Nationale DNA-databank is wensdenken

Na de aankondiging dat Jos B. hoofdverdachte in de verkrachting en moord op Nicky Verstappen is, kwam de politiek met de oplossing. Ieders DNA moet in een database. Los van de vraag of Europese mensenrechten-wetgeving de ruimte biedt voor een DNA-databank, toont het weer een verschrikkelijk wensdenken naar een alomvattende oplossing.

Uit onderzoek blijkt dat in de gedachten van 85 procent van de bevolking DNA een trefzekere, foutloze manier is om bij een verdachte uit te komen. De praktijk is alleen weerbarstiger. Zo werkt de techniek niet zo dat er een absolute ‘ja/nee’-match is, maar gaat het om de kans dat er een match is. Statistieken zijn soms misleidend en de testen laten ruimte voor interpretatie.

Geen foutloze technologie

Een bijkomend probleem is dat er verschillende testen zijn en ook daar schiet de nauwkeurigheid tekort. De betere testen zijn – u raadt het al – fors duurder. Precies dat ondervond de Taiwanees Chen Long-Qi toen een DNA-test hem match voor een verkrachting aanwees. Vijf jaar na zijn veroordeling toonde een nieuwe, duurdere test aan dat hij juist geen match was en onschuldig bleek te zijn. Naast het leven van de slachtoffers was ook dat van hem geruïneerd.

Daarnaast gebeurt het ook dat sporen van meerdere mensen soms in een monster voorkomen. Toen een Amerikaans overheidsinstituut in 2013 de proef op de som nam door een monster met DNA van vier mensen op te sturen met een zogenaamde verdachte die niet in het spoor zat, wees toch 70 procent van de onderzoeksbureaus deze persoon als match aan. Wetenschappers zijn in toenemende mate kritisch op hoe de techniek in het strafrecht wordt verheerlijkt. Niet zonder reden, zo blijkt. In de VS loopt het aantal fouten met DNA inmiddels in de duizenden.

Nieuwe risico’s

Ook het dogmatisch geloof in onfeilbare technologie vormt een risico. Want DNA aangetroffen is al snel schuldig. Dus loont het voor criminelen om in trein, bus, restaurant of kapper wat haren mee te nemen. Altijd handig om op een plaats delict achter te laten. Met Nederland in een DNA-database blijft de politie op afstand.

Ook levert een nationale DNA-databank nieuwe potentiële gevaren op. Hoe beveiligen we zoveel data tegen misbruik, manipulatie of diefstal? Hoe voorkomen we dat de DNA-profielen voor andere doelen worden ingezet, zoals medische profielen maken of voorspellen dat iemand crimineel zou kunnen worden op basis van DNA? Of hoe voorkomen we dat we het breder gaan inzetten in de toekomst dan alleen levens- of geweldsdelicten? En wat stellen we in het werk om niet bij een volgende bezuinigingsronde de kwaliteit van de toch dure testen omlaag te schroeven?

Verkeerde focus

Politici zitten niet te wachten op risico’s en willen graag dé oplossing. Als het misgaat, zit er een nieuw kabinet en is dan is het hun probleem. Ondertussen blijven met de focus op DNA andere ingewikkelde debatten uit. Zo is er weinig aandacht voor de vraag waarom Jos B. niet was aan te pakken toen hij eerder in het dossier opdook. Had de politie te weinig mogelijkheden, te weinig mensen of is er een andere oorzaak?

De focus op een dure DNA-databank voor dit soort incident overschreeuwt ingewikkelde vraagstukken waar geen pasklaar antwoord op is. Is het niet slimmer de focus te verleggen naar het kleiner maken van de kans op seksueel misbruik en moord? Moeten we niet meer energie steken in het monitoren van mensen die veel met gevoelige groepen omgaan? Moeten we niet vaker toetsen of het wel goed gaat? Maar dat lijkt voor de politiek onbespreekbaar, want als politici het niet meer weten, grijpen ze naar technologie als de simpele oplossing.

Zet privacywetgeving in tegen databoeven

Na het misbruiken van Facebook-gegevens door Cambridge Analytica werd opeens pijnlijk data wat de kracht van big data is. De gebruikers laten onbewust zoveel informatie achter dat zaken als politieke voorkeuren, seksuele geaardheid, medische of psychische problemen met redelijke zekerheid kunnen worden worden vastgesteld op basis van bezochte sites, likes, berichten en andere informatie.

Handig

Soms is het gebruik van die data reuze handig. Een dienst als Tinder kan zo mensen goed aan elkaar koppelen op basis van het Facebook-profiel. De wordt zo gekneed dat de dienst bijna griezelig goed werkt. Zo heb ik mijn huidige vrouw leren kennen, waarbij niet alleen interesses, sociale achtergrond, werkveld en netwerk overeenkomen, maar ook op veel politieke onderwerpen de match eng klopt. Wat er daarna met de data gebeurt, weet ik niet.

Wie er toegang krijgt tot de data kan veel mensen weinig schelen. Ook Facebook moet geld verdienen en daarom is het gebruik door adverteerders is niet meer dan logisch. Dat die data ook misbruikt kan worden toont Cambridge Analytica. Zij zetten de data, mogelijk ten onrechte, in om een beeld te vormen van gebruikers en die met de juiste toonzetting voor verkiezingen te benaderen.

Asbestproblematiek

Natuurlijk kennen we het gezegde ‘dat als de dienst gratis is, ben jij het product’. Maar het maakt nogal uit hoe dat vorm krijgt. De toestemming die we geven, kan natuurlijk geen blanco cheque zijn. De privacywetgeving die in mei ingaat verplicht niet alleen om duidelijk uit te leggen wat er met data gebeurt. Als de toestemming wordt ingetrokken – wat onder de nieuwe wet altijd kan – moeten ook anderen stoppen met het gebruik van de gegevens.

Facebook zegt echter dat het regelen van de privacy en daarmee het voldoen aan deze regels jaren kan duren. Een typisch voorbeeld van een veelkoppig monster waar we als gebruikers weinig regie over hebben. Dat doet sterk denken aan de asbest-problematiek. Ook daar duurt het een lange tijd voor de gevaren zich manifesteren, maar als het mis gaat is de schade onherstelbaar.

Ingrijpen

Natuurlijk kunnen we er ons eenvoudig vanaf maken door te roepen dat we het zelf doen, diensten niet moeten gebruiken of dan maar geen gegevens moeten verstrekken. Maar de profielen van Facebook en andere diensten worden op zoveel manieren gevuld dat je eraan onttrekken heel lastig is. En daarnaast is niet de gebruiker het probleem, maar het bedrijf. Alleen een overheid heeft de middelen om in te grijpen bij bedrijven als Facebook en Cambridge Analytics.

Daar ligt nu een schone taak. Het zijn bedrijven die gegevens misbruiken, die verantwoordelijk zijn voor het lekken van de gegevens. Zij zijn het dus die helder moeten vertellen hoe ze de data gebruiken. Dat laatste gebeurt vaak alleen in vage bewoordingen, omdat het verhaal onprettig is. Net als bij asbest zou je de gevaren aan gebruikers moeten voorleggen. In mei is de Europese privacywetgeving bindend. Een mooi moment om te gaan ingrijpen en dwingend dit soort praktijken te stoppen.

Wijzigingen Wiv stap vooruit, maar onvoldoende

De voorgestelde aanpassingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) na de uitslag van het referendum zijn concreet en een verbeteringen. Toch haalt het niet de echte pijnpunten weg. Wat mij betreft een gemiste kans.

Restrictiever

Dat er nu restrictiever wordt gekeken naar welke landen de inlichtingendiensten gevoelige data over bijvoorbeeld Nederlandse burgers mogen uitleveren, is een goede stap. De vraag is hoe publiek dat debat wordt gevoerd. Leveren wij gegevens bijvoorbeeld aan de VS uit? Maar een van de grootste pijnpunten blijft overeind: men mag data naar andere landen sturen zonder dat dit gefilterd of onderzocht wordt. Het blijft vreemd dat dit nog altijd overeind blijft. Want waarom gegevens over Nederlandse burgers naar andere landen sturen zonder te weten of het nuttig is.

Het laatste punt blijft ongelukkig. Andere landen leveren namelijk niet zomaar informatie over eigen burgers uit. Wij lijken hiermee meer data uit te leveren dan andere landen ons aan informatie gunnen. Vergelijkbare wetten in andere landen zijn restrictiever. Ook blijft onduidelijk hoe wordt voorkomen dat gesleepte data niet wordt ingezet voor economische spionage. In Nederland is dat verboden, maar in het buitenland niet.

Fundamentele rechten

Verder is het goed dat fundamentele rechten nu op de radar komen bij het inzetten van ongericht (slepen) van gegevens. Het logisch gevolg daarvan is dat je ook gaat kijken hoe je zo’n bevoegdheid vervolgens gerichter gaat inzetten. Ook het niet automatisch drie jaar bewaren van gegevens is een logische stap, omdat een inbreuk op rechten van mensen zo kort mogelijk hoort te zijn. Maar dit zijn ook precies twee van de punten waar zeer waarschijnlijk het Europese Hof voor de Rechten van de Mens over zou zijn gevallen.

Tot slot is het jammer dat het kabinet er niet voor gekozen heeft om het hacken van derden die volledig onschuldig zijn te schrappen. Juist Nederland zou beter moeten weten. In ons land is immers Diginotar gehackt met als doel verkeer van Iran naar vooral Google te kunnen tappen. In de nasleep ging het bedrijf failliet en had ons land ook forse schade. Los daarvan werd de hack gebruikt om dissidenten te hinderen.

Mene tekel

Samenvattend is dit een kleine stap in de goede richting. Het is niet te begrijpen dat nog altijd gegevens ongezien aan diverse andere landen worden verstrekt zonder dat bekend is dat dit iets oplevert of noodzakelijk is. Dat is ook ouderwets denken. Er zijn technische mogelijkheden om data veel slimmer en gerichter uit te wisselen. Dat die niet worden benut is een gemiste kans. Was de mensenrechtentoets ingezet, zouden we alleen gefilterde data uitwisselen en niet derden hacken dan was de wet echt een ander plaatje.

(On)veiliger door techniek?

De opmars van de digitalisering heeft gezorgd voor veel vooruitgang in het veiligheidsdomein. We leven in de veiligste samenleving ooit met dank aan de technologie. Maar introduceren we geen nieuwe, onbeheersbare risico’s?

Camera’s zijn niet meer weg te denken uit het straatbeeld, in het openbaar vervoer, in de restaurants, cafés, scholen, kinderopvang, de werkvloer en andere aspecten van het openbare leven. In straten waar de camera’s niet hangen, zijn er burgers die actievoeren om alsnog onder cameratoezicht te vallen.

En voor de prijs hoef je het niet te laten. Voor een kleine negen euro bestel je in China al een full-hd-camera. Wie liever via draadloze netwerken werkt betaalt het dubbele en voor een paar tientjes meer is de camera direct op internet aangesloten. De techniek is zo verfijnd dat je de camera’s ook steeds beter kunt verbergen. Waarom zou je het niet doen?

Sekssites

Uiteindelijk is de toegevoegde beveiliging het ultieme argument. Alleen de enkele privacy-fetisjist zeurt nog wat door over de twijfels aan de effectiviteit, het misbruiken van de beelden, de mogelijkheid om de camera’s te hacken, het je anders gaan gedragen in ruimten waar je gefilmd wordt en je dus minder vrij voelen. Vooral de vergelijking met 1984 van George Orwell doet het dan goed. Die redenering is gemakkelijk te pareren met een ‘als je niets te verbergen hebt dan heb je niets te vrezen’.

Maar die redenering klopt dus niet. Daar kwamen de Nederlandse handbalvrouwen achter nadat zij naar de sauna gingen. Een camera in de kleedkamer werd voer voor sekssites. Naast input voor Big Brother zijn de vrouwen nu ook commerciële handelswaar. Want de sportieve, naakte lichamen hadden niets te verbergen, maar veel te verliezen.

De camera’s zouden volgens de eigenaar van de sauna zijn gehackt. Geen gek verhaal, want welke beveiliging mag je verwachten van een hd-camera van twee tientjes inclusief de kosten verzending? En die hangen we op internet? Met dank aan dat gedrag zijn duizenden camera’s zonder enige beveiliging te bekijken. Zo kijken viespeuken mee in de sauna, pedo’s bij de kinderopvang en stalkers bij gewillige slachtoffers.

Ontspannen

Ondertussen blijken camera’s maar beperkt te werken in het voorkomen van misdrijven. Bij de opsporing kunnen ze nuttig zijn. Maar we mogen twijfelen aan de effectiviteit van het middel. De critici hadden misschien toch een punt toen ze stelden dat er aan de technologie ook risico’s zitten.

Camera’s zijn zo klein dat we ze niet meer zien. Terwijl de kwaliteit van het beeld toeneemt, daalt de prijs en daarom zijn ze overal in ons leven. Maar wat doet dat met ons gedrag als we ons omkleden in het zwembad, de kinderen bij de buitenschoolse opvang brengen, in de sauna zijn of op een openbaar toilet zitten? Ben je helemaal jezelf of moet je toch denken aan die gluurders op de sekssite?

CYBER Charlatans

Donderdagavond ben ik gewezen op een passage in het boek ‘De Wereld van CYBERSECURITY en CYBERCRIME’, waarin de suggestie wordt gewekt dat ik tips zou hebben gegeven. Die suggestie is onjuist en onwaar. ‘Tips van Brenno de Winter’ is buiten mij om gemaakt en tegen mijn wil in het boek gekomen.

Wel ben ik gevraagd een citaat te leveren voor het boek. Ik heb daarvoor het manuscript gevraagd. Na het doorworstelen van een paar pagina’s heb ik de uitgever gezegd dat dit werk een verzameling onzin was. Natuurlijk heb ik geweigerd een citaat gegeven. De enige tip die ik heb gegeven is het niet uitbrengen van dit broddelwerk.

Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert. Ga verder met “Digitale stormvloed: Beveiliging is wachten op de Titanic” lezen

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

Valentijnsvonnis: Microsoft’s liefde voor partners

Microsoft heeft alle geldstromen van een zakenpartner platgelegd. De onderneming heeft zeer waarschijnlijk te veel geld aan de gigant betaald en dat is nu gestopt. Ook een zusterbedrijf dat helemaal geen Microsoft-producten gebruikt maar het concurrerende Linux levert, is getroffen door een beslaglegging.

Dat blijkt uit een vonnis waar de Amerikaanse gigant de pijlen richt op Wipa Nederland B.V. Een onbekende mkb-onderneming, die online werkplekken op basis van Microsoft-producten aanbiedt. Klanten loggen in op de server van dit bedrijf en werken zo in de cloud. In 2008 sluiten Microsoft en Wipa een zogenaamde SPLA-licentieovereenkomst af. Om sjoemelen tegen te gaan, kan er een audit op de boeken worden gedaan.

Geen audit

Zo’n audit naar de administratie komt er volgens Wipa en het vonnis nooit. Wel belt een persoon en doet hij alsof hij een nieuwe klant wil worden. Op basis van zo’n verkoopgesprek handelt Microsoft alsof ze een deugdelijke audit hebben uitgevoerd. Wat ontbreekt, is cruciale informatie of klanten zelf al beschikken over licenties, of het salespraatje correcte cijfers geeft of dat de medewerker slechts heeft geschat en welke klanten nu welke licenties nodig hebben.

Wat Microsoft niet doet, doe ik wel: de feiten controleren en kijken in de licentie-administratie. Als de mij getoonde informatie correct is dan kom ik tot een opmerkelijke conclusie: het mkb-bedrijf betaalt zeer waarschijnlijk duizenden euro’s teveel aan licenties. Wipa Nederland B.V. meldt niet altijd een licentie na gebruik af en voor sommige klanten met eigen licenties wordt soms uit voorzorg toch een licentie geregeld. De malversaties die Microsoft beschrijft, zie ik niet.

Ex-parte

Met flarden van het verkoopgesprek in de hand start Microsoft op 14 februari 2017 een procedure bij de rechtbank Amsterdam. Het gaat om een ex-parte zaak. Om geen slapende honden wakker te maken, mag de gedaagde partij zich niet verweren en gebeurt zo’n procedure in het geheim. De eis: leg beslag op de administratie, computers, servers en alle financiële middelen van het bedrijf, het moederbedrijf en een zusterbedrijf dat werkplekken levert op basis van open-sourcesoftware.

Volgens Microsoft draait de zaak om 170.000 euro niet-betaalde licenties. Dit gebaseerd op basis van een verkoopgesprek. Het komt een tikkeltje agressief over om zonder inhoudelijke verificatie vervolgens beslag op alle bezittingen te leggen en dit zes maanden te laten duren voor de inhoudelijke gronden worden aangeleverd. Je weet dat je daarmee een hostingbedrijf uiteindelijk naar een faillissement stuurt.

Dreigen

Natuurlijk heb ik Microsoft herhaaldelijk om uitleg gevraagd. Nogal onder de gordel volgde wel een vraag ‘uit persoonlijke interesse’ of ik bij Wipa betrokkenheid heb. Opmerkelijk voor een bedrijf dat net beslag heeft gelegd op de administratie van dat bedrijf en dat zelf zou moeten kunnen ontkrachten.

Uiteindelijk komt er het volgende statement van het bedrijf:

“We reageren niet op contractuele overeenkomsten met individuele klanten of partners en verschaffen ook geen informatie over lopende juridische zaken. Algemeen kunnen we wel stellen dat Microsoft zijn verantwoordelijkheid om mensen te beschermen tegen de aankoop van illegale of oneigenlijke software zeer serieus neemt. We passen daarvoor treffende maatregelen toe, waaronder contractueel overeengekomen auditprocessen en andere acties om het vertrouwen van klanten in ons partnernetwerk te waarborgen, en om de risico’s die worden veroorzaakt door illegale en oneigenlijke software te verkleinen.” – Microsoft

In het verzoekschrift om een beslag is de advocaat helder. In punt 15 legt hij uit dat er eerst beslag moet liggen om dan na het beslag Wipa uit te nodigen voor overleg. Dat had dezelfde dag nog gekund, maar anderhalve week heeft de reus uit Redmond die belofte niet waargemaakt. Dat zou kunnen duiden op een tactiek: intimideren tot een bedrijf zo onder druk staat dat ze alles wel tekenen om maar niet ten onder gegaan.

Wat deze Valentijnsdag mij heeft geleerd, is dat partners zo’n dag heel verschillend vieren. Waar ik mijn vrouw bloemen en een dinertje gaf, koos Microsoft als een femme fatale voor zijn partner voor een beslag. Ongeacht je eigen trouw kun je sommige relaties beter niet aangaan.

Openbaarheid bestuur: pak obstructie door overheid aan

Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (WOB) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.

 

Tegenwerking en het achterhouden van informatie komen veel voor, heb ik als onderzoeksjournalist gemerkt. In 2009 werden gevoelige documenten over de brand in het Catshuis, waarbij een schilder om het leven kwam, in het kantoor van de landsadvocaat bewaard in de hoop de stukken aan de WOB te onttrekken. In 2015 kwam het radioprogramma Argos erachter dat een ambtenaar van het ministerie van Volksgezondheid, Welzijn en Sport in opdracht documenten over onderzoek naar overtredingen van de drank- en horecawet vernietigde. De gedachte was: documenten die er niet (meer) zijn, hoef je niet te openbaren.

In de huidige jurisprudentie moet de verzoeker bewijzen dat documenten bestaan. Dat is lastig. Een lijst met bestaande documenten is er bijna nooit. In zeldzame voorbeelden in mijn praktijk lukt dat toch. Ambtenaren zien verwijzingen naar documenten over het hoofd of steken het verhaal wel heel knullig in elkaar. Maar in de meeste gevallen staat de verzoeker met lege handen.

De obstructie bij de overheid neemt toe. Sinds de laatste wetswijziging ‘ter voorkoming misbruik’ van de WOB heeft de verzoeker nauwelijks een drukmiddel. Hoe de nieuwe tegenwerking vorm krijgt, laat de gemeente Rotterdam zien. In een onderzoek naar mogelijke fraude ontving ze een WOB-verzoek naar standaard Excel-sheets die bestaan. De wettelijk termijn van vier weken werd niet gehaald, dus volgde een verdaging van vier weken. Ook na een bezwaar kwam er geen besluit. Onder dreiging van een kort geding volgde een brief met vragen die binnen veertien dagen moet worden beantwoord. Doet de verzoeker dat niet op tijd dan ‘kan’ de gemeente besluiten het verzoek niet te beantwoorden. Ook al waren de wettelijke termijnen verstreken, toch schortte Rotterdam de behandeling op.

In de wet staat dat de verzoeker niet hoeft te verklaren waarom hij iets vraagt. Toch bleek ook dat een reden voor het opschorten van de procedure. Toen deze horde was genomen, volgde een besluit door de gemeente. De meeste informatie werd geweigerd. Motivering ontbreekt. De opbrengst: drie A4’tjes met nietszeggende getallen.

De voorbeelden van zulk misbruik van de wet door overheden zijn talrijk in mijn praktijk: het niet overmaken van door de rechter bepaalde onkostenvergoedingen, vertragen, niet motiveren, terzijde schuiven van adviezen van bezwaarcommissies. Wat mij blijft shockeren is de minachting voor de wet die juist bestuurders uitstralen die horen te waken over de rechtsorde.

Eerder nam de Tweede Kamer een opvolger van de WOB aan, de Wet Open Overheid (WOO), die nu voor behandeling bij de Eerste Kamer ligt. Die wet moet zorgen dat er meer gegevens pro-actief openbaar worden gemaakt. Ook wordt een maas in de huidige WOB gedicht, waardoor organisaties die wel overheid of door de overheid gefinancierd zijn geen ‘transparantieverplichting’ hebben. Zoals de NS, de VNG en overheids-ICT-dienstverlener ICTU.

Maar iedere nieuwe wet is een dode letter als deze niet wordt nageleefd. Het probleem is dat het verantwoordelijk ministerie van Binnenlandse Zaken de wet niet handhaaft en dat niemand handhavend optreedt. Ook het parlement verzaakt zijn taak op dit vlak, waardoor de minister geen druk ervaart om een goede WOB-werking te waarborgen. Eens in de vijf jaar moet de minister de wet evalueren. De laatste evaluatie stamt uit 2004. Anders dan publieke druk is er voor overheden geen enkele druk om zich aan de wet houden. Het verbergen van de pgb-miljoenen kan voorlopig doorgaan.

Deze column verscheen eerder in NRC Handelsblad

De onderzoeksraad moet de Digitale Ramp Belastingdienst onderzoeken

Na de onthulling bij Zembla over hoe bij de Belastingdienst met gevoelige gegevens wordt omgesprongen komt de vraag op of er sprake is van een datalek. In antwoord op vragen erkent Staatssecretaris Eric Wiebes (VVD) dat 18 mensen de gevoelige gegevens op een USB-stick konden zetten. Tijd voor een onderzoek naar welke bedrijfscultuur kon leiden tot deze digitale ramp.

In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bij elkaar om zo op basis van big data-technieken fraudepatronen op te sporen. Dat klinkt misschien niet leuk, maar het is wel onvermijdelijk. Via vage grensoverschrijdende bedrijfsconstructies en handelsketens vinden transacties plaats die op een belastingaangifte niet meer terug zijn te vinden. Een minder orthodoxe aanpak is in dat licht wel begrijpelijk, maar die raakt wel de vrijheid van iedere Nederlander.
 
Governance

Bij deze aanpak gaat het om nogal wat gegevens: fiscale data, financiële transacties, reisgedrag, telefoongesprekken met de Belastingdienst, parkeergegevens, vastlegging van auto’s die onder camera’s doorrijden en ga zo maar door. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.
Het in januari 2017 verschenen rapport “Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst” naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:

‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’

18 ontheffingen

Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:

‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’

De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog iemand toestemming gegeven binnen de afdeling D&A om met een usb-stick te werken.
 
Niet geschreven

Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.
 
Onderzoek

Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijken naar de huidige situatie en de vraag of de Belastingdienst nu aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.
 
Allemaal belangrijke informatie, maar nog niet antwoord op de vraag: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?