Niet legitieme dataverwerking overheid leidt telkens tot reparatiewet-reflex

NietBij de rijksoverheid doet zich een opmerkelijk fenomeen voor. Zodra het werkveld of een controlerende instantie een niet legitieme dataverzameling en/of dataverwerking vaststelt, schiet de overheid in de reparatiewet-reflex. Men vraagt zich dan niet af of men met de onderhavige wetgeving eigenlijk wel op de juiste weg bewandelt. In plaats daarvan volhardt men in het eigen gelijk en probeert de desbetreffende minister een reparatiewetje te maken om de dataverzameling/-verwerking toch een wettelijke grondslag te geven. Vaak leidt dat tot opnieuw tot broddelwerk. Ik schreef over dit fenomeen de afgelopen vijf jaar al meerdere keren(A ,B ,C ,D ,E ,F  ,G ). Afgelopen week zag ik het weer gebeuren toen minister Schouten (armoedebestrijding, participatie en pensioenen) vallend onder het ministerie van sociale zaken en werkgelegenheid een brief aan de Tweede Kamer stuurde. Die was een reactie op een brief van het Adviescollege ICT-Toetsing over het programma Verbetering Uitwisseling Matchingsgegevens(VUM).

Waar gaat het over?

De ambtsvoorganger van Carola Schouten had over het VUM-programma advies aangevraagd bij het  Adviescollege ICT-Toetsing, de opvolger van het Bureau ICT-Toetsing. Met het VUM-programma wil het ministerie de gegevens van werkzoekenden in de “kaartenbakken” van UWV en gemeenten “transparant” maken. De nadruk ligt op elektronische gegevensdeling en niet op applicatiedeling. Het Adviescollege ICT-Toetsing zag een aantal grote problemen in de opzet van het VUM-programma.

  1. De bedachte oplossing is onvoldoende voor mensen met grote afstand tot de arbeidsmarkt, .
  2. De uitwerking Uitwisselprogramma Matchingsgegevens(UM) is kwetsbaar op informatiebeveiliging en gegevenslogistiek,
  3. Het programma schiet tekort in het ontwerpproces en het financieel management.
  4. De ontwikkelingen rondom VUM zijn onvoldoende op elkaar afgestemd.

Ten aanzien van punt 2 stelt het Adviescollege dat persoonlijke gegevens gedeeld worden met private partijen(bemiddelingsbureaus) zonder tussenkomst van de werkzoekende. Het Adviescollege komt dan ook met ingrijpende wijzigingsvoorstellen.

Adviescollege ziet de bui al hangen

Zeer subtiel laat het Adviescollege weten dat ze door heeft dat het ministerie van SZW voornemens is dit te regelen met een wetswijzigingstraject. Met de bedoeling om met dit wetsontwerp een wettelijke grondslag te creëren om de data toch te kunnen delen met voornoemde private partijen.

Het Adviescollege zag geen goede reden waarom in het ontwerp geen tussenstap is voorzien waarin een werkzoekende kan aangeven dat na (een gepseudonimiseerde) match diens contactgegevens voor de betreffende vacature mogen worden gedeeld. Dus heel simpel met toestemming van de betrokken burger en zonder gekunsteld “herstel” via een wetswijziging.

De minister

Daarna is het aardig om de reactie van de minister te zien. Ze zegt de adviezen van het Adviescollege serieus te nemen en de punten met alle betrokken partijen op te pakken. Maar wat schrijft ze vervolgens?

“Om boven twijfel te verheffen dat het delen van persoonsgegevens met private partijen rechtmatig is, acht ik een wettelijke grondslag in de Wet SUWI nodig. Hiervoor is een wetswijzigingsproces in voorbereiding. Onderdeel hiervan is het uitvoeren van een Data Protection Impact Assessment (DPIA). De ontwerpregeling zal ik t.z.t. voor advies voorleggen aan de Autoriteit Persoonsgegevens (AP).”

In de Kamerbrief rept de minister nergens over het vragen van toestemming aan de betrokken burger voor het delen van de data met private partijen. Als de minister advies straks vraagt aan de AP zal die ongetwijfeld stellen dat het in het kader van subsidiariteit(=kan het ook met een onsje minder) een wetswijziging te grof geschut is als het met toestemming vragen simpeler kan.

Nog even dit

Het adviescollege vermeldt trouwens zeer uitgebreid dat het de uitwerking van het VUM-programma  kwetsbaar acht op informatiebeveiliging en gegevenslogistiek. Men komt daarbij tot vijf punten. In de eerste plaats vindt men het ontwerp onvoldoende mogelijkheden heeft de privacy te borgen Ten tweede vindt men dat de gegevens weliswaar versleuteld worden verstuurd, maar wanneer

contactgegevens worden gedeeld zijn deze leesbaar voor UM. Dit maakt UM een aantrekkelijk doelwit voor hackers. In de derde plaats bestaat er kans op unfaire en niet-transparante selectie door in het programma gebruikte algoritme. De huidige opzet van UM werkt in de hand dat er een algoritme wordt geïmplementeerd waardoor profielen van sommige mensen heel vaak worden gedeeld en die van andere mensen zelden. Ten vierde maken tekortkomingen van UM een extra applicatie nodig en ten vijfde zorgt het programma voor onnodig veel berichtenverkeer.

Dit zie ik als niet bepaald malse kritiek op een voorgelegde regeling.

Hardnekkig vasthouden aan ingeslagen weg

Wat je eigenlijk elke keer ziet als een ministerie een wetswijziging voorstelt om een rechtsgrond te maken voor iets wat men niet legitiem doet of wil gaan doen, is de reflex van het grijpen naar een creëren van die rechtsgrond. Niet de vraag “Doen we het wel op de juiste manier?” of “Kan hetzelfde eigenlijk niet ook op een andere, minder ingrijpende wijze?’.

De grondgedachte achter het vasthouden aan de ingeslagen weg is mijns inziens de misperceptie van gezichtsverlies als men een regeling om privacy-redenen ingrijpen zou moeten aanpassen. De angst voor gezichtsverlies bepaalt overigens veel overheidshandelen.

W.J.  Jongejan, 12 augustus 2022

Afbeelding van Alexas_Fotos via Pixabay