1-0

Met het aannemen van de Wet open overheid door de Tweede Kamer staat het 1-0 voor de burgers versus VNO/NCW en de Vereniging Nederlandse Gemeenten. Vooral die laatste club lijkt de eigen organisatie steeds belachelijker te maken.

VNG-directielid Kees Jan de Vet had het er maar druk mee de laatste weken. Hij had rode vingertjes van het sturen van brandbrieven naar de Tweede Kamer en het bellen naar de politici om vooral tegen meer transparantie te stemmen. Zijn verhaal is al jaren dat hij transparantie een warm hart toedraagt, maar de daden van hem en zijn vereniging zijn telkens anders. Zijn club adviseert al jaren in obstructie van transparantie, het op kosten jagen van burgers, het buitenspel zetten van digitale hulpmiddelen en het coördineren van verzet tegen iedere verandering.

Niks bereikt

Als het aan hem en zijn VNG had gelegen, gebeurt er niets. Want zoals de beste man al verkondigde bij een hoorzitting in 2014 wilde hij af van de druk om tijdig volgens de Wob zaken te leveren. De gemeenten zouden dan vanzelf transparanter worden. Een nieuwe wet was volgens hem echt niet nodig. Al eerder werd beterschap beloofd, maar ook toen veranderde er bitter weinig.

Maar transparantie en het leveren van informatie staat of valt met digitalisering van de documentenstroom. Van die stap is ook weinig terecht gekomen. Eerdere initiatieven om bijvoorbeeld het uitwisselen van gegevens te verbeteren zijn onder verantwoordelijkheid van de VNG onder aanvoering van Kees Jan op weinig uitgedraaid.

Geen rol

Hoe het ook zij Kees Jan was actief in het tegenwerken van de wet namens de gemeenten. Het leek goed te werken, want vooral het CDA had goed geluisterd naar de VNG. En ook Plasterk wees erop:

Dat is consistent, mede omdat ook andere overheden, bijvoorbeeld de VNG, kritisch hebben gereageerd op het voorliggende voorstel.

Wat de Minister en de VNG gemakshalve even vergeten, is dat de bestuurdersclub geen overheid is. Sterker nog: wil de VNG namens gemeenten spreken dan moet er een mandaat zijn en dat is er niet. In diverse gemeenten wordt veel transparanter geopereerd en gewerkt aan een digitale omgeving om aan de wet te voldoen. Kees Jan spreekt voor zijn beurt.

Yes we can

Als Kees Jan de energie die hij de laatste weken heeft getoond in het tegenwerken van de wet de laatste jaren had gehad bij voor elkaar boksen van betere archieven, betere transparantie, een cultuurveranderingen dan hadden we misschien geen wetswijziging nodig. Maar het typeert de negatieve houding van de VNG. Altijd ‘nee we kunnen het niet’ als boodschap. In plaats van een optimistische handen uit de mouwen slaan en dingen wel bereiken. Want de stappen om wel informatie toegankelijk te maken zijn niet moeilijk.

Ondertussen is Kees Jan bezig met een nieuw project: een commissie adviseren over het inrichten van het lokaal bestuur. Welke boodschap zal hij daar uitstralen?

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Waarom is de VVD zo tegen transparantie?

Als we iets kunnen leren van de Panama-papers dan is het wel dat transparantie helpt om louche zaken aan het licht te brengen. Daarom debatteert de Tweede Kamer woensdag over een wet om allerhande schijnconstructies rond transparantie af te dichten, maar de VVD voert het verzet aan. Waarom?

Na jaren van voorbereiding gaat het parlement over de Wet open overheid (Woo) debatteren. De wet voorkomt schijnconstructies waar overheden via schimmige verenigingen en stichtingen documenten aan transparantie onttrekken, dwingt betere digitalisering van documenten af, zou eindelijk eens zorgen dat er een lijst is van documenten die we in huis hebben en voorziet in een informatiecommissaris die helpt de zaakjes op orde te krijgen.

Advies, advies, nog meer advies

Maar de VVD verzet zich met hand en tand. Eerst riep de partij dat de Raad van State nog maar eens moest gaan kijken, maar bedacht zich toen dat die al een advies had uitgebracht. Dus die vlieger gaat niet op.

Vervolgens bedenkt de partij nu dat Actal advies moet uitbrengen. Dit is een adviesorgaan tegen regeldruk voor bedrijven, burgers, en beroepsbeoefenaren in de zorg, onderwijs, veiligheid en sociale zekerheid. Dit orgaan kijkt dus naar andere groepen en Maar het levert wel vertraging op.

En de VVD wil dat het BIT, het Bureau ICT Toetsing iets van de wet vindt. Dat is best grappig, want het beleid om digitalisering van documenten op orde te krijgen is een lopend project onder verantwoordelijkheid van een VVD’er. Normaliter toetst het BIT op bestaande programma’s of projecten van €5.000.000 of meer en dat is er met deze wet nog niet.

Waarom het maken van een documentenlijst vijf miljoen of meer moet kosten met beschikbare oplossingen, is mij een raadsel. Maar het levert opnieuw vertraging op.

Niet in mijn tuin

Toch is dat niet alles. De VVD verzet zich ook tegen het plaatsen van de Tweede Kamer onder transparantie, want een ambtenaar moet openbaar opereren maar een volksvertegenwoordiger kennelijk niet. Verder zijn er amendementen om veel misbruikte weigeringsgronden overeind te houden en de schijnconstructies om documenten aan het publiek te onttrekken in stand te houden. Transparantie is leuk, maar niet als het jezelf betreft. Dus is ook de bestuurdersclub VNG tegen.

Natuurlijk zegt de partij tijdens het debat enorm voor transparantie te zijn. De problemen van gebrekkige transparantie legt de partij bij de cultuur. Vreemd genoeg is deze partij dan ook weer tegen een informatiecommissaris die juist in veel landen in Europa leidt tot een andere cultuur.

Na alle affaires met frauderende VVD-bestuurders zou je verwachten dat de partij iedere schijn van schimmigheid zou vermijden. Het tegendeel is echter waar. Met de nieuwe wet zou er veel openbaar worden van wat nu verborgen blijft. Kennelijk zitten daar zaken tussen die voor sommige partijen echt te gevoelig zijn. Komende dinsdag wordt er gestemd en dat is openbaar. Dan kunnen we in alle transparantie zien wie echt wat te verbergen heeft.

Gaat Nederland eindelijk transparanter worden?

De gekuiste briefjes rond de MH17 zijn een van de vele illustraties dat overheidstransparantie in Nederland nog wel wat ruimte voor verbetering heeft. Die verbetering komt er eindelijk als de Tweede Kamer een nieuwe wet serieus neemt.

Wie transparantie van de overheid wil, zal in veel gevallen een ingewikkeld gevecht met de overheid aan moeten gaan. Al schrijft de wet voor dat over documenten moet worden beslist als ze beschikbaar zijn, gebeurt dat niet. Sterker nog: alle wettelijke termijnen worden vaak overschreden. Zonder inhoudelijk kennis geen inhoudelijk debat en dat is voor bestuurders lekker rustig. Wie vervolgens toch zijn recht gaat halen wordt door de overheid geframed als misbruiker.

Komiek

En als er wel een besluit wordt genomen dan is transparantie vaak ver te zoeken. Of het nu gaat of het ontslag van Professor Maat in het onderzoek naar de MH17 of over de vraag wat een gebroken been in welk ziekenhuis kost vaak is transparantie moeilijk te verkrijgen.

Het niet transparant zijn is zo schering en inslag geworden dat cabaretier Mark Rutte zijn partijgenoot Ard van der Steur op dat punt op de hak neemt tijdens het Correspondents Diner:

Het was geen goed idee om Ard van der Steur mijn tekst te laten schrijven.

Vervolgens houdt hij een zwartgelakte pagina omhoog.

‘Van der Steur kon er niet zijn vanavond. Hij biedt daarvoor zijn welgemeende excuses aan.’

Precies zoals het ging rond de gebrekkige transparantie. Alleen van de aan de kamer beloofde verbeteringen, is weinig merkbaar. Daar is duidelijk nog een steuntje in de rug nodig.

Nieuwe wet

Gelukkig kan er veel verbeteren, omdat er een nieuwe wet in aantocht is. De Wet open overheid ligt al sinds juli 2012 op de plank bij de Tweede Kamer, maar komt donderdagavond eindelijk weer ter sprake. De wet regelt dat een aantal knelpunten worden opgelost.

Werden – ondanks de digitalisering – de wachttijden op een besluit over documenten verdubbeld naar 56 dagen, in de nieuwe wet worden die verkort. Betere digitalisering moet eerder besluiten mogelijk maken. Ook het smoezenboek om informatie maar niet openbaar te maken, wordt drastisch ingeperkt.

Maas in de wet

Maar de belangrijkste wijziging wordt wel dat meer organisaties aan transparantie moeten voldoen. De nieuwe wet stopt een maas in de wet waar de overheid gretig gebruik van maakt: Door een stichting of vereniging op te richten, vallen de documenten van die organisatie niet automatisch onder het transparantie regime. Ook moet eindelijk de Tweede Kamer zelf transparanter worden.

De nieuwe wet biedt veel nieuwe kansen om transparanter te worden. Natuurlijk kan het veel beter, maar dit is een begin. Het dwingt de politieke partijen nu ook kleur te bekennen: blijven we transparantie lippendienst bewijzen of gaan we nu eindelijk wat achterstallig onderhoud doen?

Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?

Angelique Oortmarssen privacywetgeving omzetten in daden

Om aan de eisen van de wet rond privacy te voldoen is voor veel organisaties behoorlijk lastig. Hoe weet je zeker of je echt aan de regels voldoet? En hoe kun je het voor elkaar krijgen om als organisatie echt privacyvriendelijk te zijn? Het CIP heeft een methode ontwikkeld om dat goed te regelen. Angelique van Oortmarssen legt aan Brenno de Winter uit hoe Grip op Privacy de wet omzet in concrete handelingen. Ook helpt de methodiek organisaties die privacy op een hoger niveau willen krijgen dan de wetgever verplicht. Met het gebruik van deze hulpmiddelen kunnen organisaties privacy binnen hun organisatie op een hoger niveau te brengen.

 

Eerder legde Ot van Daalen al uit waar grofweg op moet worden gelet als je persoonsgegevens gaat verwerken:

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

Wetgeving en wijsheid bij digitale criminaliteit

Nederland is hard op weg om wetgeving voor digitale criminaliteit aan te nemen. Het heeft er alle schijn van dat die nieuwe wetgeving weinig zal bijdragen aan het voorkomen van de nogal ernstige fouten die worden belicht in ‘Making a Murderer’.

De urenlange documentaireserie ‘Making a Murderer’ laat op pijnlijk wijze zien hoe twee Amerikanen in dezelfde moordzaak worden veroordeeld. Beide veroordeelden hebben onderling verschillende verhaallijnen. Vooral de manier waarop bewijs is verzameld, kun je niet anders typeren dan ‘twijfelachtig’.

Een van de meest opmerkelijke aspecten van de zaak is de autosleutel van het slachtoffer. Die lag op de grond in de woontrailer van Steven Avery, de hoofdverdachte. Op een foto is duidelijk te zien dat het bewijsmiddel voor het oprapen ligt. Het DNA van de verdachte zat zelfs nog op de sleutel. Het begin van een sterke zaak, zou je denken.

Wat de zaak aanmerkelijk compliceert, is dat de trailer gedurende meerdere dagen diverse keren is doorzocht zonder dat de sleutel werd aangetroffen. Als de sleutel uiteindelijk wordt aangetroffen, ligt hij duidelijk zichtbaar op de grond. Het DNA-spoor is dan wonderbaarlijk genoeg het enige dat op de sleutel zit. Verder is het object brandschoon. Er zitten zelfs geen vingerafdrukken van het slachtoffer op. Erg onwaarschijnlijk, wat de vraag rechtvaardigt: is die sleutel er later neergelegd?

Het manipuleren van bewijs komt vaker voor. Ook in Nederland zijn bijvoorbeeld tapverslagen onjuist uitgewerkt, waardoor er iets anders stond dan de verdachte heeft gezegd. In 2013 bleek dat in een drugszaak zelfs tapverslagen door de politie zijn verzonnen. Natuurlijk maakt dat een verdachte nog niet onschuldig. Maar soms vergeet ook een agent dat het uitgangspunt de onschuld van mensen is.

In de digitale wereld worden die risico’s groter. Recent stuurde Minister Van der Steur het wetsvoorstel Computercriminaliteit III naar de Tweede Kamer. Dat moet de politie de bevoegdheid geven in grotere zaken in te breken op computers, spionagesoftware te plaatsen of informatie ontoegankelijk te maken. Ofwel: ze mogen computers manipuleren op afstand.

In Duitsland draaide die bevoegdheid uit op een puinhoop. Hackers kregen de software in handen en analyseerden die. Ook de software bleek een puinhoop: het was kwetsbaar voor misbruik, verdachten konden de politie hacken en onbevoegden konden bij verdachten inbreken en bewijs planten zonder sporen achter te laten.

Welke software in Nederland gebruikt gaat worden, is geheim. Hoe we toetsen of dit goed gebruikt wordt, of de software correct werkt (en na een update blijft werken) en hoe misbruik wordt voorkomen, is allemaal onbekend. Ik wens de wetsmakers in Den Haag nadrukkelijk veel wijsheid toe, maar geef direct toe: helemaal gerust ben ik er niet op.

Digitaal gewapend beton

Vanaf 1 januari 2016 gaat de nieuwe Wet bescherming persoonsgegevens, WBP, in. Dat betekent dat organisaties moeten weten welke data ze in huis hebben en welke onderdelen persoonsgegevens zijn. Wie dat niet doet, zal vrijwel zeker problemen krijgen.

De nieuwe WBP is niet zozeer een dreiging vanwege de mogelijke boetes en onderzoeken die organisaties riskeren, maar zijn gevaarlijk vanwege de onvolwassenheid van de ict-industrie. Zo vinden we het helemaal niet vanzelfsprekend om vooraf na te denken wat voor gegevens we verwerken en wat voor de bescherming daarvan aan maatregelen nodig is.

Datalekkenregen

Anno 2016 is het niet meer vol te houden dat mensen niet zouden weten dat gegevens kunnen worden gehackt, verloren of onrechtmatig worden verwerkt. De incidenten vinden massaal plaats. Volgens een schatting van het CBP, dat na 1 januari 2016 de Autoriteit Persoonsgegevens gaat heten, zijn er jaarlijks 62.000 datalekken waarbij persoonsgegevens zijn betrokken. Niet ieder incident zal direct leiden tot identiteitsfraude of ernstige gevolgen, maar vaak loert dat gevaar wel. En dan moet u melden.

Sinds ‘Lektober’ was al duidelijk dat dit een probleem was, maar eigenlijk is de situatie nog onvoldoende verbeterd. Persoonsgegevens lopen op veel manieren risico. Dat gebeurt niet alleen via hacks, maar ook gegevens die op een USB-stick staan kunnen door verlies, diefstal of het stallen bij leveranciers, in verkeerde handen terechtkomen.

Dankzij de uitspraak van het Europese Hof van Justitie in de zaak die ‘Safe Harbor’ onderuit haalde, is duidelijk dat iedereen die persoonsgegevens verwerkt, moet waken tegen elke vorm van misbruik. De verantwoordelijkheid ligt dus in eerste instantie bij degene die de informatie laat verwerken. Deze persoon moet daardoor ook goed kijken met wie hij of zij zaken doet.

Aardbevingen

De problematiek laat zich tot op zekere hoogte vergelijken met beschermingsmaatregelen tegen aardbevingen. Om instortingsgevaar te verkleinen, gebruiken we in de bouw gewapend beton. Dat regel je voor de bouw al, omdat het metaal achteraf niet meer is toe te voegen. Wie dan nog het risico wil beperken, moet dure capriolen uithalen om een woning alsnog ietwat te beschermen tegen aardbevingen.

Digitaal is het niet veel anders. Wie vanaf het eerste moment bezig is met het bouwen van privacyvriendelijke en beveiligde oplossingen, kan het digitaal gewapend beton inbouwen in de systemen. Wie dat achteraf moet doen, loopt niet alleen tegen duurdere ontwikkelkosten aan, maar moet ook mensen anders opleiden, afspraken met leveranciers opnieuw maken en daardoor meer kosten maken.

Met de lange levensduur van systemen zal het een hele tour worden om op een volwassen manier de rechten van mensen te beschermen. De wetgever heeft een grote stap gezet om de industrie te dwingen betere systemen te bouwen. Nu is het aan ons om die handschoen op te pakken. Verzet u niet langer tegen gewapend beton!

Deze column verscheen eerder bij ICT Magazine.