Opinie

Slimme IT-oplossing? Leer de risico’s kennen

Marietje Schaake

‘Pas op, wees milder in je oordelen, anders dwing je ons terug in onze schulp.” Erik Gerritsen, secretaris-generaal van het ministerie van VWS, gaf het ‘privacywereldje’ stevige woorden mee op een congres over de informatiesamenleving. Je moet maar durven, drie dagen nadat RTL-journalist Daniel Verlaan een levendige criminele handel in de gegevens van miljoenen Nederlanders had onthuld. Door kraters in de processen en de CoronIT-systemen bij de GGD konden massaal persoonsgegevens worden weggesluisd van mensen die op het virus werden getest. Volksgezondheid gaf de GGD de opdracht het testen te organiseren. En hoewel de Autoriteit Persoonsgegevens (AP) de GGD nu onder verscherpt toezicht stelt, blijkt dat ’s lands datawaakhond slechts 0,3 procent onderzocht van de 27.000 datalekken die in 2019 zijn gemeld.

In de eerste maanden van de coronacrisis besteedde VWS juist veel tijd aan databescherming. Een ‘appathon’ die „waanzinnig gaaf was om te houden”, aldus Gerritsen, zou de slimme sleutel bieden tot ontsnapping uit de al even intelligente lockdown. Maatschappelijke organisaties wezen op de noodzaak van informatiebeveiliging, die niet mocht lijden onder haastig handelen. Zonder vertrouwen zou ook de individuele burger de app niet gaan gebruiken. Het ministerie huurde de aanvankelijk kritische IT-expert Brenno de Winter in, die inmiddels zijn hand in het vuur steekt voor de privacystandaard van de CoronaMelder. Een schaars succes in het rampzalige coronabeleidsjaar – met dank aan het privacywereldje.

Toch werden de contacten met cybersecurity-experts niet ingezet voor structurele verbeteringen. André Rouvoet, voorzitter van de GGD-koepel, had ze goed kunnen gebruiken. In plaats van verder te bouwen op de contacten met maatschappelijke organisaties, die vrijwillig meedachten over oplossingen, worden zij nu vooral lastig gevonden.

Informatietechnologie en overheid, het is nooit een gelukkige combinatie geweest. Onderzoek van de Vrije Universiteit toont dat van de grote IT-projecten die de overheid uitbesteedt, 40 procent mislukt. De Rekenkamer noemt ambities en capaciteit bij de overheid niet in balans. Met een AP die maar een fractie van de problemen aankan, is ook het toezicht niet op orde.

Nu technologie en digitalisering alle aspecten van ons leven raken, levert een gebrek aan kennis, controle en toezicht toenemende schade op. Minister De Jonge kwam er in het eerste Tweede Kamerdebat over het datalek nauwelijks uit. Ook de Kamer zelf is vaak onvoldoende in staat op basis van de benodigde informatie beslissingen te nemen of controle uit te voeren, aldus de Rekenkamer. Het is verleidelijk het GGD-datalek af te doen als het zoveelste voorbeeld van falend coronabeleid. Maar dat lost het structurele probleem niet op.

De afhankelijkheid van technologieleveranciers groeit bij de overheid. Diverse gemeenten werken met algoritmes, bijvoorbeeld om fraude op te sporen of het risico op problematische schulden te berekenen. Bedrijven bieden graag ‘slimme’ producten en diensten aan om het overheden makkelijker te maken. Maar als commerciële aanbieders van IT-oplossingen niet open zijn over de technologie en waarborgen dat vooraf valt bij te sturen, blijven volksvertegenwoordigers onbekend met de risico’s en missen ze de kans invloed uit te oefenen. Zal de Kamer ook de bedrijven horen die de databases voor de GGD bouwden? Hoe leggen zij verantwoording af?

Wie hoort over een slimme oplossing die ons gaat redden: wees gewaarschuwd. Luister liever naar privacy-clubs. Hun zorgen zijn te vaak bewaarheid om aan te kant te schuiven. Juist milde oordelen maken stinkende wonden.

Marietje Schaake schrijft om de week op deze plek een column over technologie, beleid en economie.