Digitale kluis

De overheid moet alle persoonsgegevens van burgers op een centrale plaats digitaal bewaren. Op de website van de gemeente krijgt iedere inwoner een persoonlijke homepage met daarop zijn of haar naam, adres en sofinummer.

Een digitale kluis, noemt de gepensioneerde hoogleraar I. Snellen deze homepage. Snellen, die een commissie leidt, brengt advies uit aan minister Van Boxtel (Grotesteden- en Integratiebeleid). De adviescommissie van Snellen had als taak een analyse te maken van de problemen van de Gemeentelijke Basisadministratie persoonsgegevens (GBA) en oplossingen te verzinnen voor de modernisering van de registratie van persoonsgegevens.

De digitale kluis lost volgens de commissie Snellen een aantal problemen op. Nu is de politie soms een dag of langer bezig om het adres van een verdachte te verifiëren. Via de digitale kluis kan dat met een druk op de knop.

De burger moet de baas zijn over zijn eigen kluis, stelt Snellen voor. Hij bepaalt zelf welke gegevens worden opgenomen en wie die in mag zien. De commissie schrijft in het rapport `GBA in de toekomst' dat 29 maart aan Van Boxtel is aangeboden: `De burger moet op eenvoudige wijze na kunnen gaan of zijn of haar gegevens juist zijn opgenomen en niet verstrekt zijn aan onbevoegden. Dit is een wezenlijk aspect van de regie die de burger over zijn eigen gegevens moet kunnen voeren, maar past bovendien bij het recht op bescherming van zijn persoonlijke levenssfeer.'

Burgers kunnen de kluis zelf aanvullen. `Naast persoonsgegevens uit de GBA kan de kluis ook andere sectorale persoons- gerelateerde gegevens bevatten (denk aan bijvoorbeeld het belastbaar inkomen, een donorcodicil, leerplichtgegevens etc.) en wordt door de administrerende instantie ter beschikking gesteld aan de burger.'

Veranderen mag de burger eenmaal in de kluis toegevoegde gegevens niet. Wel mag hij, aldus de commissie, `desgewenst naar eigen inzicht te verstrekken aan organisaties met een niet-publieke taak die daarin geïnteresseerd zijn.'

Met andere woorden: de overheid controleren en fouten verbeteren is verboden. Consumeren en e-commerce dienstverleners inzicht geven in je gegevens mag wel en moet de overheid zelfs stimuleren. `De eventuele standaard BS-module zal derhalve aan de nodige eisen moeten voldoen”, adviseert de commissie. (De software moet zo gemaakt worden dat ook derden toegang hebben tot de persoonsgegevens van de burger.)

Een digitale kluis op het web is een slecht idee. Internettechnologie is zeer gecompliceerd. Een interactieve website bestaat uit verschillende technische lagen die allemaal hun eigen veiligheidsrisico's met zich meebrengen. De meeste grote bedrijven en overheidsinstellingen slagen er niet in hun websites en interne netwerken goed te beveiligen. Neem het ministerie van Landbouw. Er hoeven maar een paar boeren boos te worden en de website en de mailserver liggen plat. Het ministerie van Financiën laat zo nu en dan de beveiliging van de website controleren. Het bedrijf dat het beveiligingsonderzoek uitvoert, had de gewoonte om de bevindingen open en bloot op de site van het ministerie te zetten. Zo kon iedereen lezen op welke punten de site lek was en hoe de beveiligingstest was uitgevoerd.

Snellen wil de digitale kluis beveiligen met biometrische gegevens, bijvoorbeeld een vingerafdruk of een irisscan. Dat klinkt heel veilig omdat iedereen een unieke vingerafdruk en iris heeft. Maar een dergelijke beveiligingsmethode brengt verschillende risico's met zich mee. Ten eerste moet de gebruiker een extra apparaat aan zijn computer koppelen dat zijn vingerafdruk of iris kan lezen. Elke keer als je een nieuwe pc koopt, moet je dat apparaat weer installeren en nieuwe software ervoor downloaden. Software kan vervalst worden. Onbevoegden kunnen zich middels vervalste programma's toegang verschaffen tot persoonsgegevens. Als je je onder dwang moet identificeren (zoals mensen nu wel eens onder dwang hun pincode afstaan aan straatrovers) denkt de computer aan de andere kant dat de echte Truus Jansen zich identificeert en maakt alle gegevens zichtbaar.

Websites: www.rogervanboxtel.nl; www.gba.nl

[E-mail: klaver@nrc.nl]