Via Suwinet delen overheidsorganisaties onderling informatie over alle Nederlanders op het gebied van bijvoorbeeld loon, hypotheken en kentekens. Die informatie wordt gebruikt voor vergunningen, uitkeringen, fraudeopsporing en boetes. Maandelijks vragen meer dan 24.000 Suwinet-gebruikers gegevens op over circa 680.000 mensen. Veel gemeentes werken bovendien samen met externe partijen, zoals incassobureaus, die ook toegang krijgen tot Suwinet. Dat moet stoppen, vindt de Vereniging van Nederlandse Gemeenten, want we willen niet dat er misbruik wordt gemaakt van onze gegevens. Toch maakt de overheid geen aanstalten om het gebruik van Suwinet te beperken.
De brandbrief van de VNG oogt misschien sympathiek, maar leidt af van de echte problemen. Het is namelijk schrikbarend slecht gesteld met de beveiliging van Suwinet. In 2013 nam slechts 4% van alle gemeenten voldoende maatregelen om de persoonsgegevens te beschermen. Afgelopen juni lag dit percentage nog altijd op slechts 17%. Grote groepen ambtenaren hebben dus toegang tot onze vertrouwelijke gegevens, zonder dat dit voor hun werk noodzakelijk is. Een ‘echt’ nieuw onderzoek naar de beveiliging van Suwinet door de Inspectie SZW zal pas vanaf 1 september plaatsvinden. Alle gemeenten die niet voldoen aan de beveiligingseisen, worden afgesloten van Suwinet. Wederom een afleidingsmanoeuvre, die het probleem niet oplost.
Privacygerelateerde wetgeving op ICT-gebied is geen specialiteit van onze overheid. Onlangs haalde het ministerie van Veiligheid en Justitie nog bakzeil bij de rechter, toen de bewaarplicht ongeldig werd verklaard. Onder die bewaarplicht waren internetproviders verplicht grote hoeveelheden data op te slaan, bedoeld voor digitale opsporingsdoeleinden. Die verplichting valt nu weg en een alternatief laat op zich wachten. Het gevolg: de politie kan minder goed haar werk doen en Nederland is minder veilig.
Informatie werd onder de bewaarplicht opgeslagen in het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Onderzoek — van de overheid zelf — toont aan dat de politie sinds 2007 enorm onzorgvuldig omgaat met verzoeken voor informatie uit deze database. Toezeggingen van de minister om de situatie te verbeteren, zijn niet nagekomen. Nog erger: over 2013 en 2014 zijn er helemaal geen toezichtrapporten over het CIOT beschikbaar. Niets wijst er dus op dat er orde op zaken is gesteld. Was dat wel het geval geweest, dan had de afdeling communicatie van het ministerie — nooit te beroerd om persberichten te sturen over daadkrachtige nieuwe maatregelen van de minister — ons dat wel laten weten.
Een ander teken aan de wand is het kritische rapport van toezichtcommissie CTIVD over de inlichtingendiensten, uit begin 2014. Er bleek sprake van ‘onrechtmatigheden’ in de werkwijze van de diensten, onder meer bij het verzamelen van gegevens. En wat te denken van het Elektronisch Patiëntendossier (EPD), dat vanwege privacyoverwegingen steeds werd weggestemd door de politiek? Het is onbegrijpelijk dat hier niet dezelfde ophef om is ontstaan. Onlangs werd bovendien bekend dat de FIOD binnenkort prepaid telefoons af mag luisteren. Onze privacy is gewaarborgd volgens de minister en we hoeven ons geen zorgen te maken. Maar kunnen we met een gerust hart gaan slapen en erop vertrouwen dat onze privacy goed geborgd is bij de overheid?
Welnee. Uit bovenstaande voorbeelden blijkt dat gezagsdragers onze privacy volstrekt niet serieus nemen. Er is bovendien een tendens om steeds minder transparant te zijn over onze privacy. Rapportages worden steeds summierder, en de echt belangrijke informatie wordt vakkundig verstopt in jaarverslagen. Er rest daarom maar één oplossing: direct stoppen met Suwinet. Gebeurt er niets, dan is er geen enkele druk om de beveiliging van vertrouwelijke gegevens te verbeteren. De overheid moet de gevolgen van haar onvermogen aan den lijve ervaren, anders verandert er waarschijnlijk helemaal niets.
Er moet wetgeving komen die de basiselementen van informatie en privacy vastlegt voor ICT-systemen binnen de overheid. Elk systeem dat de overheid gebruikt of ontwikkelt, zal vervolgens moeten voldoen aan de richtlijnen uit deze wetgeving. Een gedegen risicoanalyse moet daar onderdeel van zijn, net als duidelijke regels op het gebied van incidenten én een eenduidige procedure voor wanneer er misbruik wordt geconstateerd. We denken nu vaak te veel vanuit de techniek, terwijl het gedrag van mensen voor problemen zorgt. We moeten afdwingen dat de overheid in uiterste nood stopt met het gebruik van systemen die niet aan de veiligheidseisen voldoen.
Ik besef dat de gevolgen groot zijn wanneer de overheid stopt met Suwinet. Maar als er niets gebeurt, ligt het gevaar van de totalitaire staat op de loer, waarin iedereen willekeurig tot verdachte kan worden gebombardeerd. En dan zijn de gevolgen echt niet te overzien.
John T. Knieriem is algemeen directeur van Intermax.