Schijnbaar volledig maar zeker onduidelijk
Spotify stuurde me meer dan honderd digitale bestanden, in een open en gestandaardiseerd formaat. Handig, want daarmee is het met de computer verder te bewerken. Het lijkt er ook op dat dit een vrij compleet overzicht is. Maar wat ontbreekt is een uitleg. Welke informatie is opgenomen in welk van de bestanden. Hoe moet ik de informatie van de bestanden interpreteren? Daardoor ben ik misschien iets wijzer, maar ook niet meer dan een klein beetje. Een andere drempel voor dat inzicht is dat sommige van de velden, zoals IP-adressen en e-mailadressen, zijn gehashed en versleuteld.
Joshua
Ik sla altijd alle privacy data gehashed op, als ik het echt later voor functionaliteit nodig heb dan doe ik het niet hashed maar versleuteld. Hoe dan ook vind ik het juist erg fijn dat Spotify mijn tot-persoon-te-herleiden-data hashed, of ben ik daar te kritisch in?
Rejo Zenger
Nee, zeker niet. Maar het leidt wel tot een aantal vragen. In de eerste plaats is de vraag waarom Spotify dit precies op deze manier doet. Ligt er een gedachte over de beveiliging van gevoelige gegevens aan ten grondslag, of iets anders? En zijn de gegevens wel te herleiden (en als, één richting op, of beide kanten op) voor Spotify? En als dat zo is, wat betekent dat dan voor de werking van het inzagerecht?
martijn
Gehashte gegevens betekent niet dat die gegevens niet te herleiden zijn. Uiteindelijk moet er voor het behouden van microgegevens altijd een compromis gesloten worden tussen bruikbaarheid en de privacygaranties die je wilt geven, omdat de enige manier van anonimiseren het interpoleren van ruis over je gegevens is.
Literatuur hierover dateert al uit de 70’er jaren… maar niemand schijnt zich hier ook maar /iets/ van aan te trekken.
Rejo Zenger
Nee, dat hashing niet maakt dat gegevens niet te herleiden zijn is me ook duidelijk. Ook duidelijk is dat in dit geval de waarden van de velden zijn gehashed, maar daarvoor nog meer bewerkingen gedaan zijn. Welke, dat is dan weer niet bekend – en die vraag heb ik bij Spotify uitstaan.
Erwin
Joshua, je zou gelijk hebben, als Spotify die data niet ook zou gebruiken om hun dienstverlening te verbeteren (of zo). Maar, uit de data van Rejo is bijvoorbeeld op te maken dat (geanonimiseerd) geen enkele keer bij de StartTrack gebruik is gemaakt van dezelfde user-agent. Dat lijkt me wat start. Daarmee lijkt het er dus op dat het misschien niet geanonimiseerd, maar alleen gepseudonimiseerd is. En dan is de vraag hoe die weer omgekeerd kan worden, en of dat voor alle velden kan, of alleen voor die data die geen PII is.
Ik heb het nog niet kunnen achterhalen.
Rejo Zenger
Dat is dan ook een vraag die ik heb uitstaan bij Spotify. Hoe zijn de gegevens versleuteld en is het omkeerbaar (en zo ja, voor wie)?
Peter
Rejo Zenger,
Waar maakt u zich druk om?
Ik maak gebruik van google music.
Die weten ook waar ik naar luister. Heel fijn, want dan kunnen ze aanbeveligen geven.
In tegenstelling to Spotify is google music heel duidelijk over wat ze weten. Het is niet gecodeerd, en nog te verwijderen ook.