Wie controleert er de controleurs van de overheid als het om privacy gaat?

Vandaag staat België in rep en roer. Of zo zou het toch moeten zijn. De regering wil immers een aanslag plegen op de privacy van haar burgers.

Een nieuw konkinklijk besluit wil dat telecomoperatoren zowat alle data (pardon: meta-data) over hun gebruikers bijhouden en met de overheid delen. Om dit even aanschouwelijk voor te stellen zou de overheid volgende informatie over haar burgers kunnen opvragen:

  • wanneer en op welke plaats hebben persoon x en persoon y elkaar vorig jaar ontmoet (plaats van dataverbinding van gsm)?
  • hoeveel keer heeft persoon x vorig jaar porno gekeken (dns resolutie)?
  • welk traject neemt persoon y gewoonlijk wanneer hij gaat werken? Op welke dag is hij hiervan afgeweken? (locatiebepaling gsm)?
  • bij welke webwinkels, inclusief sexshops, heeft mevrouw y het afgelopen jaar inkopen gedaan? (meta-data van e-mail communicatie)?

tumblr_inline_mueebrgNpD1qz78ia

Wie kan je nog vertrouwen?

De politiediensten hebben toegang tot informatie nodig om misdrijven op te lossen. Dat begrijpt iedereen. Maar wie is dat, “de politiediensten”? Ook zij werken met onderaannemers en maken deel uit van een ambtenarenkorps van 500.000 mensen.

De assumptie dat de overheid (500.000 mensen, dus) per definitie te vertrouwen is lijkt me absurd. Ook daar is controle nodig. Maar ook buiten de overheid zijn er veel mensen die toegang hebben tot privégegevens. Denk aan ziekenhuizen, dokters of zelfs servicebedrijven als een telecomoperator. Duizenden mensen in helpdesks hebben toegang tot onze gegevens. In sommige gevallen neemt men daarbij een loopje met de privacy. Zo stelde ik deze week nog vast dat telefoonoperators bij KPN België (Base) toegang hebben tot de wachtwoorden van alle gebruikers. Buiten het feit dat je een wachtwoord nooit in een databank mag opslaan, betekent dit dat deze medewerkers van een KPN callcenter zonder moeite ook de Gmail en Facebook accounts van klanten kunnen openen. Veel mensen gebruiken immers overal hetzelfde wachtwoord.

De controleur controleren

Misbruik kan je niet vermijden, maar je moet het wel in kaart kunnen brengen. Het kan best zijn dat politiediensten meer gegevens nodig hebben, maar we hebben vooral meer inzicht nodig in wie welke gegevens opvraagt en wat daarmee gedaan wordt.

Of dit nu gebeurt door de politie, een onderaannemer, een callcenter medewerker, een gerechtsdeurwaarder of een marketeer die je een nieuw product wil voorstellen: iedereen die een opvraging doet moet gelogd worden, tenzij het om publieke gegevens gaat.

Deze ‘auditing’ gebeurt vandaag op een gecentraliseerde manier. Er is het comité P, er is de privacy commissie en ook de toegang tot de Kruispuntbank wordt gelogd. Enfin, ik hoop dat er enige controle uitgeoefend wordt.

Maar het is onmogelijk om centraal alles in het oog te houden. Je zou evenveel controleurs nodig hebben als mensen die dagelijks toegang tot persoonsgegevens hebben. De enige manier om de controleur te controleren is om mensen hier zelf de mogelijkheid toe te geven. Een beetje zoals op LinkedIn: “Persoon X heeft gisteren jouw profiel bekeken.”

Recht op inzage in je dossier

We gaan naar een samenleving die steeds transparanter wordt. Zelf doe ik daar bewust aan mee. Zo staat bijvoorbeeld mijn telefoonnummer online. Maar als jij me belt met een geheim nummer, dan weiger ik om op te nemen.

Hoe groter de transparantie, hoe meer nood aan privacy voor de weinige data die nog vertrouwelijk blijven. Ik wil niet dat politiediensten in een databank kunnen opzoeken hoe laat ik ‘s morgens opsta, hoeveel ik gisteren gegeten heb en wanneer ik het liefst naar het toilet ga. Toch zal dit met de verdere digitalisering van ons leven allemaal mogelijk worden.

Daarom wordt controle des te belangrijker.  Als individu heb ik geen controle over wie aan mijn gegevens kan, maar ik moet dan wel het recht hebben om te weten wie mijn vertrouwelijke gegevens opvraagt. Eventueel met een vertraging van bijvoorbeeld 1 jaar voor opvragingen door politie in het kader van een onderzoek, zodat deze mensen hun werk kunnen doen zonder dat de verdachten dit dadelijk weten. Maar eens duidelijk is dat je onschuldig bent, moet elke vraag tot toegang gecommuniceerd worden.

De realisatie van een Kruispuntbank voor controle van de controleurs

Ik pleit voor een verplichting om elke toegang tot persoonsgegevens te loggen in een databank gelinkt aan bijvoorbeeld het rijksregisternummer van de persoon van wie de gegevens opgevraagd worden.

De overheid kan makkeljik het mechanisme van de Kruispuntbank inzetten om burgers via hun EID kaart toegang te geven tot een historiek waarin vermeld staat welke persoon bij welke instelling of bedrijf welke vertrouwelijke gegevens geraadpleegd heeft.

Als we niet bij een totalitaire staat willen uitkomen dan is dit de enige manier.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s