Hack de Overheid!

Data Opinie

Openen, die persoonsgegevens!

Wanneer ik vertel dat de overheid, maar ook steeds vaker bedrijven, in het kader van open data enorme hoeveelheden gegevens openbaar maken die voorheen ontoegankelijk waren voor derden, raakt er soms iemand een beetje in paniek. Er liggen bij overheid en bedrijven namelijk niet alleen wegenbestanden, statistische cijfers en, niet te vergeten, talloze bomenregisters, maar ook enorm veel gegevens over personen. Veel van die gegevens zijn gevoelig, zoals reisgegevens, gedetailleerde gegevens over energiegebruik of medische informatie.

Gelukkig kan ik deze mensen eenvoudig geruststellen. De Wet Openbaarheid van Bestuur (WOB), die vaak als kader wordt gebruikt voor welke informatie als open data gepubliceerd kan worden, legt uit:

Het verstrekken van informatie ingevolge deze wet blijft achterwege voor zover dit … persoonsgegevens betreft als bedoeld in paragraaf 2 van hoofdstuk 2 van de Wet bescherming persoonsgegevens, tenzij de verstrekking kennelijk geen inbreuk op de persoonlijke levenssfeer maakt.

Bij de overheid en bij bedrijven (die ook steeds actiever worden met open data) liggen dus enorme hoeveelheden gegevens over mij, die allemaal buiten open data vallen, en niet gepubliceerd worden. En dat is jammer.

Toegang tot je eigen gegevens

Jammer? Maar is het niet juist veilig, dat al die informatie in allerlei verschillende silo’s ligt bij de overheid en het bedrijfsleven? Dat is in de praktijk nog maar de vraag. Ik weet niet altijd wie er wel en niet precies toegang heeft tot al die gegevens, maar één ding weet ik zeker: ik zelf niet.

Maar de Wet Bescherming Persoonsgegevens (WBP) heeft toch een inzagerecht? Jazeker, en dat werkt redelijk, hoewel de handhaving op de WBP in Nederland enorm tekort schiet. Ik kan een inzageverzoek sturen naar iemand die informatie over mij heeft, en na een maand krijg ik dan waarschijnlijk per post alle gegevens op papier. Maar dat voldoet niet meer aan de huidige standaard van toegankelijke gegevens: de informatie is niet actueel, niet computerleesbaar, en niet in open standaarden. Voordat de open data-beweging op gang kwam was er al de WOB waarmee veel van de huidige open data opgevraagd kon worden. Op dezelfde manier als inzage onder de WBP: met een paar weken tot paar maanden vertraging, en op papier. Dat is tegenwoordig niet meer voldoende.

Veel persoonsgegevens zijn nu al inzichtelijk op websites. Denk bijvoorbeeld aan de internetbankieren, of Mijn OV-Chipkaart. Maar ook dit is een fase die we eerder zagen bij wat nu open data is: sommige data werd ook actief aangeboden, maar op websites die zeer moeilijk computerleesbaar waren, en geen open standaarden gebruikten. De ontwikkeling die we ingezet hebben van WOB-verzoeken naar open data, en de eisen die we stellen aan goede open data, moet zich verspreiden naar alle data.

Is dat dan wel veilig?

Met persoonsgegevens ligt het echter wel iets ingewikkelder dan met gewone open data. Open data is immers open, voor iedereen, en met zo min mogelijk beperkingen. Maar persoonsgegevens willen we niet zomaar aan iedereen verstrekken. Zoals de WBP al terecht noemt: alleen met ondubbelzinnige toestemming van de persoon waar de gegevens over gaan. Ik pleit dan ook niet voor massale opening van alle persoonsgegevens. Persoonsgegevens moeten open zijn voor de persoon waar het om gaat. Die moet dan de keuze kunnen maken om deze computerleesbare en in open standaarden opgemaakte informatie, aan derden naar keuze te verstrekken. Als ik een dienst vertrouw om iets nuttigs te doen met mijn reisgegevens, moet ik de keuze krijgen om die gegevens eenvoudig aan die dienst te verstrekken.

Dat klinkt als een grote technische uitdaging. Zeker omdat we hier gradaties in aan willen brengen: ik wil dat mijn boekhoudpakket wel al mijn banktransacties kan inlezen, maar geen overschrijvingen kan doen. Maar het probleem waarbij ik sommige derden toegang wil geven tot een deel van de gegevens die bij een andere partij liggen, is helemaal niet nieuw. Wellicht heeft u weleens ergens ingelogd met uw Twitter-account, of een product van een derde toegang gegeven tot gegevens van uw Facebook-account. Dit is precies dezelfde vraag. De techniek bestaat dus al jaren, inclusief oplossingen voor gedeeltelijke toegang.

Twitter kan dit al jaren. Maar partijen met veel waardevollere data blijven achter.

Hoe gaan we dit realiseren?

De kansen wanneer ik een ander toegang kan geven tot mijn persoonsgegevens zijn eindeloos. Met mijn actuele energiegebruik zou iemand mij kunnen vertellen of mijn koelkast defect is en onnodig veel energie gebruikt. Als mijn adres daar bekend is, kan ik gelijk een advies krijgen over waar ik een nieuwe kan kopen, hoe snel ik dat terugverdien, en hoe ik van de oude koelkast af kom. Met mijn reisgedrag zou iemand mij automatisch kunnen vertellen welke kortingskaarten een besparing op zouden leveren. En zo zijn er nog veel meer voorbeelden denkbaar. Net als in open data kunnen we die niet van tevoren allemaal overzien.

RomijnCodeLarge

Hoe TLS voorkomt dat u toegang krijgt tot uw eigen gegevens. Voor u wellicht abracadabra, maar voor een programmeur technisch eenvoudig te omzeilen.

Hoewel steeds meer startups en internetondernemingen dit inzien, gaat bij veel andere organisaties de trend voorlopig de andere kant op. Elke keer als ik een nieuwe mobiele app zie die toegang geeft tot mijn persoonsgegevens ben ik verheugd, want dat betekent dat er ook een API is gemaakt, computerleesbaar en vaak met een open standaard, die gebruikt wordt door de app. Helaas heeft bijvoorbeeld Translink Systems bij hun OV-chipkaart app bewuste maatregelen genomen om te voorkomen dat ik mijn gegevens zelf kan gebruiken. Hoewel dit eenvoudig te omzeilen is, is dit nog een erg grijs juridisch gebied, en waag ik mij daar voorlopig niet aan. En in vele andere producten wordt helaas nog altijd voor dezelfde aanpak gekozen.

Echt eenvoudig is het voorlopig nog niet, om goed en veilig persoonsgegevens te openen. Maar dat was de publicatie van open data in het vroege begin ook niet. Toch zijn daar in een paar jaar enorme stappen in gezet. Ziet u hier nu de kans om als een van de eerste Nederlandse overheden of bedrijven de klant vrije toegang te geven tot zijn of haar eigen gegevens? Dan ga ik graag eens in gesprek.

The following two tabs change content below.
Erik Romijn is zelfstandig App Maker, met een brede achtergrond. Hij ontwikkelt mobiele- als webapplicaties, deels voor klanten en deels voor eigen projecten. Veel van zijn eigen projecten maken gebruik van open data, zoals Openbaar Vervoer, voor real-time OV-informatie, en Bike Like a Local, voor fietsende toeristen in Amsterdam.

Laatste berichten van Erik Romijn (toon alles)