ICT: Leren, lekken en loeren

Het regent de laatste tijd berichten over problemen met de automatisering van de overheid. Ik plukte een boeketje en laat u er uw oordeel over vormen. Ruik er maar niet aan, want sommige bloempjes stinken een beetje.

Inlichtingenbureau

Ik begin met plukken bij een Stichting met de nietszeggende naam “Inlichtingenbureau”. Tot voor kort had niemand ooit gehoord van het inlichtingenbureau. De laatste weken kwam daar verandering in. Dankzij de vasthoudendheid van wethouder Rosalie van Rijn van Wijdemeren. Zij besloot dat de gemeente vast houdt aan de eis inzake “boodschappengate”. Daarbij deelde zij mee dat Wijdemeren getipt was door het Inlichtingenbureau over het feit dat de bijstandsgerechtigde dame, tegen wie de rechtszaak loopt, ook over een auto en een motor beschikte. Gepreciseerd zelfs een auto en een motor “uit het hogere segment”.

Ik ga even niet in op de kwestie zelf, maar stel vast dat met deze mededeling van de Wijdemeerse wethouder een doos van Pandora werd geopend inzake dat Inlichtingenbureau. Bijna niemand wist dat het bestond of wat het deed. Nu wel! Ook goed ingevoerde Kamerleden en andere ingewijden lieten weten dat ze er nog nooit van gehoord hadden. Hier en daar kwam er enige toelichting op de taak van de stichting Inlichtingenbureau. In de Groene Amsterdammer werd in een flink artikel het reilen en zeilen van het Inlichtingenbureau (IB) belicht. Ook de kwestie in Wijdemeren krijgt flink aandacht in De Groene.

Het IB is in 2001 opgericht door de Ver. Ned. Gemeenten (VNG) en het ministerie van Soc. Zaken en Werkgelegenheid (SZW). Het IB is bewust ondergebracht in een stichting opdat de afstand er voor zorgt dat kamervragen, WOB verzoeken en ander democratisch ongemak het IB niet kan deren bij het werk. Dat werk bestaat uit het bijeenharken van zoveel mogelijk gegevens over uitkeringsgerechtigden, zowel uit overheidsbestanden als uit andere bronnen.

Een citaat uit het artikel in De Groene:

“Het Inlichtingenbureau, waar zo’n 75 mensen werken, is al in 2001 opgericht door het ministerie van Sociale Zaken en Werkgelegenheid (SZW) en de Vereniging van Nederlandse Gemeenten (VNG) met als doel bijstandsfraude op te sporen. Ook Divosa, de vereniging van directeuren van Sociale Diensten, is erbij aangesloten. Het zogenaamde informatieknooppunt koppelt digitale databestanden van sociale diensten aan die van andere overheidsinstanties, zoals die van het UWV, de Belastingdienst, de Dienst Uitvoering Onderwijs (DUO), de Dienst Justitiële Inrichtingen (DJI) en de Rijksdienst voor het Wegverkeer (RDW). Heeft u een uitkering en koopt u een Mercedes? Dan gaat hier in dit bureau in Utrecht een ‘signaal’ af en dat wordt naar uw gemeente gestuurd. Ook als u zich inschrijft voor een studie, geld krijgt uit een erfenis, in de gevangenis terechtkomt: het Inlichtingenbureau signaleert het en geeft het door. Ook zzp’ers die nu een beroep doen op een Tozo-uitkering vanwege inkomstenderving door corona worden in de databestanden van het bureau gecheckt.”

Doodeng

Het IB roept gemeenten op om hun bestanden op te sturen om de inhoud van die gegevens tegen alle bij elkaar geharkte data aan te houden en als dank de gemeenten te laten weten wie er verdacht is en waarvan. Het resultaat? Een tip dat u een auto heeft, dat u een erfenisje ontving, dat uw studieschuld is toegenomen en dat u bovendien bij Vreeland geflitst bent omdat u 70 km/u reed. Voor de gemeente voldoende aanleiding om de Sociale recherche op u af te sturen en uw bankafschriften en uw keukenkastje uit te vlooien.
Dat kan. Het kan ook nog terecht zijn. Hoe dan ook het is geprogrammeerd  wantrouwen van de overheid tegen alle burgers.

U bent pas echt de pineut als er een tikfoutje in uw Burger Service Nummer werd gemaakt en al die tips gaan niet over u. Bewijs dat maar eens. Klagen bij de gemeente lijkt nogal zinloos, want de tips kwamen van het IB. Het IB haalde de informatie bij vijf of tien andere gegevensbronnen, maar is niet aanspreekbaar. En er is geen democratische controle op de Stichting. Om er nog maar van te zwijgen als de gegevens met een zelflerend algoritme verfijnd zijn. (De waarschijnlijkheid dat een Loosdrechter fraudeert is groter dan een Berger heeft het systeem zich zelf geleerd.  Dus het systeem tipt meer over Loosdrechters. Voor alle duidelijkheid dit voorbeeld is volstrekt fictief, want we weten allemaal dat dit onzin is. Of andersom? 🤢 Voor u boos wordt.)

Over algoritmen gesproken

Nog een bloempje in ons ruikertje. De Rekenkamer waarschuwde vandaag in Computable voor het ongebreidelde en ongecontroleerde gebruik van algoritmen, omdat daar ongemerkt discriminatie in kan sluipen. (Over Loosdrechters vs. Bergers. 😀) De Rekenkamer vreest dat zelflerende algoritmen ongemerkt discriminerend kunnen zijn. Het gevaar daarvan is dat ambtenaren zich kunnen gaan verschuilen achter de resultaten die de computer op het scherm laat zien.

Ook de Autoriteit Persoonsgegevens (AP) is kritisch op de inzet van algoritmen en het werk van het IB. De Belastingdienst werd bij de afdeling Toeslagen op de vingers getikt. En niet zo lang geleden werd een fraudebestrijdingssysteem (Syri, Systeem Risico Indicatie) op last van de rechter uit de lucht gehaald omdat de impact op het leven van burgers te groot werd geacht. Overigens heeft de AP een zodanig personeelstekort dat er wel geblaft wordt tegen de Belastingdienst, maar er niet doorgebeten werd tot nu toe.

Testen, Prikken en Lekken

Nog een bloempje in onze ruiker. Ik zag gisteren minister Hugo de Jonge in debat met Maarten Hijink (SP) over het enorme datalek bij de GGD dat Daniël Verlaan van RTL had ontdekt en gemeld. Zelden zag ik in een debat twee mensen zo volstrekt langs elkaar heen praten. De Jonge betoogde dat iedere GGD medewerker toegang moest hebben tot alle gegevens van alle contacten van de GGD. De getallen weet ik niet meer, maar het kwam erop neer dat pakweg 1000 GGD’ers de gegevens van 100.000 geteste personen moeten kunnen bekijken. En ja, er waren twee medewerkers die niet alleen keken, maar ook die gegevens verkochten. Inclusief BSN, naam, adres, emailadres, telefoonnummer, en medische gegevens. De Jonge had er vertrouwen in dat de booswichten snel gestopt waren en er dus niets meer aan de hand is.

De verbijstering over dit antwoord  was van het gezicht van Maarten Hijink af te lezen. Welke garantie werd hier gegeven? Geen! Wie zegt dat er niet meer booswichten zijn die hetzelfde doen? Werd het systeem aangepast. Veiliger gemaakt? Dat bleek niet uit het antwoord van de minister.
Wie zijn dat allemaal die in het systeem kunnen? Hebben die een geheimhouding ondertekend? En technisch?
Ik noem maar wat. Single sign-on? Loggen wie naar wat keek? Regionaal opknippen van de database opdat Maastricht niet bij de gegevens uit Groningen kan! Permissies uitdelen die horen bij bepaalde functies.

Het werd pas echt eng toen de minister het had over koppelingen met patiënt volgsystemen van huisartsen en ziekenhuizen. Ik hoop dat hij zich daarin echt ernstig vergiste.

Nagekomen bericht 28-1-2021: Lek in GGD systeem al driekwart jaar bekend.

Sluizen en Bruggen

Een toefje groen en water om ons boeketje af te maken. Waternet. Op 2 november schreef ik over een artikel in Follow the Money (FTM) over de belabberde beveiliging van de computersystemen van Waternet. In dat artikel werd beschreven dat de computers en netwerken van Waternet niet door een beveiligingstest waren gekomen. Sterker nog ze waren simpel te hacken. Als ik dat lees krijg ik een visioen hoe Russen, Chinezen, Amerikanen of script kiddies op hun zolderkamertje, de Zanderijsluis met een hack open zetten, waarna de Spiegelplas zich vult met Vechtwater. Een onaangenaam idee.

Tijd voor een minister van Informatie, Computers en Telecommunicatie?

Rik Jungmann