Vertrouwen in privacy bij overheid, niet bij bedrijfsleven

De Wetenschappelijke Raad voor het Regeringsbeleid (WRR deed met ECP-EPN een onderzoek 'Over de rolverdeling tussen overheid en burger bij het beschermen van identiteit'. Het ging om beantwoording van de vragen wat de consequenties zijn van de inzet van ict voor de relatie overheid-burger, welke tendensen zichtbaar zijn en wat de betekenis is.

Daartoe is een vragenlijst is voorgelegd aan 2.357 panelleden, van wie 1.485 personen (63 procent) de vragenlijst volledig hebben ingevuld. Het panel vormt een representatieve steekproef uit de Nederlandse bevolking, beweren de onderzoekers. De bevindingen:

1) Burgerservicenummer

69 procent van de respondenten denkt dat nu meer mensen het BSN kennen, er gemakkelijker fraude mee zal worden gepleegd. 19 procent denkt van niet en 12 procent heeft er geen mening over. Een op de drie respondenten (36 procent) denkt zelfs dat die kans op fraude groot is. 13 procent denkt dat die kans klein tot heel erg klein is.

Slechts een deel van de respondenten heeft moeite met het gebruik van het BSN door zorgverleners: minder dan 1 op de 4 vindt dat die het BSN niet mogen gebruiken.

Slechts een zeer klein deel (1-2 procent) wil het BSN gebruiken in zakelijk verkeer (videotheken, autoverhuurders enz.)

2) Vingerafdruk niet verspreiden

De vingerafdruk maakt onderdeel uit van het nieuwe paspoort. Bijna 63 procent vindt de vingerafdruk op het paspoort niet erg, 16 procent is neutraal en 19 procent is tegen.

De meningen over het gebruik van de vingerafdruk in het maatschappelijk verkeer (betalen, identificatie, klantenpassen) lopen sterk uiteen. Van de respondenten is ruim 32 procent negatief over het gebruik van de vingerafdruk in het publieke domein. 39 procent is positief en 25 procent neutraal.

Gebruik van de vingerafdruk door bedrijven stuit op weerstand:
16 procent is positief
20 procent is neutraal
61 procent is tegen

Ongeveer 1/3 van respondenten vindt dat banken vingerafdrukken mogen gaan gebruiken. Voor meer bedrijfsmatige en commerciële toepassingen zijn respondenten is 3 procent helemaal voor. Echter, maar een kleine 30 procent is geheel tegen het gebruik van de vingerafdruk.

BSN en vingerafdruk mogen aldus het merendeel van de respondenten wel worden gebruikt door belastingdienst, gemeente en zorgverleners. In mindere mate accepteren respondenten het gebruik van het BSN en de vingerafdruk door zorgverzekeraars en banken.

De conclusie van de onderzoekers luidt: "Maatschappelijk draagvlak voor het gebruik van BSN of biometrie (vingerafdruk) is dus een belangrijk aspect om rekening mee te houden, zowel voor overheden als bedrijfsleven.

3) Gebruik van gegevens op internet door de overheid

Van degenen die een profiel hebben vindt ongeveer 50 procent dat niet iedereen alle gegevens mag zien. 33 procent vindt dat iedereen die gegevens mag zien en zegt niets te verbergen te hebben. 63 procent van de respondenten is niet gevraagd omdat ze geen profiel hebben.

Van degenen die weten wat een profiel is, schaart meer dan 50 procent zich achter de stelling dat de overheid moet verplichten om profielen van minderjarigen default zo in te stellen, dat alleen vrienden en bekenden hun gegevens kunnen zien.

80 procent van de respondenten vindt dat de politie op internet naar openbare gegevens mag speuren. Bijna 60 procent vindt dat de belastingdienst mag zoeken naar openbare internetgegevens.

Van de gegevens die zijn geblokkeerd en zijn beveiligd vindt 50 procent dat de politie die mag bekijken voor opsporingsdoeleinden. Bijna 40 procent van de respondenten vindt dat de belastingdienst internetgegevens die zijn
geblokkeerd of beveiligd mag raadplegen.

50 procent vindt dat werkgevers bij sollicitatiegesprekken geen openbare data op internet mag gebruiken. Ongeveer 30 procent vindt dat uitstekend en 17 procent is neutraal.

Elektronische dossiers zijn ok

Het overgrote deel van de respondenten vindt het goed als op scholen, in ziekenhuizen en door hulpverleners dossiers worden bijgehouden over leerlingen, patiënten of kinderen.

Slechts 10 procent van de respondenten geeft expliciet aan tegen digitale registratie te zijn. Meer dan 60 procent is voor digitale registratie en digitale registratie in de gezondheidszorg vindt bijna 80 procent van de respondenten goed.

Het patiëntendossier kan op de meeste steun rekenen (73 procent eens, 10 procent oneens);
Het leerlingdossier vindt 68 procent goed, 13 procent niet;
Het kinddossier voor hulpverleners kan rekenen op bijval door 65 procent van de respondenten, 10 procent is ertegen.

Voor het Elektronisch kinddossier is 81 procent van de respondenten van mening dat hulpverleners en artsen de gegevens moeten kunnen inzien. 77 procent vindt dat ouders het moeten kunnen inzien (8 procent vindt dat ouders het niet hoeven inzien). Voor opsporing mag het door 25 procent van de respondenten gebruikt worden en door andere overheden (om bv. mishandeling op te sporen) door 49 procent.

69 procent vindt dat het leerlingdossier door docenten zelf gebruikt moet kunnen worden ingezien (30 procent door school en opleiding bij problemen,). 64 procent vindt dat de leerling zelf toegang moet hebben (14 procent vindt van niet).

74 procent vindt dat de ouders toegang moeten hebben tot het leerlingdossier. 34 procent vindt dat justitie en politie toegang moeten hebben tot dit dossier (39 procent vindt dat justitie en politie geen toegang moeten krijgen). Toegang voor overheden (30 procent) en instanties voor kinder -en jeugdbescherming (43 procent) vinden minder respondenten relevant.

Het patiëntendossier moet toegankelijk zijn voor betrokken hulpverleners en artsen (86 procent) vinden respondenten, door de patiënt zelf (82 procent). Zorgverzekeraars moeten volgens 15 procent van de respondenten toegang hebben. 28 procent vindt dat politie en justitie inzage moeten krijgen en 28 procent vindt dat andere hulpverleners en artsen inzage moeten hebben met het oog op wetenschappelijk onderzoek.

Transparantie geëist

Over gegevens die de overheid heeft opgeslagen vindt 11 procent dat ambtenaren die iets over iemand willen weten toegang moeten hebben, 20 procent vindt dat toegang tbv. verbetering dienstverlening van belang is. 70 procent vindt dat de burger zelf toegang moet krijgen en 36 procent vindt dat politie en justitie toegang moeten krijgen.

De Tweede Kamer heeft er in op aangedrongen om ook de patiënt zelf toegang te geven tot het EPD. In september 2010 heeft demissionair minister Klink dat geweigerd 'uit beveiligingsoverwegingen'.

83 procent vindt het van belang om te kunnen zien wie gegevens in het EPD raadpleegt, er iets aan toevoegt of wijzigt. 76 procent vindt het van belang om de gegevens die op mijnoverheid.nl (uwv, kadaster, rdw en gemeente) staan, kan zien. 76 procent wil de gegevens in kunnen zien die de belastingdienst heeft.

78 procent wil bezwaar kunnen aantekenen tegen gegevens in het elektronisch Kindddossier.75 procent tegen gegevens in het Elektronisch leerlingdossier, 75 procent tegen gegevens in het Elektronisch Patiëntendossier.

76 procent vindt dat ouders bezwaar moeten kunnen aantekenen tegen de gegevens die de overheid heeft geregistreerd over de eigen kinderen

83 procent van de respondenten zou de gegevens op mijnoverheid.nl, als dat kon, ook bekijken. 84 procent de gegevens die geregistreerd staan in het patiëntdossier.

Koppeling van het Elektronisch Kinddossier aan het Elektronisch Leerlingdossier vindt 38 procent van de respondenten een goed idee. 28 procent is er op tegen.

41 procent vindt het goed dat gegevens uit het EKD bewaard blijven totdat een persoon 34 jaar is geworden (de wettelijke termijn). 26 procent is het daar niet mee eens en ongeveer 22 procent is neutraal.

Conclusie: "De resultaten in de vragenlijst geven de indruk, dat respondenten geen moeite hebben met het opslaan en delen van digitale gegevens, als zij maar inzage hebben in die gegevens, en kunnen bewaken wat er met gegevens gebeurt. De positie die de Eerste Kamer heeft ingenomen wordt dus ondersteund."

Algemene conclusies

'" De stelling dat 'privacy een gepasseerd station is en dat burgers weinig meer geven om privacy wordt door de resultaten van dit onderzoek ontkracht: respondenten hebben specifieke ideeën over wie voor welk doel welke digitale gegevens mag gebruiken.

Op basis van de resultaten kan geconcludeerd worden dat burgers een strakkere regie van de overheid wensen op het gebruik van het BSN in het maatschappelijk verkeer en de vingerafdruk."

Kritiek op het onderzoek

Privacy is een onderwerp waarover meningen zeer kunnen verschillen, ook per persoon. Zo zullen personen per situatie en afhankelijk van de vraagstelling minder of meer zorgen hebben. Enquête-uitkomsten zullen fluctueren naar tijd, plaats en situatie.

De onderzoekers stelden ook vragen over het nadenken over privacy en stellen vast: "52 procent zegt dat hij of zij door de vragenlijst aan het denken is gezet." Dat is veel. Dit betekent dat de vragenlijst zelf van invloed was

De club in Tilburg die het onderzoek deed staat bekend als kritisch over privacy. Dat blijkt ook uit de volgende geformuleerde conclusie:

"Het merendeel van de respondenten vindt dat het gebruik van het BSN in het maatschappelijk verkeer aan banden moet worden gelegd: een groot deel van de respondenten heeft bijvoorbeeld moeite met het gebruik van het BSN in de zorg (onlangs geaccordeerd door de Tweede Kamer) en zorgverzekeraars."

Maar kijk je naar de cijfers, dan zie je dat een 'groot deel' gelijk staat aan 23 procent. Je kunt ook zeggen: "Beperkt deel bevolking heeft moeite met BSN in de zorg." Nog anders klinkt: "Meerderheid Nederlanders heeft geen probleem met gebruik BSN in de zorg."

Dan worden er in de uitkomsten waardeoordelen gebruikt als '35 procent 'vindt het zelfs heel erg' waar het gaat om gebruik van de vingerafdruk door bedrijven. Het woord 'zelfs' is van de onderzoekers.

Nog een: Voor meer bedrijfsmatige en commerciële toepassingen zijn respondenten 'erg huiverig'. Neutraler klinkt: 'huiverig'.

Dan de vraagstelling: het begint er mee dat het een enquete is over privacy. Dat kan al een sturing teweeg brengen. Dezelfde vragen gesteld onder de noemer 'efficiëntere overheid' of 'veiliger maatschappij' brengen al een andere context.

Dan de vraagstelling:
Denkt u dat , nu steeds meer bedrijven uw vingerafdruk kennen, ze die ook zullen gebruiken om gegevens over u naast elkaar te leggen en te gebruiken?

Denkt u dat , nu steeds meer mensen uw vingerafdruk kennen, er gemakkelijker fraude gepleegd kan worden?

Denkt u dat , nu steeds meer instanties en bedrijven uw Burger Service Nummer kennen, ze dit ook zullen gebruiken om gegevens over u naast elkaar te leggen en te vergelijken?

Denkt u dat , nu steeds meer mensen uw Burger Service Nummer kennen, er gemakkelijker fraude gepleegd kan worden?

De tussenzinnen beginnend met 'nu er...' kun je als sturend beschouwen en het is de vraag of je die tussenzin in een enquête zo moet gebruiken.

Dan de populatie: "Van de respondenten heeft 49 procent geen profiel op Hyves, Facebook of LinkedIn (maar weet wel wat het is), 15 procent heeft geen profiel en weet ook niet wat is. 36 procent heeft een profiel."

Alleen al Hyves beweert 9 miljoen Nederlandse profielen te beheren. Dat is tweederde van de bevolking. Nog diezelfde dag presenteerden ECP-EPN en de Utwente een Trendrapport 2010 waarin een veel groter gebruik van profielsites wordt genoemd. Hoe representatief is de steekproef?

Dan vindt nog een aanzienlijk percentage dat werkgevers bij sollicitaties geen openbare data van internet mogen bekijken. Dat is toch echt een gepasseerd station en heeft weinig met privacy uitstaande: openbaar is openbaar en niet privé.

Dan stellen de onderzoekers: Vaak blijkt er in onderzoek dat er een leeftijdsverschil is bij het denken over thema’s die privacy en ICT raken: de baby-boomers (55+) zijn gevoeliger dan jongere generaties. Dat verschil tussen generaties komt ook naar voren in dit onderzoek en is significant. De groep 45-plussers heeft meer moeite met het gebruik van het BSN door telefoonwinkels, videotheken en autoverhuurbedrijven.

In genoemd Trendonderzoek over internetgebruik wordt juist vastgesteld dat jongeren zich niet minder zorgen maken om privacy dan ouderen, overigens ook op grond van een enquete bij een panel. Wie moet je geloven?

Toelichting en debat

Tijdens het ECP-EPN congres sprak Corien Prins, lid van de Wetenschappelijke Raad voor het Regeringsbeleid en ook verbonden aan de Universiteit Tilburg dat het onderzoek mocht uitvoeren. De WRR publiceerde een serie onderzoeken ter voorbereiding op het WRR-Rapport iOverheid dat in februari 2011 verschijnt.

Ze constateert bezorgdheid over het burger service nummer (BSN). Prins: "Burgers vrezen voor een bredere verspreiding van BSN. Let je er zelf wel eens op hoe vaak je je BSN tegenkomt bij organisaties die niet van de overheid zijn? Het BSN sijpelt door in het private domein."

Bijna 70 procent van de respondenten denkt dat nu meer mensen het BSN kennen, er gemakkelijker fraude mee zal worden gepleegd. "Die zorg is er omdat het een uniek nummer is dat jou identificeert. Het wetsvoorstel over het gebruik van het BSN in de financiële en verzekeringssector krijgt dan ook niet veel steun."

Vingerafdruk voor zwembad

Nederlanders zijn massaal tegen het gebruik van vingerafdrukken door bedrijven, bijvoorbeeld voor toegang tot zwembaden of stadions. Slechts 16 procent van de respondenten vindt dit niet erg. "Maar qua wetgeving en regels gebeurt er op dit vlak niets", merkt Prins op. "Het bedrijfsleven mag zijn gang gaan. Overheid, daar heb je verantwoordelijkheid te nemen!"

Het grootste gevaar schuilt volgens Prins in een toekomst "waarin we alles met alles aan elkaar verbinden, óók in de private sector. Alles wordt met alles verbonden." Maar het grootste gevaar is volgens de hoogleraar: "We voeren er geen discussie over."

Totale controle is illusie

Tenzij je leeft als een kluizenaar, kom je in de loop der jaren in een heleboel databanken terecht. Die worden meer en meer aan elkaar gekoppeld. Daar moeten we ons zorgen over maken, vindt met Corien Prins ook Jacob Kohnstamm, voorzitter van het College bescherming persoonsgegevens (CBP).

"Die persoonsgegevens zijn van mij; ik zou ze moeten kunnen volgen en beheersen. Maar dat is met de moderne ict een totale illusie geworden. Al die databases ga ik niet iedere avond controleren."

Dat zei Kohnstamm tijdens het slotdebat van de track Toekomst van het Jaarcongres 2010 van ECP-EPN in het Circustheater in Scheveningen. Eerder al had Corien Prins gewezen op het gebrek aan discussie over deze koppeling van gegevens.

Kohnstamm: "Een tip aan degenen die overwegen om een buitengewoon nuttig, nieuw IT-technisch instrument te ontwerpen: geef het nooit uit handen aan de afdeling marketing! Neem de OV-chipkaart. Het CBP is in de voorfase diep in dit dossier gedoken. Uiteindelijk zijn de marketingtechnische aspecten er voor 80 of 90 procent uitgehaald. Pas daarna kwam er ruimte voor de OV-kaartchip. Het is nu geen client-volgsysteem."

Jeroen Kok, voormalig algemeen directeur van Translink, geeft toe: "Marketing learned the hard way." Momenteel is het zo dat je via de OV-chipkaart geen aanbiedingen voor bijvoorbeeld hotels krijgt, als je daar geen toestemming voor geeft, zegt hij. Het publiek tijdens deze discussie is niet overtuigd. Iemand merkt op dat mensen niet empowered zijn om keuzes te maken. "Eén klein vinkje: de meeste mensen weten dat vakje niet eens te vinden."

Kohnstamm is het ermee eens en haalt een anekdote aan om dit te illustreren. "Een bedrijf had als grap in de algemene voorbeelden opgenomen dat je, bij instemming, je 'onsterfelijke ziel' voor altijd aan dat bedrijf zou geven. En zo niet, dan zou je geld gestort krijgen. Slechts een enkeling weigerde."

Privacy inbouwen in design

De clou van het verhaal: privacy-instellingen en algemene voorwaarden zijn ondoorzichtig. "En dus moeten we de verantwoordelijkheid verleggen naar hen die bouwen aan systemen, dus de privacywaarborgen al inbouwen bij design. Anders heeft de burger altijd het nakijken. Zorg er bij de bouw van systemen voor dat aan gebruikers alleen de noodzakelijke vragen gesteld worden. En zorg dat je transparant bent. Een goede controle achteraf is ook nodig", aldus de CBP-voorzitter.

Heel veel toepassingen kun je zo bouwen, dat je niet meer komt te weten dan noodzakelijk, bevestigt Pier Nabuurs, voorzitter van de Raad van Bestuur van Kema. Bij de proef met rekeningrijden in Eindhoven in 2009 hoefde je bijvoorbeeld maar één keer per maand cijfers door te sturen voor de afrekening. Niemand hoefde te weten waar je reed en wanneer. "Maar we vinden het zo gauw zo makkelijk - omdat we de gegevens toch hebben - om ze ergens anders voor te gebruiken. En daar kan het een keer fout gaan."

*) Netkwesties deed in opdracht van ECP-EPN verslag van het Jaarcongres 2010 op 25 november jl voor de congreswebsite en een deel van de teksten is hergebruikt als onderdeel voor eigen, onafhankelijke artikelen.