Databases koppelen helpt niet tegen spookburgers
Het koppelen van allerlei overheidsdatabases en gegevensbestanden om zogenaamde 'spookburgers' te lokaliseren blijkt niet effectief te zijn. Dat ontdekte Privacy Barometer, een opiniepagina over privacy en de overheid. De gemeente Amsterdam deed twee jaar onderzoek naar 58.000 adresverschillen in de lokale administraties, in de media aangeduid als spookburgers.
Deze spookburgers zouden voor miljoenen frauderen, maar uit het onderzoek blijkt dat het vooral om administratieve 'spookproblemen' gaat en ook voor de vermeende miljoenenfraude wordt geen enkel bewijs gevonden.
Van de 5.000 onderzochte verschillen bleek in slechts 6 gevallen sprake van uitkeringsfraude. Toch is het koppelen van verschillende gegevensbestanden een forse inbreuk op de privacy, aldus Privacy Barometer.
Spookburger
Een spookburger is iemand waarvan de adresgegevens in de gemeentelijke administratie niet kloppen. Dat zou op fraude kunnen wijzen, bijvoorbeeld omdat een samenwonend stel in totaal een lagere uitkering of toeslag ontvangt dan twee personen die op verschillende adressen staan ingeschreven.
Uit bestandsvergelijkingen tussen het UWV en de gemeentelijke basisadministratie (GBA) troffen de onderzoekers 58.000 verschillen aan. Om hun methodiek te testen, pakte de projectgroep er 5.000 willekeurig uit voor nader onderzoek. Aan deze 5.000 adresverschillen werd extra informatie uit andere bestanden en van andere instanties gekoppeld voor nadere analyse.
Fouten
Het zijn vooral administratieve fouten, traag bijgewerkte administraties en foutieve schrijfwijzen waardoor de spookburgers ontstaan. Bijna 75% (3.716 van de 5.000) van de spookburgers blijken eigenlijk spookproblemen van de gemeentelijke administratie te zijn. Het onderzoek naar de 5.000 spookadressen kostte 7.348 uur, omgerekend bijna 4 jaarsalarissen van ambtenaren. De bijkomende kosten van automatisering zijn onbekend.
"Grootschalige bestandsvergelijkingen achteraf zijn wellicht goed voor het opschonen van bestanden, maar het lijkt niet erg effectief om fraude te bestrijden. Dit rapport toont aan dat de beperkte opbrengst de forse inbreuk op de privacy niet rechtvaardigt", concluderen de onderzoekers van Privacy Barometer.
Een spookburger is iemand waarvan de adresgegevens in de gemeentelijke administratie niet kloppen. Dat zou op fraude kunnen wijzen, bijvoorbeeld omdat een samenwonend stel in totaal een lagere uitkering of toeslag ontvangt dan twee personen die op verschillende adressen staan ingeschreven.
uh, een lagere uitkering genieten, en lagere toeslag, lijkt me eerder dat zo iemand genaaid wordt door de gemeente omdat die minder inkomen krijgt als waar die recht op heeft. imho.
Ok het probleem is dus eigenlijk slecht werk door de ambtenaren.
Ik herken dat wel, hoor. Wij hebben op het werk intern ook allerlei koppelingen, en ik kan rapportjes maken over
bijvoorbeeld netwerkgebruikers waarvan de naam in de AD niet hetzelfde is als de naam zoals bekend bij de
personeelsadministratie. Daar blijf je ook voortdurend achteraan lopen. Het foutloos overtikken van een naam vanaf
het legitimatiebewijs bij indiensttreden of het correct opgeven van de naam bij aanvraag van een account door de
leidinggevende is een moeilijke klus hoor!
Dit speelt bij de gemeente kennelijk ook. Alleen hebben die wel een handige sleutel "BSN" tot hun beschikking.
Daarmee vang je niet alles af maar het is toch beter dan naam.
Als ik het zo eens bekijk is er bij 4837 mensen/gezinnen geen onterecht huisbezoek geweest, met alles wat dat in huis en leven overhoop haalt (laten we wel zijn, controle-ambtenaren staan niet bekend als de meest voorkomende en minst intimiderende bezoekers). Dat is dus minder dan 2 uur besteed per voorkomen onrecht. Bovendien is van 4990 mensen niet onterecht de uitkering stopgezet. In 3716 gevallen is de conclusie geweest dat de vingerwijzende organisatie zelf de hand in eigen boezem moest steken.
Natuurlijk, 157 onterechte huisbezoeken op 6 terechte (26:1) en een verhouding van 2 onterecht van inkomen verstoken huishoudens op 3 echte alarmen zijn nog steeds ten ene male onacceptabele verhoudingen. Waardevolle les 1: Kijk eerst maar eens goed of je niet zelf fout zit. Waardevolle les 2: Behandel burgers per definitie met de uiterste voorkomendheid, want je hebt zelfs na uit ten treure je eigen fouten nagekeken te hebben nog steeds de overgrote kans dat je er volkomen naast zit in je beschuldiging.
Maar dit gaat nog veel verder. Rode draad in het hele debat is dat de overheidsorganisaties verlekkerd uitzien (en er helaas maar al te vaak alvast naar handelen) en de privacy organisaties met angst en beven kijken naar de perfecte database waaruit feilloos iedere 'misstap' van de onderdaan zou blijken. Well, think again. Voor iedere werkelijk alarm zijn er 832 valse alarmen en mogelijke slachtoffers van 'collateral damage'. Hoezo "wie niets te verbergen heeft, heeft niets te vrezen"? Een sterker argument dat al deze 'collectors' manie fail-safe moet zijn kan ik me ook moeilijk indenken.
Dit is natuurlijk maar een steekproef, maar nog een paar van deze en we kunnen tot een voorspellende 'organisatiekundige' wet komen die in belang nog wel eens gelijk zou kunnen zijn aan de Wet van Heinrich (in safety is de verhouding rampen:incidenten:near misses 1:29:300). Dan heb je tenminste iets om het aan te vechten als je weer eens onterecht op zo'n stomme 'computer says no' lijst staat.
En welke inbreuk op de privacy? Een wettelijk bevoegde instantie gaat reeds in bezit hebbende databases koppelen aan elkaar in de hoop er fraudegevallen mee te bestrijden en administratief wat op te schonen. Goed werk zou ik zeggen? Pas wanneer ze het aan reclamebureaus lekken of ambtenaartjes zelf eens wat op gaan zoeken over hun buurman is het een inbreuk op te privacy.
Het crosschecken van databases is de basis van een goede controleopzet en daar is niets mis mee, zolang er goede supervisie en beveiliging is en er voldaan wordt aan de voorwaarden uit de privacywet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
