Belangrijk: Voor het goed functioneren van nrc.nl maken wij gebruik van cookies (meer informatie).
Hiervoor hebben wij wel eerst je toestemming nodig. Klik op de groene knop als je hiermee akkoord gaat.

Overheid kent eigen databases niet

Mijn favoriete Haagse rapportje is al twee jaar oud, maar op verjaardagen kan ik er nog steeds mee scoren. Het College Bescherming Persoonsgegevens liet in 2009 uitzoeken in hoeveel databestanden de gemiddelde burger voorkomt. CBP-voorzitter Kohnstamm vatte het zo samen: „Als je als kluizenaar leeft, blijken je persoonsgegevens al in 250 bestanden te staan.” Wie maatschappelijk actief is en ook op internet zit komt al gauw tot vermelding in duizenden bestanden.

Hoe de digitale samenleving werkt ontdekken we pas werkende weg

Dat is natuurlijk niet allemaal strikt overheid, maar ook (heel) veel particulier. Hoe langer je leeft, hoe meer contacten, hoe meer registraties. De meeste instanties gooien registraties van klantcontacten namelijk niet weg. Vaak omdat de ‘delete’-functie niet bestaat. Maar alleen een knop om een registratie ‘niet actief’ te maken. Het is allemaal na te lezen in Onze digitale schaduw.

Het werpt ook de vraag op hoeveel overheidsdatabases er nu in totaal zijn. In 2009 bestond daar in ieder geval geen betrouwbaar idee over. De schatting was dat er eind jaren tachtig zo’n 3.500 waren, met minimaal 5.000 personen. Dat zou sindsdien met een factor tien zijn gegroeid. De gemiddelde burger zou in 2009 in 30 tot 40 databases van de overheid voorkomen. Het totale aantal werd overigens geschat op maar liefst 30.000. Maar dat zou weer afnemen, gezien de trend naar centralisatie. Het aantal partijen dat toegang heeft, groeit tegelijk. Ook de onderlinge verwijs- en inkijkfuncties nemen toe. Daardoor kan ook het aantal doelen waarvoor databases worden gebruikt toenemen. Met als nettoresultaat dat de overheid „een steeds completer beeld van de burger” krijgt. En beleid op gedragsprofielen kan afstemmen. Veroordeeld wegens dronken rijden, dan geen ‘verklaring omtrent het gedrag’ voor een chauffeursbaan. Maar eventueel wel toelaatbaar in een kantoorfunctie.

Binnenkort discussieert de senaat over ‘digitale dataverwerking’. De WRR schreef er het rapport iOverheid over. Wie houdt het stapelen, koppelen en versmelten van alle databanken in toom, wil de oppositie alvast weten. Hoe wordt de burger beschermd tegen de ‘gekoppelde, verketende en vernetwerkte overheid’. Die ongemerkt wordt gedomineerd door samenhangende informatiestromen. Natuurlijk wilde men een ‘samenhangende visie’ van het kabinet. Maar gelukkig was er ook een basale vraag. Hoeveel databanken van de overheid zijn er nu?

Het antwoord was onthutsend en grappig tegelijk. Dat is onbekend. Een ‘enigszins betrouwbare schatting’ is niet doenlijk. Dat kost te veel werk en het duurt te lang. Maar de echte oorzaak is nog vrij onverwacht. Er bestaat namelijk „geen echt duidelijke omschrijving van wat onder ‘overheid’ moet worden verstaan”, zegt het kabinet. Dat toevoegt dat de sectoren overheid, onderwijs, zorg en sociale zekerheid ‘zozeer verknoopt’ zijn, dat het overzicht dus zoek is. De overheid weet dus niet meer wat overheid is. En het kost te veel tijd om dat uit te zoeken. Het lijkt me de kortste samenvatting van het probleem waar die ‘iOverheid’ voor staat.

Als de overheid wel het eigen datadomein kent, is dat trouwens ook geen garantie. Vorige week besliste minister Donner (CDA) de vijf miljoen vingerafdrukregistraties bij de gemeenten te wissen. De vingerafdrukopslag blijft voorlopig beperkt tot de chip in het paspoort zelf. De (de)centrale registratie was onbetrouwbaar en de techniek te zwak. De aansturing trouwens een chaos. Ook hier lag een WRR-rapport in de la waar alles al in stond, licht cynisch Happy landings geheten.

Begint de digitale samenleving uit de hand te lopen? Of krijgen we pas door hoe het werkt nadat het is gaan werken? Ongeveer zoals de klant zijn nieuwe smartphone exploreert. Iedere dag een nieuw snufje: hé, kijk nou! Zie hoe TomTom verrast vaststelde dat het de automobilisten aan de politie had gekoppeld. Hoe Apple z’n iPhone in een privédetective had veranderd. Alle locatiegegevens bleken bewaard en uit te lezen. Hoe Google niet alleen de huizen fotografeerde maar ook alle wifi-verkeer achter de gevels mee opzoog. Nu moet alleen de overheid zichzelf nog terugvinden tussen de bits en bytes.

Geplaatst in:
Opinie
Staatsrecht
Lees meer over:
privacy

4 reacties op 'Overheid kent eigen databases niet'

Marcel Bullinga

De digitale ramp die hier (terecht) voor de zoveelste maal geschetst wordt, is te voorkomen; door dezelfde technologie die het probleem veroorzaakt. Zet om dat Word- of Excelbestand een soort digitaal superzegel met uw eigenaars-en gebruiksgegevens, en opeens bent u als burger de gelukkige eigenaar van uw eigen gegevens, dossiers en geheimen. Weg met Wikileaks! In het boek “Welcome to the future cloud” staat uitgelegd hoe dit persoonlijke “superdashboard” ervoor kan zorgen dat de wereld van 2025 nog leefbaar is. Privacy, veiligheid en criminaliteitsbestrijding kunnen wel degelijk gecombineerd worden. We moeten in feite de hele digitale wereld opnieuw ontwerpen.

Max Molenaar

Voorstellen voor ICT-beleid
De Nederlandse overheid is niet deskundig genoeg om verantwoord om te gaan met de ICT-explosie. Dat komt doordat ons land te klein is. Daarom is er een Europese overheid nodig.

Nederlandse overheid zou ICT veel deskundiger moeten inzetten op allerlei gebieden, bijvoorbeeld op het gebied van voorlichting, onderwijs en opsporing van criminelen.

Overheidspersoneel en burgers moeten permanent cursussen gaan volgen via massamedia over futurologie en ICT. Marcel Bullinga (zie hierboven) kan daarbij een zinvolle rol spelen.

De overheid moet veel terughoudender worden met het verzamelen van persoonlijke gegevens dan nu, want ik denk dat ooit al die gegevens illegaal zullen worden gepubliceerd op internet, via een soort Wikileaks-acties. En de overheid kan dat volgens mij uiteindelijk niet voorkomen. Toch moet de overheid zich maximaal inzetten voor beveiliging van data-bestanden.

Van burgers die meer dan twee keer zijn veroordeeld wegens een misdrijf, moet juist maximaal informatie worden geregistreerd door de overheid, veel meer dan nu, ondanks de genoemde privacy-risico’s. En dat moet ook gelden voor burgers die in de afgelopen vijf jaar totaal meer dan 25 bekeuringen hebben gehad.

Ferdinand Griesdoorn

@ Marcel en Max,

Wat er ontbreekt aan het algehele informatiebeleid van de overheid is de doelbepaling. Met welk doel wordt de informatie verzameld? Met welk doel word deze gekoppeld, in een netwerk beschikbaar gesteld, of zelfs afgedragen aan onder andere de verenigde staten?

En dan de hamvraag, welke gevolgen heeft dit voor de burger, want laten we eerlijk zijn, het is niet de informatie die het probleem vormt maar de mens die acties onderneemt naar aanleiding van de informatie, en zelfs in uitzonderlijke gevallen (die minder uitzonderlijk zijn dan gedacht) zicht niet houd aan wet en regelgeving en of conventies.

Hier geld niet dat men terughoudend moet worden, men moet een strikt beleid opstellen, waar men een “need to know” principe gebruikt, dat wil zeggen, eerst moet voorbij enige redelijke twijfel aangetoond worden dat een instantie specifieke informatie echt nodig heeft voor het uitvoeren van de werkzaamheden.
Mijns inziens gaat men vandaag de dag, veel te makkelijk om met informatie, en wordt er te weinig bij stil gestaan, dat informatie een eigen leven kan leiden.

Ergo, er moet iets gebeuren aan de houding van de overheid ten aanzien van informatie. Daarna kunnen we kijken naar de maatregelen waarover jullie schrijven…maar zonder een verbetering in de houding, is geen enkele maatregel nuttig, en slechts subject aan het systeemdenken wat we in Nederland zo graag doen ;-)

Met vriendelijke groet,

Ferdinand Griesdoorn

Reinaert de Vos

Alleen maar de hele digitale wereld opnieuw ontwerpen? Waarom doen we dat niet even snel voor het avondeten en we zijn klaar: De Nieuwe Wereld is er!

De veiligheid die u beschrijft van het beveiligne van een kantoor document is net zo naief als met onzichtbare inkt schrijven en dan maar hopen dat je niet opvalt. Databases worden niet van word of excel bestanden gemaakt die door de overheid onrechtmatig gelezen worden, zoals u suggereert.

De databases worden gemaakt van de formulieren die u verplicht bij de overheid indient en rechtmatig opgeslagen worden. Wat daar vervolgens mee gebeurt moet gereguleerd worden. Hoe lang worden gegevens bewaard, voor welke doeleinden kunnen uw gegevens geraadpleegd worden, wie beslist daarover, heeft u inzagerecht, etc.

Als je leest dat de een of andere veroordeelde kinderverkrachter, zoals in Groningen, weer toe kan slaan omdat zijn gegevens vernietigd waren uit privacy redenen dan kun je je ook afvragen of de grenzen van privacy niet wat opgerekt kunnen worden in sommige gevallen.

De vraag is: Wie moet er in de gaten gehouden worden en wie niet, wie doet dat, en wie controleert de bewakers? Het is een eeuwenoude vraag van het openbaar bestuur in een modern digitaal jasje. En zoals met alle vragen uit de politiek zwenkt het antwoord heen en weer tussen de verschillende uitersten.