'De persoonsdatakluis moet weer open!'

door: Henk Bos, Marjan Schnetz en René Veldwijk, 26 november 2018

Maandag 26 november overlegde de Tweede Kamer over een initiatiefnota van VVD en D66. Het onderwerp van deze nota was de online identiteit en regie van burgers op de eigen persoonsgegevens. Centraal daarbij stond een in GBA-kringen bekend begrip: de digitale kluis met persoonsgegevens, zoals oorspronkelijk in het rapport van de CMGBA opgenomen.

Tweede Kamer

De Commissie kiest voor het voeren van regie door de burger over zijn of haar persoonsgegevens. Invulling van dit principe kan naar de mening van de Commissie plaatsvinden d.m.v. zogenoemde digitale kluizen.
De digitale kluis kan naast (vanuit de GBA aangeleverde) persoonsgegevens ook andere sectorale gegevens bevatten (vb. belastbaar inkomen) die door de administrerende instantie ter beschikking worden gesteld aan de burger. Via deze kluis heeft de burger een eigen overzicht van zijn of haar gegevens. De burger kan deze naar eigen inzicht verstrekken aan organisaties met een niet-publieke taak die daarin geïnteresseerd zijn.

Citaat Rapport Commissie Modernisering Gemeentelijke Basisadministratie (CMGBA)

Met zo’n digitale kluis (hierna: digikluis) krijgt de burger regie op de eigen persoonsgegevens, want de burger heeft de sleutel van de eigen digikluis. Zoals initiatiefnemers Jan Middendorp (VVD) en Kees Verhoeven (D66) schrijven: ‘Met die online identiteit kunnen mensen de controle terugpakken over hun identiteit en persoonsgegevens bij de digitale overheid’. De timing van de initiatiefnota lijkt bijzonder goed. De bouw van de BRP is definitief mislukt en tot midden jaren ’20 lijkt er niet veel te gebeuren. Greep op de online identiteit en over wie wat van je weet is ondertussen een majeur maatschappelijk vraagstuk geworden.

Gekoppeld aan het kluisconcept besteedt de initiatiefnota de nodige aandacht aan identiteitsvaststelling en veilig inloggen. De hoofdvraag is echter wat voor persoonsgegevens er in de digikluis terechtkomen en hoe dat moet leiden tot regie van de burger over diens gegevens bij de gemeenten, de Belastingdienst, het SVB, en die honderden andere (overheids)organisaties die nu onbekommerd allerlei persoonsgegevens registreren.

Reactie van de staatssecretaris

De reactie van BZK-staatssecretaris Raymond Knops (CDA) volgt de klassieke lijn dat wat de Kamer(leden) willen goed is, maar reeds beleid is. Middendorp en Verhoeven helpen hem daarbij door niet scherp te definiëren wat ze precies willen. Knops serveert de digikluis dan af in één incorrect en misleidend zinnetje: ‘Ik ben echter geen voorstander van een fysiek gecentraliseerde opslag van gegevens die nu decentraal, in meerdere basisregistraties zijn opgeslagen’. De suggestie als zouden onze persoonsgegevens niet op honderden, zo niet duizenden lokale bestanden zijn opgeslagen buiten de controle van de basisregistratiehouder, laat staan de burger, is pikant. De datachaos die de twee Kamerleden willen aanpakken, wordt ontkend.

Omdat het concept van een digitale klus zo krachtig is en er in het verleden diep over is nagedacht, nemen wij hierna de vrijheid om deze ideeën weer tot leven te wekken en ze toe te passen op de actuele situatie: geen nieuwe BRP, steeds verdere proliferatie van persoonsdata, maar ook veel krachtiger computers en netwerken.

Kopieën van persoonsgegevens versus regie over persoonsgegevens

Zoals we hiervoor aangaven definieert de initiatiefnota nota niet scherp wat ‘regie’ van de burger over gegevens precies inhoudt. Gelukkig is de nota wel duidelijk over welke problemen de digikluis moet adresseren, namelijk het bestaan van kopieën van dezelfde persoonsdata bij allerlei organisaties die niet gegarandeerd identiek zijn. De burger weet niet bij welke organisaties persoonsgegevens vastliggen, of die kloppen en hoe ze worden gebruikt. Wanneer gegevens niet kloppen, leidt de burger schade. Hetzelfde geldt voor de organisaties zelf, terwijl het kopiëren en synchroniseren van persoonsgegevens een dure en zeer foutgevoelige aangelegenheid is.

Vanuit deze probleemstelling, en omdat er binnen de overheid al is nagedacht over wat ‘regie op gegevens’ inhoudt, kunnen we het regiebegrip concretiseren. Het hebben van regie is niet ja/nee maar kent een aantal niveaus:

1. Regie begint bij weten wie welke persoonsgegevens van jou registreert.
2. Regie wordt materieel wanneer je inzage in (alle kopieën van) jouw persoonsgegevens krijgt.
3. Regie krijgt tanden wanneer je incorrecte gegevens kunt corrigeren en irrelevante gegevens – correct of niet – kunt (laten) verwijderen.
4. Regie is compleet wanneer je naast het voorgaande controle hebt over wie jouw gegevens daadwerkelijk gebruikt .

De digikluis: bloedhete soep

Hoewel de initiatiefnota niet helder is over wat regie inhoudt, suggereert het concept ‘kluis’ dat het Middendorp en Verhoeven werkelijk gaat om de serieuzere vormen van burgerregie. Laten we de consequenties even uitschrijven:

1. Allereerst komt er een digikluis bij de overheid met daarin een aantal persoonsgegevens. Te denken valt aan naam, adres, geboortedatum, geslacht en nationaliteit. De logische sleutel tot de digikluis binnen de overheid is het Burgerservicenummer (BSN).
2. Elke overheidsorganisatie die een of meer van deze gegevens gebruikt dient deze uit al zijn eigen administraties te verwijderen. Alleen het BSN mag (moet) worden geregistreerd.
3. Telkens wanneer de naar de digikluis verhuisde persoonsgegevens worden geraadpleegd, moet toegang worden gezocht tot de digikluis van de betreffende burger. De raadpleging als zodanig wordt ook gelogd.
4. De burger heeft toegang tot zijn digikluis, kan gegevens zelf corrigeren (niet per se eenzijdig), heeft inzage in het daadwerkelijke gebruik (wie, wanneer, welke gegevens, uit hoofde waarvan en met wel doel) en kan organisaties (ont)autoriseren.

Wat moet worden beseft is dat het opzetten van een digikluis-faciliteit het kleinste probleem is. Het verwijderen van de naar de digikluis verhuisde gegevens uit de administraties en het ingrijpen van – vaak stokoude – programmatuur door honderden organisaties is het werkelijke probleem. Doordat de initiatiefnota dit onvoldoende onderkent, kan de staatssecretaris doen alsof het niet bestaat.

We vullen de nota aan met de vaststelling dat het saneren van de gegevenshuishouding grote ingrepen zal vergen bij honderden publieke organisaties. Een kleiner probleem is dat de beschikbaarheid van de digikluis 100 procent moet zijn of de complete overheid ligt plat.

Een operationele digikluis-faciliteit zal leiden tot kostenbesparingen, maar vergt eerst een forse investering en vele jaren doorlooptijd. Dat de grootste overheidsorganisaties zich met hand en tand zullen verzetten tegen een dergelijke ingreep is ook een zekerheid. Organisaties als het UWV en de Belastingdienst hebben tientallen, zo niet honderden systemen, met persoonsgegevens die zullen moeten worden gesaneerd en het beheer van gekopieerde gegevens levert veel werkgelegenheid op. Als de Kamer de initiatiefnota van Middendorp en Verhoeven omarmt dan zal er een goed doordachte strategie moeten komen om te voorkomen dat de digikluis het zoveelste mislukte ICT-project wordt. Daarbij moet ook gedacht worden aan de mogelijkheden die de nieuwe privacywetgeving biedt (Algemene Verordening Gegevensbescherming). In dat kader wordt immers gewerkt aan het inzichtelijker en regisseerbaarder maken van persoonsgegevens.

Drie soorten persoonsgegevens

Niet alle persoonsgegevens lenen zich voor hetzelfde niveau van regie. De ultieme vorm van regie, het verbieden van toegang tot persoonsgegevens aan bepaalde afnemers of zelfs het verwijderen van eigen gegevens, verdraagt zich slecht met de kerntaken van de overheid en met de wetgeving. Het zou bijvoorbeeld vreemd zijn als de burger het recht zou hebben om zijn naam, woonadres of geboortedatum te verwijderen of deze informatie te ontzeggen aan de eigen gemeente of de Belastingdienst.

Regie beperkt zich bij deze categorie gegevens tot de drie lagere niveaus: weten, inzien, (doen) corrigeren en gebruik terugmelden. De burger kan zien welke gegevens in diens digikluis zitten, wie deze gegevens waarvoor mogen gebruiken en door wie/wanneer ze daadwerkelijk zijn gebruikt. Het is nuttig om deze persoonsgegevens duidelijk te labelen om ze te onderscheiden van andersoortige gegevens. Wij stellen de term ‘Staatsgegevens’ voor, wat uitdrukt dat deze gegevens uiteindelijk wel over de burger gaan, maar de bron de Staat der Nederlanden is.

Gegevens in systemen als de BRP zijn haast per definitie Staatsgegevens. Juist daarom is het belangrijk te beseffen dat er ook _niet_-Staatsgegevens zijn. Een actueel voorbeeld is het persoonsgegeven ‘geslacht’. Dit staat op de nominatie om uit de BRP te verdwijnen omdat het niet meer wordt gezien als Staatsgegeven. Ook vanuit het belang van de burger blijven er legio redenen om dit gegeven in de digikluis te registreren, bijvoorbeeld voor bevolkingsonderzoeken naar borst- of prostaatkanker. Als geslacht straks geen Staatsgegeven meer is, dan kan de burger natuurlijk wel besluiten voor welke doeleinden het mag worden gebruikt door welke overheidsorganen. Daarnaast mag de burger het gegeven ook verwijderen uit diens digikluis en daarmee uit alle publieke administraties.

Buiten het geslachtkenmerk is er nog een veelheid van gegevens waarvoor geldt dat het wenselijk is dat deze in de bredere overheid bekend zijn en gebruikt worden. Deze groep gegevens bevatten veelal uitkomsten van de producten en diensten van de overheid. Een voorbeeld daarvan zijn diploma’s. De burger bepaalt zelf of deze gegevens in zijn Staats-digikluis terechtkomen of niet. Het facultatieve karakter en de in beginsel volledige regie die de burger over deze gegevens heeft, onderscheidt ze van Staatsgegevens. Wij stellen voor om ze aan te duiden als ‘Maatschappelijke gegevens’. Ze horen thuis in de digitale kluis, maar de burger krijgt een opt-out.

Tenslotte is er nog een wereld van persoonsgegevens waarvoor geldt dat het handig en nuttig is als deze in een digikluis worden geregistreerd, maar waarbij de bron en het initiatief tot opname bij de burger ligt. Deze gegevens duiden wij aan als ‘Vrijwillige gegevens’. Voorbeelden zijn e‑mailadressen, telefoonnummers, bankrekeningnummer(s) en verblijfadressen. De burger krijgt hier een opt-in.

Redelijkerwijs zal een digikluis zich initieel vooral richten op een aantal Staatsgegevens uit de BRP en een kleine verzameling Maatschappelijke & Vrijwillige (contact)gegevens. Gegevens die de burger in diens digikluis vastlegt dienen vervolgens verplicht te worden gebruikt binnen de publieke sector en te worden verwijderd uit de eigen administraties.

De Facebook casus

Er is geen reden om het gebruik van de digikluis te beperken tot de publieke sector. Private organisaties zouden toegang moeten krijgen tot nagenoeg alle gegevens in de Staats-digikluis, vanzelfsprekend volledig onder volledige regie van de burger, wederom. De consequentie is ook dat deze gegevens dan uit de administraties van de private organisaties moeten verdwijnen. Met behulp van een wettelijk gebaseerde digi-kluis kunnen ook de persoonsgegevens aangepakt worden die bedrijven als Facebook zich hebben toegeëigend. Dat zoiets een publiek belang kan zijn behoeft anno 2018 geen betoog.

Adequate wetgeving zal er ook voor zorgen dat er private platforms ontstaan die zich puur richten op het geven van controle over gegevens aan burgers. Op dit moment loopt er al een privaat initiatief genaamd Schluss. Dit initiatief zet zich in voor een privaat kluisconcept. Totstandkoming van een digikluis-mechanisme voor de publieke sector, begeleid door passende wetgeving, kan dergelijke initiatieven sterk stimuleren.

Technische haalbaarheid

De initiatiefnota doet terecht geen uitspraken over implementatietechniek. Hier merken we op dat een directe implementatie technisch wel mogelijk is, maar onacceptabele risico’s met zich meebrengt. De digikluis is immers een single point of failure: storingen en sabotage leidt direct tot ontwrichting. De oplossing moet worden gezocht in kopieën die worden beheerd door het digikluis-mechanisme zelf. (Voor ICT’ers: logische centralisatie, technische decentralisatie waar nodig.) Grote gebruikers van persoonsgegevens, zoals Belastingdienst, SVB en UWV, hebben dan een lokale kopie (een cache), zodat het netwerkverkeer en de belasting van de centrale digikluis beperkt blijft.

Bestuurlijke haalbaarheid

Het echte probleem heet bestuurlijke haalbaarheid. Overheidsorganisaties denken steeds minder in termen van basisregistraties en steeds meer in termen van ketens. Het kluisconcept is een keuze voor basisregistraties on steroids. Niet alleen bestuurlijke wil, maar ook een doordachte strategie is daarom vereist. Deze moet erop zijn gericht om eerst duidelijkheid te krijgen over waar kopieën van digikluis-gegevens worden bijgehouden – per informatiesysteem wel te verstaan. Parallel daaraan kan het digikluis-mechanisme worden gerealiseerd en gevuld met (overwegend BRP-)gegevens. Daarna is het aan de afnemers om sanerings- en transitieplannen te maken. Komt daar een lange doorlooptijd uit dan dient eerst de terugmelding van daadwerkelijke raadplegingen van en mutaties op deze gegevens operationeel te worden. Omdat de burger kan zien wat er met zijn (Staats)gegevens gebeurt, heeft deze direct een groot stuk regie in handen. Het daadwerkelijk saneren van de lokale gegevenskopieën kan dan beheerst plaatsvinden.

Tenslotte

De initiatiefnota van Middendorp en Verhoeven is het eerste initiatief sinds tijden dat de steeds toenemende gegevenschaos bij de overheid adresseert en verdient alleen daarom al bijval. Wat de nota beoogt, de burger echte regie over diens persoonsgegevens geven, vereist een enorme ingreep die met elk jaar doormodderen en ‘ketenautomatiseren’ groter wordt. Dat overheidsorganisaties zelf ‘hun’ gegevenskopieën willen behouden is zeker, terwijl het ministerie voorlopig niet het voortouw lijkt te willen nemen. Tegenover deze krachten staat een steeds mondiger wordende burgerij, strengere wetgeving en een aanzwellende golf van datalekken en privacyschandalen. Het is maandagmiddag 26 november daarom game on.

Henk Bos is raadslid voor GroenLinks in de gemeente Midden-Groningen en was in 2000 lid van de Commissie Modernisering Gemeentelijke Basisadministratie (CMGBA). Marjan Schnetz is bestuursrechtjurist en GBA/BRP-deskundige. René Veldwijk is bestuurlijk informatiekundige en gespecialiseerd in gegevensmanagement.

reacties: 2

tags: , ,

- - - - -

  1. Jelte Verhoeff #

    26 november 2018, 09:20

    Sprankelend verhaal waarin nu eens heel concreet wordt aangegeven hoe we succesvol uit het doodlopend slop van de GBA/BRP discussie kunnen ontsnappen en de greep van een ieder op zijn gegevens kunnen versterken, mits de politiek nu de juist stappen zet. Zodat we met de kracht van de wet in de rug ook kunnen gaan aankloppen bij de informatieverzamelaars die alles aan elkaar plakken en met die gratis grondstof nu goud verdienen.
    Hopenlijk gaan we hier meer lezen van deze auteurs!

    - - - - -

  2. Jan van Til #

    30 november 2018, 12:57

    Staatsgegevens. Wat een afschuwelijk en off-the-point woord! Het zet mensen zomaar op een geheel verkeerd been. De staat treedt (hooguit) op als houder van persoonsgegevens. Maar dat maakt dergelijke gegevens nog niet tot staatsgegevens! Welnee, informatie over een individuele (rechts)persoon is en blijft van diezèlfde (rechts)persoon!

    Het gaat hier ‘gewoon’ om persoonsgegevens waarvoor het zelfbeschikkingsrecht van de eigenaar ervan wettelijk dient te worden ingeperkt teneinde onderling vertrouwen in maatschappelijk (informatie)verkeer te kunnen waarborgen.

    Mijn geboortedatum is … van mij. Maar ik ben niet de houder van mijn geboortedatum. Dat zou gemakkelijk een maatschappelijk ontwrichtende werking kunnen hebben. En ‘mijn’ adres? Die is van …? Nou, in ieder geval niet van mij; ik ben slechts gebruiker. ‘Mijn’ paspoort is ook niet van mij; ik ben slechts de houder ervan en in voorkomende gevallen gebruiker.

    Jaren geleden alweer, verscheen Manifest Informatieverkeer. Nog altijd een zeer lezenswaardig document-en-aanzet! Genoemd manifest is ook verschenen in de bundel Interoperabel Nederland – een uitgave van Forum Standaardisatie.

    - - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.