Agentic AI breekt de facto anonimiteit - je DPIA is verlopen
Er is een paper verschenen dat elke organisatie met geanonimiseerde datasets wakker moet schudden. Onderzoekers van de FHNW in Zwitserland tonen aan dat LLM-agents, volledig autonoom, zonder menselijke tussenkomst, 72% van individuen kunnen re-identificeren uit locatiedata. De kosten? "Minuten en dollars per doelwit."
Dit is geen theoretisch risico. Dit is een werkende pipeline.
Wat het paper aantoont
De onderzoekers bouwden een end-to-end pipeline waarin LLM-agents zelfstandig het open web doorzoeken, publieke registers en sociale media cross-referencen, en ruwe GPS-coördinaten omzetten naar identiteiten. Zonder menselijke tussenkomst.
De cijfers:
- 72% van de re-identificeerbare individuen werd succesvol geïdentificeerd (18 van de 25)
- 41,9% over alle testgevallen (18 van de 43)
- De agent zocht zelfstandig naar adresgegevens, sociale media-profielen, en openbare registers
- De pipeline werkt met "minutes-and-dollars per target"
De implicatie is helder: wat voorheen een arbeidsintensieve aanval was die een geschoolde analist vereiste, is nu een geautomatiseerd proces dat elke kwaadwillende met toegang tot een LLM kan uitvoeren.
"De facto anonimiteit" bestaat niet meer
GDPR Recital 26 stelt dat data anoniem is als re-identificatie niet "reasonably likely" is, rekening houdend met "alle middelen die redelijkerwijs kunnen worden ingezet." De kosten en moeite van re-identificatie zijn altijd het verweer geweest: "het is technisch mogelijk, maar niet praktisch haalbaar."
Dat verweer is nu onhoudbaar.
Als een LLM-agent voor een paar dollar per doelwit 72% van de individuen kan re-identificeren, dan is re-identificatie "reasonably likely." Punt. De data is niet anoniem, het is pseudoniem. En pseudonieme data valt onder de GDPR.
Wie moet zich zorgen maken?
Elke organisatie die geanonimiseerde locatiedata publiceert of deelt:
- CBS en planbureaus die mobiliteitsstatistieken publiceren
- Gemeenten en provincies die verkeersdata delen met derden
- NS, GVB, HTM, RET die reizigersdata anonimiseren voor analyses
- CROW en NDW die verkeerskundige datasets beheren
- Zorginstellingen die patiëntmobiliteit anonimiseren voor onderzoek
- Commerciële data brokers die "geanonimiseerde" locatiedata verhandelen
Maar het beperkt zich niet tot locatiedata. Het principe is generiek: als een LLM-agent publieke bronnen kan correleren met jouw "geanonimiseerde" dataset, is die dataset niet anoniem. Dit raakt ook gezondheidsdata, financiële data, en onderwijsdata.
Wat betekent dit voor je DPIA?
Je Data Protection Impact Assessment (DPIA) moet op drie punten herzien worden:
1. Herclassificeer je data. Als je datasets hebt die je als "anoniem" classificeert, moet je opnieuw beoordelen of die classificatie nog houdbaar is onder het "reasonably likely" criterium van Recital 26. De lat is drastisch verlaagd.
2. Herbeoordeel je risico's. Het dreigingsmodel is veranderd. Waar je voorheen uitging van een geschoolde aanvaller met significante middelen, is de aanvaller nu een script dat een LLM aanstuurt. De impact is hetzelfde, maar de waarschijnlijkheid is omhoog geschoten.
3. Update je mitigaties. Als je data niet langer als anoniem kan classificeren, moet je aanvullende maatregelen nemen: differentiële privacy, k-anonimiteit met strengere parameters, of, in het uiterste geval, stoppen met publiceren.
De AVG-consequenties
Als je data pseudoniem is in plaats van anoniem, valt deze onder de AVG. Dat betekent:
- Je hebt een verwerkingsgrondslag nodig (art. 6 AVG)
- Je moet transparant zijn naar betrokkenen (art. 13-14 AVG)
- Je moet een DPIA uitvoeren (art. 35 AVG)
- Je moet passende technische en organisatorische maatregelen nemen (art. 32 AVG)
Voor veel organisaties betekent dit dat datasets die jarenlang als "veilig geanonimiseerd" werden beschouwd, nu onder het volledige AVG-regime vallen. Dat is geen kleine aanpassing, dat is een fundamentele herclassificatie.
Wat de AP gaat doen
De Autoriteit Persoonsgegevens heeft nog niet gereageerd op dit paper, maar de implicaties zijn duidelijk. De AP handhaaft op het anonimiseringscriterium, de Belastingdienst kreeg in 2025 een boete voor het delen van pseudonieme data onder het label "anoniem."
Dit paper geeft de AP munitie. Het toont aan dat de stand van de techniek is veranderd, en dat "redelijkerwijs" een lagere drempel heeft dan voorheen. Organisaties die blijven vasthouden aan verouderde anonimiseringsclaims lopen een reëel handhavingsrisico.
Wat je deze week moet doen
-
Inventariseer je geanonimiseerde datasets. Welke datasets publiceer of deel je onder het label "anoniem"? Begin met locatiedata, maar beperk je daar niet toe.
-
Herbeoordeel het re-identificatierisico. Gebruik het "reasonably likely" criterium met de huidige stand van de techniek, niet die van 2020. Een LLM-agent is nu onderdeel van "alle middelen die redelijkerwijs kunnen worden ingezet."
-
Update je DPIA. Als de herbeoordeling uitwijst dat je data pseudoniem is, moet je DPIA geüpdatet worden. Documenteer de nieuwe risico-inschatting en de aanvullende maatregelen.
-
Informeer je Functionaris Gegevensbescherming. De FG moet weten dat de anonimiseringsdrempel is verschoven. Dit is geen technische nuance, het is een juridisch risico.
-
Overweeg differentiële privacy. Het paper noemt differentiële privacy als een van de weinige technieken die robuust blijft tegen agentic re-identification. Het is complex, maar het is de gouden standaard.
De grotere les
Dit paper gaat niet alleen over locatiedata. Het gaat over een fundamentele verschuiving in het dreigingslandschap voor privacy. Agentic AI maakt correlatie-aanvallen schaalbaar, goedkoop, en geautomatiseerd. Wat voorheen het domein was van inlichtingendiensten en gespecialiseerde onderzoekers, is nu beschikbaar voor iedereen met een LLM.
De "de facto anonimiteit" waar Statistical Disclosure Control decennialang op vertrouwde, is voorbij. Het is tijd om je aannames te herzien.
Bronnen:
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.