Bij welke burgemeester woon je het veiligst?

In alle aandacht voor informatiebeveiliging van de overheid, ontbreekt nog een belangrijk leermoment uit de Tweede Wereldoorlog. Toen werden persoonsgegevens bij gemeenten door de bezetter massaal misbruikt voor het opsporen en oppakken van onschuldige burgers. Achteraf verdienen de enkelingen die toen persoonsgegevens hebben vernietigd en verstopt, een heldenstatus. Zij hebben levens gered. Dat roept de vraag op of we daarvan hebben geleerd bij de actuele beveiliging van de digitale persoonsgegevens bij de overheid.

Burgemeesters en wethouders zijn verantwoordelijk voor de registratie en het beheer van onze persoonsgegevens. Dat is vastgelegd in de wet gemeentelijke basisadministratie persoonsgegevens (wet GBA). Tijdens de Tweede wereldoorlog waren ze dat ook. De Duitse bezetter gebruikte deze voor het opsporen van joden, communisten, verzetsdeelnemers, arbeidskrachten en andere groeperingen. Vrijwel alle burgemeesters werkten hieraan mee, niet van harte maar om erger te voorkomen.

In Renesse hebben ambtenaren in 1942 het bevolkingsregister begraven om te voorkomen dat lijsten van mannen tussen de 17 en 40 konden worden gemaakt ten behoeve van de Arbeidseinsatz. In 1943 vernietigden verzetsmensen uit Amsterdam de registratiekaarten van het bevolkingsregister aan de Plantage Kerklaan. Met de wijsheid van nu, kunnen we vaststellen dat we tijdens de Tweede Wereldoorlog meer levens hadden kunnen sparen als er meer persoonsgegevens waren verborgen en vernietigd.

Gemeentelijke gegevens in landelijke systemen

Tijdens de Tweede wereldoorlog waren de persoonsgegevens opgeslagen in kaartenbakken. Later zijn ze gedigitaliseerd in een gemeentelijke computer. Inmiddels maken de persoonsgegevens onderdeel uit van een landelijk systeem, dat weer is gekoppeld aan andere, landelijke systemen. De verantwoordelijkheid voor de aanleg en veiligheid van dit netwerk van systemen ligt bij de minister.

De burgemeesters hebben geen controle over dat landelijke systeem. Vroeger kon de catalogusbak nog in de fik of de gemeentelijke computer nog worden gewist. Als burgemeesters nu personen willen beschermen door hun gegevens te vernietigen, is het de vraag of dat nog kan. Hebben ze een rode knop? Kunnen de burgemeesters onder uitzonderlijke omstandigheden hun verantwoordelijkheid voor onze persoonsgegevens waarmaken, of is ons lot in weerloze handen? Welke gevaren voor misbruik zien zij in deze tijd? Hoe bereiden zij zich daarop voor, en wat adviseren zij ons te doen?

Het antwoord op die vragen doet ertoe. Het geeft aan bij welke burgemeesters wij het veiligst wonen. Voor de acties in Renesse en Amsterdam was destijds geen procedure. Wat je ook aan maatregelen bedenkt en vastlegt, er blijven situaties denkbaar waarin de burgemeester vanuit zijn of haar verantwoordelijkheid kan menen van de procedures te moeten afwijken. Als gemeenten hun informatiebeveiliging verbeteren, gaat het dus om twee dingen: optimalisatie van de systemen en de procedures, en de opvatting van de burgemeester.

Verbreding scope informatiebeveiliging

De kans dat een vreemde mogendheid ons land binnenvalt en onschuldige inwoners vermoordt, lijkt gering. Zowel mogendheden als criminelen zijn echter actief bezig met het verzamelen van persoonsgegevens om duistere redenen. We weten dat deze gegevens worden gebruikt voor diefstal van identiteit en geld. We weten niet welke andere vormen van misbruik worden voorbereid en bedacht, of straks mogelijk worden door de voorgenomen uitbreiding van de gegevensuitwisseling.

Aan verbetering van de systemen en procedures wordt nu hard gewerkt, maar naar de opvatting van de burgemeesters lijkt niet te worden gevraagd. Dat is opmerkelijk en een gemiste kans. Diverse studies naar automatisering bij de overheid geven immers aan dat bestuurders zich nog te weinig betrokken zouden voelen bij de automatisering. Ze zouden ICT teveel als een technisch, en uitvoerend vraagstuk zien. Een grotere betrokkenheid zou een positief effect hebben op de ontwikkeling van de digitale overheid. In het agenderen van de persoonlijke opvatting van de burgemeesters, ligt een geweldige kans om de bestuurlijke betrokkenheid aanzienlijk te vergroten. Het zou dan ook niet alleen terecht maar ook nuttig zijn om de persoonlijke opvatting van de burgemeesters over de veiligheid van persoonsgegevens een centrale plek te geven in de informatiebeveiliging. Dat stelt ons in staat om de opvattingen te vergelijken en op basis hiervan de dialoog aan te gaan met inwoners, andere burgemeesters, VNG/KING, de Rijksoverheid en ICT-leveranciers over wat we er samen aan kunnen doen om de veiligheid zo goed mogelijk te borgen.
            
De Tweede Wereldoorlog geeft aanleiding en inspiratie om ons bewust te zijn van de risico’s van gegevensmisbruik, en deze niet te onderschatten. In Renesse en Amsterdam bleek dat we wel degelijk iets konden doen aan risico’s die door velen als een gegeven werden geaccepteerd. Dat pleit niet voor het begraven of verbranden van onze computersystemen, maar wel voor een dialoog die begint met de vraag aan onze burgemeesters: hoe ziet u dit?

Rinke Smedinga (1963) adviseert de overheid over ICT en communicatie. Tijdens de Tweede Wereldoorlog koos zijn vader de kant van de bezetter.