Lang niet alle gegevens bij de overheid zijn (uit)wisbaar, dat is zelfs een nadrukkelijke keuze. Is er dan eenmaal een fout in geslopen, dan kan die fout de burger zijn hele leven achtervolgen. Diverse voorbeelden van persoonsverwisselingen zijn er al, van mensen die plotseling in een andere plaats geboren zijn, zonder het te weten getrouwd blijken en meer van dat soort incidenten.
Direct na de geboorte, bij de aangifte op het gemeentehuis worden tientallen gegevens over de burger en diens familie bij de gemeente opgeslagen. Een bijna lachwekkende hoeveelheid informatie wenst de overheid te hebben. Spoedig daarna wordt er aan de hand van database koppelingen alleen maar méér gegenereerd. Binnen een paar maanden ontvang je het BSN-nummer van je spruit. Sjonge, daar stond je als blije, jonge ouder niet bij stil.
In vele opzichten maakt automatisering de dienstverlening aan burgers en cliënten door organisaties gemakkelijker. Allerlei instanties worden volautomatisch geïnformeerd. Afhankelijk van de situatie, de betreffende koppelingen en specifieke profielen kunnen systemen zelfstandig besluiten nemen of ambtenaren/functionarissen opmerkzaam maken op belangrijke situaties, risico's en (commerciële) kansen. Dat kan, zolang het integer gebeurt. Maar dat gebeurt niet overal.
Deuren wijd open
Schattingen van de hoeveelheden registraties liggen op 250 tot 500 verschillende plaatsen per burger. Door de toenemende mogelijkheden tot koppelingen en volautomatische registraties, staan de deuren wijd open voor de invoer van fouten. Hoewel we in Nederland zeer acceptabele privacy wetgeving hebben, hobbelt de uitvoering ervan ver achter de technische stand van zaken aan. Daar komt nog bij dat vele instanties niet de wens hebben om deze wetgeving te respecteren en dat diverse instanties om 'veiligheids'-redenen zelfs niet gehouden zijn aan deze wetgeving.
Lang niet alle gegevens bij de overheid zijn (uit)wisbaar, dat is zelfs een nadrukkelijke keuze. Is er dan eenmaal een fout in geslopen, dan kan die fout de burger zijn hele leven achtervolgen. Diverse voorbeelden van persoonsverwisselingen zijn er al, van mensen die plotseling in een andere plaats geboren zijn, zonder het te weten getrouwd blijken en meer van dat soort incidenten. Dat is nog betrekkelijk onschuldig. Hoewel de overheid dat zegt te 'repareren', blijkt dat reparatiewerk veel weerbarstiger te zijn dan het verwijderen van (foute) gegevens uit, zeg, de zoekmachine Google.
Het is volgens mij niet eens zo, dat Nederlandse diensten en organisaties grote boosdoeners zijn. De vraag is wie de gegevens beheert en corrigeert en kan zien. Hoe meer koppelingen er komen en hoe meer data er in het buitenland bewaard en/of beschikbaar komt, hoe minder invloed de Nederlandse privacy wetgeving er nog op houdt. En buitenlandse diensten met buitenlandse medewerkers, daar is helemaal geen Nederlandse (parlementaire/juridische) controle op. Erger nog, de voorbeelden van hun griezelige praktijken zijn dagelijks in het nieuws. Het vooruitzicht, dat een Nederlandse identiteit misbruikt wordt voor een cyberaanval, een email scam, een liquidatie of gewoon ouderwetse fraude & oplichting is niet zomaar ondenkbaar. Het is dagelijkse praktijk, zonder overdrijving een digitaal mijnenveld. Er is dus zeer veel reden om uitermate streng toe te zien op integrale bescherming en beveiliging van onze persoonsgegevens. Nu zijn Nederlandse overheden zich daar redelijk van bewust. Volgens mij doet het gros der Nederlandse ambtenaren er ook wel zijn best voor.
Op architectuur niveau voert de relationele database benadering de boventoon: Een aantal plaatsen waar de kerngegevens opgeslagen zijn en standaards voor datakoppelingen (uitwisselingsformats) tegen zo laag mogelijke kosten. Een Identiteits Management benadering (contextgevoelige event-benadering rondom informatie, terwijl de identiteit als zodanig niet wordt gezien als een vaststaand gegeven) is echter nauwelijks ingevuld. Een zuivere definitie van Identiteitsmanagement is er nauwelijks: Een leverancier gebruikt het als synoniem voor toegangscontrole. In systemen als het GBA en DigID zijn identiteiten en toegangsrechten per instantie inderdaad redelijk uitgekristalliseerd.
De opslag van deze gegevens willen we weliswaar in Nederland laten plaatsvinden, maar vanuit EU marktdenken kan het in de hele EU. Dus ook in voormalige Oostbloklanden en als Turkije zou toetreden tot de EU, ook daar. We willen het (nu) niet, maar het KAN wel. Het is de vraag of de EU het ons nog toestaat, de opslag van zulke gegevens bij wet aan Nederlandse centra op eigen bodem voor te behouden. Dat stemt tot nadenken en tot gezonde argwaan.
Gevaren
Volautomatische registratie op basis van risicoprofielen vindt al plaats, maar heeft grote gevaren in zich. Semi-openbare kenmerken zoals ip-nummers, bankrekeningen, kentekenplaten, MAC/IMEI-adressen en telefoonnummers, OV kaarten, worden nu gemakkelijk gekoppeld. Gelet op de frequentie waarmee men tegenwoordig zijn SoFi-/BSN-nummer moet afgeven, bijvoorbeeld bij bezoek aan een ziekenhuis, hoort ook in het rijtje thuis. De bedoelingen zijn meestal goed, maar bij elkaar opgeteld kan het toch nog verkeerd aflopen.
Hier wantrouwend tegenover staan, dat is geen triviale hobby meer, voorbehouden aan moraalridders van D'66. Komt door zo'n koppeling en een gestolen nummerplaat, verloren gsm, gekaapt ip-adres, botnet een identiteit van een burger in aanraking met gevaarlijke of gesignaleerde activiteiten, dan gaat zo'n registratie volautomatisch en vaak onuitwisbaar een eigen leven leiden. Dat wordt lastig, als een burger nietsvermoedend naar bijvoorbeeld de VS wil vliegen. Kiss your laptop goodbye. Behoorlijk vervelend voor Nederlandse zakenreizigers.
Een discussie die hier volgens mij niet (meer) bij hoort, gaat over de vraag of iedereen (en vooral de overheid) alles van je mag weten of niet. Of het je wat kan schelen. Immers, je hebt 'behalve je pin-code' toch niets te verbergen. Zelfs die pin-code blijkt niet gemakkelijk geheim te blijven. Die discussie hoort thuis bij het bewaren van internet verkeersgegevens, het plaatsen van beveiligingscamera's. Of justitie zonder tussenkomst van een rechter een evident bedenkelijke website mag blokkeren. Die discussie is allang achterhaald.
Veel erger dan het 'onrecht' van de onmogelijkheid zo'n site te bezoeken, is de reële mogelijkheid dat iemand zonder je te informeren, registreert dat jij (of een identiteitsdief) er wèl geweest bent (is),. En dat doorgeeft aan anderen, zonder het ooit te verifiëren.
Juist de contextgevoeligheid, de internationalisering en de vrijwel ontbrekende mogelijkheid tot controle en correcties zijn zorgwekkend. De risico's van malware en spyware komen daar nog eens bovenop: Die zijn en blijven illegaal, maar zijn praktisch onstuitbaar. Veel van de gegevens die "gekoppeld" kunnen worden aan digitale identiteiten, zijn verre van uniek en verre van authentiek. MAC-adressen, telefoonnummers, ip-nummers, werkelijk elk gegeven is spoorloos te vervalsen. Dat komt te gemakkelijk in de automatische registratie terecht, al of niet met opzet. Opsporingssystemen worden dan een groter gevaar voor de samenleving, dan de boeven en terroristen die ermee opgespoord zouden moeten worden, ooit kunnen zijn. Daar gaat het om.
Het echte probleem hier is dat databases wel registreren, maar dat nieuwe koppelingen en contexten onterechte verdenkingen een reëel karakter geven. In de ogen van een functionaris kan het misschien geen toeval meer zijn dat je vier keer aanwezig was in de buurt van een treinongeluk. Zo iemand staat er hoogstwaarschijnlijk niet bij stil, dat je op weg naar je werk dagelijks langs een gevaarlijke spoorwegovergang komt, tijdens het spitsuur, waar de kans op ongelukken het grootst is. En dus geregeld staat te wachten tot de weg weer is vrijgegeven. Hetgeen is opgemerkt door een camera die is opgesteld, om de spoorweg te 'beveiligen'. Omdat dat goedkoper was, dan een tunnel te bouwen. Nota bene: Dit was een geconstrueerd voorbeeld ter illustratie.
Essence
Nu zijn er wel initiatieven van diverse instanties om hier op te studeren. Het recente project Essence trok mijn aandacht. Ik zie dat project als een soort schijnbeweging. Zo'n enthousiaste en goed bedoelde inter-organisationele sterkte-zwakte analyse is niet eens bedoeld als waarborg van maatschappelijke functies en gaat volgens mij zeker geen integrale oplossing brengen. Centraal in de bescherming van identiteiten staat namelijk, hoe de overheid kan blijven functioneren, als burgers alle reden krijgen om systemen te wantrouwen die er zijn om ze te beschermen. Daarvoor is juist niet van belang, hoe er sneller en makkelijker nog meer koppelingen kunnen komen. 'De contexten moeten elkaar begrijpen'. Dat wijst op een zoektocht naar meer mogelijkheden en (dus) meer informatie die ontstaat door meer en sneller te koppelen. De bedoelingen zijn vast goed: Per organisatie zal dat zinvol lijken.
Meer informatie is niet noodzakelijk goed voor de veiligheid. Zowel bij de 9/11- als bij Mumbai-aanslagen waren vooraf specifieke inlichtingen beschikbaar. Ze vielen alleen niet op, omdat er simpelweg veel teveel van die en soortgelijke inlichtingen beschikbaar waren. Bij elke speld worden als bonus tien hooibergen afgeleverd. En een nieuw risico ziet er niet eens uit als een speld. 'Efficiënter', dat is de schijn, maar veiliger, dat blijft de vraag. Misschien kan de agent beter achter het scherm vandaan komen, op straat gaan rondkijken en heel wat praatjes aanknopen.
Afschaffen dan maar? Nee, want we hebben als burgers wel veel nut van die databases en koppelingen. Het is fijn en geruststellend, dat je bank redelijk op tijd beseft, dat je creditcard niet in 5 minuten van Amsterdam naar Kaapstad kan vliegen. Anderzijds: Was hij maar beter beveiligd… Echter, bij het ontwerp wordt steevast geredeneerd vanuit de organisatie belangen en efficiency. Lang niet altijd wordt betekenis of gevolgen voor de burger op zijn waarde geschat. Zo is er een wet die stelt dat de overheid eerst in eigen systemen moet zoeken, voor zij burgers benadert voor nieuwe informatie.
Belastingdienst
Er zijn vele voorbeelden van informatie die burgers bij herhaling verstrekken (Belastingdienst, CBS). En dat is omdat de overheid zelf nog niet bij zusterinstanties kan 'kijken', zelfs niet geanonimiseerd, voor wat dat dan nog waard zou zijn. De efficiëntie werkt dus wel van binnen naar buiten, maar niet van buiten naar binnen. Zo kan de Belastingdienst 20 jaar na je emigratie besluiten dat je toch nog in Nederland woont en doodleuk, met dubieuze motivatie, een aantal aanslagen opsturen naar een adres waar je ooit hebt gewoond. Misschien, dat het nieuw bedachte burger-overheids-portaal er verandering in brengt. Ik betwijfel dat het echt helpt, omdat de aantallen databases en contextgevoelige koppelingen alleen maar toenemen. En omdat de overheid er gelukkig ook veel fraudeurs mee vangt -geweldig-, is het einde niet in zicht. Er is dus geen eenvoudige keuze. Daarom is het zo belangrijk om identiteitsmanagement centraal te stellen, niet de databases en de wildgroei aan koppelingen. Je kunt niet zonder, maar hoeveel genoeg is, en wanneer het teveel is, dat is zeer moeilijk te zeggen. Daar heb je identiteitsmanagement voor nodig. Als ik het zo opschrijf, lijkt het wel een soort Manhattan project.
Vaak stelt de overheid, dat meer koppelingen leiden tot meer veiligheid. Misschien wordt al die informatie wel (te) goed bewaard, maar tot nu toe lopen er nog schrikbarend veel boeven vrij rond en is niet alleen de pakkans, maar vervolgens ook de strafkans voor criminelen bedroevend laag. Toezicht te over dus, maar meer veiligheid vergt toch een andere benadering. Het schandaal van het handhavings systeem van de politie is in mijn ogen symptomatisch. Aan de achterkant is wel veel geld aan systemen en koppelingen uitgegeven, aan de voorkant is de handhaver niet gehoord, doch wel gebonden, terwijl systemen onhandelbaar zijn. Gelukkig en terecht heeft dit de aandacht van de politiek. We kunnen niet zonder handhaving.
Afgezien van de evidente risico's, vraag ik mij nog steeds af hoe die gedachte efficiëntieslag door koppelingen tastbaar wordt voor de burger. Krijgen we nou geregeld (echte) korting aangeboden, omdat we ons zo braaf laten volgen? Ligt de overheid ondernemers wat minder dwars, omdat de processen zijn geautomatiseerd? Nou, hier en daar, inderdaad, als vervanging van loyaliteits programma's met zegeltjes en omdat sommige overheden daadwerkelijk en met goede bedoelingen efficiency doorvoeren. Betalen we er minder belasting om? Ik dacht het niet. Kan een winkelier eindelijk de gauwdieven buiten de deur houden: Nou, dat ligt reuze gevoelig. Dan ineens weer wel. Krijgt de 'reljeugd' het zwaar? Ja, als ze in een database zitten. Eén waar ik beslist niet in wil staan.
Vingerafdrukkenregister
Een veelheid aan systemen vergt een veelheid aan dienstverleners om ze in de lucht te houden. Het is prima om internationaal samen te werken, maar met identiteitsgevoelige informatie(systemen) is het dwingende voorwaarde, dat de betrokken mensen onder Nederlandse wetgeving vallen en ter verantwoording kunnen worden geroepen. Vanzelfsprekend wordt met argusogen de betrokkenheid van buitenlandse bedrijven gevolgd, bijvoorbeeld bij het vingerafdrukken register en de hiermee samenhangende uitwisseling van zulke informatie met het buitenland (buiten de EU). Niet om opsporing te frustreren en zo boeven te beschermen, maar omdat er zoveel fouten met blijvende schade aan personen en identiteiten op de loer liggen. Zeker, als het buitenlandse bedrijf dat in één adem genoemd wordt bij bouw en beheer van 'het' vingerafdrukken register en dat dus zou moeten snappen hoe belangrijk ict-beveiliging is, op één of andere manier betrokken blijkt bij de productie van huis-tuin-keuken routers die bij aflevering ongevraagd wijd open staan voor onzichtbare digitale insluipers. Op dat moment moeten burgers en overheid zich wel grote zorgen gaan maken.
Op diverse plaatsen in Nederland worden privacy wetten super consciëntieus, met haast pijnlijke precisie en tegen de prijs van inefficiëntie doorgevoerd in ict-systemen, op sommige plaatsen lijkt toezicht ondeskundig, onderbemensd of afwezig, blijkt een wettelijk en/of beleidskader voor identiteitsmanagement niet eens op de tekentafel te liggen, zijn de betrokken beslissers amper geïnteresseerd en is de bezorgde berichtgeving hiervoor meer gericht op publicitaire aandacht, dan op werkelijke verbeteringen. Wat dat betreft is er nog meer reden om zeer bezorgd te zijn.
Identiteitsmanagement gaat verder dan willekeurige registratie hier en daar. De berichten hierover volgen elkaar de laatste weken snel op en zijn beslist niet geruststellend te noemen. Als er ergens een maatschappelijk debat nodig is, dan is het wel hier over. Een integer, veilig en beleidsmatig transparant identiteitsmanagement is essentieel voor het functioneren van de overheid. Nu wordt naïef gerekend op de eindeloze mogelijkheden van een technische en technocratische benadering met databases, koppelingen en datamining. Dat er zonder integraal identiteitsmanagment uitgebreide mogelijkheden tot misbruik, fouten en verstrekkende schade voor volstrekt onschuldige burgers zal optreden, wordt veel te weinig begrepen en schromelijk onderschat. De gevolgen voor het functioneren van de maatschappij zijn huiveringwekkend.
Drogredenen
De complexiteit van het onderwerp mag geen reden voor het gezag zijn, om zich te verstoppen achter drogredenen als 'efficiëntie', al of niet denkbeeldige 'bedreigingen van terreur en misdaad' en allerlei andere 'prioriteiten' zoals de waan van de dag. Het zou juist een duidelijk alarmsignaal moeten zijn, dat dit onderwerp een kritieke voorwaarde is voor het functioneren van een betrouwbare overheid. Juristen en wetgevers kunnen het op papier schijnbaar mooi vastleggen, maar de implementatie van wettelijke regels in ict-systemen is weerbarstig en zeer snel weer achterhaald, vooral omdat het meestal echt pathetische symptoombestrijding is. Een voorbeeld is de omgang met gegevens van systematisch geregistreerde voertuigen op de snelweg. Of het verbod in Duitsland om sollicitanten met Facebook te screenen. Google, Xing en LinkedIn mogen dan weer wel. Tja.
In sommige EU landen is men al wat verder dan in Nederland. We zouden er wat kunnen leren, door tenminste te beginnen met een verkenning van wat er bij onze goed bevriende mede-EU leden al aan vooruitgang is geboekt. Ook 'de EU zelf' heeft al heel wat denkwerk verricht. We zouden in onze regering een specifieke verantwoordelijkheid moeten aanwijzen voor zowel de beleidsmatige voorwaarden als de technische inrichting van identiteitsmanagement, in plaats van soms een paar toevallige instanties te laten brainstormen over mogelijkheden, kansen en bedreigingen.
Dat begint bij een fundament in de architectuur van Nederlandse overheids informatie systemen en het vereist blijvende aandacht en specialistische kennis van identiteismanagement aan de toppen van de Nederlandse ministeries. En als ze daar zijn, dan is te hopen dat er goed naar ze wordt geluisterd.
Information is the name of the game
Als eigenaar van een handelsinformatiebureau maakte ik negen jaar lang onderdeel uit van een groot informatienetwerk dat handelde in vertrouwelijke tot zeer geheime informatie afkomstig uit databanken. De privé- en bedrijfsgegevens werden verwerkt in rapporten van hoge kwaliteit c.q. waarde voor verhaals-, fraude-, achtergrond-, acceptatie-, alimentatie-, krediet-, antecedenten-, opsporingsonderzoeken en verkregen uit openbare bronnen en middels ‘pretexting’ uit gesloten bronnen. Ongeveer 100.000 burgers en bedrijven waren doel van onderzoek in opdracht voor de top van de bovenwereld: Ing Groep, ABN-AMRO bank, Bouwfonds, Fortis Amev, Pels Rijcken & Drooglever Fortuijn (de landsadvocaat), De Brauw Blackstone Westbroek advocaten, Panorama, Tros Radar, Peter R. de Vries etc.. http://www.michelkraay.nl/
De opdrachtgevers handelden strafbaar door uitlokking van schending van de geheimhoudingsplicht, opzet- cq schuldheling en door illegaal verkregen gegevens te verwerken. “Als je informatie gaat vragen over iemands belastinggegevens, kenteken, bankrekeningen, banksaldi, justitiële veroordelingen en inkomsten dan weet je dat je informatie aan het vragen bent, die je zonder toestemming van de betrokkene zelf niet kunt krijgen. Advocaten, banken en verzekeraars horen te weten dat ze om informatie vragen die alleen onrechtmatig verkregen kan worden” en “slachtoffers moeten zelf uitzoeken of hun gegevens zijn misbruikt, het is niet de taak van het CBP om de gedupeerden aan te schrijven”, aldus het college bescherming persoonsgegevens. Oud-directeur Rick Verreijdt van Mariëndijk: “De landsadvocaat, één van onze grotere opdrachtgevers vroeg nooit hoe wij aan onze gegevens kwamen. We kregen wel steeds nieuwe opdrachten.”
Prof. Dr. (A.B.) Bob Hoogenboom, hoogleraar Fraudewetenschappen aan de Nyenrode Universiteit en lid van de raad van advies van de stichting maatschappij, veiligheid en politie: “De opdrachtgevers konden weten dat de informatie illegaal verkregen was. Die bedrijven hebben boter op hun hoofd. Enerzijds benadrukken ze het belang van eerlijk en transparant bestuur en zakelijke ethiek, anderzijds maken ze gebruik van dit soort schimmige methodes om aan informatie te komen.”
http://www.michelkraay.nl/michel-kraay-opdrachten.php?Section=3
Er is helemaal geen sprake van acceptabele privacy wetgeving in Nederland. De uitvoering is natuurlijk nog veel slechter, maar zolang het nog niet mogelijk is om organisaties als Vecozo en Trans Link Systems te vervolgen als criminele organisaties is de wetgeving nog niet acceptabel.
Voor de SVB heb ik net een onderzoek afgerond naar registraties in de sociale zekerheid: hoe kan een burger inzage krijgen in deze registraties? Hoe kan hij foute gegevens laten corrigeren? Daarover gaat het onderzoek ‘De virtuele identiteit in de sociale zekerheid’. Je kan het onderzoek downloaden op de svb-tite.
Al met al kun je welhaast concluderen dat ICT voor de moderne ICTer veel te complex is geworden.
Ongetwijfeld heeft een gebrekkige opleiding daar mee te maken, maar als ICTer moet je ook voortdurend vechten tegen onwetende managers, die een hoop blaten maar gewoon geen benul van zaken hebben…
Zelf heb ik ook eens een tijdje gewerkt bij een organisatie waar zeer veel met persoonsgegevens gerommeld werd (ik zeg het hier gechargeerd maar het was ook werkelijk rommelen) waneer je van iemand de gegevens wilde aanpassen of wissen en ook nog eens zorgen dat ze niet weer verkeerd bijgewerkt werden dan was je een halve middag bezig om alle databestanden door te lopen, en ook was een bezoekje aan de postkamer dan wel even aan te raden.