Privacy inleveren voor korting

Deel je persoonlijke informatie met verzekeraars in ruil voor korting op de premie? Ja, zegt 29 procent van de ondervraagden in een enquête van iBestuur. Zij waarderen de meerwaarde van een autoverzekering die korting op de premie biedt op basis van rijstijl. De resterende 71 procent lijkt daar nog niet klaar voor.

Een beperkt aantal verzekeraars biedt in Nederland een rijstijlverzekering. Zij beloven 10 tot 35 procent korting op de premie basis van gemeten rijgedrag. Sommige verzekeraars bieden een app aan waarmee het rijgedrag wordt gemeten op basis van gps en G-kracht. Een app kan meten waar je rijdt, hoe hard je rijdt en of je remt of optrekt. De meeste verzekeraars meten het rijgedrag op basis van een stekker die je in de auto plugt. De stekker registreert continu gereden routes, locatie en rijstijl. De stekker registreert het remmen en optrekken, zonder de oorzaak te kennen. Hard remmen of plotseling uitwijken wordt dus beschouwd als slecht rijgedrag, ook al is dat om een ongeluk te voorkomen.

De ANWB biedt een rijstijlverzekering in combinatie met een ANWB-lidmaatschap. Een stick in de auto meet het rijgedrag op basis van snelheid ten opzichte van toegestane snelheid, optrekken en het nemen van bochten. Via een app krijgt de bestuurder feedback over het rijgedrag. Dit moet de bestuurder stimuleren veilig(er) te rijden. De ANWB zegt een bijdrage te willen leveren aan bevordering van de veiligheid in het verkeer. De verzamelde data wordt enkel voor dat doel gebruikt en niet gedeeld met de politie of ander bevoegd gezag, tenzij dit wettelijk wordt afgedwongen of in het geval van vermoedens van fraude.

Onderzoeksbureau GfK deed onderzoek naar de houding van automobilisten ten aanzien van rijstijlpolissen. Daaruit blijkt dat één op de drie  automobilisten met een rijstijlverzekering zegt veiliger te zijn gaan rijden nadat zij de verzekering hebben afgesloten. Hier staat tegenover dat 38 procent het rijgedrag, ondanks de rijgedragmonitoring, niet heeft aangepast. Opvallend is dat meer dan de helft het ziet zitten om hun rijgedrag te laten opnemen in een voor verzekeraars openbare database, mits hier voldoende beloning tegenover staat. Privacy lijkt daarmee voor de consument een minder groot probleem dan vaak wordt gedacht.

GfK verwacht een zeer sterke groei in rijstijlpolissen binnen de markt voor autoverzekeringen. In 2020 laat 25 procent van de autorijders zich volgen in ruil voor beloning, verwacht het bureau. In het Verenigd Koninkrijk hebben momenteel al bijna 1 op de 10 van de nieuwe verzekerden een rijstijlverzekering. Met name onder jongeren is de verzekering populair. Jonge autorijders beschikken nog niet over veel rijervaring en veroorzaken relatief veel schade. Zij betalen nu meer dan gemiddeld voor een autoverzekering. Een rijstijlverzekering is daarom voor jongeren een aantrekkelijke optie om de premie te drukken.

Consumenten delen nu al massaal persoonlijke data in ruil voor korting en service. Bijna de helft van de Nederlanders lijkt bereid om informatie over hun gezondheid te delen met hun zorgverzekeraar in ruil voor korting. Nu al delen we op grote schaal gegevens als gewicht, bloeddruk, aantal slaapuren of het aantal stappen via gezondheidsapps, slimme armbanden of horloges. Als de verzekeraars hun aanbod van rijstijlverzekeringen afstemmen op beloning voor de klant dan zullen de meeste autorijders bereid zijn om hun rijgedragdata te delen.

De volledige uitkomsten van de enquête zijn hier terug te vinden.

AVG in de praktijk

Sinds 25 mei van dit jaar is de Algemene Verordening Gegevensbescherming van kracht. Dankzij de nieuwe EU privacywetgeving hebben klanten recht op hun eigen persoonsgegevens. Door het recht van inzage, correctie en wissen van onze gegevens is onze privacy beter beschermd en staan wij sterker in het digitale tijdperk. Dat is mooi in theorie, maar werkt het ook in de praktijk? Ik besloot een aantal organisaties aan te schrijven om de werking van de AVG uit te testen en mijn privacyrecht uit te oefenen. Ik koos zes organisaties uit in een mix van profit en non-profit en soorten verzoeken.

Zo ben ik benieuwd wat mijn gemeente allemaal over mij registreert. Ik ontvang nooit post van mijn gemeente, maar vier jaar geleden werd ik verrast door een persoonlijke gemeentebrief die opende met: “U bent met pensioen, of u gaat binnenkort met pensioen …” Het was een oproep om mij aan te melden voor vrijwilligerswerk. Nu ben ik natuurlijk wel nieuwsgierig wat de trigger was voor het versturen van die brief, want mijn geboortejaar kan die aanleiding niet zijn. Ook ben ik nieuwsgierig wat milieuorganisaties als Greenpeace en Natuurmonumenten van mij weten. Ik ontvang namelijk regelmatig gerichte steunverzoeken die aansluiten bij mijn belangstelling.

Van bedrijven als Coolblue en Vodafone vraag ik correctie van mijn persoonsgegevens. Ik sta bij beide onder meerdere klantnummers ingeschreven. Bij Coolblue zie ik dan niet de volledige historie van mijn inkopen in het online portaal. Vodafone heeft mijn telefoongebruik na systeemconversie overgeheveld naar een nieuw klantnummer. Na het inloggen op MijnVodafone moet telkens de overbodige handeling verrichten door het selecteren van het actieve klantnummer. Het ergert mij bovendien al jaren dat mijn naam foutief is gespeld en dat ik dat niet kan wijzigen.

Van de Goede Doelen Loterijen vraag ik mijn persoonsgegevens in al hun registraties te wissen. Dit geldt niet alleen voor mijn goed gespelde naam, maar ook van alle verbasteringen van mijn naam en ‘de bewoners van dit adres’. Vijf jaar geleden heeft de organisatie mijn persoonsgegevens verkregen in ruil voor korting op museumtoegangskaarten. Sindsdien word ik overspoeld door ongewenste (spam) reclame en lukt mij – ondanks vele verzoeken en toezeggingen – niet om daarvan verschoond te blijven. Vorig jaar kwam er nog een groot datalek aan het licht bij de Goede Doelen Loterijen. Van 450.000 spelers waren persoonsgegevens inzichtelijk. Ik ben er niet gerust op dat mijn gegevens daar in goede handen zijn, ook al ben ik nooit kansspelspeler geweest.

Ik bezoek de websites van de organisaties voor het raadplegen van hun privacybeleid. Alle organisaties verklaren veel waarde te hechten aan de privacy van hun klanten. Zij beschikken ook over een toegankelijk privacyverklaring. Alleen bij Greenpeace stuit ik op een onaangename verrassing, met een verklaring dat zij hun privacyreglement kunnen aanpassen en daarbij verwijzen naar de link van de meest actuele versie op https://www.greenpeace.nl/privacy Maar die website resulteert in een privacyfout. ‘Je verbinding is niet privé. Cybercriminelen proberen mogelijk je gegevens van www.greenpeace.nl te stelen’ meldt mijn Google browser. De procedure voor het uitoefenen van  mijn privacyrecht is bij alle andere organisaties wel betrouwbaar beschreven.

Ik zie er van af naar Greenpeace een inzageverzoek te sturen. Bij mijn gemeente dien ik eenvoudig een inzageverzoek in via de gemeentewebsite met behulp van DigiD. De overige organisaties stuur ik een schriftelijk verzoek. In mijn brieven voeg ik een kopie van mijn paspoort, waarbij ik de onderste regel weg lak. Ik maak daarbij gebruik van de voorbeeldbrieven van de Autoriteit Persoonsgegevens. Aan Natuurmonumenten stuur ik een inzageverzoek. Correctieverzoeken stuur ik naar Vodafone en Coolblue. Een verzoek voor het wissen van mijn persoonsgegevens stuur ik naar de Goede Doelen Loterijen. Ik verzoek de organisaties binnen een maand schriftelijk te reageren op mijn verzoek.

Met uitzondering van mijn gemeente antwoorden de organisaties snel, zelfs binnen twee weken. Ik ontvang de volgende reacties (in volgorde van ontvangst), waarbij ik tevens mijn oordeel en tevredenheid van de afhandeling vermeld.

Natuurmonumenten
Ik ontvang een uitgebreide en persoonlijke brief over registratie van mijn persoonsgegevens en het gebruik daarvan. Natuurmonumenten motiveert helder de reden van gebruik en toepassing van profilering.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 10
Coolblue
Ik ontvang een mail waarin de uitvoering van mijn correctieverzoek wordt bevestigd. Mijn persoonsgegevens waren tweemaal in het systeem opgenomen. De klantgegevens zijn samengevoegd. Een vermeld klantnummer geassocieerd met mijn Coolblueaccount is nu mijn hoofdaccount.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 9
Vodafone
Ik ontvang een mail van donotreply@vodafone met de mededeling: ‘Ik heb dit voor u aangepast’. Bij raadplegen van de website blijkt het inactieve klantnummer nog aanwezig, zij het daar mijn naam correct is gewijzigd. De weergave van mijn naam in het actieve klantnummer is nog ongewijzigd incorrect.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 2 (betreft specifiek afhandeling klantenservice)
Goede Doelen Loterijen
Ik ontvang een brief waarin de verwerking van mijn verzoek wordt bevestigd. Zij hebben mij opgenomen in de recht van verzet registers. Wel moet ik dan nog rekening houden met een overgangsperiode van 4 weken voor voorgedrukte post. Dat antwoord ontvang ik nu al vijf jaar in antwoord op mijn klachten. De Loterij gaat niet in op mijn verzoek om mijn persoonsgegevens te wissen evenals bij alle organisaties waarmee zij mijn gegevens hebben gedeeld.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Nee
NPS: 0
Mijn gemeente
Na enige tijd ontvang ik een brief van mijn gemeente waarin mijn vragen volledig, maar technisch (‘uw gegevens zijn intern opgenomen in de Makelaar en de Nedbrowser’), zijn beantwoord. In twee bijlagen worden respectievelijk de verwerkte persoonlijke gegevens uit de Basisregistratie Personen en de instanties waaraan de gegevens zijn verstrekt weergegeven. De lange lijst van instanties bestaat uit overheidsorganisaties, (pensioen)verzekeraars en de kerk.
Transparatie privacybeleid: goed
Verzoek opgevolgd: Ja
NPS: 8

Coolblue, mijn gemeente en Natuurmonumenten hebben mijn verzoek serieus genomen en ook goed beantwoord, maar verder stelt het resultaat van mijn onderzoek mij teleur. Vodafone en de Loterijen gaan niet in op mijn verzoek. Greenpeace moet ik waarschuwen voor hun onveilige website. Het lijkt er op dat veel organisaties de AVG nog zien als bedreiging die met een juridische beschermingswal op afstand moet worden gehouden. De privacyverklaring zit goed in elkaar, maar de klant komt op de tweede plaats.

Behoorlijk goede privacy

In 2016 kreeg de politie via Canada een bestand met 3,6 miljoen berichten in handen. Die berichten waren via 40.000 smartphones met pgp-versleuteling verstuurd. De politie wist de encryptie ongedaan te maken en kreeg zo inzicht in de communicatie binnen een crimineel netwerk. De rechtbank stond de ontsleutelde berichten vervolgens toe als bewijs in een rechtszaak tegen een crimineel. Verwacht mag worden dat het Openbaar Ministerie in de toekomst vaker berichten uit pgp-telefoons zal gaan gebruiken als bewijs tegen criminelen. De jacht op encryptiesleutels is geopend.

Tot twee jaar terug waren online berichtendiensten zoals Whatsapp een belangrijke bron voor politie en inlichtingendiensten. Via chatapplicaties konden zij veel te weten komen over activiteiten van criminelen en terroristen. Na de onthullingen van Snowden hebben technologiebedrijven hun diensten beveiligd met end-to-end encryptie. Dit heeft de veiligheidsdiensten de mogelijkheid ontnomen om het berichtenverkeer af te luisteren.

AIVD-baas Bertholee pleitte vergeefs voor een achterdeurtje voor de veiligheidsdiensten om de versleuteling te kunnen omzeilen. De FBI ving bot bij Apple bij verkrijgen van toegang tot de iPhone 5C van de San Benardino-schutter. Een externe partij moest er aan te pas komen om het apparaat te hacken. De Russische geheime dienst FSB eiste vrijgave van de encryptiesleutels van Telegram. Telegram weigerde dit te doen met als argument dat daardoor de privacy van gebruikers zou worden geschonden. De Russische autoriteiten blokkeerden vervolgens het gebruik van de chatapp in het hele land. Tussen de 10 en 15 miljoen gebruikers in Rusland kunnen de dienst nu niet goed meer gebruiken.

Door de versleuteling van berichten van chatapps is het voor de veiligheidsdiensten moeilijker geworden inzicht te krijgen in de communicatie van terroristen. Na inwerkingtreding van de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) kan de AIVD nu wel met kabelgebonden interceptie inzicht krijgen in de metadata over de communicatie. Ze kunnen zien wie met wie praat, zonder de inhoud van die communicatie zien. Het levert bijvoorbeeld informatie over gebruikte nummers of IP-adressen, de start- en eindtijd van de communicatie en gebruikte communicatiemiddelen.

Voor informatie over de inhoud van de berichten moeten de veiligheidsdiensten door de beveiliging heen zien te breken. De Wiv biedt hiertoe uitgebreide hackbevoegdheid om binnen te dringen op apparatuur en netwerken. Daarbij moeten de diensten veelal gebruik maken van onbekende kwetsbaarheden in de beveiliging. Die kwetsbaarheden hoeven de diensten niet te melden aan de leveranciers en ontwikkelaars van software en apparaten. Het geheim houden van die informatie vergroot de kans op uitlekken daarvan en gebruik door buitenlandse inlichtingendiensten en cybercriminelen. Bedrijfsgegevens en privégegevens kunnen daardoor in verkeerde handen vallen. Dit is schadelijk voor economische veiligheid en privacy van burgers. Schade die mogelijk terrorismedreiging kan overstijgen. PGP-versleuteling staat voor Pretty Good Privacy. Die beveiliging biedt inmiddels geen volledige garantie.

Orwells 1984 nabij

Systemen die onze gezichten herkennen, dat was tot voor kort ondenkbaar. Sinds de komst van deep learning algoritmen kunnen computers gezichten soms al beter herkennen dan mensen dat kunnen. Gezichtsherkenningstechnologie biedt allerlei praktische nieuwe toepassingen. We kunnen ons in de toekomst identificeren met ons gezicht en daardoor afscheid nemen van vele irritante wachtwoorden en pincodes. Het roept ook vragen op ten aanzien van onze privacy, omdat wij voortaan overal gevolgd kunnen worden.

De artificiële intelligentie voor gezichtsherkenning is afgelopen jaren steeds verder geperfectioneerd op basis van patroonherkenning van miljarden foto’s die op het web aanwezig zijn. Facebook is de absolute uitblinker in het herkennen van gezichten. Het bedrijf beschikt over een database met 1,4 miljard gescande gezichten, gekoppeld aan hun werkelijke identiteit. Facebook zegt de identiteit van personen op basis van foto’s in 97 procent van de gevallen correct te kunnen voorspellen. Op basis van hun zogenaamde Deepface technologie claimt Facebook zelfs mensen te kunnen herkennen zonder dat hun gezicht op de foto staat.

Artificiële intelligentie is tot veel meer in staat dan het vaststellen van de juiste identiteit. Op basis een foto kan zelfs redelijk nauwkeurig de seksuele geaardheid worden ingeschat. Het aflezen van emoties op basis van gelaatsuitdrukking op een foto behoort al langer tot de mogelijkheden. Op basis van camerabeelden kunnen gedragingen van voorbijgangers tot in het kleinste  detail worden geanalyseerd. Tegen die achtergrond is het opmerkelijk dat Facebook foto’s beschouwt als publiekelijk beschikbare informatie die niet onder de privacy settings valt. Een onderzoek van Radar wees uit dat 61,1% van de ondervraagden gezichtsherkenning van sociale media niet op prijs stelt. Die meerderheid zou de daad bij het woord kunnen voegen door het aanpassen van hun privacy settings of het verwijderen van hun account.

De politie zet met succes gezichtsherkenning in voor het opsporen van verdachten. Informatie van beveiligingscamera’s, mobiele telefoons, pinautomaten en sociale media wordt gekoppeld aan een strafrechtdatabase met gezichten van personen die ooit een strafbaar feit hebben gepleegd. Vorig jaar heeft de politie bijna honderd verdachten geïdentificeerd met nieuwe gezichtsherkenningssoftware. Op termijn wil de politie met real-time gezichtsherkenning gaan werken. Daardoor kan een voortvluchtige terrorist makkelijker worden opgespoord. Real-time gezichtsherkenning opent ook de weg naar de mogelijkheid om mensen die bijvoorbeeld nog een boete hebben uitstaan automatisch te herkennen in de openbare ruimte.

In China is dat al lang geen toekomstmuziek meer. Ruben Terlou laat in de serie ‘door het hart van China’ zien hoe in miljoenenstad Shenzhen gezichtsherkenning wordt toegepast voor signalering van voetgangers die door rood lopen. Als ze door rood lopen dan worden ze geflitst. Worden ze vijf keer geflitst dan wordt hun identiteit opgezocht in de bevolkingsdatabase en komen ze op een zwarte lijst. Als ze een huis of een auto willen kopen krijgen ze geen lening meer. Dat is onderdeel van het plan van president Xi Jinping dat voorziet in een sociaal kredietsysteem voor iedere burger in China. In de plannen van de partij gaat het er niet alleen om of je door rood loopt. Ook het online gedrag telt mee: wat je op internet of in e-mails zegt en wat je leest of kijkt. Je betaalgedrag, waar je bent, wanneer en met wie. Alles wordt geregistreerd en opgeslagen door de staat. Met een slechte score kom je op een zwarte lijst en dan kun je het helemaal vergeten in China. Ruben Terlou ontlokt een Chinees politicus de uitspraak dat Orwells 1984 nabij is.

iOverheid kent geen grenzen

ioverheid_figuur

Het iBestuur congres had dit jaar het ambitieuze thema ‘iOntwerp voor een slimmer Nederland’. Minister Plasterk opende het congres. Voordat hij het spiekbriefje uit zijn zak toverde om de digitale wapenfeiten van de overheid op te sommen moest hem nog iets van het hart. Was het nou EE-Overheid of IE-Overheid? Of misschien in het Engels AAI-Overheid? Verwarrend is dat wel. Waar komt die ‘i’ eigenlijk vandaan?

Vijf jaar geleden schreef de Wetenschappelijke Raad voor het Regeringsbeleid (WRR)  het rapport ‘iOverheid’. De Raad verlegt daarin de blik van de applicaties die de overheid ontwikkelt naar de informatiestromen. Die informatiestromen banen zich een weg binnen en tussen de verschillende overheden, over de grenzen van de beleidsterreinen heen en over de grenzen van publieke en private organisaties. Dat is de wereld van de informatie-overheid, die vergaande veranderingen in de relatie tussen overheden en burgers met zich meebrengen. Daardoor nemen ook de kwetsbaarheden toe, zowel voor de burgers als voor de overheid zelf.

“Op gebieden als veiligheid en zorg worden systemen ingezet en gekoppeld om de toekomst in kaart te brengen en daarop alvast te anticiperen. Zo moet de Verwijsindex Risicojongeren ‘een nieuw Maasmeisje’ voorkomen, dienen Europese migratiedatabanken te garanderen dat zich geen nieuwe illegalen in Nederland vestigen en zijn opsporingsdatabanken en grensoverschrijdend uitgewisselde passagiers- en bankgegevens er om de wereld te vrijwaren van een nieuwe terroristische aanslag.” schrijft Raad in haar rapport. “Wie er van overtuigd is dat de inzet van technologie alleen maar van invloed is op vooropgestelde doelen als het verhogen van efficiëntie en het verbeteren van de veiligheid, heeft weinig oog voor, minder wenselijke, bijeffecten.” Omdat initiatieven ad hoc worden genomen ontbreekt regie en is de ontwikkeling van de ‘iOverheid’ onbegrensd.

De onderzoekers van de WRR wijzen op de gevaren, die onschuldige burgers diep kunnen raken. Als voorbeeld wordt de zaak-Kowsoleea genoemd. Als onschuldige burger werd Ron Kowsoleea dertien jaar lang verward met een gevaarlijke drugscrimineel, nadat hij het slachtoffer was geworden van identiteitsfraude. Zijn gegevens waren overal opgeslagen en die bleken moeilijk te corrigeren. Daardoor kreeg hij ten onterechte een strafblad. Hij werd hij geregistreerd als ongewenst vreemdeling en ondervond problemen met reizen vanaf Schiphol. Voor het oog van zijn kinderen werd hij met veel machtsvertoon gearresteerd. De Nationale Ombudsman oordeelde vernietigend over het onvermogen van de overheid om de gegevens te corrigeren.

Het onbeperkt vasthouden en koppelen van informatie heeft zijn schaduwkanten. Burgers kunnen zich daardoor moeilijk aan hun eigen verleden onttrekken. Aglaia Bouma gebruikt dit thema in haar roman ‘Niets te verbergen’. Hoofdpersoon van het boek is prostituee Maud. Zij probeert te overleven in een Nederland van de nabije toekomst waarbij alle persoonlijke gegevens zijn opgeslagen in een zogenaamd ‘Elektronisch Burgerdossier’. Maud heeft daar geen problemen mee. Zij heeft immers niets te verbergen en dus ook niets te vrezen. Zij doet achteloos afstand van haar privacy in ruil voor meer gemak en veiligheid. Maud belandt uiteindelijk in een nachtmerrie waarin de registraties zich tegen haar keren. Een wereld van ongebreidelde informatievergaring maakt uiteindelijk van iedereen een verdachte.

De WRR adviseerde het kabinet een ‘iAutoriteit’ in te stellen. Deze organisatie met vergaande bevoegdheden zou burgers, die verstrikt zijn geraakt in de digitale informatiehuishouding van de overheid, bij moeten staan. Daarnaast zou een ‘Permanente Commissie voor de iOverheid’ het parlement jaarlijks moeten rapporteren en adviseren over de ontwikkeling van de ‘vernetwerkte overheid’. Tegelijk zou een iPlatform burgers inzicht moeten verschaffen over de informatie die de overheid over hen verzamelt, wie daar toegang toe krijgen en waarvoor. Het WRR-rapport werd alom geprezen. Raadslid Corien Prins werd in 2011, vanwege haar bijdrage aan het rapport, onderscheiden met de ICT Personality Award. De iAutoriteit, de Permanente Commissie voor de iOverheid en het iPlatform kwamen er niet. Ondertussen blijft de wereld van verbonden systemen en informatieprocessen groeien. Het WRR-rapport ligt nu te verstoffen in een bureaula. Wat bleef is de ‘i’ in iOverheid. Het is de erfenis van een gedegen visie op een digitaliserende overheid.

Digitale hooiberg

speldhooiberg

Nieuwe wetgeving moet het mogelijk maken dat geheime diensten ongericht toegang krijgen tot internetkabels. Volgens Edward Snowden maakt Nederland daardoor de weg vrij naar massale opslag van telecommunicatie, inclusief het delen ervan met buitenlandse inlichtingendiensten. ‘Nederlandse diensten worden niet gerespecteerd vanwege hun mogelijkheden, maar vanwege de vrije doorgang die ze bieden’ zegt hij in een interview met de Volkskrant. Hij vraagt zich af wat het nut is van het vergaren van communicatie van onschuldige mensen.

Snowden wijst er ook op dat dat het aantal afgeluisterde telefoongesprekken in ons land niet in verhouding staat met het realistische dreigingsbeeld. Nederland zou aan kop gaan bij het afluisteren van telefoongesprekken en daarbij privacyregels negeren. Nederland hanteert een wettelijke bewaarplicht voor internetproviders en telefonie-operators van gegevens over internet- en telefoongebruik van zes tot twaalf maanden. Deze gegevens kunnen door Justitie worden gebruikt bij het handhaven van de wet en voor het bestrijden van terrorisme. Hierbij gaat het om gerichte toegang tot gegevens van verdachte personen. Daar bovenop zijn nieuwe voorstellen in de maak die inlichtingendiensten ongerichte toegang verschaft tot internetkabels. Daardoor krijgen de diensten zonder tussenkomst van providers communicatiegegevens in handen. Een volgend doelwit zou dan de Amsterdam Internet Exchange kunnen zijn. Dit is het knooppunt van honderden providers, waaronder Google en Facebook.

Voor het speuren naar een handjevol criminelen worden de persoonlijk gegevens van miljoenen mensen bewaard en geanalyseerd. De onschuldige burger moet er dan maar op vertrouwen dat de overheid, maar vooral ook toekomstige machthebbers, hun privacy waarborgen. De overheid maakt zich ook kwetsbaar voor diefstal van persoonlijke gegevens. De rechtspositie van de burger is in het geding doordat de ICT zich sneller ontwikkelt dan de regelgeving. Jacob Kohnstamm, voorzitter van het college bescherming persoonsgegevens, roept in het fd op onze privacyprincipes te respecteren: ‘Wees transparant over de data die je verzamelt en gebruikt (transparantie), gebruik data niet voor een ander doel dan waarvoor je deze hebt verzameld (doelbinding) en gebruik niet meer data dan noodzakelijk voor het doel (dataminimalisatie).’

Een voorbeeld van het negeren van de privacyprincipes is de kentekenregistratie op snelwegen. Bij snelwegen worden steeds meer vaste en mobiele camera’s geplaatst. Rijkswaterstaat plaatst deze camera’s om de files beter te kunnen bestrijden. De gegevens worden echter ook gebruikt door de politie om wanbetalers, zwartrijders of voortvluchtige criminelen op te sporen. Rijkswaterstaat geeft toe dat de gegevens op verzoek ook aan politie en justitie worden vertrekt. Op die manier kunnen ook de gegevens van onschuldige burgers in de politiebestanden terechtkomen als potentiële daders. Een relatief kleine verschuiving van gebruik van gegevens kan dus al snel vervallen in een onrechtmatige inbreuk op de persoonlijke levenssfeer.

Ook als de overheid over veel data beschikt kan het misgaan. De aanslagplegers op de Charlie Hebdo-redactie waren bekenden van de Franse geheime diensten. Een van de broers zou in Jemen zelfs een terroristische training hebben gevolgd bij Al-Qaeda. De broers stonden op de Amerikaanse lijst van ongewenste personen. Toch konden de zij hun gruwelijke aanslag voorbereiden en uitvoeren. Volgens Snowden heeft nog niemand aangetoond dat massale opslag van gegevens aanslagen kan voorkomen. Het opsporen van criminelen vergt organisatie en intelligentie met respect voor de privacy van de gewone burger. Op dit moment creëert de overheid digitale hooibergen om er later een speld uit te halen.