gebeuren. Maar als er mensen bij betrokken zijn, gaat het zeker weer gebeuren. De vraag moet niet zijn waarom mensen usb-sticks in treinen achterlaten. De vraag zou moeten zijn: waarom staan er op usb-sticks leesbare persoonsgegevens? Die vraag stellen we met zijn allen veel te weinig. In gesprekken met ons geven klanten aan dat ze persoonsgegevens vasthouden omdat ze daarmee meerdere bestanden kunnen combineren. Het blijkt vaak niet relevant dat het over Jantje of Pietje gaat. Wat ze wel willen weten is of klanten die product A en B hebben gekocht ook C kopen.

‘De vraag zou moeten zijn; waarom staan er op usb-sticks leesbare klantadressen?’

Realtime
Pseudonimiseer levert diensten waarmee klanten gedragsanalyses en klantprofielen kunnen maken zonder daarbij de privacy van mensen te schenden. Deze diensten zijn gebaseerd op de basisdienst van Pseudonimiseer (zie kader). Een daarvan is de realtime streamingdienst. Kusters: “Er is in Nederland veel discussie over location based services zoals wifi-tracking. Hiermee kan bijvoorbeeld worden bepaald hoe lang iemand in een winkelcentrum is geweest, voor welke etalage hij heeft gestaan, et cetera. Maar ook de instroom en uitstroom van menigten op bijvoorbeeld dancefestivals of Koningsdag is ermee te volgen. Veel bedrijven die voor winkelcentra meet- en volgapparatuur leveren, gebruiken MAC-adressen. Dit zijn unieke identificatienummers voor apparaten die zijn aangesloten op een netwerk. Dat is een herleidbaar persoonsgegeven, want de politie kan bij een telecomprovider het MAC-adres van een smartphone opvragen en zo relatief eenvoudig de identiteit van de gebruiker achterhalen. Onze realtime streamingvariant voorkomt dat MAC-adressen überhaupt worden opgeslagen. Winkeliers bijvoorbeeld die onze streamingdienst gebruiken, slaan het MAC-adres van hun trackingapparaat niet meer op in hun bestand, maar leveren dat adres vanuit het geheugen van het trackingsysteem realtime aan ons. De aangeleverde software zet het MAC-adres om in een hash, die naar ons wordt doorgestuurd. De hash van dit MAC-adres is voor ons niet leesbaar. Van dit gehashte MAC-adres maken wij een pseudoniem. Hiermee kunnen wij voor een vooraf bepaalde periode een toestel volgen. Dit toestel is niet identificeerbaar via een MAC-adres maar via een pseudoniem. We kunnen bijvoorbeeld een uur later voor hetzelfde MAC-adres een nieuw pseudoniem maken. Zo worden er geen gegevens meer verzameld die over langere periodes gecombineerd kunnen worden. Hiermee minimaliseren we de kans op herleidbaarheid. En waarborgen we de privacy van bezoekers.

‘Onze realtime streamingvariant voorkomt dat MAC-adressen überhaupt worden opgeslagen’

Kusters benadrukt dat pseudonimiseren niet te verwarren is met anonimiseren. “Als de eigenaar van een winkelcentrum wil weten hoeveel bezoekers er zijn geweest, moet hij gewoon de aantallen optellen. Als dat genoeg is om de analysevraag te beantwoorden, heeft anonimiseren de voorkeur boven pseudonimiseren. Bij anonimiseren verwijder je rücksichtlos alle identificeerbare gegevens. Dan zijn bestanden ook niet koppelbaar met andere bestanden. Je weet in dit voorbeeld dan alleen dat er iemand in het winkelcentrum is geweest en nog iemand en nog iemand. Maar je weet niet of het drie keer dezelfde persoon was of drie verschillende mensen. Bij Pseudonimiseer krijgt iedere bezoeker een unieke code. Is het drie keer dezelfde code, dan weet je dat het dezelfde persoon was.”

Leaserijders
16 17 18 en 19 Edwin Kusters en Rob Honing Pseudonimiseer 4Pseudonimiseer biedt ook een filterdienst die geschikt is voor bijvoorbeeld fraudeopsporing. Hierbij ontvangt het Amsterdamse bedrijf van meerdere partijen alleen hashes en versleutelde gegevens. Die informatie wordt op basis van een whitelist gefilterd waardoor alleen die regels overblijven met relevante individuen. “Hiervoor zijn veel toepassingen te bedenken. Een actueel voorbeeld waar deze dienst toegepast zou kunnen worden, is de Belastingdienst die frauderende nul kilometer leaserijders wil opsporen. Ze mag van de rechter alle kentekens en parkeergegevens opvragen van grote parkeerorganisaties. Je kunt je als Nederlander die geen nul kilometer leaserijder is afvragen waarom de Belastingdienst al je parkeergegevens krijgt. Die kan dan zien waar, wanneer en voor hoe lang je parkeert in Amsterdam. Voor de Belastingdienst is er geen enkele reden om van iedereen die gegevens te verzamelen. Met onze whitelist of opt-in dienst levert de Belastingdienst ons in dit voorbeeld kentekens van 0-kilometer leaserijders. Die gegevens ontvangen wij met een hash, dus wij krijgen geen leesbare kentekens. Wij slaan deze gegevens op in een whitelist, een soort digitale kluis met hashes van kentekens waarvoor controle relevant is. Vervolgens leveren de parkeerorganisaties hun parkeergegevens aan ons in plaats van rechtstreeks aan de Belastingdienst. Daarbij maken we onderscheid tussen ‘wie’ en ‘wat’. In ‘wie’ leveren de parkeerorganisaties het gehashte kenteken en in het ‘wat’ het leesbare kenteken. De parkeerorganisaties gebruiken dezelfde hash als die van de Belastingdienst. Wij ontvangen deze gegevens wederom onleesbaar. We bekijken vervolgens of het gehashte kenteken in ‘wie’ ook in de lijst staat die de Belastingdienst heeft aangeleverd. Zo nee, dan gooien we die regel weg. Is er wel een match, dan leveren we die regel aan bij de Belastingdienst. De Belastingdienst krijgt dus alleen maar gegevens van nul kilometer leaserijders.

‘Wij krijgen geen leesbare, tot de persoon identificeerbare gegevens’

Missiewerk
Bedrijven kunnen problemen met de privacywetgeving grotendeels voorkomen door het thema privacy vroeg in het productontwikkelingsproces mee te nemen, beklemtoont Honing. “Dat gebeurt nu nog weinig. De meeste ideeën voor nieuwe producten en diensten komen van afdelingen als productmarketing en productontwikkeling. Zij maken een concept en doen marktonderzoek waarbij ze vaak klantdata gebruiken. Daarna vragen ze de IT-afdeling of ze het concept kunnen maken. Die IT-afdeling gaat ermee aan de slag en vervolgens komt er nog iemand die zegt: wat we doen met klantdata moet dat niet even langs de juridische afdeling? En die laatste geeft dan aan dat dit wettelijk niet kan. Die traditionele werkwijze gebruiken veel bedrijven nog. Wij moeten daar nog veel missiewerk verrichten. Wel zie je dat het langzaam verbetert. Steeds vaker zitten bij de start van het productontwikkelingsproces ook IT en Juridische Zaken om tafel. Dat lijkt al op een privacy by design aanpak. Onze boodschap in die driehoek van productontwikkeling, IT en Juridische Zaken is dan ook; betrek privacy by design vanaf het begin bij je proces en organiseer dat goed.”

Basisdienst
In de basisdienst van Pseudonimiseer worden data onderverdeeld in ‘wie’ en ‘wat’. De verzamelaar van data (de klant) ontvangt software van Pseudonimiseer. Die software zet ‘wie’ om in een hash, een onleesbare code. Pseudonimiseer zet die hash vervolgens om in een pseudoniem. De ontvanger van het pseudoniem krijgt geen leesbare gegevens. Hij kan hiermee dus geen individuele personen  identificeren.

Het ‘wat’ wordt versleuteld en omgezet naar een code die alleen de organisatie kan lezen die gaat analyseren. Pseudonimiseer ontvangt dus geen leesbare data, alleen een onbegrijpelijke code die ze doorstuurt naar de ontvanger. Zo kan bijvoorbeeld de ijsfabrikant beter zien welke ijscombinaties goed verkopen en zijn combinaties afstemmen op de voorkeuren van klanten. De ijsfabrikant heeft daarmee antwoord op zijn vraag gekregen zonder dat hij de voorkeuren kent van de individuele ijsjeskoper.

Aanbevelingen Rob Honing en Edwin Kusters

  • Wees transparant over wat je met persoonsgegevens doet en waarom.
  • Met het recent aannemen van de – ‘Meldplicht Datalekken’, uitbreiding van de boetebevoegdheid van het CBP en de aankomende Europese verordening zou iedereen klaar of bezig moeten zijn met het implementeren van privacybeleid.
  • We willen steeds meer data over onze klanten hebben maar meer is niet per definitie beter als je hier niet goed mee omgaat.
  • Vraag je constant af welke schade aan personen kan worden toegebracht als jouw data in verkeerde handen vallen. Dit zou de maatregelen moeten bepalen en niet alleen wat je er mee zou willen doen.