Groeiende informatiehonger is groeiend probleem

Afbeelding: One dark night... van suthernsir | Licentie: CC BY-SA

Onderzoek van Rathenau laat zien dat toenemende aantal databanken in onze samenleving niet zonder risico’s is. Eén van de problemen is een gebrek aan controle door de burger.

In het rapport Databases. Over ICT-beloftes informatiehonger en digitale autonomie schrijven de onderzoekers van het Rathenau Instituut:

In de casestudies staat de architectuur – of: het ontwerp – van databases centraal. In zijn bijdrage aan deze studie over het elektronisch patiëntendossier (EPD) omschrijft Jacobs deze architectuur als “(…) de structurele organisatie van hardware, applicaties, processen en gegevensstromen, tezamen met de daarmee samenhangende organisatorische consequenties, binnen bedrijven, overheden, of binnen de samenleving in brede zin”. Deze omschrijving maakt duidelijk dat het niet alleen gaat om het technisch ontwerp van databases – het al dan niet automatisch verwijderen van gegevens na een bepaalde termijn, versleuteling van gegevens, centrale of decentrale opslag van data – maar tevens om het functioneren van de informatiesystemen binnen een bredere context. Het gaat bijvoorbeeld ook om hoe artsen omgaan met de voor het EPD vereiste controle van het burgerservicenummer van patiënten, of om de wijze waarop het inzage- en correctierecht van patiënten vorm krijgt.

Met deze studie willen we laten zien dat afhankelijk van de architectuur van een database daarmee andere doeleinden kunnen worden bewerkstelligd, maar aan het gebruik ook andere risico’s kleven. […]

Eenmaal aangelegde databases lenen zich ook gemakkelijk voor andersoortig gebruik. Doordat digitale data zich veel gemakkelijker en op grotere schaal laten verzamelen, uitwisselen en bewerken dan papieren gegevens, kost het relatief weinig moeite om een database die voor een bepaald doel is aangelegd in een later stadium ook voor een ander doel te gebruiken. […]

Naast een adequate beveiliging vormt de betrouwbaarheid van data een belangrijke voorwaarde voor een goed functioneren van databases. Als opgeslagen, uitgewisselde of bewerkte gegevens fouten bevatten, kan dat vervelende consequenties hebben voor betrokkenen. Deze fouten kunnen bijvoorbeeld een gevolg zijn van een incorrecte invoer van gegevens, identiteitsdiefstal of problemen met de interpretatie van gegevens. […]

Het EKD verzamelt van alle kinderen in de leeftijd tot 19 jaar informatie over de fysieke, cognitieve en psychosociale ontwikkeling, alsook over gezinsfactoren als gescheiden ouders, werkloosheid of psychiatrische problemen van ouders. Afhankelijk van hun score op risicofactoren worden kinderen ingedeeld in risicoprofielen. In het voorbeeld waarnaar Van der Hof verwijst, worden kinderen ingedeeld in de categorieën ‘geel’ (laag risico), ‘oranje’ (medium risico) of ‘rood’ (hoog risico). De aandacht verschuift daarmee van het individuele kind naar het type kind. Volgens Van der Hof is het gevaar van deze typering dat er een virtuele identiteit van het kind wordt gecreëerd die niet overeen hoeft te komen met de werkelijkheid. Door een samenloop van omstandigheden kan een kind ten onrechte ‘rood’ scoren en als (potentieel) probleemkind worden aangemerkt, of juist ‘geel’ scoren terwijl er wel degelijk wat aan de hand is. Met in beide gevallen ongewenste gevolgen voor het kind.

De vorige paragrafen maken duidelijk dat betrokkenen (burgers, patiënten, consumenten) er nadeel van kunnen ondervinden als er wat misgaat met de beveiliging of de betrouwbaarheid van gegevens. […]

De vraag is dan ook relevant welke mogelijkheden personen hebben om inzage te krijgen in de gegevens die over hen worden verzameld en om fouten te laten corrigeren. Volgens de Wet bescherming persoonsgegevens (WBP) hebben individuen recht op inzage in en correctie van persoonsgegevens die op hen van betrekking zijn. De casestudies laten zien dat de effectuering van deze rechten meer dan eens te wensen overlaat. Bij het elektronisch patiëntendossier en (de dikke variant van) de kilometerheffing lijkt dat goed geregeld. Maar bij het elektronisch kinddossier is het de vraag of kinderen (of hun ouders) voldoende mogelijkheden hebben om fouten in hun gegevens of profiel gecorrigeerd te krijgen.

Met behulp van op zijn of haar computer geïnstalleerde cookies kan het toetsenbord-, muis- en surfgedrag van de internetgebruiker worden vastgelegd. Daarmee kan allerlei gedetailleerde informatie over de gebruiker worden verzameld zonder dat deze dat in de gaten heeft. Het kan daarbij ook om gevoelige informatie gaan. Zo kan aan de hand van het toetsenbordgedrag het risico worden ingeschat dat iemand de ziekte van Parkinson krijgt – informatie die interessant kan zijn voor ziektekosten- of levensverzekeringsmaatschappijen.

Doordat de consument geen weet heeft van deze gegevensverzameling of van de klantenprofilering die op grond daarvan plaatsvindt, kan hij niet controleren of die gegevens wel kloppen. Hij is ook niet in staat om voor hem nadelige beslissingen die op grond van die informatie worden genomen, aan te vechten.

Ten slotte is de vraag van belang of databases datgene doen waarvoor ze bedoeld zijn. Draagt het elektronisch patiëntendossier daadwerkelijk bij aan een goed beveiligde uitwisseling van medische gegevens, waardoor onnodige medische fouten worden voorkomen? Leidt het elektronisch kinddossier totminder kindermishandeling? En draagt het Schengen Informatie Systeem bij aan een adequate bewaking van de buitengrenzen van het Schengengebied?