De Privacy Consultant
Meesters in het privacyrecht

Wat zijn persoonsgegevens

Persoonsgegevens; iedereen heeft het er over, maar weinigen weten echt wat dit nou precies betekent. Een naam en adres zijn vanzelfsprekend persoonsgegevens, maar hoe zit het eigenlijk met het nummer 4417749? Hierbij speelt voornamelijk de vraag in hoeverre men verschillende datasets aan elkaar kan koppelen. 

De definitie van een persoonsgegeven

Onder persoonsgegeven wordt ingevolge artikel 4 sub 1 AVG verstaan:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon

Hierbij gaat het met name om informatie waarmee aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Het betreft derhalve de mate waarin een persoon te herleiden is uit een bepaalde set van gegevens. Van herleiding is sprake indien een gegeven informatie verschaft over een identificeerbare persoon.1 Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt om de natuurlijke persoon direct of indirect te identificeren.2 Hieronder vallen alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. Daarbij mogen de inspanning voor de identificatie van de persoon niet onevenredig zijn.3

De AVG bepaalt verder dat niet alleen een enkel gegeven een persoonsgegeven kan zijn, maar ook een combinatie van gegevens kan een persoonsgegeven opleveren. Voorts maakt de AVG onderscheid tussen direct en indirecte identificeerbaarheid van een persoon.

Gegevens die betrekking hebben op een persoon

Bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen zal deze betrekking uit de aard van de gegevens voortvloeien.4 Gegevens die een neerslag vormen van een over een bepaalde persoon genomen beslissing, kunnen worden beschouwd als op deze persoon betreffende persoonsgegeven. Ook gegevens die niet direct betrekking hebben op een bepaalde persoon, maar bijvoorbeeld op een product of een proces, kunnen soms over een bepaalde persoon informatie verschaffen.

Hierbij valt te denken aan de mogelijkheid om de arbeidsproductiviteit van een werknemer gemakkelijk in kaart te brengen. Gegevens van een netwerkbeheerder over het gebruik van het netwerk via aansluitpunten teneinde het goed functioneren van het netwerk te waarborgen, zijn geen persoonsgegevens zolang elke reële mogelijkheid is uitgesloten dat die gegevens worden gebezigd om het gebruik van het netwerk door individuele personen in ogenschouw te nemen.5

Het is niet vereist dat iedere mogelijkheid de gegevens met betrekking tot personen te gebruiken, is uitgesloten. Is deze mogelijkheid weliswaar theoretisch aanwezig, maar is het ondenkbaar dat dit ook daadwerkelijk gebeurt, dan kan ervan worden uitgegaan dat de gegevens niet als persoonsgegevens worden aangemerkt.

Met het voorgaande voorbeeld betreffende de gegevens van een netwerkbeheerder, zou men kunnen stellen dat hetzelfde opgaat voor medische gegevens ten behoeve voor wetenschappelijk onderzoek. In het advies van de Artikel 29 Werkgroep (thans European Data Protection Board) wordt echter gesteld dat de resultaten van een medisch onderzoek van een patiënt in diens patiëntendossier duidelijk de patiënt betreffen.6 Volgens de Artikel 29 Werkgroep betreffen gegevens iemand wanneer zij verwijzen naar de identiteit, de kenmerken of het gedrag van een persoon of indien dergelijke informatie wordt gebruikt om de wijze waarop die persoon wordt behandeld of beoordeeld te bepalen of te beïnvloeden. Hieruit vloeit voort dat er sprake moet zijn van een van de drie volgende elementen: inhoud, doel of resultaat.

De identificeerbaarheid van een persoon

Uitgangspunt is dat een persoon identificeerbaar is indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden.7 Hierbij spelen mee de aard van de gegevens en de mogelijkheden van de verwerkingsverantwoordelijke om identificatie tot stand te brengen. Het betreft echter niet de identificeerbaarheid van de naam van een persoon, maar een individu.

Aard van de gegevens

Een veel voorkomende familienaam is niet voldoende om iemand te identificeren dat wil zeggen hem te onderscheiden onder de gehele bevolking van een land, terwijl die naam wel voldoende is voor de identificatie van een bepaalde leerling in een schoolklas. Zelfs bijkomstige informatie, zoals "die man met een zwart pak aan", kan iemand identificeren temidden van voorbijgangers die bij een stoplicht staan te wachten. De vraag of de persoon wie de informatie betreft, daardoor al dan niet is geïdentificeerd, hangt dus af van de omstandigheden van het geval.

De persoon moet binnen een groep personen worden onderscheiden van alle andere leden van de groep.8 Hierbij wordt onderscheid gemaakt tussen enerzijds direct identificeerbare gegevens en anderzijds indirect identificeerbare gegevens.9 In het geval van indirect identificeerbare gegevens zal naderhand moeten worden onderzocht op welke wijze identificatie tot stand kan worden gebracht.

Verschil direct en indirect identificeerbare gegevens

Van direct identificerende gegevens is sprake wanneer gegevens betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig vast te stellen is. Direct identificerende gegevens zijn gegevens als naam, adres, geboortedatum, die in combinatie met elkaar dermate uniek en dus kenmerkend zijn voor een bepaalde persoon dat deze in brede kring met zekerheid of met een grote mate van waarschijnlijkheid, kan worden geïdentificeerd. Dergelijke gegevens worden in het maatschappelijk verkeer ook gebruikt om personen van elkaar te onderscheiden.10

Niet alleen de naam kan worden aangemerkt als een direct identificerend gegeven, ook bij andere gegevens kan dit het geval zijn. Zo kan bijvoorbeeld een telefoonnummer worden aangemerkt als een direct identificeerbaar gegeven.11

Indirect identificeerbare gegevens kunnen zijn ontdaan van de naam, doch onder omstandigheden door combinatie met andere gegevens weer worden teruggebracht tot een bepaalde persoon. Het verwijderen van de direct identificerende kenmerken biedt op zichzelf niet altijd voldoende garantie dat geen sprake meer is van persoonsgegevens. Door middel van vergelijking van gegevens en/of koppeling aan gegevens uit andere bron, kan immers desondanks, soms zonder bijzonder inspanning, identificatie tot stand worden gebracht.12 Het combineren van verschillende datasets met indirect identificeerbare gegevens zal tegenwoordig snel een direct identificerend gegeven opleveren. Hierover later meer voorbeelden.

Mogelijkheden om identificatie tot stand te brengen

Om te bepalen of er sprake is van persoongegevens, dient te worden onderzocht welke mogelijkheden er bestaan om identificatie tot stand te brengen. 

Degene die een persoon kan identificeren beschikt over mogelijkheden tot identificatie en de bekendheid of beschikbaarheid van aanvullende informatie. Een absolute maatstaf is niet aan de orde; gekeken moet worden naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de verwerkingsverantwoordelijke dan wel enig ander persoon zijn in te zetten om die persoon te identificeren.13 Uitgegaan moet worden van een redelijk toegeruste persoon. In concrete gevallen moet echter wel rekening worden gehouden met bijzondere expertise, technische faciliteiten en dergelijke andere middelen om identificatie tot stand te laten komen.

Een onderzoeksinstituut als het CBS zal bijvoorbeeld, gelet op zijn expertise, contacten en technische outillage, eerder in staat zijn gegevens te identificeren dan een individuele onderzoeker. Ook een zorgverzekeraar zal met slechts DBC-prestatiecodes die vermeld moeten worden op een zorgdeclaratie een enkel individu kunnen herleiden.14 Deze omstandigheden dienen in de beoordeling of sprake is van een persoonsgegeven te worden meegewogen.

Ten tijde van het opstellen van regels omtrent de voorganger van de AVG (Richtlijn 95/46/EG), werd geacht dat een gegeven geen persoonsgegeven is indien doeltreffende maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten.15 Deze maatregelen kunnen bijvoorbeeld zijn gegevenscodering in combinatie met nadere bewerkingen of bijzondere besluitvormingsprocedures. Tegenwoordig zal een gegeven echter sneller voldoen aan de criteria voor een persoonsgegeven. Hierover meer in het hoofdstuk over anonimisering.

Een verwerkingsverantwoordelijke kan gegevens ontdoen van de direct identificerende gegevens en deze onderbrengen bij een derde dan wel een derde de sleutel geven die toegang geeft tot deze gegevens. De vraag of in een dergelijk geval al dan niet gesproken kan worden van persoonsgegevens is afhankelijk van de mate waarin medewerking van de betrokken derde verwacht mag worden. Indien bijvoorbeeld degene die de code heeft opgesteld is onderworpen aan een geheimhoudingsplicht die naar uit de praktijk is gebleken daadwerkelijk wordt gehandhaafd, kan in de regel ervan worden uitgegaan dat er onvoldoende feitelijke mogelijkheden zijn tot daadwerkelijke identificatie. Is de code echter zonder veel moeite of met eenvoudige omzeiling van waarborgen te verkrijgen door de verwerkingsverantwoordelijke, dan is er sprake van identificeerbaarheid en dus van persoonsgegevens.

De feitelijke situatie, niet de juridische constructie, is bepalend voor de toepasselijkheid. Zo kan de (zeer ongewone) voornaam van een vrouw, in combinatie met een röntgenfoto leiden tot identificatie, wanneer de familieleden van de vrouw kennis hebben dat zij aan een bepaalde ziekte leed.16

Een ander relevant voorbeeld dat door de Artikel 29 Werkgroep wordt geschetst is het volgende. Ziekenhuizen en artsen sturen uit patiëntendossiers afkomstige gegevens door aan een bedrijf met het oog op medisch onderzoek. De namen van de patiënten worden niet vermeld, maar alleen volgnummers die op willekeurige wijze aan elk klinisch geval zijn toegewezen met het oog op consistentie en om te voorkomen dat de gegevens van verschillende patiënten worden verwisseld. De namen van de patiënten zijn uitsluitend bekend bij de betrokken artsen, die door het medisch geheim zijn gebonden. De gegevens bevatten geen aanvullende informatie die door middel van combinatie identificatie van de patiënten mogelijk maakt. Bovendien zijn alle andere juridische, technische of organisatorische maatregelen genomen om te voorkomen dat de betrokkenen geïdentificeerdof identificeerbaar worden. In deze omstandigheden kan een gegevensbeschermingsautoriteit oordelen dat er bij de gegevensverwerking door het farmaceutisch bedrijf geen redelijkerwijs in te zetten middelen zijn waarmee de betrokkenen kunnen worden geïdentificeerd. De gegevens moeten dan ook worden aangemerkt als indirect herleidbare gegevens, oftewel, gepseudonimiseerd.

Als identificatie van de betrokkene niet tot het doel van de verwerking behoort, wordt een belangrijke rol gespeeld door de technische maatregelen die identificatie moeten voorkomen.17 Het inzetten van geschikte technische en organisatorische maatregelen (volgens de laatste stand van de techniek) om mogelijke identificatie te voorkomen, kan ertoe leiden at de betrokkenen niet meer identificeerbaar zijn. Hierbij moet rekening worden gehouden met alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de verwerkingsverantwoordelijke in te zetten zijn voor de identificatie van de betrokkenen.

Richting van identificatie

Naast de aard van de gegevens en de mogelijkheid die iemand heeft om een persoon te identificeren, is ook de richting van deze identificatie belangrijk. Vaak zal de richting inhouden dat het startpunt de dataset betreft en zal richting naar het individu wijzen. In een dataset wordt bijvoorbeeld gezocht naar welke personen deze gegevens wijzen.

Dit kan echter ook omgekeerd plaatsvinden. Niet alleen het identificeren van een ongeïdentificeerde persoon in een bepaalde dataset is mogelijk, ook het identificeren van gegevens van een reeds geïdentificeerd persoon in een dataset is mogelijk. Er wordt in dergelijke gevallen bijvoorbeeld gezocht op gegevens van een bepaald persoon.

Pseudonimisering en anonimisering

Herleidbare gepseudonimiseerde gegevens kunnen worden beschouwd als informatie over indirect identificeerbare personen.18 Door gebruik van een pseudoniem kunnen gegevens worden herleid tot de betrokkene, zodat diens identiteit kan worden vastgesteld, maar dit is slechts mogelijk in welbepaalde omstandigheden.

Gegevens kunnen zodanig worden gepseudonimiseerd dat de gegevens kunnen worden teruggevoerd tot hun oorsprong. Dit kan gebeuren door gebruik te maken van ofwel correspondentielijsten van identiteiten en de bijbehorende pseudoniemen, ofwel algoritmen voor tweerichtingsversleuteling.19 De pseudoniemen moeten willekeurig en onvoorspelbaar zijn. De effectiviteit van de procedure die voor de pseudonimisering wordt toegepast, is afhankelijk van een aantal factoren:

  • in welk stadium de procedure wordt toegepast;
  • hoe sterk de beveiliging tegen herleiding is;
  • de omvang van de populatie waarvan de betrokkene deel uitmaakt;
  • de mogelijkheid om afzonderlijke transacties of records aan dezelfde persoon te koppelen;
  • de hoeveelheid tijd die benodigd is; en
  • andere omstandigheden van het geval.

Wanneer blijkt dat, gelet op het voorgaande, de identificatie van de betrokkene ondoenlijk is en dit een excessieve inspanning vergt, zal er geen sprake zijn van pseudonimisering, maar van anonimisering.20

Praktisch gezien is het anonimiseren van persoonsgegevens zeer lastig; het resultaat van anonimisering volgens de huidige stand van de techniek moet even permanent zijn als uitwissen. De mogelijkheid tot identificatie met derhalve voorgoed onmogelijk wordt gemaakt.21 Dit blijkt in de praktijk echter uitzonderlijk moeilijk te bewerkstelligen te zijn. Zie hiervoor de voorbeelden aan het einde van dit artikel.

Versleuteling van gegevens

Het versleutelen van een dataset kan een manier zijn om deze te anonimiseren. Vaak is dit echter niet mogelijk of is de wijze waarop de versleuteling wordt toegepast niet afdoende. 

In het geval van locatiegegevens is het echter wel degelijk mogelijk om deze voor bepaalde doeleinden te gebruiken, zoals de "vind mijn telefoon" optie die vaak is geïnstalleerd op mobiele telefoons. Apple heeft bijvoorbeeld een ingenieus systeem waarbij alleen de eigenaar de mogelijkheid heeft om deze in te zien.22 Zelfs Apple zelf heeft geen inzage. Daarnaast versturen zij ook locatiegegevens versleuteld als de telefoon als de telefoon zelf niet verbonden is met het internet.

Een bekende stelling is vaak dat versleutelde gegevens nooit als persoonsgegevens kunnen worden aangemerkt, zolang de sleutel niet bekend is. Het kan vele honderden jaren duren voordat een versleutelde dataset wordt gebroken.

Dit is op zichzelf een juiste conclusie. Er zal echter steeds moeten worden onderzocht wat de huidige stand van de techniek is. Indien wordt gekozen om bijvoorbeeld medische gegevens op een openbare blockchain versleuteld op te slaan, zal dit in het begin goed gaan. Naarmate de tijd vordert, zal het echter steeds minder tijd kosten om deze versleuteling te doorbreken. Wellicht kan de huidige versleuteling, die nog honderden jaren kost om te doorbreken, over tien jaar binnen enkele uren zijn doorbroken. 

Hiermee moet dan ook ernstig rekening worden gehouden met de vraag op welke wijze een dataset wordt opgeslagen. Zo zijn geheime diensten bijvoorbeeld al het versleutelde netwerkverkeer aan het opslaan in grote databases. Wellicht kunnen ze het op dit moment niet doorbreken, maar over tien jaar wel.

Enkele voorbeelden van persoonsgegevens

Bloeddruk meten uit een mobiele camera

Onderzoekers van de universiteit van Toronto hebben een applicatie voor de iPhone ontwikkeld waarmee zij uit een videofragment van 30 seconden van het hoofd van een persoon, de bloeddruk van diegene kan meten.23 Zij hebben een publieke app voor de iPhone uitgebracht waarmee gebruikers hun bloeddruk en stressniveau kunnen meten.24

Het geamputeerde been

De zoon van een 60-jarige Fransman herkent zijn vader op een pakje sigaretten, waarop een foto staat van een onderlichaam met een geamputeerd been.25 Dit dient ter afschrikking van de roker. De man raakte in 1997 zijn been kwijt. Zijn zoon had hem herkent aan de hand van littekens van de amputatie en de brandwonden. De man had echter geen toestemming gegeven om deze foto hiervoor te gebruiken.

De geboortedatum, het geslacht en de postcode

Voor de vraag of een individu identificeerbaar is in deze, hangt af van de hoeveelheid van gegevens die beschikbaar zijn. Reeds in 2009 werd duidelijk dat aan de hand van enkel de geboortedatum, het geslacht en de postcode het mogelijk is om gegevens te zoeken in een dataset van medische gegevens.26 Deze gegevens waren bekend van de gouverneur van Massachusetts. In een openbare "geanonimiseerde" dataset van bezoeken aan medische instellingen, konden onderzoekers de gouverneur identificeren. In deze dataset bleek dat hij zijn geboortedatum deelde met zes anderen, waarvan er drie mannen waren en een dezelfde postcode had. 

Combineren van datasets

Met de huidige computerrekenkracht is het eenvoudig om snel en effectief grote datasets met elkaar te koppelen. Met de hulp van kunstmatige intelligentie kunnen bovendien verbanden worden gezocht die voor een mens niet zichtbaar zijn. Hierdoor is het mogelijk om aan de hand van 15 demografische kenmerken 99.98% van de mensen uit de Verenigde Staten uit elke dataset te identificeren.27

Het nummer 4417749

In 2006 werden 20 miljoen zoekvragen door de zoekmachine AOL "geanonimiseerd" openbaar gemaakt.28 De vragen werden per gebruiker gegroepeerd en elke gebruiker kreeg een uniek nummer. De gebruiker met nummer 4417749 had honderden zoekvragen gebruikt, zoals "wolkenkrabbers in Lilburn, Ga", landscapers in Lilburn, Georgia", "huizen verkocht in shadow lake subdivision Gwinnett county Georgia" en vragen waarin een achternaam duidelijk bleek. Op grond van deze kenmerken, was al snel de persoon achter het nummer 4417749 gevonden en bleek de "anonieme" dataset niet zo anoniem te zijn.

Wifitracking

Vergelijkbaar met het vorige voorbeeld over het nummer 4417749, betreft de mogelijkheid om wifisignalen van mobiele telefoons te volgen middels een uniek nummer, het zogenoemde wifitracking. Hierbij wordt het mac-adres van de telefoon gebruikt als identificatienummer. Wifitracking wordt door diverse organisaties en gemeenten gebruikt om bijvoorbeeld de drukte te meten en soms worden deze gegevens doorverkocht aan derden.29 De Autoriteit Persoonsgegevens heeft reeds geoordeeld dat wifitracking slechts met hoge uitzondering mag worden ingezet.30

Locatiegegevens

Er is onderzoek gedaan op een dataset van anderhalf miljoen personen waarvan locatiegegevens bekend zijn over een periode van vijftien maanden. Hierbij konden de onderzoekers op grond van vier kenmerken 90% van de personen identificeren. Op grond van twee kenmerken kon 50% van de personen worden geïdentificeerd.31

De auto van tegenwoordig

De auto van tegenwoordig zit vol met computers en allerlei sensoren. Bedrijven zoals Tesla zijn aan het testen met autonome auto's en moeten veel informatie van buitenaf gebruiken en hebben een krachtige computer in de auto om dit mogelijk te maken. Hierdoor weet de auto en de maker van de auto veel over diegene die erin rijdt. Tegenwoordig versturen zij ongeveer 25 gigabyte data per uur. Hierdoor weten zij waar de rijder zich bevindt, hoe zwaar diegene is en hoeveel kinderen hij of zij heeft.32 Indien de telefoon op de auto wordt aangesloten, weten zij bovendien hoe vaak met wie gebeld wordt.

Conclusie

Gegevens die betrekking hebben op een persoon en waarmee iemand identificeerbaar is, vallen onder het begrip persoonsgegeven. Uit de aard van de gegevens en de mogelijkheden om identificatie tot stand te brengen wordt verder nog een verschil gemaakt tussen direct identificeerbare en indirect identificeerbare gegevens. 

Doordat er tegenwoordig vele grote datasets zijn van gegevens waarin vaak vele kenmerken zijn opgenomen, zijn de mogelijkheden om iemand identificeerbaar te maken sterk toegenomen. Het proces om deze gegevens te anonimiseren blijkt erg lastig te zijn. Naarmate de technologie de versleuteling van gegevens steeds sneller kan doorbreken, lijkt deze vorm van anonimiseren dan ook beperkt toepasbaar om het risico op identificeerbaarheid te beperken.

Uit de voorbeelden blijkt voorts dat aan de hand van vier kenmerken vaak 90% van de personen in een dataset kan worden geïdentificeerd, al helemaal als het gaat om de geboortedatum, het geslacht en de postcode van een persoon.

Wilt u met zeker weten of uw dataset persoonsgegevens bevat en hoe u verder kunt voldoen aan de AVG? Neem vrijblijvend contact met ons op.

 

Voetnoten

  1. Kamerstukken II 1997/98, 25892, nr. 3, p. 46.
  2. Overweging 26 AVG.
  3. M.L. Storm, N.H.A. van Duuren, 'Drones: kinderspeelgoed of gevleugelde privacy- inbreuk?', P&I 2016, afl. 5, p. 190-196.
  4. Kamerstukken II 1997/98, 25892, nr. 3, p. 46; Advies 4/2007, p. 6.
  5. Kamerstukken II 1997/98, 25892, nr. 3, p. 47.
  6. Artikel 29 Werkgroep, 'Advies 4/2007 over het begrip persoonsgegeven', 20 juni 2007, p. 10.
  7. Kamerstukken II 1997/98, 25892, nr. 3, p. 47.
  8. Artikel 29 Werkgroep, 'Advies 4/2007 over het begrip persoonsgegeven', 20 juni 2007, p. 13.
  9. Kamerstukken II 1997/98, 25892, nr. 3, p. 48.
  10. Kamerstukken II 1997/98, 25892, nr. 3, p. 48.
  11. HvJ EU 6 november 2003, C-101/2001 (Lindqvist), r.o. 27.
  12. Zie voorts Artikel 29 Werkgroep, 'Advies 4/2007 over het begrip persoonsgegeven', 20 juni 2007, p. 14.
  13. Kamerstukken II 1997/98, 25892, nr. 3, p. 48; Overweging 26 AVG.
  14. CBb, 02 augustus 2010, NJB 2010, 1621, ECLI:NL:CBB:2010:BN3056, r.o. 2.4.4.4.
  15. Kamerstukken II 1997/98, 25892, nr. 3, p. 49.
  16. Artikel 29 Werkgroep, 'Advies 4/2007 over het begrip persoonsgegeven', 20 juni 2007, p. 16.
  17. Artikel 29 Werkgroep, 'Advies 4/2007 over het begrip persoonsgegeven', 20 juni 2007, p. 18.
  18. Artikel 4 sub 5 AVG.
  19. Artikel 29 Werkgroep, 'Advies 4/2007 over het begrip persoonsgegeven', 20 juni 2007, p. 19.
  20. HvJ EU 19 oktober 2016, C-582/14 (Breyer), r.o. 46.
  21. Artikel 29 Werkgroep, 'Advies 5/2014 over anonimiseringstechnieken', 10 april 2014.
  22. https://www.wired.com/story/apple-find-my-cryptography-bluetooth/.
  23. https://www.ahajournals.org/doi/10.1161/CIRCIMAGING.119.008857.
  24. https://apps.apple.com/us/app/anura/id1358813934.
  25. https://www.volkskrant.nl/nieuws-achtergrond/man-herkent-op-pakje-sigaretten-foto-van-zijn-eigen-onderlichaam-na-beenamputatie~bdd67f42/.
  26. https://arstechnica.com/tech-policy/2009/09/your-secrets-live-online-in-databases-of-ruin/;Zie voorts https://www.forbes.com/sites/adamtanner/2013/04/25/harvard-professor-re-identifies-anonymous-volunteers-in-dna-study/ voor een ander vergelijkbaar voorbeeld.
  27. https://www.nature.com/articles/s41467-019-10933-3.
  28. https://www.nytimes.com/2006/08/09/technology/09aol.html.
  29. https://www.volkskrant.nl/nieuws-achtergrond/tientallen-nederlandse-gemeenten-volgen-u-met-wifitracking~b5c614ad/.
  30. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/bedrijven-mogen-mensen-alleen-bij-hoge-uitzondering-met-wifitracking-volgen.
  31. https://www.nature.com/articles/srep01376.
  32. https://www.nytimes.com/2019/05/20/opinion/car-repair-data-privacy.html.