De persoonlijke gegevens van miljoenen autobezitters in Nederland zijn gehackt, zo werd kortgeleden bekend. Een commercieel bedrijf had de gegevens verkregen via de Rijksdienst voor het Wegverkeer en had die die in zijn eigen systemen onvoldoende beveiligd. Er volgden weer de bekende klaagkoren over het grootschalige aantasting van de privacy en mogelijk criminele gevolgen. Er wordt dezer dagen weer heel wat over ´privacy’ geschreven, maar echter heel weinig fundamenteel over gedebatteerd, ook niet in het parlement.
In de Nederlandse Grondwet (artikel 10) is privacy omschreven als het recht op eerbiediging van de persoonlijke levenssfeer. Het recht op privacy is een grondrecht. Personen hebben het recht door de staat en door andere personen met rust gelaten te worden.
Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze toestemming die informatie te verwerven. Privacy met betrekking tot elektronisch zakendoen, is dus het recht op informationele zelfbeschikking. Dit houdt niet alleen de afwezigheid van informatie over onszelf bij anderen in, maar ook het recht van ieder individu om zelf te bepalen welke informatie over zichzelf hij ter beschikking stelt en welke niet.
Met name de informatie privacy is al vele jaren in het geding. Maar daarbij wordt mijns inziens onvoldoende onderscheid gemaakt tussen de verschillende partijen, die betrokken zijn bij informatieverwerking van gegevens over burgers. Allereerst moet onderscheid worden gemaakt tussen overheidsinstellingen, gemeenschappelijke instellingen ten behoeve van alle burgers, non-profitorganisaties en commerciële instellingen. We beperken ons in dit eerste artikel tot de overheid.
De overheid vormt het bestuur van de gemeenschap van burgers van een land. Om die taken ten behoeve van burgers en andere aanwezigen in een land uit te voeren, hebben overheidsinstellingen automatisch het bestuurlijke recht om noodzakelijke gegevens van burgers vast te leggen én te gebruiken bij haar dienstverlening en beleidsvoorbereiding.
Die bevoegdheid gaat vrij ver. De overheid mag geverifieerde data vastleggen van inwoners over familie omstandigheden, burgerlijke staat, nationaliteit(en), biometrische kenmerken, woonsituatie en bereikbaarheid, werkgever, belastinggegevens, deelname aan en gebruik van overheidsvoorzieningen e.d. Kortom alle data die nodig zijn in het directe en indirecte ’transactie’ verkeer tussen inwoner en bestuurlijk orgaan.
Er is geen rationele reden te bedenken, waarom een deel van de overheid, Justitie en Politie, geen gebruik zou mogen maken van de data, welke de overheid tot haar beschikking heeft, om overtreding van wetten en misdaden op te sporen en te vervolgen. Alle bezwaren van burgers over ‘privacy’ in die zin, zijn eenzijdig, in de zin van: ‘ de overheid moet wel…, maar de overheid mag niet …. Waarom zou de politie niet in systemen van de Immigratie en Naturalisatiedienst mogen kijken?
Er is ook geen redelijk motief te bedenken, waarom de overheid niet in al haar systemen zou mogen werken met een burgerservice nummer, om data uit verschillende systemen te kunnen combineren. Het is zelfs in het belang van de burger (zie onder). Nederland is een van de weinig landen, waar het maatschappelijk verzet tegen dergelijke combinatie van gegevens nog altijd groot is. Maar wel met het gevolg dat veel overheidsorganisaties weinig effectief ten behoeve van de burgers kunnen werken, laat staan doelmatig.
De problemen met de informatie privacy rond gebruik van data van inwoners door de overheid liggen grotendeels ergens anders, namelijk op het vlak van de organisatie van die gegevens binnen de overheidsbureaucratieën.
- De verschillende overheidsorganen hebben de afgelopen 20 jaren aangetoond volstrekt incompetent te zijn ten aanzien van het ontwikkelen van effectieve IT-systemen om de gegevens van burgers te verwerken. Al jaren worden jaarlijks miljarden uitgegeven aan slecht werkende systemen, ondanks uiterst de inzet van kostbare consultants. Ook op dit terrein heeft de overheid zich volstrekt incompetent getoond (en de consultants ook…).
- De beveiliging van de toegang van de overheidssystemen is volstrekt onvoldoende ten aanzien van niet-geautoriseerd gebruik door onbevoegden en ten aanzien van indringers (hackers), hetgeen je dagelijks in het nieuws kunt vast stellen. Waarom niet voor iedere overheidsgebruiker, ook systeembeheerders, een digitale tweetraps beveiliging per eigen mobi wordt ingesteld is mij een raadsel. Dan weet je wie er ingelogd heeft.
- Overheidsorganen, zoals de RDW, hebben ten onrechte in het verleden hun gegevens gebruikt als commercieel verkoopbare data, alsof de overheid enig recht heeft gegevens over haar burgers aan derden ter beschikking te stellen. Dat recht heeft ze niet, ook onbetaald niet, zelfs niet aan buitenlandse overheden – zonder uitermate strenge controles. Maar het gebeurt wel.
- Juist door de dramatisch slechte informatie huishouding van de overheid zelf, wordt van de burger keer op keer dezelfde informatie geëist bij nieuwe interacties, waarbij inmiddels elektronische formulieren met steeds weer dezelfde gegevens hoogtij vieren.
- De beperkingen van de overheidssystemen limiteren tegelijkertijd vaak de gelijke rechten van burgers. Na de toeslagenaffaire zijn er nu bijvoorbeeld weer problemen rond de vaststelling van Covid-steun vooral aan kleinere bedrijven. Minister Koolmees durft zelfs letterlijk te stellen dat hij Covid-steun moet terugvorderen omdat de systemen geen bijzondere situaties aankunnen. Wellicht is het inderdaad aan te bevelen om alleen nog beleid te maken dat of door mensen of door geautomatiseerde systemen op juiste en rechtmatige wijze kan worden uitgevoerd, rekening houdend met de enorme diversiteit in de situaties waarin burgers leven, wonen en werken.
- Diezelfde ‘systeem’ beperkingen gelden ook voor controlerende overheidsorganen, alsmede justitie en politie. De fraudeaanpak rond de uitkeringen van toeslagen voor kinderopvang (toeslagen-affaire) was gebaseerd op de zgn. Bulgarenfraude. Vele tientallen Bulgaren vroegen deze uitkering aan, wonend op 1 adres… Ambtenaren signaleerden dit wel, maar geen bestuurlijk manager die actie ondernam. Als je als burger in een huur- of koopwoning de Gemeente vraagt wie er mogelijk nog meer op jouw adres staan ingeschreven, dan is het antwoord: dat mogen wij u niet vertellen in verband met de ‘privacy’. Dan krijg je na betaling een brief met de mededeling of er nog andere mensen op jouw adres staan ingeschreven, niet wie. Die persoon moet zichzelf weer ‘uit’ schrijven….
Als burger moeten we terecht onze informatie privacy aan onze overheid bloot stellen. Het is onze overheid die er bij het gebruik van die data een puinzooi van maakt.
*definities wikipedia