Overheid moet alert zijn op informatiestromen

De overheid moet meer verantwoordelijkheid nemen op ICT-gebied. Dat staat in het WRR-rapport iOverheid dat projectverantwoordelijke Corien Prins eergisteren overhandigde aan minister Donner van Binnenlandse Zaken en Koninkrijksrelaties.

We zijn bekend met het beeld van de eOverheid, de elektronische overheid. Dat is de overheid die denkt, discussieert en handelt vanuit toepassingen van de techniek: de OV-chipkaart, de Verwijsindex Risicojongeren en het Elektronisch Patiëntendossier.

Maar we kunnen ook door een andere lens kijken, waarbij de nadruk ligt op een kluwen van informatiestromen die stapje voor stapje, besluit na besluit is ontstaan. We zien dan ontelbare informatiestromen, op rijksniveau maar ook lokaal en Europees. Er is geen noemenswaardig besef van het ontstaan van deze iOverheid, waardoor deze nieuwe deze nieuwe digitale werkelijkheid in feite geen ‘natuurlijke’ begrenzing kent. De iOverheid is onder de politieke radar ontstaan, en ze zal onbekommerd verder groeien als ze daaronder blijft.

Wat zijn de belangrijkste kenmerken van de iOverheid?
Ten eerst is er de function creep: daarvan is sprake wanneer een systeem of applicatie in eerste instantie functie X dient, maar daar gedurende de tijd ook functie Y of zelfs Z aan wordt toegevoegd. Denk bijvoorbeeld aan het Schengen Informatie Systeem, het SIS, een Europese databank voor politie en justitie met gegevens over mensobjecten, zoals gestolen identiteitspapieren. Dit systeem moet het wegvallen van de fysieke grenscontroles in het Schengengebied compenseren. In eerste instantie had een relatief beperkte groep instanties toegang: politie, immigratiediensten, grensbewaking en douane. Bij de ontwikkeling van een tweede versie van het systeem zijn de mogelijkheden vervolgens sterk uitgebreid. Zo zijn ook vingerafdrukken opgenomen. Daarmee verandert het systeem al van karakter: niet meer alleen een signaleringssysteem, maar ook een opsporingssysteem. Instanties met geheel andere taken – antiterrorisme, opsporing van zware criminaliteit – krijgen toegang tot gegevens die in eerste instantie niet voor die taken zijn verzameld. Op Europees niveau haken Europol en Eurojust aan. Ook wordt er een koppeling gemaakt met het Visum Informatie Systeem (VIS) – het systeem voor alle reizigers met een visum – beoogd. Zowel de functionaliteit als het karakter van SIS zijn zo veranderd.

De tweede tendens die de dagelijkse digitale praktijk ons toont is dat informatiestromen zich vrijwel niets lijken aan te trekken van bekende grenzen tussen de publieke en private sector. Sprekend is de OV-chipkaart, waarop een scala van partijen invloed uitoefent: niet alleen de Nederlandse Spoorwegen, Connexxion en de vervoersbedrijven van de grote steden, maar ook de overheid.

Ook de schotten tussen beleidsterreinen brokkelen af. Informatie uit het domein van de zorg komt terecht bij instanties die zich met controle bezighouden. Illustratief is de Verwijsindex Risicojongeren – de VIR. Dit systeem moet ervoor zorgen dat instanties die bemoeienis hebben met jongeren tijdig van elkaar weten dat een jongere een risico loopt. De VIR maakt het mogelijk dat organisaties elkaar via een signaal van hun bezorgdheid op de hoogte kunnen stellen. Tragische gebeurtenissen als ‘het Maasmeisje’ moeten zo worden voorkomen. Wie goed kijkt ziet dat instanties verdeeld over zes nogal verschillende domeinen signalen afgeven: jeugdgezondheidszorg, onderwijs, maatschappelijke ondersteuning, werk en inkomen, politie en justitie en jeugdzorg. Achter die domeinen gaan tientallen organisaties schuil. Stuk voor stuk met elkaar verbonden via de VIR. Natuurlijk: het systeem is op de tekentafel sober en werkt louter op basis van signalen. Willen professionals over inhoudelijke informatie beschikken dan moeten ze persoonlijk contact leggen. Maar op de werkvloer wordt uitgewisseld, informatie genoteerd, gedigitaliseerd, en eindigt die informatie in leerdossiers, elektronische kinddossiers, politiesystemen, etc.

De iOverheid laat schotten eroderen
De VIR is illustratief voor nog meer tendensen. Niet alleen landelijk, ook op uitvoeringsniveau en binnen gemeenten groeit een wereld van verbonden systemen en informatieprocessen. Dat leidt er bijvoorbeeld toe dat partijen die niet meldingsbevoegd zijn voor de nationale verwijsindex, wel op lokaal niveau signalen afgeven, zoals verloskundigen en kinderopvang. Partijen ook, die in sommige situaties via het lokale systeem meer uitwisselen dan kale signalen. Met alle risico’s van dien.

Tenslotte toont de VIR ons nog een tendens. De inzet van technologie gaat gepaard met grote beleidsinhoudelijke ambities. Op gebieden als veiligheid en zorg worden systemen ingezet en gekoppeld om de toekomst in kaart te brengen en daarop alvast te anticiperen. Zo moeten ‘vermijdbare’ medische fouten worden voorkomen, dienen Europese migratiedatabanken te garanderen dat zich geen nieuwe illegalen in Nederland vestigen en zijn opsporingsdatabanken en grensoverschrijdende uitgewisselde passagiers- en bankgegevens er om de wereld te vrijwaren van een nieuwe terroristische aanslag.

De iOverheid laat met zijn nieuwe informatiestromen dus diverse essentiële schotten eroderen. De politieke en maatschappelijke discussie blijft intussen steken in de veiligheid van de technologie (OV-chipkaart), in financiële debacles rondom mislukte ICT–projecten, en in de zwart-wit tegenstelling tussen privacy en veiligheid.

iOverheid vraagt politieke beslissingen
Deze situatie, zo concludeert de WRR, levert risico’s en knelpunten op. Denk aan identiteitsverwarring en verkeerde en verouderde registraties met reële gevolgen. Of aan burgers die vastlopen in digitale overheidsnetwerken. Of aan een overheid waarvan de informatiestromen verknoopt zijn geraakt, maar de organisatie daarbij achter blijft. Denk ook aan burgers die niet zien waar  verantwoordelijkheden liggen. Kortom, er tekent zich een risico af dat politiek en beleid het regisserend vermogen kwijtraken.

De WRR bepleit daarom dat de verdere vormgeving van de iOverheid een bewust proces wordt waarin informatie centraal staat. De overheid dient veel alerter te zijn op de kwaliteit van informatie en op de vraag wie in de vernetwerkte digitale wereld van de overheid uiteindelijk de eindverantwoordelijkheid draagt voor die informatie. Ook zal nagedacht moeten worden over de grenzen van de iOverheid, en dus over de grenzen van het informatiegebruik. Het wordt kortom tijd voor het besef dat de iOverheid om politieke beslissingen vraagt.

De iOverheid vraagt ook om institutionele veranderingen. We bepleiten daarom allereerst een permanente commissie voor de iOverheid die jaarlijks aan het parlement rapporteert. Die nationale en internationale ontwikkelingen signaleert en deze binnen het bredere perspectief van een vernetwerkte overheid doordenkt. Daarnaast stelt de WRR de oprichting van een iPlatform voor dat de transparantie van de iOverheid ten opzichte van burgers moet centraliseren en vergroten. We achten het van groot belang dat burgers beter zicht krijgen op de werking en mogelijke consequenties van informatienetwerken. Tenslotte bepleit de WRR een iAutoriteit die individuele burgers ondersteunen wanneer zij verstrikt zijn geraakt in de informatiehuishouding van de overheid. We achten het noodzakelijk dat een dergelijke instelling effectief, dat wil zeggen met doorzettingsmacht in netwerken, kan optreden.

In de dagelijkse praktijk zal de ontwikkeling van de iOverheid zonder twijfel onverminderd doorgaan. Een halt toeroepen is kortom niet aan de orde. Het is voor de WRR echter onontkoombaar dat politiek en bestuur de komende jaren de draai van een eOverheid naar een iOverheid maken.

Dit is een verkorte en enigszins bewerkte versie van de toespraak die Corien Prins hield bij de presentatie van het WRR-rapport iOverheid (zie wrr.nl) Corien Prins is lid van de WRR en hoogleraar recht en informatisering aan de Universiteit van Tilburg.