Wordt de burger eigen databaas?

Beeld: Dreamstime

Zo mooi dat politici en diverse ministeries al zo’n kwart eeuw pogen om eigen regie over data te regelen. Immers, ‘zelfbeschikking’ vormt een fundament in de regelgeving voor Europese databescherming sinds een Duitse grondwetsrechtbank die in 1983 vonniste. Sedertdien al stoeien we met regie op persoonsgegevens, beter gezegd struikelen we er keer op keer over.

D66 doet, met Kees Verhoeven, weer een poging met de initiatiefnota ‘Online identiteit en regie op persoonsgegevens’, samen met Jan Middendorp (VVD). De beperkte aanleiding: fouten met digitale persoonsgegevens verminderen, ‘waardoor mensen soms in nare en uitzichtloze situaties belanden’. Echter, de uitwerking op details verraadt verdergaande ambities: fraudebestrijding, betere privacy, meer veiligheid. Met als praktische voorzetten voor elke burger:

• één digitale identiteit
• veiligheidsniveau DigiD naar ‘hoog’ (Eidas-normen)
• eigen databeheer in een ‘digitale kluis’
• aansluiting bij BRP en Mijnoverheid.nl
• één contactadres bij alle overheden
• unieke, eenduidige bron van persoonsgegevens
• uitwisseling met alle overheden
• voortdurend, uitputtend inzicht in gegevensgebruik

Hoe organiseer je dit?

Middendorp en Verhoeven zien hun initiatief als een ‘rode draad’ van bestaande projecten voor eID, BRP en Mijnoverheid, en willen daar kluis en contactadres aan toevoegen. Met een klein, modulair beheer blijft het behapbaar, menen ze. Dat moet zoveel mogelijk techniekneutraal, luidt de opdracht vanuit de politiek. En dat hoeft dan ook weinig of niets te kosten.

Je houdt je hart vast als de politieke stuurlui aan wal het ICT-schip richting willen geven. Dat kostte al miljarden. Het wiel is echter al uitgevonden, zegt Middendorp, en kan zelfs leiden tot aanzienlijke kostenbesparing: “Estland is hier heel ver mee. Omdat ik uitga van de één-brongedachte zoals in Estland zou dit een enorme verbetering kunnen zijn voor de datahuishouding van de digitale overheid.” Voorwaarde is wel een centralisatie in uitvoerende zin in wat Middendorp een Rijksinspectie Digitalisering doopt.

Is het zo eenvoudig? Niet helemaal. De belangrijkste vraag is: kunnen 14 miljoen volwassenen een complete databoekhouding bijhouden, ook dementen en andere ‘digibeten’? Krijg je dan niet nog meer fouten en ellende? Kunnen dataverwerkers hun taken nog fatsoenlijk uitvoeren? Kortom: functioneert de natie beter en wordt haar volk gelukkiger van het bijhouden van individuele dataportefeuilles?

Kluisidee

Het ministerie van BZK tuigde een project Regie op Gegevens (RoG) op, met Maarten Camps en Siebe Riedstra, respectievelijk secretaris-generaal van de ministeries van EZK en JenV . RoG richt zich op één specifieke vorm van regie: eigen overheidsgegevens digitaal delen met organisaties buiten de overheid, terwijl de nota Middendorp-Verhoeven zich beperkt tot verstrekking van gegevens binnen de overheid. In maart 2019 kwam er een kritisch ‘Kader voor regie op gegevens 0.1’ Bovenal leert dit stuk dat de invulling zowel organisatorisch, juridisch als technisch ontzettend moeilijk is. Tegelijkertijd kraakte staatssecretaris Knops in een brief aan de Tweede Kamer (27-7-2019) enkele harde noten over het ‘personal datamanagement’.

Meest opvallend, vooral richting Middendorp en Verhoeven: “Een digitale kluis in de zin van een verzameling basisgegevens waarover de burger de (absolute) zeggenschap heeft, ziet het kabinet ook op termijn niet als een realistische optie.’ Om de eenvoudige reden dat burgers verstrekking van gegevens aan overheden niet kunnen en mogen weigeren, uit oogpunt van handhaving en het verkrijgen van vergunningen, toelagen of anderszins. Zo’n kluisidee is dus hoogst onhandig, nog afgezien van de verwachte technische en organisatorische ellende volgens Knops: “Invoering van een digitale kluis vergt bovendien zeer forse ingrepen in bestaande informatiesystemen, gegevensinfrastructuur, werkprocessen en organisatie van de overheid.”

Wat praktisch wel haalbaar is: “Een burger die dat wil heeft op of via één centrale plek (bijvoorbeeld MijnOverheid) overzicht via welke intermediairs hij met welke dienstverleners gegevens deelt c.q. heeft gedeeld, en waar hij toestemming voor het delen van gegevens kan intrekken.” MijnOverheid is ook de poort naar de BRP en andere basisregistraties, plus naar databanken als het Donorregister, Diplomaregister, Kadaster en Mijnpensioenoverzicht.nl, en mogelijk ook het Handelsregister.

Ambitie

Via MijnOverheid moet met inzage ook het correctierecht handen en voeten krijgen. Ook komt er een proef met een centraal ‘oplosteam’, een meldpunt waar de burger terecht kan met grote problemen door foutieve registraties. Een andere dreiging, gebrekkige digivaardigheid, probeert het kabinet apart bij de horens te vatten. Machtigingen moeten het gat helpen dichten, terwijl analoge kanalen openblijven. Overigens is niet Estland daarin het voorbeeld, maar Finland en Oostenrijk.

Functioneert de natie beter en wordt haar volk gelukkiger van het bijhouden van individuele dataportefeuilles?

Met grote uitvoeringsorganisaties en gemeenten wordt onderzocht hoe eenmalige verstrekking mogelijk is door formulieren standaard vóór in te vullen, later gevolgd door andere registraties. Bovendien wil Knops niet waarborgen dat een overheid nooit persoonsgegeven zal vragen die ze elders al opsloeg. Ook kijkt de bewindsman of een centraal register van e-mailadressen van burgers handig is.

Nog een opvallende ambitie van Knops: eveneens datadelen door burgers regelen met commerciële partijen …”zoals hypotheekverstrekkers, verzekeraars of internetwinkels.” Inmiddels kreeg het voorstel voor de noodzakelijke Wet Digitale Overheid recent nog wijzigingen, maar moet in 2020 effectief worden.

Schulden

Vanuit het Kloosterhoeveberaad is een project geïnitieerd om te onderzoeken of data-uitwisseling tussen burgers enerzijds en onder andere gemeenten en uitvoeringsorganisaties als CJIB, UWV, CAK en SVB anderzijds, onder regie van de inwoner eenvoudig mogelijk gemaakt kan worden. “De eerste concrete pilot, waar ook VNG Realisatie bij betrokken is, is een project van het delen van (financiële) schuldeninformatie voor schuldhulpverlening”, vertelt adviseur Floris Zwaferink (VNG). “Burgers kunnen met een toepassing als de ‘Blauwe Knop’, op de internetsite van overheden gegevens downloaden over hun schulden. Gegevensverzameling is vaak een drempel voor het opstarten van schuldhulpverlening, blijkt uit recent onderzoek. Verkenningen naar zulke toepassingen kunnen helpen om maatschappelijke problematiek op te lossen.”

Voor het ophalen, beheren en doorsturen van gegevens is de app Financieel Paspoort gebouwd. Deelnemers aan schuldhulpverlening installeren een app waarmee ze veilig financiële informatie verzamelen van Belastingdienst, energiebedrijven, zorgverzekeraars, banken et cetera, en geven inzage aan schuldhulpverleners bij gemeenten, Humanitas et cetera.

Binnen het grote RoG-programma van ICTU is het Financieel Paspoort getest met het downloaden van schuldverklaringen bij DUO. “Het vergde enige tijd om te onderkennen hoe eenvoudig het eigenlijk was”, zegt Philip Helmer van Stichting Financieel Paspoort. Wel is er qua software, aansluitingen en standaardisatie nog het nodige te doen. En er is politieke tegenwind, reden voor minister Van Engelshoven van OCW om de medewerking van DUO te stoppen. Helmer: “Onbegrijpelijk als diezelfde regering een Regie op Gegevens-programma wil doen slagen. We hebben protest aangetekend.”

Testen

Een gelijksoortige toepassing wordt overigens in het ideële project Fikks voor schuldhulpverlening ingevoerd. De schuldtoepassingen van eigen regie draaien volgens het afsprakenstelsel van Qiy Trust Network (Digital Me), dat vooroploopt met individueel databeheer. Met Qiy, maar ook met Schluss en IRMA heeft Nederland krachtige sociale ondernemingen die door EZK worden gezien als exportkans in de EU, ofschoon vooral Qiy en Schluss zich financieel veel opofferingen getroosten om hun ideaal te verwezenlijken.

Recent is bekendgemaakt dat RoG een proef begint voor digitaal delen van inkomensgegevens met woningcorporaties via MijnOverheid. In een hackathon (zie kader) afgelopen zomer wonnen Rabobank, Schluss en de Britse commerciële partij Digi.me ieder een budget van 50.000 euro voor een praktijktest met ICTU.

IRMA boekt al succes met de login voor webapplicatie Helder (waar artsen thuiszorgrapportages inzien), voor Ivido (voor persoonlijke gezondheidsomgevingen), bij een gezondheidscentrum in Uden (proef van Chipsoft); en bij VGZ voor zaakwaarnemers, en het wordt als ‘open source’ ook omarmd in het RoG-programma van BZK.

IRMA-chef Bart Jacobs, gevraagd naar de benodigde organisatie: “Dit door een commerciële partij laten uitvoeren is onwenselijk. Daarom pleit ik voor een non-profit oplossing, zoals bijvoorbeeld met SIDN voor de domeinnamen, een ICT-infrastructuur vanuit een stichting onder een convenant met EZ.” Eenvoudig wordt dit nooit vervolgt Jacobs: “Het probleem met eID is dat iedereen na een kwartier nadenken meent te weten hoe het moet, en dat vervolgens gaat pushen. Wij zijn gekoppeld aan de BRP en dat werkt uitstekend. MijnOverheid is minder stabiel, maar zou ook kunnen als bron. Daarnaast is balie-uitgifte noodzakelijk, voor mensen die online minder handig zijn.” Marie-Jose Hoefmans van Schluss zit op de lijn van Jacobs. Wel waarschuwt ze oprecht: “Hoe gedegen en klantvriendelijk je ook organiseert, de kwetsbaarste factor blijven gebruikers die voorzichtig met hun data moeten leren omgaan. Dat is een hoge drempel…”

Hacketon

• Het Blockchain Acceleration Lab’ van Rabobank werkt een proof-of-concept uit voor overdracht van data bij de inkomenstoets voor toewijzing van sociale huurwoningen
• Digi.Me bouwt met IRMA een app die het mogelijk maakt dat (ex) studenten hun diploma’s met een validated claim ophalen bij DUO, en die bij een sollicitatie doorsluizen naar een werkgever.
• Schluss in Amsterdam bouwt een toepassing om derden (nabestaanden, mantelzorgers, ouders) databeheer te bieden van bijvoorbeeld overledenen, dementen en kinderen. Schluss-baas Marie-José Hoefmans: ‘We zien een model van drie delen: identificatie/authenticatie; decentrale opslag van gegevens die op één plek toegankelijk zijn; en ten slotte autorisatie, oftewel wie er inzage krijgt. We hebben eerst het gebruiksgemak getest en de techniek beschreven.’

Belangrijkste principes regie op gegevens

Wat zijn de essenties voor de praktijk? Deze cruciale vraag heeft de projectgroep RoG voorgelegd aan regie-expert Theo Hooghiemstra (& Partners). Na een inventarisatie bij vele betrokkenen luiden de belangrijkste principes:

• Sturing: alles staat of valt met het creëren van draagvlak onder overheden, een goed governance model, een strakke regie en een strikte handhaving.
• Stelsels: onafhankelijkheid van overheid en markt, neutraliteit, openheid, inclusie.
• Architectuur: decentrale en gedistribueerde benadering, waarbij de burger via een centraal toegangspunt regie voert over data op vele plekken, met eenvoud in gebruik.
• Technisch: schaalbaarheid, voorkomen van ‘lock in’ situaties.
• Burger kan kiezen uit gecertificeerde regie-apps die aan basisvoorwaarden voldoen.
• Toepassingen ontsluiten alle benodigde overheden, eventueel ook bedrijven.

Dit artikel staat ook in iBestuur magazine 33