Privé? C’est passé! En dat niet in het minste als het gaat om onze meest gevoelige data: die over onze gezondheid.
Ik val deze keer met de deur in huis: privacy is toast. Terwijl ik dit tik lopen hele volksstammen Pokemonnend rond mijn huis in Kijkduin om hun gedragsdata te dumpen op een server van Nintendo. Onschuldig, maar toch.
Terwijl we onze persoonsgegevens gedachteloos dumpen bij commerciële bedrijven vertrouwen we de overheid voor geen cent. Denk Oekraïnereferendum, Brexit, Trump. Maar denk ook ict. Volgend jaar kan er een Piratenpartij in de Kamer terechtkomen met als kernthema de bescherming van de burger tegen de overheid die alles van ons wil weten. Het zal niet helpen: over twintig jaar weet de overheid alles over u en mij. Met de beste bedoelingen natuurlijk, want terrorisme, belastingontduiking, overvallen, huiselijk geweld, huisdier-dumpen, obesitas en onzuinig stoken moeten worden bestreden, dat begrijpt u. Dus gaan we eerst vrijwillig-gestimuleerd en daarna verplicht over naar cashloos betalen, rekeningrijden (komt terug – wedden?), zelfrijdende auto’s, slimme energiemeters, camera’s met gezichtsherkenning, een verbod op prepaid/anoniem mobiel zijn en natuurlijk internet of things (IoT).
De interessante vraag wie we het beste onze persoonsdata kunnen toevertrouwen – bedrijven of overheden – laat ik hier onbeantwoord. Ik constateer wel dat bedrijven vooral verleiden terwijl de overheid dwingt, maar ook dat bedrijven geld willen verdienen, waar overheden het publieke belang dienen. Vroeger wantrouwden we bedrijven. Nu niet meer. Apple, Google en Facebook komen nu op voor ons recht op digitale privacy tegenover onze overheden – hoezo bizar.
Naast bedrijven en overheden bestaat er ook een schemerzone tussen publiek en privaat. Hier lopen beleidsuitvoering en winstmaximalisatie door elkaar heen. Voeg aan die mix echt gevoelige persoonlijke gegevens toe en je hebt een potentieel kruitvat. Voorbeelden zijn gerechtsdeurwaarders, woningcorporaties en vooral de gezondheidszorg inclusief het verzekeren daarvan. Als ik mij vergis, als toch de ‘privacypleuris’ uitbreekt, gok ik dat het hier gebeurt. Waar je bent, hoeveel je verdient, wie je date, welke websites je bezoekt, het valt in het niet bij de waarde die we hechten aan het privé blijven van informatie over onze gezondheid.
Zorg om zorgdata zagen we terug in de brede bekendheid bij de bevolking van het elektronisch patiëntendossier (epd). Een landelijk systeem bedoeld voor efficiëntere gegevensuitwisseling tussen zorgverleners sneuvelde op massaal bezorgde burgers (en listig lobbywerk). Echter, veel groter dan de risico’s van gegevensuitwisseling tussen zorgverleners onderling – waarvoor het epd bedoeld was – zijn de gegevensstomen van zorgverleners naar verzekeraars. Daarover maken we ons te weinig zorgen. Zorgverzekeraars hebben een commercieel belang om in onze medische gegevens te grasduinen en worden daarin, vrees ik, te weinig geremd.
Om te beginnen is het deels onmogelijk om gevoelige informatie uit handen van verzekeraars te houden. Declaratie-informatie is vergelijkbaar met de metadata van ons telefoon- en internetgebruik waar overheden zo gek op zijn. Een overheid die weet met wie haar burgers communiceren en welke websites ze bezoeken weet heel veel. Idem voor een zorgverzekeraar met een declaratiehistorie op basis van diagnose-behandelcombinaties.
Wat niet helpt is dat er door zorgconsumenten en zorgaanbieders naar verluidt stevig wordt gefraudeerd. Niet alleen verzekeraars maar ook brave premiebetalers en de toezichthoudende overheid hebben er daarom belang bij om dieper in de data te duiken; begrijpelijk maar per definitie privacy bedreigend.
Als het over ict gaat mag de factor ‘incompetentie’ ook niet worden overgeslagen. Recent nog kwam in het nieuws dat de medische gegevens van heel Denemarken abusievelijk in de vorm van onbeveiligde cd’s aan een Chinees bedrijf was toegezonden, maar zoiets zou bij ons nooit gebeuren. Toch?
De spanning tussen privacy en de behoeften aan informatie voor beleid en controle wordt veelal weggenomen door middel van geaggregeerde informatie. Ik ben zo vrij om te vermoeden dat veel statistische informatie met wat kwade wil heel redelijk terug te voeren is op individuele burgers. Zeker weet ik het niet want deze interessante informatie wordt nauwelijks vrijgegeven.
Er is, kortom, alle reden tot zorg voor wie niet medisch wil worden geprofileerd door overheden en bedrijven. Wat mij het meest verontrust is de vergaande desinteresse bij de ambtenaren die de regels maken. Mijn mondhygiëniste wil mijn burgerservicenummer (bsn) hebben voor een behandeling die ik zelf betaal, want zo zijn de regels. Zoiets spreekt boekdelen. (Mijn BSN: 000000012)
Wat ons vermoedelijk beschermt tegen grote uitwassen is de acceptatieplicht die zorgverzekeraars hebben en het gegeven dat de meeste zorgverzekeraars bureaucratische molochs zijn. Maar veranderlijke regels en veronderstelde data-incompetentie vormen een wankele basis voor privacybescherming.
Binnenkort begint het verkiezingsseizoen. Het zou goed zijn als privacy rond medische gegevens een campagne-issue zou worden. Moeilijk is dat niet: laat die Piratenpartij maar beginnen met de eis dat alle statistische data die in de zorgsector worden geproduceerd worden vrijgegeven als open data. Ik stop mijn vingers al in mijn oren.
Dit artikel is ook gepubliceerd in Computable Magazine 7, 9 september 2016
Als iedereen wist van hoeveel van hun gegevens in databanken staan en vooral wat dan zou dat een heel andere benadering opleveren in het publieke debat over privacy. Privacy is ook een voorwaarde voor vrijheid en die staat nu ook zeer duidelijk onder druk.
Dat er in Nederland sprake zou zijn van een democratie is helaas een sprookje. Want ga maar eens na wie de echt belangrijke beslissingen nemen.
Overigens is privacy niet toast zolang je de deur van het toilet nog op slot kan doen.