Privacybescherming: vertrouwen of transparantie?

De media smulden van het verhaal over Barbie. Medewerkers van het HagaZiekenhuis gluurden in haar patiëntendossier om het ‘verslavingsverhaal’ achter haar ziekenhuisopname te bekijken. Gelukkig hebben we straks de AVG. Met strakke regels om onze privacy te beschermen komen dit soort privacyschendingen een stuk minder voor! Toch?

Zijn alle medewerkers betrouwbaar?

Laten we niet naïef zijn: niet alle medewerkers zijn betrouwbaar. Toch gaan we er vaak vanzelfsprekend van uit dat mensen die omgaan met privacygevoelige gegevens wel betrouwbaar zijn. Het is echter waarschijnlijker dat binnen iedere organisatie de integriteit van medewerkers statistisch normaal verdeeld is (de kromme van Gauss). Een deel is extreem integer, een ander deel is volledig niet integer en een grote groep medewerkers zit daartussenin. Deze groep gedraagt zich de grootste deel van de tijd integer, maar soms wint de ‘nieuwsgierigheid’.

Transparantie gaat boven vertrouwen!

Hoe kunnen we de Barbies van deze wereld (en dus ook onszelf) beter beschermen tegen nieuwsgierige medewerkers? Laten we daarvoor eens kijken hoe we in ons land omgaan met gegevens in bijvoorbeeld het EPD en de BRP. Dat zijn registraties met gegevens/dossiers die over mij gaan. Maar ze zijn zo ingericht dat ik helemaal niet het gevoel heb dat het mijn gegevens zijn. Het kost me moeite om ze te raadplegen. Het is complex om ze te corrigeren. En ik heb geen idee wie mijn gegevens bekijkt en wat ze er vervolgens mee doen. En dat in een tijdperk waarin dit technisch gemakkelijk te regelen moet zijn.

Regie over eigen gegevens

In Estland pakken ze dit soort zaken heel anders aan. De Estse burger heeft zelf regie over de eigen gegevens. Via de Estse variant op MijnOverheid (www.eesti.ee) heeft iedere burger inzicht in zijn of haar data. Burgers zien via die website niet alleen welke gegevens er geregistreerd zijn, maar ook wie die gegevens wanneer heeft geraadpleegd.

Controle op onrechtmatige raadpleging

Dit maakt het voor Estse burgers mogelijk vragen te stellen aan een organisatie waarvan ze vermoeden dat die om dubieuze redenen in hun gegevens heeft gekeken. Als er geen bevredigende reactie komt, kan de burger de hulp inschakelen van een centrale autoriteit. Die instantie neemt de zaak in onderzoek. Bij onrechtmatige raadpleging van de gegevens krijgt de verantwoordelijke organisatie een financiële of strafrechtelijke straf.

Een beetje meer Estland

Kunnen we in Nederland niet een beetje meer op Estland gaan lijken? Het zou namelijk prettig zijn als Barbie op haar smartphone een notificatie had gekregen dat haar dossier zo populair was binnen het HagaZiekenhuis .