CBP-SIOD: 1-0
In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.
Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.
Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.
Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.
De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.
Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.
Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?
Toezicht op EPD moeilijk?
Sinds de invoering van het Elektronisch Patiëntendossier (EPD) is er veel gedoe geweest rondom de borging van de privacy. Die leek namelijk op voorhand al niet gegarandeerd of waterdicht. Naar nu blijkt mogen er wel heel veel mensen kijken in het dossier, zolang de patiënt daar geen bezwaar tegen maakt. De standaard instelling is “iedereen mag kijken”. Hetgeen in in tegenstelling is tot een best-practice voor vertrouwelijke informatie, die normaal gesproken alleen op “need-to-know” basis toegankelijk is. Dit betreft niet alleen de directe zorgverleners , maar ook hun assistenten, en collega’s die gevraagd worden naar hun visie. Dat is nog wel verklaarbaar, maar ik het er meer moeite mee dat de secretariële ondersteuning, de functionele beheerders van het feitelijke dossier en de financiële afdeling ook inzage hebben in de patiëntendossiers. Dat kun je nauwelijks meer proportioneel noemen.
Aan deze ruimhartige toekenning van inkijkrechten is geen streng toezicht gekoppeld. In tegendeel, controle vindt alleen achteraf plaats. Maar omdat voor elke inzage in een dossier een registratieregel wordt geschreven levert dat onnoemelijk veel werk op. De mogelijke verantwoordelijke afdelingen van het ministerie van VWS (IGZ, NICTIZ) zijn, net als het CBP, te klein om deze taak naar behoren uit te kunnen voeren. De enige garantie tegen misbruik is het ethisch normbesef dat alle gebruikers moet het EPD moeten hebben. Wat je ook volgens het CBP niet erg goed kunt noemen.
Er is wel een manier om misbruik aan te tonen. Iedere burger heeft volgens de Wet bescherming persoonsgegevens het recht te weten wat er over hem is vastgelegd en wie zijn medische gegevens heeft geraadpleegd.
De bal ligt nu bij ons.
Meldplicht voor gegevenslekken?
BOF stelt een uitbreiding van de Wet bescherming persoonsgegevens (Wbp) voor. Bewerkers van verzamelingen persoonsgegevens moeten het publiekelijk bekend maken als zij gegevens hebben gelekt. Ik vraag mij af wat hier de toegevoegde waarde van is. Behalve de onrust die een dergelijke melding zal of kan veroorzaken, en het daarbij behorende (terechte, begrijp mij niet verkeerd) ongemak van deze bewerker, levert het verder niets op. Bewerkers gaan door met het verzamelen en bewerken van persoonsgegevens. En als het meezit hebben ze de beveiliging een beetje (goed) op orde. Tegen een inside-job is geen organisatie bestand, net zoals stommiteiten ook in de strengst dichtgeregelde situaties voor kunnen komen.
Laten we ons eens buigen over de vraag waarom er zo paniekerig wordt gereageerd op verloren of gestolen persoonsgegevens. Primair is dat omdat ze veel waarde hebben. De gegevens hebben die waarde omdat ze eenvoudig te verhandelen zijn en daarna – met de juiste middelen – eenvoudig gebruikt kunnen worden. Bij veel aanhoudingen in bijvoorbeeld Amsterdam wordt geconstateerd dat de arrestant valse persoonsgegevens opgaf. Kennelijk is het met de goede informatie eenvoudig om je een andere identiteit aan te meten.
Het zwaartepunt van de bescherming van persoonsgegevens zou bij de voorkoming van illegaal hergebruik moeten liggen. Natuurlijk horen de gegevens met passende maatregelen te worden omgeven en beschermd te worden naar de actuele stand der techniek Maar vooral moet het veel moeilijker worden de gestolen gegevens opnieuw te gebruiken.
En dat melden dan? Dat moet wel worden gedaan. Je hebt tenslotte je persoonsgegevens afgegeven in goed vertrouwen van het beheer. Dan is het wel zo netjes om te melden dat je gegevens kwijt zijn geraakt.
Informatiebeveiliging 