Door karma4: Ik verdiep me in de materie,
- de exacte tekst uit de GDPR heb je al. Wil je ontkennen dat dat bij lid26 in de betreffende wet staat?
Lid 26? Let eens op wat er voor en na dat deel van de tekst staat:
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
...
Overwegende hetgeen volgt:
[173 overwegingen waar (26) er een van is]
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
Het zijn dus overwegingen die ten grondslag liggen aan de wet, het is niet lid 26 van de wettekst maar overweging 26. Die bevat onder meer de zinnen:
Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.
Daar staat dat personen identificeerbaar zijn als het identificeren lukt met middelen waarvan redelijkerwijs verwacht kan worden dat ze worden ingezet. Sinds wetenschappers hebben beschreven hoe dat kan met geaggregeerde data is die niet meer anoniem maar identificeerbaar. Je kan discussiëren over de vraag hoe redelijk het is om te verwachten dat die techniek ook wordt ingezet door iemand die zijn hand op die gegevens kan leggen, maar zoals gezegd: WP29 heeft geconcludeerd dat de lat voor anonimiseren hoog ligt.
Dat bevalt het AP kennelijk niet dat geanonimiseerde data niet onder de GDPR valt.
De AP bevalt het prima dat geanonimiseerde data niet onder de AVG valt. Het punt is hier dat data waaruit persoonsgegevens te herleiden zijn per definitie niet als geanonimiseerd beschouwd worden. Ze voldoen namelijk niet aan het criterium dat direct of indirect identificeren niet mag lukken. Als dat wel lukt is het geen geanonimiseerde data, zelfs niet als jij wel gewend bent het zo te noemen.
Oeps, ik zie dat ik de verkeerde link van AP had geplakt. Ik had het over hetzelfde document. AP verwijst op deze pagina naar dat document en het genoemde onderzoek:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/gebruik-telecomdata-tegen-corona-alleen-met-wet 2014 Waar helder het verschil tussen pseudonimiseren en anonimiseren uitgelegd wordt.
En waar ook duidelijk wordt uitgelegd dat de lat voor anonimiseren erg hoog ligt. Nogmaals: het proces moet onomkeerbaar zijn, identificatie van een persoon mag niet meer mogelijk zijn. Als het wel lukt om personen te identificeren is het geen anonimiseren. Het gaat er niet om dat je een proces toepast dat je anonimiseren noemt, het gaat erom dat je ermee bereikt dat het echt niet meer lukt om gegevens over personen te pakken te krijgen. Het gaat niet om het labeltje maar om het effect. Dat verzin ik niet, dat kan je ook terugvinden in het WP29-document ("the focus is on the outcome").
Nu gaat het AP de definitie uit de GDPR ter discussie stellen wat het verschil is dan wel ze vinden het werk van de WP29 nutteloos en gaan er een eigen interpretatie aan geven.
Welnee, AP baseert zich er juist op.
Dat kan niet dat is tegen die GPR wet in.
AP doet het ook niet en gaat helemaal niet tegen de AVG in.
Nog kwalijker met je reactie, dat voorbeeld wat je aanhaalt is nu het voorbeeld waar ik van zeg valt niet onder de definitie van geanonimiseerde gegevens volgens de GDPR en omdat als zodanig wel te gebruiken als zou het anonieme data zijn is tegen de wet.
Joh, het lukt je niet eens een samenhangende zin op te stellen. Even kijken:
Nog kwalijker met je reactie,
Ik neem aan dat je bedoelt: kwalijker
aan mijn reactie.
dat voorbeeld wat je aanhaalt
Voorbeeld? Ik haalde een onderzoek aan dat aantoont dat geaggregeerde telecomgegevens terug te herleiden zijn naar trajecten die individuele telefoongebruikers hebben afgelegd. De conclusie is dat dergelijke gegevens onder de AVG vallen. En ik haalde een pagina van AP aan die stelt dat anonimiseren van telecomdata voor wat de RIVM ermee gaat doen in de praktijk onmogelijk is. Dat is op basis van datzelfde onderzoek. Geen tegenspraak dus, wat je ook precies bedoelde met "voorbeeld".
is nu het voorbeeld waar ik van zeg valt niet onder de definitie van geanonimiseerde gegevens volgens de GDPR
Zei jij dat? Het is AP die dat zegt en jij viel AP er juist op aan omdat je het daar grondig mee oneens was. Er is trouwens geen definitie van geanonimiseerde gegevens volgens de AVG, er is een definitie van persoonsgegevens waarin de overweging dat (werkelijk) geanonimiseerde gegevens er niet onder vallen in verwerkt is.
en omdat als zodanig wel te gebruiken als zou het anonieme data zijn is tegen de wet.
Niet omdat iemand doet alsof niet anonieme data toch anoniem is maar simpelweg omdat die individuele trajecten eruit te herleiden zijn. De data en wat ermee mogelijk is bepaalt of het persoonsgegevens zijn, niet de intentie of de pretenties van de verwerker.
Wat je daaruit moet vasstellen is dat het AP zich als een Big Brother opstelt met een eigen newspeak.
Newspeak is compartimentjes in je brein hebben met tegengestelde opvattingen zodat je jezelf tegenspreekt en erin slaagt om niet met jezelf in conflict te komen. Daar slaag jij behoorlijk goed in, gezien je omdraaiing van standpunt zojuist. AP is een stuk consistenter.
Kun je het inhoudelijk anders onderbouwen dan zie ik dat graag.
Bij deze.