Tijd voor een ICT-autoriteit

Deze gastbijdrage is van Mirjam Schuijff, onderzoeker Technology Assessment van het Rathenau Instituut.

Van iedereen worden talloze gegevens opgeslagen in databases. Je naam en adres staan in de gemeentelijke basisadministratie. Wat je lichamelijk of psychisch mankeert en welke medicijnen je daarvoor slikt, staat in het elektronisch patiëntendossier. Waar je in- en uitcheckt met de OV-chipkaart is opgeslagen in de centrale database van Trans Link Systems, de verenigde vervoersbedrijven. Dit zijn slechts enkele voorbeelden; de gemiddelde persoon staat in zo’n 250 tot 500 digitale databestanden.

In het rapport Databases. Over ICT-beloftes, informatiehonger en digitale autonomie onderzoekt het Rathenau Instituut een aantal databestanden. Er blijkt zoveel mis met de gegevens, de beveiliging en het inzage- en correctierecht van de burger dat wij pleiten voor structureel toezicht op het ontwerp van databases bij de overheid en het bedrijfsleven. Ook is toezicht nodig op het gebruik van die databases. Hier illustreren we met een aantal problemen waarom dat toezicht hard nodig is.

Enorme datahonger
De overheid en het bedrijfsleven hebben een enorme datahonger. In het digitale tijdperk is het veel gemakkelijker dan vroeger om grote hoeveelheden gegevens te verzamelen, te analyseren of te bewaren. Vaak wordt méér informatie verzameld dan nodig voor het doel waarvoor de database in het leven is geroepen. In de gedigitaliseerde dossiers van de jeugdgezondheidszorg is ruimte voor meer dan 1.000 gegevens over een kind en zijn sociale omgeving. Met statistische modellen kunnen die gegevens worden doorzocht om te bepalen welk kind een ‘mogelijk probleemkind’ is. Zo’n kind krijgt een bijbehorende classificatie. Los van het feit dat de statistische analyse tot foute uitkomsten kan leiden, is het onduidelijk welke gegevens leiden tot welke risicoclassificatie. Is een kind een risicogeval als de ouders gescheiden zijn, het in een bepaalde wijk woont, de vader aan de drank is, het niet goed gaat op school, van boksen houdt, of het een brilletje heeft? Wat zijn echte risicocriteria? Aan hoeveel criteria moet het voldoen? En welke dan? Sommige ouders vullen vragenlijsten van het consultatiebureau of de schoolarts, die soms hele gevoelige onderwerpen betreffen, niet in omdat ze niet weten wat er met die gevoelige informatie gebeurt. Wie ziet de antwoorden? Welke gevolgen kan zo’n lijst hebben voor hun kind? Voorafgaand aan een beslissing om een digitaal dossier op te stellen of uit te breiden, moet er eigenlijk zijn vastgesteld welke gegevens echt nodig zijn: select before you collect.

Beveiliging
Bij het toezicht op het ontwerp van databases moet ook worden nagegaan of er afdoende technische maatregelen worden genomen om de databases te beveiligen. Nu zijn systemen vaak met procedurele maatregelen beveiligd, zoals inloggen met gebruikersnaam en wachtwoord. Dat maakt systemen kwetsbaar, bijvoorbeeld als mensen post-its met gebruikersnaam en wachtwoord op het computerscherm plakken. Dat geldt ook voor de beveiliging van het elektronisch patiëntendossier, waarbij zorgverleners kunnen inloggen met elkaars UZI-pas en pincode. Dan wordt de unieke zorgverlener identificatie een uitwisselbare zorgverlener identificatie. Slordig omgaan met de toegang tot medische gegevens kan ertoe leiden dat ook mensen met verkeerde bedoelingen zich toegang verschaffen. Dan kunnen de medische gegevens van Nederlanders op straat komen te liggen, of kunnen kwaadwillenden voorgeschreven medicatie veranderen met alle mogelijke gevolgen van dien. Dit kan voorkomen worden door technische beveiligingsmaatregelen in het systeem te verankeren.

Inzage- en correctierecht
Een ander aandachtspunt is het versterken van de positie van de burger. Dat is nodig, want van iedereen staan gegevens in allerlei databases en daarin kunnen zich fouten voordoen. Bijvoorbeeld door een incorrecte invoer van gegevens, misinterpretaties als gevolg van onvolledige informatie of foutieve koppelingen. Om zulke fouten te verbeteren, is het belangrijk dat mensen gebruik kunnen maken van hun inzage- en correctierecht. Dat lijkt een open deur, maar inzage- en correctierechten blijken meer dan eens papieren rechten die je moeilijk kunt uitoefenen. Probeer onterecht afgeschreven saldo van je OV-chipkaart maar eens terug te krijgen. In de ontwerpfase van een database is dan ook nadrukkelijk aandacht nodig voor de inzage- en correctiemogelijkheden van de burger.

Veelkoppig monster
We staan allemaal in honderden databases geregistreerd en dat worden er alleen maar meer. Maar databases brengen allerlei soorten problemen met zich mee, waardoor ze een veelkoppig monster lijken. Door dit databeest te temmen, zorgen we dat de OV-chipkaart niet ontspoort en het elektronisch patiëntendossier niet besmet raakt door uitgewisselde zorgpassen. Omdat er veel op het spel staat, pleiten we voor structureel toezicht op het gebruik van databases, bijvoorbeeld door een onafhankelijke ICT-autoriteit in het leven te roepen die een goed ontwerp van databases en een goed gebruik van gegevens kan afdwingen.