Frank Biesboer
Een greep uit het nieuws van de laatste maanden. Er rijzen vragen rond de Air-Miles; wat gebeurt er precies met persoonsgegevens van spaarders, die de aangesloten bedrijven in één reusachtig electronisch net opvangen? De Registratiekamer stelt een diepgaand onderzoek in. Klantgegevens mogen volgens de Wet Persoonsregistratie niet zomaar aan derden worden verkocht zonder toestemming van de klanten zelf. Kort daarna maakt de Registratiekamer bezwaar tegen het overdadig koppelen van databestanden bij controle van de Bijstandswet. Minister Melkert van Sociale Zaken belooft het opstellen van gedragsregels.
Na vijf jaar min of meer in de schaduw te hebben geopereerd lijkt de Registratiekamer de weg naar de schijnwerpers van de publiciteit te hebben gevonden. Toen de Kamer werd ingesteld, dacht de overheid dat ze vooral te maken zou krijgen met klachten van individuele burgers. Die klachten kwamen er, maar slechts mondjesmaat. Dus is er tijd voor een meer actieve rol als toezichthouder.
De keuze van de genoemde voorbeelden ligt voor de hand. Beide zijn voorbode van wat zich de komende jaren in veelvoud zou kunnen gaan voordoen: het koppelen van bestanden onder het mom van fraudebestrijding, waarbij elke overheidsinstantie zich het recht aanmatigt over alle mogelijke gegevens van ieder individu te kunnen beschikken. Het verzamelen van klantgegevens begint een populair 'marketing-tool' te worden. Naarmate betalingen vaker langs elektronische weg verlopen, via pin-pas, credit-card of klantenpas, kunnen bedrijven meer te weten komen over het individuele klantenprofiel.
Voordat de persoonsgegevens in een grabbelton veranderen, laat de Registratiekamer een duidelijk 'ho' horen. Op zich is dat heel bewogen en gewichtig. Een officiële instantie die grote maatschappelijke machten op de vingers tikt. Tegelijkertijd schuilt daarin de zwakte. Want een club, hoe officieel ook, die alleen maar 'ho' roept, kan nooit lang op sympathie rekenen. Zeker nu druk wordt gesproken over de komst van de digitale snelweg. Want wanneer daarover eenmaal alle gegevens heen en weer vliegen, is het greep houden op en controleren van wat er met ieders persoonsgegevens gaat gebeuren onbegonnen werk.
Het aardige is dat de Registratiekamer, hoe jong haar rol als openbare aanklager ook is, die bui duidelijk ziet hangen. Dus heeft ze de afgelopen maanden hard gewerkt aan het ontwikkelen van een heel nieuw concept: privacy-technologie. Als de technologie wordt gebruikt om overal gegevens op te slaan en heen en weer te sturen, dan kan technologie ook worden ingezet om dat te voorkomen. Wordt hier voor de zoveelste keer technologie te hulp geroepen om een door technologie veroorzaakt probleem op te lossen?
Ja, zeggen John Borking en Henk van Rossum, plaatsvervangend voorzitter en beleidsmedewerker van de Registratiekamer. En ze zeggen graag ja, haast als kwajongens die een voetbal in de tuin van die knorrige oude meneer hebben geschopt. In het sterk door juristen beheerste werkklimaat van de Registratiekamer zijn beiden, Borking afkomstig van Rank Xerox en Van Rossum van de Technische Universiteit Eindhoven, sneller geneigd de waarde van juridische oplossingen te relativeren. `Het recht kan het tempo van de verandering nu eenmaal niet bijhouden', zegt Borking. `Het rechtssysteem zoals wij dat kennen is gemaakt op het tempo van de negentiende eeuw.'
In feite tasten de nieuwe ontwikkelingen de grondslagen van het juridische systeem zelf aan, aldus Borking: `Recht is gebaseerd op een heldere definitie van ruimte en tijd, van gelokaliseerde handelingen in een herleidbare volgorde met daaraan verbonden rechtsgevolgen. Zo zat de maatschappij van de negentiende eeuw ook in elkaar. Maar met de digitale snelweg worden die grenzen van ruimte en tijd opengebroken. Het is een illusie te denken dat de moderne ontwikkelingen zich nog laten vertalen in de juridische begrippen en principes van de negentiende eeuw.'
Het lijkt of hij net uit de bespreking komt waar hij zijn collega's moest overtuigen. `Juristen hebben een bepaald denkkader, ze doen altijd pogingen om de bestaande werkelijkheid op de voor hen oude vertrouwde beginselen terug te voeren. Het is voor juristen heel moeilijk buiten dat denkkader te treden, hun werkelijkheidsbeleving zit zo nu eenmaal in elkaar. Wil je dus iets nieuws, dan heb je mensen nodig met een andere werkelijkheidsbeleving. Ik zeg niet dat die geen beperkingen heeft of zaligmakend is. Maar je hebt hem wel nodig om tot een echt nieuwe aanpak te komen.'
Privacy-technologie dus. Waarom, wat en hoe? Van Rossum: `Onze samenleving lijdt chronisch aan een registratiekoorts. Alles gaat één richting uit: het genereren, verzamelen en verspreiden van persoonlijke gegevens. We registreren ons rot. De nieuwe informatietechnologie maakt dat ook heel makkelijk, snel en goedkoop; de opslagcapaciteit groeit exponentieel en de kosten dalen navenant. Maar moet die berg met persoonsgegevens dan ook zo hard groeien? Waarom zou je het niet omkeren: moderne technologie gebruiken om die groeiende stroom in te dammen?'
Anders gezegd: momenteel wordt een grote hoeveelheid registratiegegevens gegenereerd, die vervolgens end-of- pipe met privacy-regels worden beschermd. Met privacy-technologie wordt die volgorde omgedraaid: het systeem dat gegevens genereert zit zo in elkaar dat 'vanzelf' aan de privacyregels wordt voldaan.
Het verhaal dat nu volgt vergt een stukje hersengymnastiek. Want zoals juristen gevangen zitten in een bepaalde juridische denkwereld, zo lijken wij allen gevangen in een denkkader waarin we registratie doodnormaal vinden. Het is toch logisch dat je ziektekostenverzekeraar weet wanneer je geholpen bent aan een gebroken been?
Dat is dus niet logisch, werpen Borking en Van Rossum tegen. Die verzekeraar hoeft alleen maar te weten of je je premie al of niet keurig betaalt en of je voor vergoeding van de onderhavige kosten in aanmerking komt. Verder niets. Van Rossum: `Zo zijn we bij tal van registratiesystemen die waarom-vraag gaan stellen. Dan blijkt dat de persoonsregistratie vaak niet functioneel is. Dat verklaart ook het ontstaan van de registratieberg. Het wordt als een vanzelfsprekend aangenomen dat elk dossier persoonsgegevens moet dragen. Waarom zou dat zo moeten zijn? Neem nou een bank. Die hoeft alleen te weten of een bepaalde rekening niet rood staat. Daar zijn helemaal geen persoonsgegevens voor nodig.'
Om z'n verhaal verder toe te lichten introduceert Van Rossum het begrip pseudo-identiteit. Dat lijkt vreemder dan het is. Gironumer, bankrekeningnummer, pincode, sofinummer, ziekenfondsnummer, e-mailadres, lidmaatschapsnummer, iedereen kent vele van die pseudo-identiteiten zonder er bij stil te staan. Van Rossum: `Het probleem is dat al die pseudo-identiteiten één-op-één zijn gekoppeld aan de persoonsgegevens. Die koppeling willen wij doorsnijden. Zo krijg je een - zo klein mogelijk - domein waar de persoonlijke identiteit is vastgelegd en daarbuiten tal van andere domeinen met een pseudo-identiteit.'
Maar hoe moet je je dat nu in de praktijk voorstellen? Opnieuw het voorbeeld van de bank. `Op dit moment zit het systeem zo in elkaar dat als een klant regelmatig betaalt met z'n magneetpas, er een elektronisch spoor ontstaat waarmee de bank precies zijn betaalgedrag zou kunnen nagaan. Door zogenaamde versleutelingstechnieken (encryptie) kan dat spoor gedeeltelijk onzichtbaar worden gemaakt. De bank beschikt dan alleen over strikt noodzakelijke gegevens: is de magneetpas valide, welk bedrag moet worden afgeschreven, hoeveel staat er dan nog op de rekening.'
Maar hoe moet dat dan met die ziektekostenverzekering? Die moet toch weten voor welke medische handeling een vergoeding wordt betaald?
Hier zien beide heren een andere mogelijkheid, de uitgifte van zogenaamde credentials, oftewel - digitale - geloofsbrieven. Het betekent wel dat de patiënt moet beschikken over een zogenaamde (medische) chip-kaart. Borking: `Stel, meneer Jansen heeft zijn premie voor ziekteverzekering betaald. De verzekeraar geeft hem daarvoor credentials op zijn kaart. Als Jansen nu een DNA-onderzoek moet ondergaan, kan het ziekenhuis controleren of de credentials op de kaart in orde zijn en na afloop van de behandelingen de rekening indienen bij de verzekeraar. Die beschikt dan over de volgende gegevens: de rekening, de aard van de medische handeling en de credentials die door hemzelf zijn gevalideerd. Daarmee heeft hij voldoende. De naam van Jansen hoeft daar helemaal niet aan verbonden te zijn.'
Voor alle duidelijkheid: al deze controles en checks gebeuren langs elektronische weg met gebruik van encryptie.
`Het klinkt eigenaardig hè?' reageert Borking op mijn vragende blik. `Dat heeft te maken met het begrip anonimiteit. Daarop rust een taboe van misbruik en criminaliteit, het heeft een negatieve lading. Om anonimiteit te kunnen zien als een antwoord op de registratiezucht, is een ontworsteling aan de bestaande denkwereld nodig. Heb je die slag eenmaal gemaakt, dan gaat het heel snel. Dan zie je dat tal van activiteiten prima in een sfeer van anonimiteit kunnen functioneren.'
Maar criminaliteit is toch doorgaans gebaat bij anomieme stelsels. Zullen hackers, laaienlichters en systeemfraudeurs zich niet al snel zo vrij als vogels door de wereld van pseudo-identiteiten kunnen bewegen?
Van Rossum: `Laat er geen misverstand over bestaan: hoe complexer een systeem, hoe hoger de eisen die je moet stellen aan beveiliging. Je kunt die zo in het systeem inbouwen dat degene die zich netjes gedraagt niet identificeerbaar is, maar degene die de regels overtreedt wel.' Voor het bewijs van die stelling verwijzen de gesprekspartners naar het Fysisch-Elektronisch Lab van TNO in Den Haag, dat over een aanzienlijke militaire expertise beschikt. `Die weten wel hoe je uit een zee van signalen die van een vijandelijk toestel moet halen.' FEL- TNO is door de Registratiekamer als expertisecentrum ingeschakeld bij het onderzoek naar privacy- technologie.
Zullen deze systemen nu echt helpen tegen de vaak nogal irritante jacht van grote bedrijven op zogenaamde klantprofielen, die kan ontaarden in stromen e-mailvervuiling en overbodige post? Borking: `Zoals dat nu gaat, rechtstreeks gekoppeld aan één persoon, zal het dus niet meer kunnen. Wat niet wil zeggen dat bij privacy- technologie geen marktontwikkelingen meer gevolgd kunnen worden. Dat kan nog steeds, maar anoniem.'
Begin april zal het onderzoekrapport naar privacytechnologie door de Registratiekamer worden gepubliceerd. Bestaat niet het gevaar dat de 'marketeers' over de Registratiekamer zullen heenvallen?
Borking: `Tegenwind zal er wel komen, maar verandering moet weerstand oproepen anders gebeurt er niets.' En meer relativerend: `Het is de vraag of de marketeers wel op de goede weg zijn met hun individuele klantprofielen. Wie te veel manipuleert krijgt de kous op de kop. In de Amerika, waar de direct marketing veel agressiever is, wordt al gesproken over datarape. Mensen voelen zich volledig uitgekleed, met echt traumatische gevolgen.'
Borking voorziet een heel andere ontwikkeling: `Bedrijven zullen privacy als marketinginstrument of als kwaliteitscriterium gaan gebruiken. Er is al een groot softwareverwerkingsbedrijf bij ons gekomen om over de toepassing van privacy-technologie te praten. Die willen daar naam mee gaan maken.'
Privacy als ontwerpcriterium. Het klinkt wel goed. Maar vooralsnog valt niet te verwachten dat iedereen zich volledig elektronisch in de samenleving zal gaan bewegen, voorzien van de chipkaart. En er zijn institutionele barrières: veel registraties komen voort uit wettelijke maatregelen die in de samenleving rechtszekerheid bieden. Die kunnen niet zomaar overboord worden gegooid. Borking: `Ons juridische systeem kent inderdaad tal van registratieverplichtingen. Wetgeving en informatietechnologie werken registratiezucht in de hand. Maar de combinatie van beide leidt tot fricties. In de wetgeving zullen de regels ten aanzien van registratie moeten veranderen, dat zal ook wel moeten wanneer de digitale snelweg steeds belangrijker wordt.'
Borking verwacht dan ook niet dat de privacy-technologie zomaar praktijk zal worden. Er zal ook nog het nodige over de consequenties moeten worden uitgezocht. `Wat wij vooral willen bereiken is dat er een denkproces op gang komt waarbij de vanzelfsprekendheid van het verzamelen van persoonsgegevens wordt omgedraaid naar de vanzelfsprekend om dat alleen bij uiterste noodzaak te doen.'