Ambtenaren koppelen gegevens van uitkeringsgerechtigden aan hun waterverbruik en de Belastingdienst zet risicoprofielen van potentiële fraudeurs af tegen hun werkelijke gedrag. De Nederlandse overheid is al jaren druk bezig met het vernetwerken en verrijken van de informatie die ze over haar burgers heeft. Dat is handig bij handhaving en bij het vormen van nieuw beleid. Maar waar zit de rem? Hoogleraar rechtsfilosofie Mireille Hildebrandt en senior-onderzoeker Jaap-Henk Hoepman over de toekomst van gegevensbescherming.
De mens is een gemaksdier, de overheid ook. Zoals een persoon het fijn vindt om via Facebook foto’s te delen met honderden personen tegelijk – dat scheelt een hoop aparte e-mailberichtjes – zo vindt de overheid het fijn om data over haar burgers digitaal op te slaan. Dan hoeven burgers niet elke keer een nieuw formulier in te vullen en kunnen ambtenaren met één druk op de knop bij de relevante gegevens komen. In Den Haag wordt men doorgaans helemaal enthousiast als met diezelfde gegevens nog iets extra’s kan. Denk aan het opsporen van uitkeringsfraudeurs, of belastingontduikers tijdig in de kraag vatten.
Niet onlogisch, legt hoogleraar Hildebrandt uit. Overheden worden geconfronteerd met de crisis – een bezuinigingsnoodzaak – en aan de andere kant met veel problemen tegelijk onder andere op de terreinen sociale zekerheid, veiligheid en onderwijs. Hildebrandt: “Ik kan me heel goed voorstellen dat een ambtenaar, ook op lokaal niveau, soms denkt: ik kan nu iets oplossen en dat ga ik dus ook doen. Wanneer blijkt dat ik de benodigde informatie eigenlijk niet op deze manier mag gebruiken, hoor ik het later wel, maar dan heb ik in ieder geval het probleem opgelost. In een rechtsstaat moet je de zaken alleen wel zo regelen dat de ambtenaar niet voor die verleiding bezwijkt.”
Dankzij digitalisering en steeds goedkopere dataopslag hebben de verschillende ministeries en overheidsdiensten enorm veel informatie in huis. Het WRR-rapport iOverheid uit 2011 concludeert al dat het moeilijk is om het gebruik van al die data te weerstaan. Wie het meldingenregister van het College Bescherming Persoonsgegevens (CBP) erop naspeurt, ontdekt veel verrassende samenwerkingsarrangementen. Organisaties als het UWV, het Centrum Werk en Inkomen (CWI) en de Sociale Verzekeringsbank (SVB) delen hun gegevens via het Bureau Keteninformatisering Werk en Inkomen (BKWI). Een aantal jaar geleden zijn ook diensten uit het opsporingsdomein zoals de Arbeidsinspectie en Sociale Inlichtingen- en Opsporingsdienst (SIOD) aangeschoven. Opvallend zijn ook koppelingen die de Dienst Uitvoering Onderwijs maakt, al dan niet geanonimiseerd, met onder meer de gemeentelijke basisadministratie, de Dienst Sociale Zaken, de Belastingdienst, de Sociale Verzekeringsbank, Justitie en diverse onderwijsinstellingen. Jaap-Henk Hoepman: “De overheid weet niet welke informatie ze eigenlijk allemaal heeft en hoe het verknoopt zit. Het is inmiddels één grote bak spaghetti waar niemand overzicht over heeft.”
Herdefiniëring van doelbindingsprincipe
De regels voor het verzamelen en delen van persoonlijke informatie zijn uitgewerkt in de Wet Bescherming Persoonsgegevens (WBP). Doelen zijn belangrijk in deze wet. Een bedrijf of overheidsinstantie die namen, adressen, geboortedata of andere tot het individu te herleiden gegevens gaat verzamelen, moet daarvoor een ‘gerechtvaardigd doel’ hebben. Ook moet men voldoen aan het zogenaamde doelbindingsbeginsel. Dat betekent dat de verzamelaar van te voren aangeeft met welk doel de gegevens worden verwerkt en als ze voor dat doel niet meer nodig zijn, moet hij ze verwijderen.
Met name dit doelbindingsprincipe lijkt inmiddels haaks op de praktijk te staan. In een informatiemaatschappij is het steeds lastiger van tevoren te overzien waar gegevens later voor gebruikt kunnen worden, aldus Hildebrandt: “Begrijp me niet verkeerd. Als de overheid me om advies vraagt, roep ik de hele dag ‘doelbinding, doelbinding’, want het is precies dit grondbeginsel wat op de tocht staat. Maar helaas gaat de discussie meestal over toestemming of over controle over gegevens. Het gevaar van de nadruk op deze twee aspecten, die bij veel privacy advocaten voorop staat, is dat je te praktisch op de vierkante meter kleine probleempjes oplost, terwijl achter je het oerwoud groeit.” Voor haar eigen onderzoek kijkt ze daarom liever de andere kant op, naar het oerwoud. “Het principe van doelbinding is niet ten einde, maar ik denk dat de uitdaging – ook met de overgang naar een door informatie gestuurde overheid – ligt in: hoe moet je dat beginsel nu opnieuw bedenken en ontwerpen? Daar zijn we nog niet zomaar uit.”
Met het oerwoud verwijst Hildebrandt naar de groeiende invloed van profiling en data mining. Ook de overheid gebruikt inmiddels grote hoeveelheden geanonimiseerde persoonsgegevens – die vooralsnog buiten de bescherming van de WBP en dus ook het doelbindingsbeginsel vallen – om het gedrag van burgers te voorspellen. De staat loopt hiermee in het kielzog van commerciële bedrijven die aan de hand van profielen hun klanten categoriseren en benaderen. Door profiling is privacy in de klassieke zin – iemand weet iets van mij wat ik niet wil of wat niet mag – niet in het geding, maar worden persoonsgegevens wel zo gebruikt dat ze uiteindelijk terugslaan op het individu en op hoe hij door de overheid wordt behandeld.
April dit jaar nog verschijnt in het vakblad Binnenlands Bestuur een artikel waarin gemeenten worden aangespoord om gegevens van de Sociale Dienst te koppelen aan hun eigen database, om zo ‘inzicht (te) verschaffen in de kans op uitkeringsfraude’. Want: ‘Door het slim combineren van beschikbare gegevens kom je als gemeente veel meer te weten dan het aantal tandenborstels bij de wastafel’. Er wordt onder andere geadviseerd eens goed te kijken naar burgers die van de Sociale Dienst een uitkering ontvangen en tegelijk, dat weet de gemeente dan weer via de hondenbelasting, drie honden hebben. De kosten voor zoveel huisdieren zijn zo hoog, dat wellicht sprake is van verborgen inkomsten.
Meer Willy Wortels
Profiling wordt dus veelvuldig voor handhaving ingezet, maar zal ook steeds meer het beleid van de overheid bepalen, stelt Hildebrandt. De hoogleraar weet dat dit al gebeurt, maar kan vanuit de vertrouwelijke relatie met haar opdrachtgevers geen bestaand voorbeeld geven. Een fictief voorbeeld dan. Hildebrandt: “Stel dat het kabinet wil dat meer mensen een exacte studie kiezen. Ambtenaren kunnen dan profielen kopen die zicht geven op correlerende factoren met zo’n exacte studie en met hun beleid op die factoren gaan sturen.” Data mining, onderdeel van het technische proces dat tot profielen leidt, laat bijvoorbeeld zien dat de keuze voor een exacte studie correleert met de studie van ouders, grootouders, schoolgenoten, buurtgenoten. Maar het kan ook onverwachte correlaties aantonen. Denk aan bepaalde sporten, voedingspatronen of kledingvoorkeur. Hildebrandt: “Correlaties zijn geen causale verbanden, maar de verleiding is groot om er toch zoiets in te zien en daarop te gaan sturen.”
Een profiel wordt doorgaans afgeleid uit het surfgedrag van websitebezoekers op internet (daarom zijn cookies ook zo belangrijk voor bedrijven, die volgen het gedrag van bezoekers over verschillende sites) en uit gegevens die mensen achterlaten op sociale media of bij het doen van online aankopen. Hildebrandt: “Analyse van zo’n profiel kan bijvoorbeeld uitwijzen dat techneuten over het algemeen veel wortels eten. Dit is natuurlijk fictief, maar het laat goed zien dat data mining vaak onverwachte verbanden omhoog brengt.” Oké, en dan? Start de overheid een campagne ten faveure van wortels om zo meer mensen naar die technische studies te lokken? Hildebrandt: “Dat zou geen probleem zijn, maar ik ben meer bang dat gekozen wordt voor minder zichtbaar beleid. Burgers kunnen dan niet zien dat ze met het oog op bepaalde doelen op een bepaalde manier worden beïnvloed. Stel dat consultatiebureaus gaan adviseren om meer wortelpapjes te geven in de hoop dat er dan meer Willy Wortels van komen? Dat is niet alleen hilarisch. Bij serieuze profilering kan een vorm van onzichtbare manipulatie ontstaan.”
Naar meer profieltransparantie
Waar de rechtsfilosofe naar toe wil is dat burgers zicht moeten hebben op welke profielen er zijn, hoe deze tot stand zijn gekomen en dat je vervolgens moet kunnen zeggen: dat wil ik niet, of dat ben ik niet. Ze noemt dat profieltransparantie. “Het gaat om het recht om niet onderworpen te worden aan geautomatiseerde beslissingen. Dat recht wordt straks versterkt onder de nieuwe Europese Verordening Gegevensbescherming en bovendien gekoppeld aan een recht op transparantie. Burgers moeten weten dat een beslissing is genomen op basis van profielen en hoe dat profiel in elkaar steekt. En die uitleg moet in menselijke taal plaatsvinden. Dus geen algoritmes, maar een persoon die zegt: ‘Wij hebben ontdekt dat mensen met die en die factoren zich zo ontwikkelen. Dat vinden wij niet wenselijk. Jij matcht op die factoren en daarom gaan wij jou nu zo behandelen.’ En op dat moment moet je kunnen zeggen: ‘Oh dat vind ik heel interessant, maar dat is allemaal statistiek en ik ben een persoon. Ik wens niet zo behandeld te worden. Je zou, uiteindelijk, ook naar de rechter kunnen stappen.”
Om op zo’n punt te komen, moet het proces wel inzichtelijk zijn. Tot nu toe is dat niet het geval. De pilot met het Early warning System van de gemeente Almere is een voorbeeld van hoe een alziende overheidsblik in combinatie met profiling doorschiet naar onwenselijke situaties. Gegevensbestanden van woningcorporaties over huurachterstanden, woonfraude en woningonderhoud worden gekoppeld aan data van de gemeente over bijvoorbeeld schulden, schoolverzuim en huiselijk geweld. In de praktijk wandelt de hulpverlener door de wijk en ziet met behulp van augmented reality – vergelijkbaar met de Funda layer-app – wat er mis gaat achter de voordeur.
Hildebrandt noemt dit een weeffoutje: “Ik vind het wel zeer ernstig. Vooral omdat ze er zo vrolijk over doen. Volgens mij mag het helemaal niet. Volkomen in strijd met het doelbindingsprincipe en ik zou bijna zeggen: ik ben blij dat ik niet in Almere woon. Dat één of andere figuur met z’n smartphone langs komt lopen en allerlei dingen kan zien waar hij niets mee te maken heeft.” Ook een project in Rotterdam waarbij interventieteams onaangekondigde huisbezoeken doen op basis van gekoppelde gegevens en risicoprofielen werd in 2007 berispt en 2011 nog eens kritisch beschouwd door de gemeentelijke ombudsman. Toch is Hildebrandt mild jegens de ambtenarij. “Ik denk dat ze soms iets te enthousiast zijn. Profiling en datamining zijn nieuw speelgoed voor de overheid. Daar ga je mee experimenteren.”
Hoe kan de overheid grondrechten in de informatiemaatschappij garanderen? De Nijmeegse samenwerking tussen sociologen, computer-‘mannen’ zoals Hoepman en juristen is interessant, omdat zij dit vraagstuk van origine anders aanvliegen. Vanuit de techniek, de hoek van Hoepman, is de grondgedachte vrij simpel. Men vult een database met persoonsgegevens en beveiligt deze. Denk aan het Schengen Informatie Systeem, het Elektronisch Kind Dossier of de Verwijsindex Risicojongeren. Dit staat nog even los van profiling en datamining, zaken die je later met die databases kunt doen. Meestal gebeurt de beveiliging van zo’n systeem door de toegang tot gegevens te beperken met behulp van identiteitsmanagement. Men bepaalt vooraf wie bij welke informatie kan. Maar om dat goed te kunnen doen, spelen doelen wederom een rol. Wil de beveiliging goed werken, dan moet men bij het originele doel van dat systeem blijven, legt Hoepman uit. En daar ligt een politieke valkuil. “In een politiek besluitvorming proces worden vaak uiteindelijk meerdere belangen, meerdere doelen, op één hoop gegooid. Als we toch een systeem gaan bouwen, dan kunnen we net zo goed… vul maar in.”
Hoepman noemt het EPD als voorbeeld. “In de wet staat dat de patiënt toestemming moet geven voor het delen van medische gegevens. Via een document sharing system kun je dat organiseren. Dan moet je daar nog steeds goed over nadenken en is er een heleboel werk te verrichten om de administraties van de verschillende ziekenhuizen op elkaar af stemmen. Maar uiteindelijk is het een soort digitalisering van de huidige praktijk. Waar het spaak gaat, is het rare idee dat iemand heeft bedacht dat het belangrijk is om in spoedgevallen toegang te hebben tot die gegevens. Dan kun je namelijk niet meer aankomen met ‘eerst toestemming van de patiënt zelf’, want die ligt bij wijze van spreken dood te bloeden op straat. Je hebt dus een systeem gemaakt met allemaal veiligheidswaarborgen, maar er zit een hele grote voordeur in waar een willekeurig iemand naar binnen kan lopen en een dossier uit de kast kan trekken. Dat is vragen om moeilijkheden.”
PETs als kostenpost
Hildebrandt herkent de problematiek in bestaande systemen, en wil voorop stellen dat ze geen tegenstander is van identiteitsmanagement of andere zogenaamde Privacy Enhancing Technologies (PETs). Al waarschuwt ze wel voor begripsverwarring. De termen PETs en Privacy by Design worden ook door experts vaak door elkaar heen gebruikt. Juristen, politici en computerwetenschappers bedoelen er niet altijd hetzelfde mee. Hildebrandt: “In mijn beleving betekent PETs dat je achteraf op een bestaand systeem wat bescherming gaat zetten. Een kostenpost dus, terwijl het vaak niet het niet helemaal duidelijk is wat de opbrengsten zijn. Ik heb eerlijk gezegd om economische redenen nooit zo in PETs geloofd. Als je dit soort technische gegevensbescherming niet over de hele linie verplicht stelt, permitteren bedrijven of de overheid zich de extra kosten niet.”
Die verplichting zit er wel aan te komen. Op dit moment wordt de Europese privacywetgeving hervormd. Een belangrijke wijziging is dat er hoge sancties komen. Voor bepaalde privacy schendingen kan de toezichthouder straks een maximale boete van 2 procent van de omzet opleggen. Hildebrandt is een pleitbezorger van Gegevensbescherming by Design. Ook dat wordt straks verplicht in de nieuwe Europese verordening. Het betekent grofweg dat men op het moment van ontwerp al om de tafel gaat zitten om de bescherming en transparantie van begin af aan in het systeem te bouwen. Met programmeurs uiteraard, maar bij voorkeur ook met juristen die kunnen uitleggen dat privacy verder gaat dan alleen geheimhouding. Rechtsfilosofe Hildebrandt: “Een helder juridisch kader moet de grenzen aangeven. Voor de overheid blijft de uitdaging hoe je nieuw beleid kunt ontwikkelen dat zowel respect voor de individuele vrijheid als de onberispelijke naleving van het juridisch kader als het ware inbouwt. Databescherming mag niet op de schouders worden gelegd van iemand onderaan de ladder die daar speciaal mee is belast. Het moet de aandacht hebben van ministers en hoogste ambtenaren.”
Dit artikel is een vervolg op het symposium “Privacy in cyberspace” op 10 december 2012 waar Mireille Hildebrandt een lezing heeft verzorgd en Jaap-Henk Hoepman een discussie leidde. Beiden zijn onder andere verbonden aan het Privacy & Identity Lab, een samenwerking tussen de Radboud Universiteit Nijmegen, TNO, Tilburg Institute of Law and Technology en SIDN. Daar onderzoeken sinds april 2012 zowel technici, juristen als socio-economische wetenschappers samen aspecten van privacy en identiteit.
