Zoals ik had beloofd zou ik regelmatig updates gaan geven en dan één onderwerp of initiatief toelichten. Zo zal ik afwisselen tussen zeer concrete oplossingen en organisatorische uitdagingen. Deze keer ga ik het hebben over het thema beveiliging en privacy.

Wat heeft de titel met beveiliging te maken dan?

Eén van de belangrijke punten die eigenlijk altijd in de discussie voorkomen wanneer ik met nieuwe oplossingen kom voor data integratie, is of het allemaal nog wel veilig is en of de privacy is gewaarborgd. Voorbeelden van dingen die kunnen gebeuren zijn het plotseling veelvuldig per dag bevragen van services voor persoonsgegevens als Maxima en Willem-Alexander bijna een kindje krijgen: kennelijk zijn er toch veel mensen nieuwsgierig naar de naam en geslacht van het nieuwe kindje…

Natuurlijk zijn hier allerlei maatregelen tegen getroffen. Denk aan het zeer specifiek beperken van de manieren waarop je kan zoeken naar dit soort informatie, bijvoorbeeld op maar één BSN tegelijk. Of alleen heel specifiek op voornaam, achternaam, én BSN. Dit voorkomt echter niet bovenstaand probleem; op het BSN na is de rest van de informatie makkelijk te vinden en ik denk dat je het BSN uiteindelijk ook wel ergens op het internet kan vinden.

Dus mijn gegevens zijn zomaar beschikbaar voor iedere ambtenaar?

Nee, gelukkig niet. Los van het feit dat maar een zeer beperkte groep toegang heeft tot de schermen waarmee je o.a. persoonsgegevens kan opvragen, is het gebruik hiervan strikt beschreven en gereguleerd. Desalniettemin is het wel mogelijk dat een ambtenaar in de fout gaat. Dit is ook niet te voorkomen met software; een gebruiker met genoeg rechten kan uiteindelijk altijd een manier vinden. Trouwens, als we het nog veel ingewikkelder zouden maken dan wordt het gebruik dermate complex en duur dat het weer fouten in de hand werkt: Als je bijvoorbeeld eerst een verzoek in vijfvoud moet indienen voordat je de gegevens van twee mensen kunt opvragen die graag willen trouwen waarop je dan een week moet wachten omdat eerst drie andere ambtenaren moeten kijken of het wel toegestaan is dan zijn we elkaar het leven wel heel erg lastig (en duur) aan het maken…en sta je héééééél lang te wachten bij de balie van de gemeente…

Hoe gaan we hier dan mee om?

Op zich zijn er in hoofdlijnen twee manieren om dit op te lossen:

• we voorkomen dat het mogelijk is door het inrichten van gebruikersrechten en organisatorische processen;
• we monitoren en controleren het gebruik van de gegevens en treden op bij oneigenlijk gebruik.

Beide worden al toegepast. Ik denk dat er nog meer focus op de tweede maatregel moet komen te liggen. Vooral in het kader van de decentralisaties zijn er namelijk zo enorm veel organisaties die iets met gevoelige gegevens moeten doen dat het nog veel lastiger zal zijn om het aan de voorkant “dicht te timmeren”. Doordat de gegevens allemaal digitaal zijn, is het echter relatief eenvoudig om het gebruik ervan vast te leggen en te monitoren. Dit monitoren hoeven we ook niet “met de hand” te doen; we kunnen regels in de software maken die bekijken of er plotselinge toenames zijn op raadplegingen van specifieke gegevens (waarom wordt persoon xyz plotseling 100x in één dag bekeken terwijl nooit het jaar ervoor?), lijstjes met een top 10, misschien zelfs wel ’n koppeling met Twitter/Facebook zodat we trending topics kunnen vergelijken met de geraadpleegde gegevens…

Dus is het zaak om heel proactief met deze monitoring om te gaan; en mensen die de fout in gaan direct hierop aan te spreken. Daarnaast biedt deze monitoring ook bewijslast naar de burger: we weten dan met zijn allen dat er heel strikt wordt opgetreden tegen misbruik en dat hier actief naar gekeken wordt.

Ik heb er vertrouwen in dat we dit goed kunnen regelen, zelfs in de complexe wereld van de 3d. Daarnaast denk ik dat gemeenten hier een belangrijke rol in zullen krijgen aangezien zij als regisseur dienen te gaan optreden.