Koppelen tegen fraude: middel erger dan de kwaal

Een paar jaar geleden werden principiële discussies gevoerd over de bedreiging van de privacy door het koppelen van computerbestanden. Inmiddels zijn de "privacybeschermers' in het defensief gedrongen. In het kader van de prioriteit van fraudebestrijding en de "nieuwe zakelijkheid' in het overheidsbeleid, met zijn grote nadruk op de plichten van de burger, worden hun argumenten steeds gemakkelijker terzijde geschoven. “Wie niets te verbergen heeft, hoeft ook niet te vrezen”, verklaarde de Rotterdamse burgemeester Peper onlangs op Radio 1. Dergelijke argumenten worden voldoende geacht om een ware koppelingsrage te ontketenen.

Op het gebied van de sociale zekerheid en de belastingen worden sinds kort de bestanden van (onder meer) de belastingdienst, het GAK, de bedrijfsverenigingen en de Sociale Verzekeringsbank uitgewisseld. Diverse overheidsdiensten, en zelfs profit-organisaties, staan te popelen om zich hierbij aan te sluiten. Deze koppelingen worden versterkt door de invoering van het SOFI-nummer als een algemeen persoonsnummer. De identificatiekaart die de gemeenten willen verstrekken, bevat in elk geval al dit nummer. Het zal tevens een belangrijke rol spelen in de bestanden van het landelijk dekkend netwerk van Gemeentelijke Basis Administraties dat wordt aangelegd .

Men hoeft niet aan achtervolgingswaanzin te lijden om in deze ontwikkeling een bedreiging te zien van de rechten van individuele burgers. Het bezwaar tegen het ongelimiteerd koppelen van computerbestanden voor fraudebestrijding is vooral dat overheidsinstanties hiermee kiezen voor een gemakkelijke technische oplossing voor complexe problemen van organisatie en regulering. Blijkbaar wordt fraudebestrijding niet in de eerste plaats aangepakt door vereenvoudiging van regelgeving en stroomlijning van instanties op het gebied van de sociale zekerheid en belastingen.

De opbrengst van fraudebestrijding door koppelingen wordt gepresenteerd als het resultaat van efficiency-operaties. De regelgeving en bureaucratische organisatie kunnen zodoende weer even buiten schot blijven. De opbrengst wordt bij voorbaat ingecalculeerd bij begrotingen, waardoor er geen weg terug meer lijkt te bestaan. Vervolgens worden bezwaren op het gebied van de privacy toegeschreven aan onverbeterlijke querulanten die een alibi zoeken voor het najagen van ouderwetse liberale gedachtenspoken.

Het belangrijkste technische bezwaar tegen de koppeling van bestanden is dat zij stuk voor stuk "vervuild' zijn. Op deze manier “koppel je vuil met vuil en dan is de ellende niet te overzien”, Aldus J. Holvast in HP/De Tijd op Zondag van 25 oktober. De hoeveelheid fouten wordt vermenigvuldigd. Na de Bijlmerramp bleek tien procent van de informatie in het Amsterdamse (geautomatiseerde) bevolkingsregister niet te kloppen. Tot veler ontzetting, want bevolkingsregisters werden tot de betrouwbaarste bestanden gerekend.

De bekendste toepassingen van koppelingen zijn het naast elkaar afdraaien van bestanden en het toetsen van aanvragen of inschrijvingen aan gegevens in andere bestaande bestanden. De eerste toepassing kan een "hit' opleveren (het geval komt wel/niet in twee bestanden voor) en de tweede toepassing een toets die kan leiden tot een negatieve beslissing. Vervolgens zou op traditionele administratieve wijze moeten worden geverifieerd of er geen fout in het spel is. Dit is echter een arbeidsintensieve en kostbare zaak. In de VS bestaat tenminste nog het formele wettelijke voorschrift dat hiervoor een procedure moet worden gevolgd. In Nederland bestaat zo'n dwingend voorschrift niet. De verleiding van de koppelende instanties is daardoor bijzonder groot om over te gaan tot omkering van de bewijslast. De uitkering bijvoorbeeld, wordt tot nader order niet verleend of zelfs stopgezet. De cliënt, die de verschillende registraties en hun methoden doorgaans niet kent, mag dan komen bewijzen dat "het' niet klopt.

Het koppelen gebeurt vrijwel altijd buiten medeweten van de geregistreerde. Volgens het doel-specificatie principe, een minimumbeginsel op het gebied van privacy-bescherming dat onder meer is overgenomen door de Raad van Europa, moet het doel van de gegevensverwerking duidelijk worden aangegeven bij de geregistreerde ten tijde van het ontstaan, dat wil zeggen de verzameling van gegevens. Bij afzonderlijke bestanden is dit lang niet altijd het geval. Bij koppelingen is dit uiterst zeldzaam, terwijl er in feite toch nieuwe gegevens ontstaan. De Wet Persoonsregistratie (WPR) gaat ervan uit dat de burger kan weten dat hij is opgenomen in bepaalde persoonsregistraties van (semi-)overheids- instellingen. De WPR kent geen meldingsplicht van deze instellingen aan geregistreerden als zij gegevens uitwisselen. Het bovengenoemde principe wordt bij koppeling dus volledig ondergraven.

Koppelingen gaan niet alleen voorbij aan de geregistreerde, maar ook aan het doel van de oorspronkelijke registratie. Hierbij staan de nog belangrijkere principes van doelbinding en beperking van de registratie tot het strikt noodzakelijke op het spel.

Het CDA-Kamerlid Doelman-Pel, die opzien baarde door het voorstel om de bestanden van de sociale diensten te koppelen aan die van de Rijksdienst voor het Wegverkeer en het (particuliere) Bureau Kredietregistratie om bijstandtrekkers met een dure auto op te sporen, motiveerde dit als een doelgericht en door de WPR gereglementeerd gebruik. Dit zou moeten worden onderscheiden van ongericht koppelen. Het probleem is evenwel dat bij elke nieuwe soort koppeling een nieuwe registratie met een nieuw doel totstandkomt. Aangezien de WPR de uitwisseling van bestanden tussen (semi-)overheids- instanties geen strobreed in de weg legt en deze grote gebreken vertoont bij de verstrekking van gegevensbestanden in netwerken aan en tussen derden buiten de overheid, is de geruststelling van mevrouw Doelman-Pel niet op haar plaats.

Er bestaan tot nu toe geen inhoudelijke beperkingen of richtlijnen voor de nieuwe doelstellingen bij koppelingen. De ontwikkeling hiervan is nog urgenter dan die van formele, procedurele beperkingen. Het voorstel van Doelman-Pel vond de publieke opinie te ver gaan. Een koppeling die tot doel heeft uitkeringstrekkers met een volledige betrekking via een uitzendbureau te betrappen zal vrijwel niemand afwijzen. De taken en verantwoordelijkheden van de koppelende instanties moeten het uitgangspunt zijn voor dergelijke inhoudelijke maatstaven. Bij de sociale diensten en het Bureau Kredietregistratie verschillen deze bijvoorbeeld, als gevolg waarvan koppeling dan zou leiden tot een onaanvaardbare verbreding van doel en praktijk van de registratie.

Het voorbeeld van de uitkeringstrekkers bij een uitzendbureau wijst op een perfecte overlapping: er wordt op twee plaatsen volledig premie betaald en inkomen ontvangen. De betrokken instanties mogen zich direct aangesproken voelen. Het handhaven van bepaalde scheidingen in taken, bevoegdheden en bijbehorende registraties is van beslissend belang. De federale Datenschutz in het voormalige West-Duitsland heeft er voor gezorgd dat er sedert 1992 gescheiden persoonsnummers voor de sociale verzekeringen en de ziekenfondsen worden gebruikt. In Frankrijk werden om privacyredenen gescheiden fiscale en sociale nummersystemen ingevoerd. In Nederland lijkt het uit de hand te lopen door het steeds bredere gebruik van het SOFI-persoonsnummer en een koppelingsrage zonder voldoende normen, beperkingen en procedures.

Het middel dreigt niet alleen erger dan de kwaal te worden omdat het op de korte termijn fundamentele burgerrechten aantast en onzeker is wat betreft de financiële baten (als tenminste de vereiste zorgvuldigheid in acht wordt genomen, zoals goede verificatie en opschoning van de bestanden). Dit is ook het geval omdat niet uit te sluiten valt dat de burgerrechten op de lange termijn worden aangetast. Men hoeft niet veel fantasie te hebben om in te zien dat hier een perfecte infrastructuur voor de onverhoopte komst van een dictatoriaal politiek systeem wordt aangelegd.

Oorlogservaringen hebben in deze kwestie terecht steeds een belangrijke rol gespeeld. Onze samenleving besteedt nog steeds vele miljarden per jaar aan defensie om zich te verzekeren tegen het risico van een grootschalige oorlog, ofschoon die tamelijk denkbeeldig is geworden. Na aftrek van de kosten van zorgvuldigheid en met de opbrengst van de aanpak van grote en gemakkelijk op te sporen vormen van fraude, onder meer over formeel en inhoudelijk gelimiteerde koppelingen, resteren pakweg een paar honderd miljoen aan fraude bij de sociale zekerheid en enkele miljarden bij de belastingen. Is dit belang het risico van een aanzienlijk verdergaande overheidscontrole dan wij nu kennen waard?

    • Jan A.G.M. van Dijk