Commercieel CBS creëerde met microdata-analyse-faciliteit eigen kwetsbaarheid

CBSHet Centraal Bureau voor de Statistiek(CBS) verzamelt data over de Nederlandse samenleving. Het is een zelfstandig bestuursorgaan dat niet rechtstreeks onder het gezag van het ministerie van Economische Zaken en Klimaat(EZK) valt. De minister van Economische Zaken is politiek verantwoordelijk voor wetgeving, budget en de voorwaarden. De kosten van CBS worden betaald uit de rijksbegroting. Sinds enkele jaren is het CBS commercieel geworden en verricht commerciële activiteiten voor derden. Zo zeer dat het aandeel daaruit op de totale CBS-begroting tot zeker 22% was opgelopen in 2019. Zulks tot ongenoegen van een aantal brancheorganisaties. De minister van EZK beantwoordde de Kamervragen hierover bevestigend op 11 november 2019. Hij zegde toe beleidsregels en een ministeriële regeling te maken met als doel dat het CBS de belangen van marktpartijen bewuster meeweegt bij de uitvoering van zijn dienstverlening. De commerciële dienstverlening vindt o.a.  plaats d.m.v. microdata-analyses. Daarbij lijkt ook een kwetsbaarheid te zijn ontstaan.

CBS

Het CBS neemt als dataverzamelaar over burgers, bedrijven en overheid een bijzondere plaats is. Het is de enige instantie die gerechtigd is over alle Nederlanders informatie op persoonsniveau te verzamelen en te be-/verwerken. Direct na binnenkomst pseudonimiseert men de data. CBS heeft zelf de sleutel daarvan. Bij onderzoeken die het CBS entameert zijn is men meestal verplicht de vragenlijst in te vullen. Een speciale CBS-wet(dd 20-11-2003) geeft het instituut namelijk de bevoegdheid bedrijven ‘rechtstreeks en kosteloos’ hun gegevens te vragen. Op basis van die wet kan men verplicht worden mee te werken. Er kan geen ontheffing worden verleend. Is men te laat met invullen of zijn de gegevens onvolledig? Dan mag het CBS een last onder dwangsom of boete opleggen.

Wat zijn microdata?

Microdata zijn, zo zegt het CBS data op persoons-, bedrijfs- en adresniveau die onderling gekoppeld kunnen worden. Onderzoekers kunnen hiermee onder strikte voorwaarden zelf statistisch onderzoek doen. Aanvankelijk waren de statistische bureaus van Denemarken en Nederland de eerste statistiekbureaus waar onderzoekers toegang tot microdata kreeg. Nadien gingen andere landen dat ook doen. Het CBS is er in 2017 mee begonnen.

Regeling toegang tot centrale CBS-systeem

Men werkt met een systeem met Remote Access(RA) netwerk waarbij de toegang als volgt geregeld: a) een RA gebruikersnaam en/of wachtwoord; b) een bij het CBS aangemelde telefoon voor de RA SMS code; c. een door het CBS verstrekt RA token. Er zijn allerlei aanvullende bepalingen., zoals het niet mogen werken in openbare ruimte, het niet mogen gebruiken van een openbare wifi-netwerk(bijv in trein of horeca-gelegenheid), of een onbevoegd persoon in de RA-omgeving laten werken. Problematisch is dat de wijze waarop de toegang mogelijk is blijkbaar niet uitsluit dat mogelijkheden a), b) en c) daadwerkelijk kunnen plaatsvinden. Anders zouden ze niet zo expliciet vermeld staan in het maatregelenbeleid over de RA-toegang.

Geen gegevens van scherm kopiëren

In de regels voor het gebruik van de RA-faciliteit staan een paar curieuze zinnen:

“U mag de gegevens beslist niet overschrijven, fotograferen of met behulp van de functieknop ‘printscreen’ buiten de Remote Access omgeving brengen. Ook als u inhoudelijke vragen heeft over de data, mag u niets overschrijven van het scherm en naar het CBS mailen, gebruik dan de juiste exportmap.

Het betekent dat er blijkbaar data op het scherm staan die op enigerlei wijze een kwetsbaarheid vormen, dan wel niet opgeslagen mogen worden in het format waarop ze op het scherm staan. Het is mij een raadsel hoe men dat in de praktijk wenst te controleren. Een schermafdruk met een mobieltje is zo gemaakt en laat geen sporen achter. Hoopt men op klokkenluiders?

Controle achteraf

Zowel het overschrijden van bepalingen die ik in vorige twee alinea’s beschreef kan men slechts vaststellen als de overtredingen hebben plaatsgevonden. Er is geen systeemopzet die de overtredingen op voorhand onmogelijk maken.

Sancties?

Bij overtredingen denk ik meteen aan sancties in de vorm van boetes, maar als je het maatregelenbesluit leest dan gaan de sancties over het uitsluiten van verder of toekomstig onderzoek bij het CBS voor een bepaalde periode. Het komt op mij nogal mager over. Hooguit gooit een onderzoeker naast de eigen glazen ook die van zijn/haar onderzoeksinstelling in.

Terugkrabbelen

In de Kamerbrief van minister Wiebes over het te commerciële optreden van het CBS laat hij toch wel weten dat het onwenselijk is wanneer marktpartijen oneerlijke concurrentie ervaren van het CBS. Hij stelt daarom beleidsregels en een ministeriële regeling op met als doel dat het CBS de belangen van marktpartijen bewuster meeweegt bij de uitvoering van de dienstverlening. Het CBS liet in december 2019 weten dat de revolutie in dataverzameling en data-analyse de mogelijkheden voor externe onderzoekers aanzienlijk vergroot. Daardoor stijgt de vraag naar toegang sterk. Dit vergroot de risico’s, volgens het CBS, ook door de groeiende technologische mogelijkheden en de toegenomen zorg over data-spionage. Daarnaast stelt de wet (AVG) nieuwe eisen aan privacybescherming. Het CBS heeft daarom zorgen of bij de huidige werkwijze de risico’s nog beheersbaar zijn en stelt daarom een onderzoek in naar deze risico’s.

Waarom?

De vraag is waarom het CBS(en het ministerie van EZK op de achtergrond) het zover hebben laten komen. Het zijn risico’s die je op voorhand al in 2017 kon inschatten. Heeft de neiging tot commercialisatie door de zelfstandige bestuursorganen het gewonnen van het gezonde verstand?

Het blijft een vreemde kwestie hoe men het één en ander opgezet heeft.

W.J. Jongejan, 28 januari 2020.

Afbeelding van Gerd Altmann via Pixabay