Zo deel je zonder problemen gevoelige data

De vraag is dan: hoe kun je gebruik maken van de benodigde data zonder schending van regels en privaat beleid?

Inmiddels is een reeks aan technologieën in ontwikkeling die dat mogelijk maken. Maar er is nog geen ei van Columbus. AG Connect zet de opties op een rij:

• Pseudonimisering Data worden door een derde partij ontdaan van gevoelige details.
• Federated Learning (FL) De algoritmen die getraind moeten worden, reizen langs de verschillende projectdeelnemers die ieder de training uitvoeren op de eigen data.
• Swarm Learning Een vorm van Federated Learning waarbij er echter geen centrale regie is maar deze wordt vervangen door een blockchain waarin de afspraken en handelingen worden vastgelegd.
• Multiparty Computation (MPC) MPC maakt gebruik van verschillende cryptografische technieken waardoor het voor de projectdeelnemers lijkt alsof ze over een gemeenschappelijke database beschikken. De data zijn echter zo versleuteld dat geen van de partijen de data van de anderen kan inzien.
• Homomorfe Encryptie (HE) Gegevens zijn en blijven versleuteld ook tijdens de verwerking waardoor geen van de partijen inzicht krijgt in elkaars data.
• Differential Privacy Er vindt een kwantitatieve analyse plaats van de hoeveelheid gevoelige informatie die is af te leiden uit de uitkomst. Op basis van die analyse worden technieken ingezet om dat probleem te minimaliseren.
• Synthetic data Op basis van echte data worden nieuwe gegevenssets gecreëerd waarop wel analyses kunnen worden uitgevoerd, maar geen persoonsgegevens bevatten. Het is een vorm van pseudonimiseren waarbij de kans dat er een relatie kan worden gelegd met de brondata verder is verminderd.
• Trusted execution environments Met een speciale set hardware en software wordt een beveiligde omgeving gecreëerd die de vertrouwelijkheid garandeert van de code en data die erin worden geladen.
• Self Sovereign Identity (SSI) Een persoon houdt maximaal de controle over de eigen identiteit en gegevens. Op basis van verzoeken, kan het individu kiezen welke gegevens gedeeld worden met derden en onder welke voorwaarden. SSI maakt daarvoor vaak gebruik van allerlei cryptografische technieken zoals zero-knowledge proofs, homomorfe encryptie en soms ook blockchaintechnologie.

Deze lijst is niet uitputtend, want er komen steeds nieuwe technologieën beschikbaar. "Het ideale scenario kan gerealiseerd worden met de cryptografische technieken MPC en HE", zegt Thomas Attema, bij TNO onderzoeker onder meer op het gebied van cryptografie. "Hierin leren de partijen alleen de output van de analyse en niks meer, daarmee blijft de gevoelige data beschermd. Bij FL worden nog wel tussen resultaten gedeeld."

Salaris terugrekenen

Maar er schuilt wel een addertje onder het gras bij deze ideale aanpak. De uitkomsten kunnen nog altijd te herleiden zijn op sommige data uit de input. Een heel simpel voorbeeld: Wanneer twee personen bijvoorbeeld hun gemiddelde salaris gaan uitrekenen, kunnen zij op basis van het gemiddelde en hun eigen salaris het salaris van de andere persoon uitrekenen. In dit voorbeeld hebben FL, MPC en HE dus geen enkele toegevoegde waarde.

Attema legt uit dat precies om dit probleem aan te pakken Differential Privacy is ontwikkeld. Een van de manieren om de hoeveelheid gevoelige informatie die kan worden herleid uit de bewerkingen met FL, MPC en HE te reduceren is het toevoegen van ruis. Het nadeel is dat daardoor de berekeningen wel minder nauwkeurig worden. Daarom is het bij het toepassen van Differential Privacy belangrijk te zoeken naar de juiste balans tussen functionaliteit en privacy.

Baas over eigen gegevens

Een relatief nieuwe ontwikkeling is de Self Sovereign Identity. De IRMA-app van de stichting Privacy by Design en SIDN is een voorbeeld van deze technologie. IDA is een ander voorbeeld dat inmiddels is omarmt door de Rabobank in de vorm van de IDA Wallet.

Hoewel er dus een heel scala aan technologieën zijn om gegevens te gebruiken voor data-analyse met behoud van vertrouwelijkheid, is de toepassing nog geen gesneden koek. Zo kosten veel van deze technologieën nog veel rekentijd wat de bruikbaarheid in sommige gevallen vermindert. Bovendien is de inzet vaak nog duur. MPC, bijvoorbeeld, is tot nog toe maatwerk wat de kosten per gebruiker van een data-analyse enorm opschroeft.

Niet alles kan zomaar

Verder zijn organisaties die op deze manier data willen verwerken, nog altijd gehouden aan de de privacywet AVG. Dus ook al zijn de gegevens niet inzichtelijk, ze worden nog altijd verwerkt. En dus moet ook in dat geval er rekening gehouden worden met de AVG-vereisten van minimalisatie, proportionaliteit en doelbinding. En de ethische randvoorwaarden bij het gebruik zijn nog niet goed in kaart gebracht.

Zelfs als sommige toepassingen juridisch gezien toelaatbaar zijn, zou het kunnen gebeuren dat er een onwenselijke functionaliteit wordt gerealiseerd. In de zorg geldt bijvoorbeeld dat het delen van data om patiënten betere zorg te bieden eerder proportioneel is dan wanneer diezelfde data wordt gebruikt om patiënten zorg te onthouden. Attema: "We proberen zoveel mogelijk het debat over ethische aspecten te stimuleren. TNO is niet altijd de partij om een ethisch debat te beslissen. Wel is het onze rol om gevoeligheden te identificeren en een publiek debat te faciliteren."