In de reacties op mijn column over de fraudegevoeligheid van het kilometerheffingkastje kwam één vraag vaak terug: wat betekent dit voor voor onze privacy? Een goede vraag, want privacy is belangrijker dan een klein beetje fraude – en ook dan best veel fraude.
Volgens Staatssecretaris Heemskerk wordt het debat over privacy in Nederland gedomineerd door indianenverhalen: “Nu is de discussie vaak eenzijdig, domineren indianenverhalen soms het debat of blijven terechte zorgen onderbelicht”, zei hij 26 november op het jaarcongres van het Electronic Commerce Platform Nederland in Scheveningen. De indianenverhalen waar de staatssecretaris op doelt zijn "doemverhalen" dat de overheid niet het beste voor heeft met de burger met de kilometerheffing, het EPD, de OV-chipkaart en de slimme energiemeter, zoals Heemskerk stelt. Als hij gelijk heeft, is er reden tot zorg. Dit punt verdient een nadere analyse.
Een rondgang over internetforums en wetenschappelijke documenten leert dat veel burgers de overheid onbetrouwbaar vinden, zeker als het gaat om privacy, terwijl politici en bestuurders zichzelf juist heel betrouwbaar achten en bij privacyproblemen vooral denken aan bedrijven die telefonisch hun rommel proberen te slijten.
De hoofdvraag is natuurlijk of het wel indianenverhalen zijn - de essentie van indianenverhalen is dat ze niet waar zijn. Het door de indianen veronderstelde patroon is dat de overheid iedere keer terugkomt op de beloofde waarborgen van de privacy.
Ik wil hier niet ingaan op de vraag of de overheid überhaupt wel het beste voorheeft met de burger. Deze vraagstelling veronderstelt een overheid die optreedt met een doelgerichtheid, effectiviteit en eenheid die zonder precedent is in de geschiedenis. Laten we uitgaan van goede bedoelingen bij het gros van onze bestuurders. De vraag is dan of de overheid daadwerkelijk achteraf de ‘spelregels’ verandert. En de tweede vraag is waarom veel burgers de overheid niet vertrouwen met gevoelige informatie. Het antwoord op deze vragen beantwoordt de vraag waarom er zo veel indianenverhalen worden verteld - en geloofd.
Breekt de overheid haar beloften over privacy? Nee. Alleen spreken burgers en overheid een verschillende taal. De burger hoort iets anders dan de overheid zegt. In het bestuurlijk-juridisch jargon staat privacy namelijk gelijk aan de zorgvuldige omgang met persoonsgegevens, terwijl burgers er veel meer onder verstaan. De burger ziet zichzelf als wezen van vlees en bloed in een samenleving van mensen. De bestuurder ziet de burger als een administratieve abstractie met zorgvuldig te registreren en te onderhouden kenmerken; herkenbaar aan het BSN, woonachtig in een bestuurlijke regio – een subject in een bureaucratische biotoop. En de beloftes over privacy houden dus in dat de informatie in principe voor alle belangstellende overheidsdiensten beschikbaar kan zijn. Maar, let wel: zorgvuldig.
Dit verschil in perceptie is levensgroot. Het verklaart ook waarom de burger het College Bescherming Persoonsgegevens (CBP) een tandeloze tijger vindt, terwijl de politiek er op vertrouwt. De expliciete opdracht van het CBP is namelijk het waarborgen van de Wet Bescherming Persoonsgegevens. Niet het handhaven of uitvoeren ervan, welnee, maar een stukje adviseren en een beetje toetsen.
Dit verschil in beleving van waar privacy in de kern over gaat is goed te zien in de Nota “gewoon doen” van de commissie Brouwer. Deze commissie schreef in de titel van de nota dat “het gaat over bescherming van de veiligheid en de persoonlijke levenssfeer” en gaat vervolgens alleen maar over persoonsgegevens in de overheidscontext. Hiermee toont de commissie zich in al haar bestuurlijke glorie. Het rapport maakt zonneklaar dat de overheid meer gegevens zal opslaan en uitwisselen. Dat burgers “erop mogen rekenen” dat overheidsinstanties waar nodig onderling informatie delen. Niemand wil immers dat boeven vrijuit gaan omdat "de instanties" even niet communiceerden. De commissie ziet er vooral op toe dat dit ‘zorgvuldig en transparant’ gebeurt, niet óf dit überhaupt gebeurt. Volgens de commissie staat bovenaan dat burgers mogen weten wat er met hun persoonsgegevens gebeurt, dat er ‘zo min mogelijk informatie’ wordt vastgelegd en dat burgers onjuistheden mogen corrigeren. Evenzeer staat voor de commissie als een paal boven water dat gegevens tussen instanties gedeeld moeten en zullen worden, als het over veiligheid gaat.
Deze nota toont zonneklaar het verschil in paradigma tussen burgers en overheid. Wat impliciet besloten ligt in de nota "gewoon doen", is dat niet geregistreerd worden geen optie is. Dat is blijkbaar zo evident dat het niet eens uitgesproken hoeft te worden. Burgers willen echter niet dat informatie vastgelegd wordt. En al helemaal niet dat die informatie gedeeld wordt. In ieder geval niet die van henzelf, natuurlijk wel die van de buurman die zwart werkt/hennep kweekt/sjachert in hypotheken of vul maar in.
Bestuurders willen de vastgelegde informatie juist efficiënt delen en willen dat op een nette manier doen. Als burger mag je van de bestuurders ook bijdragen aan de datakwaliteit – graag zelfs - en krijg je te horen wie er toegang tot de gegevens heeft gehad. Dat laatste gebeurt natuurlijk alleen achteraf, en mits dat in de protocollen is vastgelegd. En je krijgt te horen met welk doel je gegevens bewaard worden. Mits dat in de werkinstructies staat. En natuurlijk als de uitvoerende instanties zich aan de regels houden, wat zelden het geval is. Maar dat zijn bedrijfsongevalletjes waar je niet zo zwaar aan mag tillen. Waar gehakt wordt, vallen spaanders. Toch?
Het gros van de burgers wil echter helemaal niet gevolgd worden, ook niet op een nette en zorgvuldige manier door aardige ambtenaren die met een tien geslaagd zijn voor de cursus integriteit. Vrijheid is ook de vrijheid om soms onzichtbaar te zijn, om soms niet mee te doen, om de regels een beetje te buigen – geen geld in de meter bij vijf minuten parkeren, of het grof ’s avonds vast op de stoep zetten, in plaats van tussen 07:00 en 07:30, zoals de lokale politieverordening voorschrijft. Dan staan we namelijk in de file, ja!
Dus nee, mensen willen niet gevolgd worden óók omdat ze zich wel eens niet 100% aan álle regels willen houden. Voor normale mensen zijn niet al die regels even belangrijk of uitvoerbaar, iets wat de bestuurder tegen de borst stuit, omdat de ontkenning van één regel de ontkenning van de regelgever impliceert. Dan is het aanzien van het gezag in het geding. Het naleven van alle duizenden regeltjes heeft niet bij iedere burger de hoogste prioriteit. Zeker omdat de perceptie bestaat dat de ‘hoge heren’ zich ook niet aan de regels hoeven te houden; de meeste gewone mensen vinden dat een ‘hoge dame’ van Buitenlandse Zaken te veel ontvangen geld per ommegaande moet terugsturen - net als zijzelf - en dat een Procureur-Generaal die op tijd op z’n werk moet zijn gewoon op tijd moet vertrekken en niet met zwaailichten aan langs de file over de vluchtstrook mag rijden. Dergelijke anekdotes van een hypocriete overheid zijn immens populair, zeker op allerhande internetfora. Het bevoogdend toontje dat sinds onze huidige premier 'bon ton' is in het Haagse, wordt daarmee zeer effectief ondergraven. En als laatste overweging telt dat niet alle regels even zinvol of uitvoerbaar, hoe goed ze ook bedoeld mogen zijn.
Nog een wezenlijk aspect is de dimensie waarlangs privacy speelt. In de bestuurlijke visie gaat privacy over het spanningsveld tussen burgers en bedrijven. Daarbij moet de overheid de burger beschermen tegen al te opdringerige commercie. De overheid is 'van de burgers' en kan dus nooit de privacy van de burgers bedreigen. Dit semantische hoogstandje is afkomstig van de bij onze bestuurlijke elite zo populaire gedachtespinsels van Etzioni waarover ik al eerder schreef. Deze redenering lijkt als twee druppels water op wat de communistische leiders van de DDR de burgers tot 1989 voorhielden; wij zijn het volk en als je tegen ons ingaat, ben je tegen het volk. En dat mag niet. Waarop de burgers van Berlijn uiteindelijk de apparatsjiks eruit gooiden onder de strijdkreet: “Wir sind das Volk!”. Waarvan Akte.
De burger maakt echter geen onderscheid tussen bedrijven of overheid als het over privacy gaat. Laat me met rust - daar gaat het om. Als burgers dan toch onderscheid maken tussen bedrijven of overheid, zien ze de overheid juist als een grotere bedreiging voor de privacy dan bedrijven, omdat je de overheid niet kunt boycotten. Voor de bestuurder is dat onbestaanbaar, die is immers overtuigd van zijn eigen goede bedoelingen.
De kloof zie je ook terug in het taalgebruik. Burgers spreken over de Wet op de Privacy, bestuurders over de Wet op de Persoonsgegevens. Dat zijn twee heel verschillende werelden. De grondwet definieert het als volgt in artikel 10, lid 1: “Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer”. Dat lijkt zowaar een Wet op de Privacy. Echter, de volgende twee artikelen vernauwen het begrip tot de administratieve registratie: lid 2. “De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens”. En lid 3: “De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens”. Noteer dus even: er is geen wet op de privacy! Er is een lappendeken van regeltjes waar iedere niet-jurist in verdwaalt. En menig bestuurder.
De tweede vraag is waarom burgers de overheid niet vertrouwen met de privacy. Nou, dat is eigenlijk niet zo’n moeilijke. Bovenal heeft de overheid een heel negatief imago dat regelmatig in allerlei onderzoeken bevestigd wordt– als regentesk, hufterig, kil en onverschillig, hoogmoedig en overambitieus, onoordeelkundig en incompetent. Dat was lekker zeg, schelden met bronvermelding. De meeste burgers horen bovendien alleen wat van de overheid als ze moeten betalen. Dat is geen beste uitgangspositie als je het hebt over vertrouwen. Het vertrouwen in de overheid daalt sinds een plotse omslag in 2002, structureel. Dat verhoudt zich slecht met een overheid die zich op steeds meer terreinen begeeft, inclusief achter de voordeur.
De overheid versterkt het wantrouwen, juist op het gebied van de privacy, door toe te geven zelf niet te weten wat het allemaal verzamelt of waarom, noch wat wel en niet mag. Dat is te lezen in het onthutsende rapport Data voor daadkracht dat de minister van Binnenlandse Zaken in augustus 2007 met zichtbare tegenzin prijsgaf aan de openbaarheid. Het rapport concludeert: ‘Aan de normen van maatschappelijke zorgvuldigheid wordt niet voldaan'. En " Aan de eisen van effectiviteit wordt niet voldaan". Daarbij is het 'niet mogelijk inzicht te verkrijgen in de consistentie en de samenhang van die wet- en regelgeving'. Het rapport is door de Minister van Binnenlandse Zaken vervolgens in de prullenbak gegooid.
Wat ook niet helpt is dat alle kritische vragen over nieuwe registraties iedere keer terzijde als irrelevante indianenverhalen geschoven worden, of deze nu komt van de Raad van State, de Eerste Kamer of het College Bescherming Persoonsgegevens.
Een ander voorbeeld van incompetentie rond privacy dat nogal wat mensen aanspreekt zijn de staatsgeheimen die met een vaste regelmaat precies daar belanden waar ze niet mogen komen. Het adres van Erik O. op de site van Defensie, laptops vol gegevens of straat of dossiers van verdachte moslimextremisten in de brievenbus van hun imam.
Recent hebben we meegemaakt hoe dat gaat met door AIVD-ers aan de Telegraaf gelekte gevoelige informatie. Volgens minister Ter Horst is daarmee principieel het staatsbelang geschonden, ongeacht welke informatie er gelekt is. Wat geheim werd gehouden was het falen van het inlichtingenapparaat, waardoor Nederland in een slepende oorlog is betrokken waarvan het prijskaartje en het aantal burgerslachtoffers ook al (staats-)geheim is. Allemaal zaken die voor de burger – als kiezer de baas van de overheid immers - van essentieel belang zijn om te weten. Als het in het landsbelang is de kiezer dergelijke informatie te onthouden is er toch iets heel vreemds aan de hand. En wat zien we vervolgens? Een minister die mokkend de uitspraak van de rechter - die de Telegraaf in het gelijk stelde - ontvangt met 'ik heb toch gelijk'. Vervolgens meldt een 'toezichtscommissie' de kamer nog formeel dat de minister gelijk had en de rechter dus fout zat. Je zou maar zo de indruk krijgen dat de overheid er structureel alles doet om haar eigen falen onder de pet te houden. Dat wekt op z’n minst de schijn dat we alleen het topje van de ijsberg te zien krijgen.
Even zo dodelijk zijn de verhalen over de rampzalige "Grote ICT projecten" bij de overheid. De storm daarover onder de Haagse stolp is weer gaan liggen, maar de trackrecord van de overheids-ICT projecten is zeker niet beter geworden. In alle discussie rond de registratiedrift is dit een cruciaal element - er is bar weinig vertrouwen bij de gemiddelde burger in de kunde van onze bestuurlijke lagen om een ICT-project groter dan een upgrade van winzip succesvol uit te voeren. Vergeet niet, iedereen kent wel een ICT-er die bij een overheid werkt of gewerkt heeft en die verhalen zijn niet mals. Dus de verwachting is dat de systemen zullen falen.
Al met al gelooft menig burger niet dat de overheid in staat is goed om te gaan met gevoelige informatie en dat de bestuurders hun eigen belang boven dat van de burger stellen. Dat geloof blijft, zelfs al zouden het patiëntendossier, het kinddossier, het biometrische paspoort, de OV reisinformatie en de kilometerheffing wél technisch veilig gebouwd kunnen worden. Zelfs al zou een echte Wet op de Privacy op de agenda belanden en het CBP gepromoveerd worden tot een Privacy Autoriteit. Immers, de bestuurlijke overtuiging is en blijft dat informatie-uitwisseling een plicht is. De informatie in de genoemde systemen zal dan ook, op een ‘betrouwbare’ en ‘transparante’ manier weliswaar, voor andere doelen ingezet worden. Betrouwbaarheid en transparantie leiden vervolgens via procedure en bureaucratie naar nieuwe bedrijfsongevallen. De indianen kunnen de komende jaren dan ook op een groeiende belangstelling rekenen.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Deze posting is gelocked. Reageren is niet meer mogelijk.