Retention of names and addresses in the ABS – 19 October 2015

This post has been viewed   times.

On November 11, 2015 the ABS announced it’s intention to consult on the retention of names & addresses:

The ABS is considering the retention of names and addresses as a key enabler for improved household surveys and high quality statistics.

The retention of names and addresses would support the integration of Census data with other survey and administrative data to provide a richer and dynamic statistical picture of Australia.

Just five weeks later, on December 18, 2015 the ABS announced it’s decision to retain names & addresses.

The Australian Bureau of Statistics (ABS) today announced it will retain the names and addresses collected in the 2016 Census of Population and Housing to provide a richer and dynamic statistical picture of Australia through the combination of Census data with other survey and administrative data.

The following is one of the documents included in the response to an FOI by James Smith regarding how and why this decision was made. This post is part of the same FOI request as is this post which so far has received over 7,000 page views.

Item no. 1 – Paper to the ABS Executive Leadership Group (ELG) meeting of 19 October 2015 –
‘Retention of names and addresses in the ABS’ and relevant attachments.

Executive Leadership Group 
19 October 2015 
 
Paper title: Retention of names and addresses in the ABS 
 
Author area: 2016 Census Program 
 

Recommendations
1. ELG agree to the conduct of a Privacy Impact Assessment (PIA) of the following proposed
changes to ABS Privacy Policy:

1.1 Permanent retention of addresses, using separation principles to separate from
data file but be linked for approved purposes (para 11).

1.2 Retention of raw names as a data linkage resource only, using anonymised
version of names for data linkage (paras 12 to 28).
2. ELG agree that the PIA be used as the primary vehicle for external engagement and
communication in relation to retention of Census identifiers (pars 29 to 33).
3. ELG note that there are and will continue to be a number of exceptions to the current
policy in place, with ABS applying option 4 or similar arrangements in a number of
situations.

Background
1.In accordance with ABS policy, personal identifiers (such as names and addresses)
are deleted from the Census, as well as most surveys, after the completion of processing.
Names and addresses have been used for approved statistical purposes during this
“processing period” in data integration projects associated with the 2006 and 2011 Census
(see Notes Link).

2.There is a widely held view within ABS that continuing to operate under such
restrictions will be a significant barrier in meeting both statistical and operational
aspirations.

3.The Census Program was asked to investigate this issue on behalf of the
organisation. An exposure draft paper was presented to ELG in December 2013 (see Notes
Link)
.

Benefits and privacy risks
4.The retention of names (or a form of names) and addresses would provide a benefit
to the ABS and the wider community as it would:

  enable higher quality linkage of survey, administrative and census datasets
(improved linkage rates as well as successfully linking amongst traditionally hard to
link groups, such as Aboriginal and Torres Strait Islander peoples);
  support a range of organisational efficiencies, such as the development of the ABS
Address Register, improved sampling, imputation, and provider management;
  support more flexible, geo-spatial outputs; and
  support our desire to be the premium data integration service in the NSS and
encourage greater sharing of government information for statistical purposes.

5.In particular, the emergence of data integration as a key strategic direction for the
organisation, together with whole of government priorities for public sector data
management, has increased the motivation for reviewing the current policy. ABS data
integration activities can be expected to expand significantly in the coming years as ABS
gains access to additional key, nationally important, administrative datasets. Maximising
their utility will result from the ability to conduct multiple high quality linkage projects,
through linking amongst administrative datasets, business surveys and the Census. This is a
critical enabler for the transformation of both people and economic statistics.

6.The key risks of extending ABS policy on the retention of names and addresses
relate to the potential for loss of trust from providers due to privacy concerns or breaches,
leading to a reduction in response rates to ABS collections. Making the public commitment
to delete such information has been seen as a powerful strategy to alleviate any concerns
over privacy and confidentiality, whilst also reducing the risk of accidental or malicious
disclosure.

Focus group testing
7.Focus group testing was conducted to explore privacy concerns and issues related to
the retention of names and addresses by the ABS. A summary of the focus group testing
results is in Notes Link. The key themes that emerged were: the need for a public good; the
importance of quality information for good decision making; transparency of ABS retention
and use of personal identifiers (a requirement of the new Privacy Act); and security.

8.A majority of participants believed that an anonymised name offered a greater
degree of protection for the security and privacy of individuals, and represented a lower risk
than raw names. A key concern in retaining raw names related to the belief that personal
identifier information could or would remain appended to survey or other government data.
In the focus group it was not possible to explore the use of separation principles for names
and addresses, and it is therefore possible that being able to effectively articulate the use of
separation principles may mitigate these concerns to some extent.

9.The retention of addresses appeared to be generally acceptable to participants,
although it was noted that there could be some sensitivities as an address could be seen as
more personal than a name (as it relates to a physical location rather a name which could
be seen as something more abstract).

10.The testing suggested that transparency by the ABS and consistency of the ABS’
behaviours between policy and practice are more important to providers than what decision
ABS makes on name and address retention.

Options and recommendations
11.Retention of addresses – The Census program recommend changing the ABS policy
such that addresses (and their associated geocodes) be retained permanently – with the use
of separation principles. Mesh Blocks would continue to be retained on the data file(s) so
they are “geospatially enabled”. This has significant statistical and operational benefits,
through supporting the improvement of geospatial statistics, the ABS Address Register, and
other operational efficiencies. This is seen as a medium privacy risk (likelihood of this
being a broad provider concern – possible, severity of impact of this concern to ABS –
minor), and is supported by the findings of the focus groups.

12.Retention of names – four options have emerged through internal consultation and
focus groups:
Option 1: No change to the current ABS policy;
Option 2: Destroy raw names but retain an anonymised version of names;
Option 3: Retain raw names as a data linkage resource only, using anonymised version
of names for data linkage; or
Option 4: Retain and use raw names.

Option 1: No change to the current ABS policy
13.
As explained above, this option would severely constrain ABS aspirations in relation
to data integration and potentially damage the ABS’ reputation as a premium data
integration provider.

14.The privacy risk of this option is rated as medium (likelihood – possible, severity –
moderate), but is consistent in nature to previous Census and current ABS approaches. The
risk to ABS outcomes of this option is rated as extreme (likelihood – almost certain,
severity – major). For these reasons, it is not considered a viable option.

Option 2: Destroy raw names but retain an anonymised version of names
15.Option 2 is the permanent retention of anonymised (encoded), unique statistical
linkage keys, which are based on names — with the use of separation principles, whereby
the name-based statistical linkage key is removed from, but able to be linked to, the data
file(s). Raw names would still be used during the processing of Census data, including for
the conduct of the Post Enumeration Survey and the production of Aboriginal and Torres
Strait Islander life expectancy estimates (accuracy of linkage with anonymised name is yet
to be proven for this population group and thus maintaining consistency with previous
approach is recommended until it is determined whether or not anonymised name is
sufficient). Raw names would be deleted after the completion of this work.

16.This approach provides a balance between additional benefit and risk management,
but it may still limit statistical objectives to some extent. The use of anonymised names in
data linkage can generally provide linkage rates almost as high as with raw names, however
in some specific cases (e.g. Aboriginal and Torres Strait Islander people and some migrant
populations) this has not yet proven to be the case. This option provides the ABS with only
one opportunity to generate a set of linkage keys and thus restricts the capacity to review,
revise or improve on the encoding in the future to meet new challenges or new
opportunities.

17.The benefits of option 2 include:
  continuing the public message that we don’t retain names which should not result in
any risks to Census related to privacy; and
  considerably improved linkage rates over linkage using meshblock, date of birth and
other characteristics only.

18.The risks of option 2 include:

 privacy risks of a change to public messages around retention and greater use of
name based information (and therefore a potential impact on Census participation),
albeit with the ‘reassurance’ that we delete names (High risk: likelihood – possible,
impact – major);
  loss of flexibility to, and potential opportunities that would be accessed through,
generating new linkage keys in the future to meet new and changing needs (High
risk
: likelihood – almost certain, impact – moderate); and
  potential loss of business, and ABS reputation, as a premier integrator of
government data — external partner agencies may see as ABS unnecessarily
constraining itself and therefore constraining whole-of-government data integration
projects through not allowing for the highest possible linkage quality (Medium risk:
likelihood – possible, impact – moderate).

Option 3: Retain raw names as a data linkage resource only, using anonymised version of
names for data linkage
19.Option 3 is the permanent retention of raw names, however these would be
permanently separated from the remainder of the collected data file (ie separated from the
other characteristics of the individual). The raw names would be retained in a separate file.
Anonymised versions of names would be generated from the raw names and then
recombined with the data file in order to allow data linkage.

20.The name file would be used as a resource for data linkage research and practice,
forming part of the foundational infrastructure for ABS’ data linkage activity.

21.The use of separation principles and security would be critical in mitigating the
privacy risks in terms of the accessing or release of identified data, and helping to assure
the public that the information they provide to the ABS would remain private and
confidential. Under this option, the public could be assured that their name is separated
from our Census and other data files, and strict security mechanisms are put in place to
ensure that staff can not access both a person’s name and their survey responses.

22.It would be important to highlight the public good element of retaining names, that
is, that it would contribute to better social and economic outcomes for Australian’s through
having higher quality, richer information for decision making and policy development and
evaluation – and that this retention will only be used for statistical purposes as protected by
legislation.

23.The benefits of option 3 include:
  being able to provide public assurance of the separation of names from other
characteristics that are collected (“names are removed from the Census data set and
are never added back”);
  ensures strong alignment between ABS policy and statistical intentions/aspirations;
  enabling higher quality linkage than under option 2; and
  providing flexibility to continue to research and improve on anonymised data linkage
mechanisms.

24.The key risks of option 3 are that:
  it leads to privacy concerns and reduced trust in the ABS, and in particular, putting
at risk the level of participation in our collections. There is the potential for a public
backlash (including from the privacy lobby), which would need to be carefully
managed (High risk: likelihood – possible, impact – major);
  the use of anonymised names for data linkage lead to a statistically significant
reduction in data quality in some instances (Medium risk: likelihood – unlikely,
impact – moderate); and
  it leads to concerns from clients or other custodians that the quality of data is being
compromised through the us of anonymised data linkage mechanisms (Medium
risk
: likelihood – possible, impact – moderate).

Option 4: Retain and use raw names.

25.Option 4 is similar to Option 3, however there would be no commitment to not link
raw names back with collected characteristics and raw names would be utilised directly in
data linkage.

26.The retention of names for direct use in linkage gives ABS the ultimate flexibility and
is the approach taken in Statistics New Zealand. It is not clear, however, to what extent
there is a requirement to link with raw names beyond the two current exceptions cited
above (Census Post Enumeration Survey and Indigenous Mortality Project).

27.The key benefit of option 4 is to achieve all of the outcomes highlighted in option 3 in
relation to data linkage, but without any potential compromise of linkage capacity or ABS
reputation as the premium data integrator.

28.The two key risks of option 4 are:
  it leads to privacy concerns and reduced trust in the ABS, and in particular, putting
at risk the level of participation in our collections. There is the potential for a public
backlash (including from the privacy lobby), which would need to be carefully
managed (High risk: likelihood – possible, impact – major); and
  it leads to accidental or malicious disclosure of identifiable data (High risk:
likelihood – unlikely, impact – severe).

Privacy Impact Assessment
29.The approach to address retention and data integration for previous Censuses, and
our decisions on all new data integration projects have been informed by the conduct of a
privacy impact assessment (PIA). The conduct of a PIA to consider the application of this
change in policy on the Census is considered the best practice to assess the potential impact
and appropriateness of this change on privacy in order to inform a final decision by ELG.

30.Whilst an external PIA was conducted in 2005 in relation to Census retention and
integration, it is proposed that a PIA for these changes for Census 2016 is conducted
internally, consistent with our practice with data integration projects and leveraging the
experience and knowledge we have built since 2005.

32.When a final decision is made, it is proposed that the PIA is published on the ABS
website along with the report from Colmar Brunton Social Research on the focus group
research on public attitudes to data retention and integration by the ABS. It would be ideal
for this to quickly follow the release of the ‘Trust in ABS’ survey.

Print Friendly