• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202, 06-34339533, signal +31684065516, info@burojansen.nl (pgp)
    Steun Buro Jansen & Janssen. Word donateur, NL43 ASNB 0856 9868 52 of NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.
  • Publicaties

  • Europa

  • Politieklachten

  • Privacynormen bij de koppeling van computerbestanden

    Uit: I&I nummer 20, 2002
    Door: Jan A.G.M. van Dijk

    Overheidsdiensten zijn in de greep van een ware koppelingsrage. Fraudebestrijding, identificatie van illegalen en controle op de uitvoering van ingewikkelde regelgeving vormen motieven om steeds meer computerbestanden met persoonsgegevens met elkaar te verge lijken. De acceptatie in de publieke opinie lijkt toe te nemen. Een artikel met concrete voorstellen om niettemin paal en perk aan deze praktijk te stellen.

    Nog maar enkele jaren geleden leek men in Ne- derland niet veel te voelen voor een persoonsnummer en een identificatieplicht. Bij de automatisering van bestanden met persoonsgege vens werd een mogelijke bedreiging van de privacy als belangrijk minpunt beschouwd. Uit opiniepei lingen, onder meer van de Stichting Waakzaamheid Persoonsregistraties ( 1989) en de Stuurgroep Voorlichting Persoonsregistraties ( 1991), kwam naar voren dat de Nederlandse bevolking privacy als een belangrijk goed beschouwde en dat een meerderheid zich zorgen maakte over misbruik van persoonsgegevens. Inmiddels werd een algemeen persoonsnummer feitelijk ingevoerd op een wijze die nauwelijks sluipend genoemd kan worden. Het fiscaal nummer werd nog stilaan verbon den met het nummer sociale zekerheid. Het sofi-nummer heeft zich vervolgens in een snel tempo ontwikkeld tot een feitelijk algemeen persoonsnummer, zelfs voor de burgerlijke stand. Het wordt immers gebruikt in de Gemeentelijke Basis Administratie ( gba) en het prijkt op de vng-identificatiekaart. Onlangs werd tevens een beperkte identificatieplicht ingevoerd. Beperkt tot een aan tal sferen die een dagelijkse realiteit zijn voor de meeste Nederlanders, zoals het werk en het openbaar vervoer. Een koppeling van bestanden met persoonsgegevens op de schaal die zich nu aandient zou enkele jaren geleden nog hebben geleid tot een Big -Brother-syndroom.

    Normvervaging
    Juist op het moment dat het menens wordt, en koppelingen technisch en economisch gerealiseerd kunnen worden, blijkt er een sterke normvervaging op te treden. Steeds gemakkelijker wordt het grondwettelijk gegarandeerde privacyrecht ter zijde gelegd als een vaag, onwerkbaar of idealistisch beginsel. Degenen die het verdedigen worden er van beschuldigd achterhoedegevechten te voeren. Zij zouden discussies uit de jaren zeventig oprake len, zoals die rond de Volkstelling (S. van Driel, directeur van de Haagse Sociale Dienst, in het tv -programma nova van 5 maart 1993). Sommigen zien niet in wat de koppeling van bestanden met ‘alleen maar’ namen, adressen en nummers met een mogelijke aantasting van de persoonlijke le venssfeer te maken heeft.

    De koppelingsrage bij de overheidsdiensten is op gang gebracht door een beleidswijziging bij de bestrijding van fraude in de sociale zekerheid. In een politiek klimaat waarin de plichten van de burger sterker dan voorheen benadrukt worden heeft de bestrijding van fraude met uitkeringen een veel hogere prioriteit gekregen. De aanleiding werd gevormd door alarmerende resultaten van onderzoek naar de omvang van fraude in de bij stand. Met het koppelen van gegevensbestanden op het gebied van belastingen en sociale zekerheid kan men tamelijk gemakkelijk de zogenoemde witte fraude (geregistreerde dubbele inkomens en premies of bijverdiensten) opsporen. Deze aanpak lijkt op de warme steun van de publieke opinie te kunnen rekenen. Bij andere koppelingsacties heeft deze echter zijn twijfels. Het voorstel van het cda-kamerlid Doelman-Pel om de sociale diensten inzage te geven in de bestanden van de Rijksdienst voor het Wegverkeer, teneinde bijstandtrekkers met grote auto’s op te sporen, vonden velen bij voorbeeld te ver gaan. Weinigen zijn evenwel in staat om uit te leggen waarom de eerstgenoemde koppelingen wel zouden mogen en de laatstgenoemde niet. Er is geen reden om aan te nemen dat het ‘privacybewustzijn’ van de Nederlanders in korte tijd drastische wijzigingen heeft ondergaan. Het probleem is veeleer dat de normen en grenzen in de praktijk niet duidelijk genoeg zijn. In een behoudender wordend politiek klimaat en in een situatie waarin ambtenaren steeds nadrukkelijker aangesproken worden op hun plicht de wet uit te voeren, efficiënt te werken en te bezuinigen is het hemd (de dagelijkse ambtelijke praktijk) nader dan de rok (algemene rechten van de burger). Zonder een betere en duidelijkere regulering is een verdere normvervaging in de praktijk dan ook onvermijdelijk. In dit artikel worden een aantal voor stellen voor zo’n regulering gedaan.

    Spinnen in het Net
    De fiscus en de sociale diensten zijn de grote voor trekkers bij het gebruik van het alomvattende netwerk dat momenteel tussen de overheidsdiensten geweven wordt. De verbinding van hun bestanden via het sofi-nummer is de belangrijkste bij het opsporen van witte fraude. Er werd speciale software ontwikkeld om de sociale diensten in staat te stel len allerlei grove of juist fijnmazige controles te verrichten en automatisch schriftelijke verzoeken om nadere informatie aan werkgevers te versturen. Mainframe-computers zijn niet nodig. Deze software is geschikt voor pc’s, al of niet geschakeld in een netwerk.

    Ondertussen wordt er vlijtig doorgeweven. In en vanuit de sfeer van de sociale zekerheid worden verbindingen gelegd met de bestanden van de Sociale Verzekeringsbank, de gak-en, de bedrijfsverenigingen, ministeries zoals vrom (controle huursubsidie) en gemeenten (bevolkingsadministratie). Talrijke diensten, instellingen en bedrijven staan in de rij: de arbeidsbureaus, de pensioenfondsen, de ziekenfondsen, de ziekenhuizen, het Centraal Bureau Inschrijvingen (hoger onderwijs) en de Informatiseringsbank (studietoelagen), om slechts de belangrijkste te noemen. De grens met de private sector wordt zonder bedenkingen overschreden. De bestanden van de fiscus worden in toenemende mate gekoppeld aan de sociaal- fiscale bestanden van bedrijven en de registraties van betaalde rente bij de banken.

    In het meervoudige web van netwerken dat hier bij gespannen wordt zullen twee grote ‘spinnen’ het belangrijkste werk gaan verrichten. De fiscus en de gba worden de belangrijkste centra bij het uitwisselen van persoonsgegevens. De eerste in stantie primair als vrager en de tweede vooral als aanbieder en doorgever van informatie. De fiscus beschikt over de meest uitgebreide collectie van persoonsgegevens van de Nederlandse bevolking. Deze collectie wordt steeds verder geautomatiseerd. De fiscus heeft een ijzersterke juridische ba sis als zij deze gegevens wil toetsen of uitbreiden bij de bestanden van zowel publieke als private or ganisaties. De gba wordt de centrale instantie voor het opvragen en toetsen van gegevens uit de burgerlijke stand (naam, adres en andere elementaire persoonsgegevens). Wat de overheidsdiensten betreft is er geen enkel beletsel. Dit kan gebeuren volgens wettelijk voorschrift. Binnen de voorwaarden van de Wet Persoonsregistraties ( wpr) mag de gba echter ook gegevens verstrekken aan organisa ties met publiekrechtelijke taken (bijv. in onderwijs en gezondheidszorg) en nonprofit-organisaties zoals kerkgenootschappen. Er gaan zelfs stemmen op om ‘slechts’ namen, adressen en nummers nog breder te verstrekken. Daarmee zou de gba zich op de uiterst lucratieve markt van de adressenhandel en de informatiebanken begeven.

    Dit complexe web van netwerken met zijn vele grote en kleine ‘spinnen’ illustreert dat er niet één potentiële Big Brother aan het werk is, maar vele Little Brothers. Stuk voor stuk zeggen zij met de beste bedoelingen te opereren. De meeste zelfs vol gens wettelijk voorschrift. Op dit moment althans. Men hoeft echter weinig fantasie te hebben om te beseffen dat deze infrastructuur de gelegenheid biedt voor uiteenlopende doelstellingen die een bedreiging kunnen vormen voor de privacy, vooral de zogenoemde informationele privacy: het recht van de geregistreerde om zelf te kunnen bepalen wanneer, hoe en in welke mate informatie over hem/haar wordt doorgegeven aan anderen.

    Tegen het ongebreideld koppelen van bestanden met persoonsgegevens is in de publieke opinie naast het ‘privacy-argument’ een aantal andere ar gumenten op het gebied van informatiebeleid ingebracht. Deze argumenten zijn vervolgens weer bestreden door ambtenaren, politici en andere betrokkenen. Het is belangrijk om deze discussie weer te geven voordat in dit artikel concrete oplos singen voorgesteld worden.

    Technische Oplossing 
    Het eerste argument luidt dat het koppelen van bestanden ter uitvoering en controle van wettelijke voorschriften een ‘gemakkelijke’ technische oplossing is voor complexe problemen van organisatie en regulering. Om het voorbeeld van fraude te ne men: deze wordt blijkbaar niet in de eerste plaats aangepakt door vereenvoudiging van regelgeving en stroomlijning van de betrokken instanties. De ingewikkelde wetgeving met zijn ontelbare uitzon deringsbepalingen en situaties van betrokkenen lokt overtredingen en een veelvoud van controles uit. Het probleem wordt dus niet bij de kop aangepakt, maar bij de staart. Dit argument kan op een brede instemming rekenen. De betrokken ambtenaren en politici roepen echter onmiddellijk dat men al zo lang, en zonder succes, bezig is met vereenvoudiging van regelgeving. Resultaten kunnen nog vele jaren op zich laten wachten. Onder tussen dient de bestaande wet gehandhaafd te worden. Deze tegenwerping legt sterk de nadruk op wetshandhaving en de plichten van de burger. Zijn (privacy)rechten moeten het bij deze urgentie meestal afleggen.

    Kosten en Baten 
    In een tweede argument wordt gesteld dat de baten overschat worden. De opbrengst van fraudebestrijding, bijvoorbeeld, wordt in bepaalde bezuini gingsoperaties bij voorbaat ingeboekt. De betreffende bedragen zijn meestal niet meer dan een slag in de lucht. Degelijke en realistische kosten-baten analyses zijn dan niet gemaakt. De hoogste schattingen van fraude zijn genomen. De volledige be dragen van de betreffende uitkeringen worden doorgerekend. De hoge kosten van de noodzakelij ke verificatie van treffers bij de vergelijking van bestanden in nader onderzoek (zie hierna) worden niet of onvoldoende meegenomen. Dit argument wordt snel door de praktijk in het gelijk gesteld. Een sterke repliek is evenwel dat de belangrijkste opbrengst gezocht moet worden bij preventie. Als burgers weten dat hun gegevens gekoppeld wor den zullen zij het voortaan wel nalaten te frauderen. Inderdaad moet dit als de belangrijkste, hoe wel nauwelijks te berekenen opbrengst van de koppelingen op dit terrein beschouwd worden. Een aantal tegenwerpingen is echter op zijn plaats. De eerste houdt in dat dit preventieve effect leidt tot een versterking van de zwarte circuits. In het geval van fraude in de sociale zekerheid worden wel minder uitkeringen betaald maar er worden ook minder sociale premies geïnd. De overheid mag haar winst uittellen. Het probleem is dat burgers en organisaties, zowel goedwillende als slecht willende, zich gaan instellen op het bestaan van koppelingen. Degenen onder hen met de meeste middelen, technische vaardigheden en kennis van zaken zullen desgewenst ontsnappingsmogelijkhe den genoeg vinden. Dit leidt tot een vergroting van de sociale ongelijkheid. Dit is terug te vinden in het argument dat de bestaande koppelingen eerder gericht worden op de gemakkelijk te vangen individuele belastingbetalers en vooral uitkerings gerechtigden dan op de organisaties en constructies van allerlei ondernemers. Een tweede repliek op het preventie-argument is dat dit effect het ge voel van alom aanwezig toezicht door een grotendeels anonieme overheid versterkt. Het is buiten gewoon twijfelachtig of dit het normbesef van de burger zal verhogen. Een bekende redenering is dat een overheid die aantoont de wet te kunnen handhaven op gezag kan rekenen. Hiervoor is ech ter beargumenteerd dat de kansen hierop gering zijn door de complexiteit van regelgeving, de juri dische, technische en andere praktische problemen bij handhaving en de zichtbare, sociaal ongelijk verdeelde effecten. Een deel van de burgers zal strategieën van verzet en ontduiking (blijven) ont wikkelen. Een ander deel zal berusten. Ook bij dit laatste deel zal het vertrouwen in ‘de politiek’ er niet groter op worden. Met alle gevolgen vandien voor een democratie die het moet hebben van actief participerende burgers.

    Technische Problemen
    Een derde reeks van argumenten gaat over de technische problemen bij koppelingen. De belang rijkste hiervan is de vervuiling van de afzonderlijke bestanden die gekoppeld worden. Het resultaat kan een vermenigvuldiging van registratiefouten zijn. Van een verdubbeling kan al sprake zijn als we uit gaan van de eenvoudigste en meest voorkomende vorm van koppeling: de vergelijking van twee computerbestanden, ook wel ‘matching’ genoemd. Als een van beide bestanden een fout bevat bij een bepaald geval is het resultaat van de koppeling bij dit geval reeds onjuist. Als dit geval in beide be standen verkeerd geregistreerd staat is het resultaat niet alleen geheel onjuist, maar is de fout ook on herstelbaar. Een treffend voorbeeld is de opsporing vorig jaar van de namen van de bewoners van de bij een vliegramp verwoeste flats in de Bijlmer meer. Een koppeling van diverse bestanden produceerde een lijst van 1588 namen, vele malen hoger dan het werkelijke aantal. Het geautomatiseerde Amsterdamse bevolkingsregister leverde een van de betere bestanden. De vervuiling van dit bestand werd geschat op ongeveer tien procent. Een zelfde percentage werd in een experiment van het Minis terie van Justitie gevonden bij de fiscus. De som van fouten bij hun koppeling ter vergelijking zou dus twintig procent bedragen (verminderd met de dubbele fouten). Een eerste tegenwerping op deze constatering is dat koppelingen de betrokken registratiehouders zullen stimuleren tot opschoning van de bestanden. Een tweede luidt dat de beste bestanden, met name degene die de burgers zelf voortdurend actualiseren omdat zij hier direct belang bij hebben, zoals de registratie van de Open bare Nutsbedrijven, als uitgangspunt genomen kunnen worden. Een laatste repliek zou kunnen luiden dat elke treffer bij de vergelijking van be standen toch op juistheid gecontroleerd moet worden.

    Bij de eerste tegenwerping vergeet men dat in de praktijk de verleiding groot is om een koppeling op grote schaal vooraf te laten gaan aan een op schoning om deze vervolgens te beperken tot de treffers en de rest te laten zitten. De tweede repliek wijst op bestanden met relatief weinig bruikbare persoonsgegevens, zelfs als het gaat om de identifi catie van de daadwerkelijke bewoners. De derde duidt op een laatste principieel argument dat te gen ongelimiteerde koppelingen is ingebracht.

    Verificatie en Conclusies
    Voordat er conclusies worden getrokken uit een vergelijking van gegevensbestanden, en zeker voor dat er maatregelen worden genomen, dient een zorgvuldige, bijzonder arbeidsintensieve en dus dure verificatieprocedure plaats te vinden. De kri tiek luidt dat dit in Nederland momenteel onvol doende gebeurt. Dat er snel conclusies worden ge trokken is hiervoor reeds vermeld (hoge schattingen van fraude na een eerste peiling en evenzo hoog geschatte opbrengsten van bestrijding). Het trekken van deze conclusies kan echter ook de aan leiding zijn tot het zetten van stappen voordat de verificatieprocedure is afgerond. Treffers bij de vergelijking van bestanden worden dan bijvoorbeeld geïnterpreteerd als een gegrond vermoeden van het bestaan van fraude. Dit heeft een aantal sociale diensten er toe aangezet om bepaalde uitke ringen tot nader orde stop te zetten. Bij bezwaren van de betreffende cliënten wordt de bewijslast fei telijk omgekeerd. Niet de dienst, maar de cliënt moet dan op korte termijn komen bewijzen dat ‘het’ niet klopt. De reacties op dit onrecht zijn van tweeërlei aard. Sommigen zeggen dat dit niet zou moeten voorkomen of dat er voor een gegrond vermoeden andere gegevens dan de geautomati seerde beschikbaar moeten zijn. Anderen willen de omkering van de bewijslast juist versterken als principe in de fraudebestrijding.

    Uit de stand van zaken bij de zojuist geschetste discussiepunten blijkt dat talrijke problemen bij de koppeling van computerbestanden nog om een oplossing vragen. Zijn bepaalde koppelingen nu wel of niet toegestaan? Onder welke voorwaarden mogen houders de gegevens van hun geregistreerden aan derden verstrekken? Welke voorzorgen en procedures moeten in acht genomen worden? Voor een antwoord op deze, en andere vragen is een aanvulling en verdieping van de bestaande meer formele en meer inhoudelijke privacynormen noodzakelijk. De volgende wegen hiertoe zullen in de rest van dit artikel aangegeven worden:
    a een aanpassing van de WPR;
    b het opstellen van gedragscodes en het uitwerken van technische procedures door de koppelende instanties; en
    c een voortzetting van de maatschappelijke discus sie over de afweging van privacynormen en andere wettelijke beginselen.

    De WPR en Koppelingen
    Ofschoon de WPR ontworpen werd om de praktijk van geautomatiseerde, gestructureerde bestanden van persoonsgegevens te reguleren, is zij nauwelijks bestand tegen de ontwikkelingen in de mo derne netwerktechnologie. De term ‘koppeling’ komt in de wet niet eens voor. De uitwisseling en vergelijking van computerbestanden wordt eenvoudigweg gerekend tot het verstrekken van gege vens aan derden. De meest elementaire begrippen van de WPR, zoals persoonsregistratie als een samenhangende, goed af te bakenen verzameling en het begrip ‘houder’ verraden een statische opvatting van registratie. In netwerken moet registratie juist gezien worden als een dynamisch gebeuren. Gegevens worden voortdurend verzameld, herzien, eenmalig of meermalen gebruikt en uitgewisseld. De beperktheid van de wpr bij het verkrijgen van een greep op de koppeling van bestanden van ver schillende registratiehouders blijkt als we nagaan hoe een van de belangrijkste beginselen van de Wet, de doelbinding van de registratie, hierbij aan getast wordt.
    In drie algemene bepalingen van de wpr wordt dit beginsel omschreven. Een registratie wordt slechts aangelegd voor een bepaald doel; dit doel moet het belang van de houder dienen (art. 4). Een registratie moet in overeenstemming zijn met het doel waarvoor deze is aangelegd (art. 5). De opgenomen persoonsgegevens worden slechts ge bruikt voor doeleinden die verenigbaar zijn met het doel van de registratie (art. 6). Het cruciale probleem is dat bij een koppeling van computer bestanden van twee of meer zelfstandige organisaties in feite een nieuwe registratie ontstaat die te maken heeft met twee of meer houders. In veel gevallen zullen hun oorspronkelijke registraties ver schillende doelstellingen hebben. Wanneer een Sociale Dienst zijn bestand koppelt aan dat van de Rijksdienst voor het Wegverkeer ontstaat een nieuwe registratie met een doelstelling die in het belang van de ene organisatie kan zijn (in dit geval waarschijnlijk de Sociale Dienst) maar niet van de ander (de Rijksdienst). Daarmee is deze registratie automatisch niet meer beperkt tot de gegevens die deze laatste nodig heeft. Bovendien staat de Rijks dienst toe dat zijn gegevens gebruikt worden voor een ander doel dan dat van zijn eigen oorspronkelijke registratie.

    De algemene privacyrichtlijn van de eg die mo menteel in discussie en behandeling is, gelabeld als syn 287, gaat uit van een dynamischer begrip van registratie. Het werken met gegevens ( processing) wordt door deze richtlijn in het begrip opgeno men. Hiertoe rekent zij ook het verzenden, raadplegen, opzoeken en verstrekken van gegevens. De definitie van kernbegrippen, zoals persoonsregistratie en houder, is echter ongeveer dezelfde als in de wpr. Onder meer vanwege deze verbreding werd deze richtlijn zwaar bekritiseerd omdat zij onwerkbaar zou zijn.

    Vergelijk de Doelstellingen bij Koppelingen 
    Het ziet er dus naar uit dat we het voorlopig moe ten doen met de genoemde, op zichzelf beschouwd statische kernbegrippen en dat we ons moeten concentreren op een betere regulering van de praktijk ‘verstrekking aan derden’. Voor het soort koppelingen dat in dit artikel centraal staat, de vergelijking van computerbestanden van twee of meer verschillende houders met eigen doelstellingen, kan dit afdoende zijn. Helaas blijkt dan dat er op dit punt een aantal onduidelijkheiden, inconsistenties en lacunes in de wpr bestaan. Artikel 11 stelt ‘dat uit een persoonsregistratie slechts gege vens aan een derde worden verstrekt voor zover zulks voortvloeit uit het doel van de registratie, wordt vereist ingevolge een wettelijk voorschrift of geschiedt met de toestemming van de geregistreerde’. De eerste grond is onduidelijk. Wordt met het doel van de registratie het doel van de houder, de (vragende) derde of de nieuwe registra tie die ontstaat bij de verstrekking of koppeling beoogd? De Memorie van Toelichting bij dit arti kel wijst duidelijk op de eerste interpretatie. ‘Ver eist is dat het doel van de registratie medebrengt dat de betrokken verstrekking aan een derde ge schiedt.’ (Men zou kunnen denken aan de toetsing van de juistheid van bepaalde gegevens vooraf gaande aan de opname in de registratie door de houder bij een derde, de zogenoemde front-end verification.) Deze tamelijk stringente eis zou de verstrekking aan derden behoorlijk aan banden leggen. In de praktijk vormt echter de doelstelling van de registratie van een vragende instantie (‘een derde’) het uitgangspunt. De Wet (art. 13) behandelt dit voor de praktijken van organisaties die be drijfsmatig persoonsgegevens verzamelen en verstrekken, zoals informatiebureaus. In art. 13, lid 3 staat dat bij hun registraties ‘aan een derde slechts op diens verzoek gegevens worden verstrekt. Het verzoek vermeldt het doel waarvoor de gevraagde gegevens zullen worden gebruikt.’ Vervolgens wordt een aantal eisen gesteld aan het doel. In te genstelling tot art. 11 staat hier dus de doelstelling van de (vragende) derde voorop.

    Bij koppelingen tussen registraties zou de doel stelling van de nieuwe registratie die langs deze weg ontstaat het uitgangspunt moeten vormen. Deze moet vergeleken worden met de doelstellingen van de verschillende houders. Bij de evaluatie van de wpr, die vijf jaar na het van kracht worden (1 juli 1989) gemaakt moet worden, en bij de noodzakelijke aanpassing van de Wet aan de Euro pese Richtlijn, zou op zijn minst voor andere noodzakelijke wijzigingen is hier geen ruimte de tekst van de eerste grond voor verstrekking in Artikel 11 als volgt gewijzigd moeten worden: ‘voor zover zulks voortvloeit uit het doel van beide regis traties (van de houder en van de derde)’. Dit is de enige manier om het doelbindingsprincipe van de wpr in de algemene bepalingen (art. 4, 5, 6) te handhaven bij de hier besproken koppelingen. Bo vendien kunnen hier duidelijke normen voor de praktijk uit afgeleid worden.
    De koppeling van registraties in de sociale zeker heid, die voor het nakomen van hun doelstellingen moeten nagaan of er geen dubbele inkomens ontvangen worden, of te veel/te weinig premie betaald, is volkomen gerechtvaardigd. Ook een kop peling van Sociale Diensten aan de Informatiseringsbank (studietoelagen) is toelaatbaar zolang het om deze doelstelling gaat. Deze koppeling zou echter niet moeten worden toegestaan als het de doelstelling van de Sociale Dienst is om bij deze Bank of bij het Register Ingeschrevenen na te gaan of haar eigen cliënten zich voldoende beschikbaar stellen voor de arbeidsmarkt. De doelstellingen van de laatstgenoemde registraties hebben met dit doel niets te maken. Wat dit doel betreft is niet de geringste overlap aanwezig. Hetzelfde geldt natuurlijk voor de registratie van de Rijksdienst voor het Wegverkeer (zie boven). Intuïtief hebben tal rijke instanties de afgelopen tijd de juiste houding aangenomen als zij tegensputterden wanneer hen gevraagd werd, of zelfs van overheidswege opge legd werd, om hun gegevens te verstrekken of bestanden te koppelen. Vertegenwoordigers van zie kenfondsen die zeiden dat hun registratie er niet was om de Sociale Diensten (achteraf) te laten toetsen of hun cliënten ook nog ergens anders in geschreven stonden. Studievoortgangsadministraties in het hoger onderwijs die minister Ritzen in eerste instantie te kennen gaven dat het nooit hun doel was geweest om te registreren ten behoeve van studietoelagen (in het kader van de zogenoem de tempobeurs).

    Spaarzaamheid met Wettelijke Voorschriften
    De overheid kiest in deze echter steeds meer voor de weg van de minste weerstand. Het ene na het andere wettelijke voorschrift (de tweede grond uit Art. 11) wordt uitgevaardigd. De overheid heeft dit recht, maar zij zou er wel veel spaarzamer mee om moeten springen. Deze clausule kleineert keer op keer de betekenis van haar eigen wet (de wpr). Bovendien geeft de overheid hiermee een brevet van onvermogen aan haar eigen diensten en hun registraties. Blijkbaar zijn deze diensten niet in staat om zelfstandig een adequate registratie voor hun taakstelling te realiseren. Kennelijk faalt de over heid als geheel bij het opzetten van een infrastruc tuur van interne informatievoorziening die efficiënt, doorzichtig en controleerbaar is en tegelij kertijd grenzen stelt aan de persoonsgegevens die elke afzonderlijke instantie zou mogen bezitten. De beslissingen tot koppeling worden dan ook telkens ad hoc genomen.

    Een Grotere Rol voor Geregistreerden
    Een derde grond voor de verstrekking aan derden in Artikel 11, toestemming van de geregistreerde, zou ook meer praktische betekenis moeten krijgen. Om te beginnen door de verwerking in de wpr van de (hiervoor genoemde) Europese richtlijn waar deze voorschrijft dat de houder de geregistreerde op de hoogte stelt als er voor het eerst ge gevens over hem/haar doorgegeven worden. Als uitzonderingsbepaling zouden alleen de koppelingen ten behoeve van het handhaven van de open bare orde moeten gelden. Vervolgens zou de geregistreerde deze verstrekking moeten kunnen tegen gaan, behalve als er sprake is van een wettelijk voorschrift of een andere publieke noodzaak. Dit laatste naar analogie van art. 14 van de wpr waarin staat dat de geregistreerde aan o.a. direct-marketing bedrijven kan verzoeken om de verstrekking van namen, adressen e.d. achterwege te laten.

    Gedragscodes en Procedures 
    Wanneer het doelbindingsprincipe in de bovenstaande zin wordt geïnterpreteerd kunnen de be trokken koppelende organisaties duidelijke gedragscodes opstellen om een overgedetailleerde privacywetgeving te vermijden. De hoofdlijn zou als volgt kunnen zijn. Een vrager (een derde) ver zoekt aan een potentiële verstrekker (een houder) om specifieke gegevens in bepaalde bestanden. Een nauwkeurige registratie. Een belangrijk uitgangspunt van het hier gepresenteerde voorstel is immers dat verstrekkers bij koppe lingen meer zouden moeten redeneren vanuit hun eigen doelstellingen en belangen van de eigen geregistreerden dan op dit moment het geval is. Indien de beoordeling positief uitvalt en de beslissing tot verstrekking ook daadwerkelijk genomen wordt, omdat het belang of de plicht van de organisatie hiertoe noopt, worden de geregistreerden hiervan voorafgaand aan de eerste verstrekking in kennis gesteld. Behalve als zij reeds weten, of redelijker wijs zouden kunnen weten, dat hun gegevens aan bepaalde derden worden doorgegeven. Als de be oordeling en/of de beslissing negatief uitvallen meldt en beargumenteert de verstrekker dit schrif telijk aan de vragende instantie.

    De beoordeling kan ook in handen gelegd wor den van commissies van de registratiehouders (vragers en verstrekkers) die bestaan uit vertegenwoor digers van het management en de geregistreerden. Indien er een privacyreglement aanwezig is bestaan dergelijke commissies soms al in organisaties. In de Verenigde Staten zijn zij als Data Integrity Boards wettelijk voorgeschreven in de Computer Matching and Privacy Protection Act van 1988.

    Een andere taak van deze commissies is de voor lichting aan geregistreerden over hun rechten: inzagerecht, correctierecht, aanvullingsrecht en verwijderingsrecht.

    Een van de eerste beslissingen bij koppeling is het al of niet hanteren van een (persoons)nummersysteem . Een vergelijking op naam, eventueel met adres of geboortedatum, is immers ook mogelijk. In sommige gevallen kan ook op geval(snummer) vergeleken worden. De eerste keus wordt verleidelijker naarmate er een bepaald persoonsnummer breder gebruikt wordt. In Nederland geldt dit voor het sofi-nummer. Het ongebreideld hanteren van een algemeen per soonsnummer kan echter tot een nodeloze privacybedreiging leiden. Niet voor niets heeft men het in Frankrijk gelaten bij gescheiden nummersystemen voor de fiscus en de sociale zekerheid en in Duitsland bij verschillende nummers voor de sociale zekerheid en, onder meer, de ziekenfondsen. In landen als Canada en Zweden, waar al veel langer een algemeen persoonsnummer bestaat, breekt men zich nu het hoofd over de vraag hoe men er weer vanaf kan komen. Dit is een waarneming van de voorzitter van de Nederlandse registratiekamer, P. Hustinx, aangehaald door F. Kuitenbrouwer in nrc Handelsblad van 22 december 1992. Als voor elke onbenullige registratie een algemeen persoonsnummer gebruikt wordt, raakt het hek van de dam. Dit lijkt nu te gaan gebeuren met het sofi-nummer in Nederland. Een dergelijke ontwikkeling is niet nodig als de verschillende secto ren en instanties, in dit geval vooral in de publieke sfeer, hun registraties goed afbakenen, indelen en op orde brengen (zie hierna). In dat geval is het mogelijk met gescheiden nummersystemen en gevals(nummer)registraties te werken.

    Een ander belangrijk onderwerp van gedragsco des en procedures is de behandeling van de gegevens. Het betreft niet alleen beveiliging. Het gaat ook om het voortdurend specificatie van de eigen doel stelling wordt hierbij verstrekt, evenals een exacte opgave van de kenmerken (velden) waarop men de bestanden wil vergelijken. De verstrekker beoor deelt vervolgens of dit specifieke doel spoort met de doelstelling(en) van de eigen controleren en schonen van de gegevens. De vereiste technische maatregelen moeten genomen worden. Dit dient ter vermijding van de dreigende vermenigvuldiging van de vervuiling bij koppelingen. Artikel 13, lid 2 van de wpr, waarin relatief strenge eisen gesteld worden aan informatiebureaus e.d., kan als uitgangspunt genomen worden. Hier staat dat ‘de gegevens op hun juistheid moeten zijn onderzocht’.

    Een Voortgezette Maatschappelijke Discussie 
    Inhoudelijke maatstaven worden door een verbetering van de wpr, gedragscodes en procedures niet geboden. Toch is de ontwikkeling hiervan rich tinggevend voor de feitelijke beslissingen in de koppelingspraktijk. In de wpr staat herhaaldelijk de vage zinsnede ‘voorzover de persoonlijke le venssfeer van de geregistreerden hierdoor niet onevenredig wordt geschaad’. Zoals gezegd, zien velen niet in wat een vergelijking van bestanden op het voorkomen van namen, adressen en nummers met aantasting van de persoonlijke levenssfeer te maken heeft. Een tegenwerping door medewerkers van de Sociale Diensten, bijvoorbeeld, is dat zij met hun recherchewerk veel dieper ingrijpen in de privacy van hun cliënten. Inderdaad kennen wij aansprekende voorbeelden genoeg van rechercheurs die tandenborstels en autokilometerstanden tellen om na te gaan of minnaars feitelijk samenwonen. Bij deze repliek vergeet men echter dat dit laatste slechts dient te geschieden bij een gegrond vermoeden van fraude. Bij koppelingen op grote schaal worden alle cliënten op voorhand tot verdachten.

    Een Sociale Dienst zou slechts geïnteresseerd zijn in vier zaken: het reële inkomen, de vermo genspositie, het werven op de arbeidsmarkt en de leefsituatie van haar cliënten. Aldus de hiervoor aangehaalde heer Van Driel in het programma nova. Dit veronderstelt echter de beschikking over nogal wat persoonsgegevens. De grens hiervan is niet duidelijk. De verleiding bestaat dan om maar zoveel mogelijk zinvol lijkende koppelingen te realiseren. Andere overheidsdiensten en organi saties in de publieke sector hebben ondertussen weer andere, ongetwijfeld zeer nobele, meer of minder vergaande en overlappende doelstellingen. Als zij bij elkaar gegevens gaan lenen, kan elke burger, voor welke doelstelling dan ook, opgespoord worden en volledig in kaart gebracht. De vraag is dus niet alleen wat verschillende onderde len van de overheid van de burgers mogen weten, maar ook wat de overheid als geheel van haar burgers mag weten.