De kruiswoordpuzzel — waarom anonimiteit meer vraagt dan een belofte
In de toeslagenaffaire werden meer dan 40.000 gezinnen jarenlang als fraudeur behandeld door de Belastingdienst. De data die daarvoor werd gebruikt was op zichzelf onschuldig: nationaliteit, woonadres, betaalgedrag. Pas toen die gegevens gekoppeld en geanalyseerd werden, werd zichtbaar wat het systeem deed — en wie het trof.
Op de werkvloer werkt hetzelfde mechanisme op kleinere schaal. Een enquête in een klein bedrijf of kleine afdeling die uitsplitst naar functie en leeftijd is geen anonieme enquête meer — het is een kruiswoordpuzzel. Wie de antwoorden kent, kent de invuller. Niet omdat iemand dat zo heeft bedoeld, maar omdat de combinatie van gegevens herleidbaar maakt wat anoniem had moeten zijn.
De toeslagenaffaire draaide om data met een wettelijk verplichte identiteitskoppeling: BSN, naam, adres. Een enquête vraagt dat niet — het risico is anders van aard. Maar het mechanisme is hetzelfde.
S3ntiment doorbreekt dat mechanisme. De data bestaat — maar komt nooit als geheel samen, en is niet te koppelen aan een persoon. Niet een betere kluis — een andere architectuur.
Niet te herleiden — ook niet van binnenuit
Het gevaar zit zelden buiten de organisatie. Een organisator kent zijn medewerkers. Hij weet wie er is uitgenodigd. Als antwoorden gekoppeld zouden zijn aan e-mailadressen, is anonimiteit een illusie — ook zonder datalek. Dat is de kruiswoordpuzzel die S3ntiment onoplosbaar maakt.
Segmenten worden alleen berekend als er voldoende respondenten in zitten. In een te kleine groep — een kleine afdeling, een specifieke functiegroep — verschijnt het segment niet. Niet als beleid — als harde grens.
Daarom werkt S3ntiment met een OPRF: een cryptografische bewerking op het e-mailadres die een anonieme sleutel genereert. De respondent kan daarmee altijd bij zijn eigen data — maar het e-mailadres zelf wordt niet opgeslagen en is niet te reconstrueren. De organisator weet wie er is uitgenodigd. De organisator kan nooit koppelen wie wat heeft ingevuld.
De meeste platforms slaan data op en beveiligen die vervolgens zo goed mogelijk. S3ntiment slaat individuele antwoorden niet op in een centrale database. Er is daardoor ook niets om te hacken, niets om op te vragen via een rechtszaak, en niets wat door een medewerker met legitieme toegang kan worden misbruikt.
De AVG (artikel 25) vraagt organisaties om privacy in te bouwen in hun systemen — niet er achteraf beleid op te schrijven. In de praktijk betekent het bij de meeste platforms: een verwerkersovereenkomst afsluiten, een register van verwerkingsactiviteiten bijhouden, een privacybeleid publiceren. Dat is beleid. Het beschermt niet — het documenteert.
Bij S3ntiment betekent het dat het systeem persoonsgegevens structureel buiten bereik houdt. Niet als maatregel bovenop de architectuur — als de architectuur zelf. Individuele antwoorden worden nooit als geheel samengebracht. Identiteiten zijn niet herleidbaar, ook niet voor S3ntiment. Schending is technisch onmogelijk, niet beleidsmatig onwenselijk.
De exacte juridische gevolgen voor organisaties die S3ntiment gebruiken werken we momenteel uit samen met experts. Wat vaststaat: hoe minder persoonsgegevens worden verwerkt, hoe minder er mis kan gaan. De architectuur loopt voor op de vragen die juristen nog moeten beantwoorden.
Respondenten hoeven geen formeel verzoek in te dienen om hun data in te zien of te verwijderen. Ze doen dat zelf, rechtstreeks, zonder tussenkomst van de organisator of S3ntiment. De AVG geeft mensen dat recht — S3ntiment maakt het technisch direct uitvoerbaar.
Eerlijke meningen
Privacy heeft een tweede dimensie die minder juridisch is maar minstens zo belangrijk: wat mensen bereid zijn te zeggen hangt af van wie er kan meekijken.
Zolang mensen twijfelen of hun antwoord echt anoniem is — ook al beloof je het — houden ze zich in. Niet omdat ze liegen, maar omdat het risico reëel voelt. De scherpe mening, het eerlijke oordeel, de kritiek op de leidinggevende — dat blijft onuitgesproken. Wat de organisator ziet is niet wat mensen denken, maar wat ze bereid waren te delen onder de gegeven omstandigheden.
S3ntiment geeft geen belofte van anonimiteit. Het systeem maakt herleiding technisch onmogelijk. Dat is een fundamenteel ander uitgangspunt — en mensen voelen het verschil. Wie begrijpt dat zijn antwoord cryptografisch niet te herleiden is, antwoordt anders dan wie alleen een belofte heeft gekregen.
