Minister Plasterk blijft de privacybescherming van DigiD maar uitstellen

Er is opnieuw ophef ontstaan over ondermaatse privacybescherming bij de ontwikkeling van de eID, de opvolger van de huidige DigiD. De overheid ontwikkelt in samenwerking met het bedrijfsleven een nieuwe standaard voor jouw elektronische identificatie. De burger kan daarmee als het goed is ooit, als alles eindelijk gelukt is, toegang krijgen tot online dienstverlening van zowel de overheid als het bedrijfsleven.

Denk aan een inlog voor je belastingen, en… Zalando.

Natuurlijk is het belangrijk dat jouw gegevens daarbij zeer goed beveiligd zijn. Het gaat immers niet alleen om Facebookprofielfoto's maar om jouw gehele digitale identiteit, van belastinggegevens tot biometrische informatie.

Maar nu volgt een zeer grote maar: Minister Plasterk en de ontwikkelaars blijven de privacybescherming die bij zo'n project hoort maar uitstellen. Dat concludeerde althans het TNO deze week. Want als er één running gag is op het gebied van privacy en overheid, dan is het DigiD wel. De Autoriteit Persoonsgegevens bekritiseerde de beleidsmaker vorig jaar namelijk al op precies dezelfde manier. En twee weken geleden opnieuw. En de Kamer stelde er vragen over.

Het is namelijk helemaal niet duidelijk of de inloggegevens gedeeld mogen worden, wat er gedeeld mag worden en of burgers überhaupt een keuze hebben. En het wordt nog erger, want de authenticatie bij het inloggen, de opslag en het mogelijke delen van je gegevens wordt dus deels uitbesteed aan het bedrijfsleven.

In een telefonisch interview vertelt Matthijs Pontier van de Piratenpartij dat dit de zoveelste keer is dat de overheid een ICT-project te gehaast uitrolt. Ze houden daarbij nauwelijks rekening met de privacy van burgers.

Volgens Pontier wordt de regelgeving rondom Privacy by design volledig genegeerd. Volgens dit beginsel moet bij het ontwerp van een nieuwe ICT-dienst als eID vanaf het begin al worden gefocust op maatregelen die de privacy verbeteren (zoals het verwerken van zo min mogelijk persoonsgegevens), daarna op gebruiksgemak en dan pas op de rest van het product. Dus stel je maakt een webshop. Voordat je je bezig houdt met je catalogus online zetten, of online functionaliteiten creëert, moet je eerst een veilige (privé) omgeving hebben gecreeëerd voor de gebruiker.

Het is een terugkerend thema: de overheid die ICT-ontwikkelingen niet bij kan houden door een logge bestuursstructuur. En steeds weer wordt er geld uitgegeven aan nieuwe private partijen. Volgens een veilige schatting wordt er tussen de 1 en 5 miljard euro per jaar verspild aan ICT. Niet uitgegeven, maar verspild. Dat komt neer op bijna twee procent van de totale uitgaven van de overheid per jaar. En telkens dus met de terugkerende, onbehandelde ethische vraagstukken.

Ik vraag Pontier of het vanwege de slechte trackrecord van de overheid daarom niet juist goed is dat er private partijen worden aangetrokken voor dit soort projecten.

"Nee!" zegt Pontier. "Als het om overheidsdiensten gaat, is dat gewoon onacceptabel. Private partijen mogen geen beschikking hebben over de gegevens van zaken die jij met de overheid regelt."

Als marktpartijen het systeem beheren, kunnen zij hun zakelijke belangen voorop zetten. Dat schaadt niet alleen ons recht op privacy, maar zorgt er ook voor dat het systeem steeds moeilijker te controleren wordt. Het gaat om belastinggegevens, jouw digitale identiteit en biometrische gegevens. Iemand met slechte bedoelingen kan een hoop schade aanrichten.

Dus de situatie is nu als volgt: als Plasterk er niet in slaagt om voor de kerst betere privacymaatregelen te nemen, dan is er nu al een kamermeerderheid, gevormd door de VVD en de PvdA, om de pilots in januari stop te zetten. Dat lijkt een krap tijdsvak voor een probleem dat al sinds juni 2015 aan de kaak wordt gesteld, en ik zie nu al dat het tijd wordt voor een addendum aan het lijstje van gefaalde ICT-projecten.