:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data67095331-ec1c73.jpg)
Gezondheidsgegevens, contactgegevens en burgerservicenummers van miljoenen Nederlanders bleken door de GGD niet goed beschermd. De deur stond wagenwijd open, waardoor gegevens konden worden buitgemaakt door criminelen. De eerste reactie van minister Hugo de Jonge (Volksgezondheid, CDA) was dat „tegen dit type misdaad geen kruid gewassen is”. Afgelopen woensdag kwam de minister tijdens het debat over het GGD-datalek op die uitspraak terug en legde uit waar het werkelijk aan schortte. Het was namelijk een haastklus om de testcapaciteit omhoog te krijgen en alle aandacht ging naar werkende systemen die gebruiksvriendelijk waren. Het beschermen van de privacy van miljoenen Nederlanders had geen prioriteit. En zo gebeurde het dat vroege signalen over de onveilige systemen opzij werden geschoven en we moesten wachten tot het catastrofaal mis ging voor er iets zal veranderen.
Het liefst zien we deze ravage als een incident. We hebben namelijk Europese privacyregels, die organisaties verplicht om afdoende beveiligingsmaatregelen te treffen. We hebben ook tal van standaarden waar organisaties aan moeten voldoen. Daar staat fijntjes in beschreven aan wat voor maatregelen organisaties moeten denken als ze met (gevoelige) gegevens omgaan. Organisaties hoeven dus niet zelf het wiel uit te vinden, maar kunnen gewoon een stappenplan volgen en zich laten toetsen of ze er ook aan voldoen. De wet legt daarvoor de verantwoordelijkheid bij de organisaties, maar houdt dat in balans door ze te verplichten een interne privacy-toezichthouder aan te stellen.
Maar ook in Brussel dachten ze kennelijk: vertrouwen is goed, controle is beter. Dus is er ook een landelijke, onafhankelijke toezichthouder die toezicht houdt op de privacy-maatregelen bij álle organisaties in Nederland: de Autoriteit Persoonsgegevens.
Meten met twee maten
Zo’n incident als bij de GGD zou dus op zichzelf moeten staan. Want in theorie is die Europese wetgeving, de Algemene verordening gegevensbescherming (AVG), een prachtige wet vol waarborgen om zo’n trainwreck als het datalek bij de GGD te voorkomen. Maar het feit dat privacy geen prioriteit was, dat het interne toezicht faalde, dat de GGD níet aan de standaarden voldeed waaraan ze moest voldoen, staat helaas niet op zichzelf. Ruim twee jaar na de invoering van de AVG is het, gezien de talrijke incidenten, onwaarschijnlijk dat veel overheidsinstellingen en bedrijven een voldoende krijgen op hun privacyrapport. En dat maakt het dus ook niet onwaarschijnlijk dat zoiets binnenkort nog een keer gebeurt.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data67012532-840f75.jpg)
Waarom grijpen de wettelijke toezichthouders dan niet in? Dat werd tijdens het debat wederom pijnlijk duidelijk: „De Autoriteit Persoonsgegevens heeft één persoon die één dag per week kan besteden aan het opsporen van datalekken. Vinden we het dan gek dat we altijd te laat zijn”, vroeg Maarten Hijink van de SP zich af. Waarop Hayke Veldman (VVD) reageerde dat de GGD zelf verantwoordelijk is. Als we volledig kunnen vertrouwen op burgers die hun verantwoordelijkheid nemen de wet op te volgen, zouden we ook geen politie meer nodig hebben, suggereerde Hijink vervolgens terecht. Vertrouwen is goed, controle is soms beter.
Meten met twee maten lijkt het motto van het inmiddels demissionaire kabinet-Rutte III. Uit een uitgebreid onderzoek is gebleken dat de Autoriteit Persoonsgegevens ruim moet verdubbelen in capaciteit om te kunnen voldoen aan haar wettelijke taken. Maar nog voordat het kabinet gevallen was, schoof de minister voor Rechtsbescherming, Sander Dekker (VVD), dit al door naar een volgend kabinet. Ondertussen trekt het ministerie van Justitie en Veiligheid wel flink geld uit om te investeren in Kunstmatige Intelligentie.
‘Digitaal wakker’
In beleidsstukken noemt de overheid zichzelf ‘digitaal wakker’. Digitaal wakker, terwijl dit kabinet de toezichthouder in slaap sust. Dat is onaangenaam wakker worden. Het wekt de schijn dat het kabinet bij haar wilde plannen om digitaal te innoveren, beter geen toezichthouder kan gebruiken die afdwingt dat bij die innovatie ook mensenrechten geborgd worden. En daarmee moeten we ons afvragen hoe onafhankelijk de Autoriteit Persoonsgegevens eigenlijk helemaal is, als het voor haar financiering afhankelijk is van datzelfde ministerie.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data66766552-c8113e.jpg)
Dat fenomeen vindt helaas ook op kleinere schaal plaats. Hoe onafhankelijk zijn interne toezichthouders als zij wijzen op kwetsbaarheden binnen hun organisaties? Uit ons netwerk van functionarissen gegevensbescherming (de interne toezichthouders) horen we te vaak dat ze door de top onder druk worden gezet rapporten aan te passen of voor zich te houden. Sommige functionarissen krijgen zó weinig tijd dat ze onmogelijk hun taken kunnen vervullen. Anderen wordt de toegang tot informatie ontzegd, ondanks het feit dat hun positie wettelijk beschermd wordt. Kortom, het toezichtsprobleem is groter dan het probleem bij de Autoriteit Persoonsgegevens. Als ministeries hun verantwoordelijkheid niet nemen om hun wettelijke plichten na te komen, wat verwachten we dan van andere overheidsinstellingen en bedrijven?
Het zou fijn zijn als we dit datalek bij de GGD inderdaad konden zien als incident. En als het debat daarover alleen tot verbeteringen bij de GGD zou moeten leiden. Helaas is het dat niet en is er meer nodig dan symptoombestrijding. De Autoriteit Persoonsgegevens moet bijna verdriedubbelen in haar capaciteit. Zo niet, dan is het wachten op het volgende datalek en het daaropvolgende debat. Dus is de gewetensvraag of de Tweede Kamer zich alleen selectief wil verontwaardigen over incidenten of zich nu gaat inspannen voor het oplossen van deze structurele problemen.