OPINIE: Gegevensbescherming
In de kranten van januari was er veel aandacht voor gegevensbescherming. Limburg.net werd gehackt, met als gevolg dat de gegevens van 380.000 burgers openbaar werden. Aanvankelijk werd dit geminimaliseerd als zijnde oude gegevens, maar al snel werd duidelijk dat er meer aan de hand was.
Maar hoe zit het met Melle? Hoe gaat ons gemeentebestuur om met onze gegevens?
Als burger mag je ervan uitgaan dat een overheid de gegevens die zij verwerkt op een verantwoorde manier bewaart. Dit betekent dat zij te allen tijde kunnen verantwoorden wie, wat, wanneer en waarom gegevens raadpleegt. Ze houden enkel de noodzakelijke gegevens bij, omdat niet-bijgehouden data automatisch beter beveiligd is. Bovendien worden de bijgehouden gegevens geëncrypteerd bewaard, waardoor het voor eventuele hackers moeilijker wordt om toegang te krijgen tot de gegevens in geval van een inbreuk.
Om te controleren wie, wat, wanneer en waarom iemand jouw gegevens raadpleegt, heeft de overheid een handige tool ontwikkeld. Deze tool werkt echter alleen als anderen geen externe databases of documenten aanmaken met burgergegevens. Als dat wel het geval is, heeft de burger hier geen controle meer over. Helaas blijkt dat ook de gemeente zelf veel gegevens van ons bijhoudt, waar we geen controle meer over hebben.
Soms vraag ik me af of de gemeente zelf precies weet welke gegevens ze allemaal bijhoudt. Zou de gemeente te allen tijde kunnen verantwoorden wie, waarom, wanneer en welke gegevens zijn geraadpleegd? Dit geldt niet alleen voor 'die ene' centrale database, maar ook voor elk document waar privacygevoelige informatie op staat.
Houdt de gemeente niet te veel onnodige gegevens bij? We worden vaak gevraagd om ons nationaal nummer te verstrekken, maar wat gebeurt daarmee achteraf? Misschien zou de gemeente bij elke vraag naar informatie moeten nagaan of dit echt noodzakelijk is, zonder uitzonderingen. Informatie die de gemeente niet bijhoudt, kan immers ook niet worden gestolen.
Een voorbeeld (en waarom ik hierover ben gaan nadenken) is het jaarverslag van de cultuurraad. Sinds dit jaar moeten we hier ook het rijksregisternummer van de voorzitter van een vereniging vermelden. Naast het rijksregister worden ook het adres en het e-mailadres van die persoon in dit verslag vermeld. Hierdoor kunnen links worden gelegd naar andere databases en kan zelfs identiteitsfraude worden gepleegd.
Kunnen we dan ook verwachten dat de gemeente kan verantwoorden wie, wat, wanneer en waarom dat document is geraadpleegd? Kunnen we ons afvragen of het nationaal nummer daar echt moet worden vermeld? We begrijpen dat ze dat misschien wel nodig zouden kunnen hebben, maar zijn er geen betere manieren om dit op te lossen?