Advies aan de (in)formateur (7): Data-expert Kees Verhoeven

Wie stopt de datahonger?

Oud-parlementariër Kees Verhoeven vindt dat er een minister van Digitale Zaken moet komen. De burger wordt niet alleen bedreigd door Big Tech, maar ook door zijn eigen overheid, die veel te ver gaat in het verzamelen van informatie.

Het Kamerlidmaatschap van Kees Verhoeven voerde van ­datalek naar datalek © Roger Cremers

Bijna twee jaar lang vocht Kees Verhoeven tegen drie camera’s. Ze hingen bij een Jumbo in Alphen aan den Rijn, die kort daarvoor nog door het ministerie van Justitie en Veiligheid was uitgeroepen tot veiligste winkel van Nederland – recht voor de ingang. ‘Als je de privacywet een beetje leest, dan weet je wel zeker dat dat niet mag’, zegt het oud-Kamerlid van d66. ‘Dus ik heb anderhalf jaar lang steeds tegen de minister van Rechtsbescherming gezegd: die camera’s moeten weg.’ Het was een van zijn taken als Kamerlid: signaleren dat burgerrechten werden geschonden en een minister daarop attenderen. ‘Maar ik kon als Kamerlid de Autoriteit Persoonsgegevens geen opdracht geven tot onderzoek.’

Dat de wet niet werd nageleefd vond de oud-parlementariër nog tot daar aan toe, maar dat er vervolgens niet werd ingegrepen was wel even iets anders, zegt hij in zijn zonnige tuin in Amersfoort. ‘Op een gegeven moment stonden we zelf op het punt die camera’s weg te halen.’ Het is een van de vele voorbeelden die hij die middag geeft van de surveillancedrang die hij de afgelopen twintig jaar zag toenemen.

Bijna zijn volledige tien jaar als parlementariër hamerde Verhoeven op het belang van een visie op toenemende digitalisering. In 2019 schreef hij een pamflet getiteld Digitale revolutie. ‘Ik had de afweging gemaakt dat ik uit de Kamer zou gaan, en ik wilde me nog een paar jaar vol op de inhoud richten. Ik koos voor dat pamflet omdat ik zag dat de burger van twee kanten werd bedreigd. Aan de ene kant was er de invloed van grote techbedrijven als Facebook en Google, die iedereen wel zag. Die discussie was al een tijd gaande. Wat ik er heel graag naast wilde zetten, was dat element van de controlestaat, de overheid die zelf veel informatie verzamelt. Ik wilde met name ook laten zien dat overheden waarschijnlijk op basis van goede intenties graag heel veel willen weten van mensen. Bijvoorbeeld om fraude of terrorisme tegen te gaan, of een coronavirus. Eigenlijk zijn die overheden de hele tijd bezig als overmoedige denkers die in een soort maakbaarheid geloven. Ze denken: we kunnen het met data helemaal onder controle krijgen. Dat vond ik gevaarlijk.’

Eenmaal Kamerlid af neemt Verhoeven, die nu door bedrijven en overheden is in te huren als adviseur digitalisering, tijd om een boek te schrijven over – het zal niemand verbazen – de relatie tussen digitalisering en democratie. ‘Maar dan echt vanuit de menskant, niet vanuit de technologie.’ De politiek mist hij niet, hij wil nu maatschappelijk aan de slag. ‘De impact van een politicus is groot, maar aan de andere kant: ik heb niet kunnen voorkomen dat de Wet gegevensverwerking door samenwerkingsverbanden is aangenomen.’

Deze wet, afgekort tot wgs, noemt hij een gigantische datamachine. De wet moet ervoor zorgen dat overheidsinstanties, overheidsorganen en private partijen op grote schaal gegevens van burgers met elkaar kunnen uitwisselen, zoals eerder het systeem SyRi deed, dat in 2020 pas van tafel ging door tussenkomst van de rechter. Toenmalig staatssecretaris Tamara van Ark zei: ‘Helder is in ieder geval dat het dus zo niet kan. De rechter heeft wel duidelijk gesteld dat technologie een rol kan spelen in de fraudebestrijding. We blijven dan ook bezig om nieuwe manieren van fraude aanpakken te bekijken, maar zullen bij nieuwe systemen de balans tussen fraude-opsporing en privacy beter bekijken.’

Verhoeven gelooft het niet. ‘Toen Hugo de Jonge de corona-app aankondigde zei hij ook een plichtmatig zinnetje over privacy. Toen ik Sander Dekker (demissionair minister van Rechtsbescherming – eh) vroeg waarom er niet meer geld naar de Autoriteit Persoonsgegevens ging zei hij: “Ja, nee, ik vind privacy ook hartstikke belangrijk.” In die wgs staat ook een zinnetje: “Uiteraard binnen de kaders van de privacywetgeving.” Het is een dooddoener geworden. Ze denken: “Even privacydisclaimer en dan zijn alle juristen en burgerrechtenactivisten ook weer rustig en dan kunnen we weer door.”’ Eind 2020 nam de Tweede Kamer de wgs aan.

Hij baalt er nog steeds erg van, zegt hij. ‘Mensen vergeten dat de wetten die ten grondslag liggen aan de toeslagenaffaire en SyRi dateren uit 2013. Bij SyRi heeft de Tweede Kamer zonder ernaar te kijken gewoon gezegd: “Hamerstuk. Prima.” Niemand heeft de mogelijke gevolgen ingezien, ik ook niet, ik zat toen ook al in de Kamer. Hetzelfde gebeurde met de toeslagenaffaire. Iedereen wilde een strengere fraudewet in 2013, iedereen, unaniem. Dan hoor je een paar jaar niets en dan blijken er ineens verschrikkelijke dingen te gebeuren. wgs is nog een factor tien groter dan die wetten, om niet te zeggen een factor honderd. En dat hebben wij gewoon zo even, hop, aangenomen.’

De ironie ervan is dat de wet werd aangenomen op de dag dat het rapport Ongekend onrecht uitkwam, waaruit bleek hoe groot de schade van de toeslagenaffaire was. Het was coronatijd en bijna kerstreces en alle journalisten, alle Kamerleden, iedereen keek naar dat rapport. Dat er intussen ‘nog even stiekem met stoom en kokend water een wet doorheen werd gejast’ waarmee overheden nog meer data van hun burgers kunnen uitwisselen, een van de wortels van het drama, vond Verhoeven een heel grote fout. Het is het meest bizarre moment uit zijn Kamerlidmaatschap, zegt hij nu. ‘Ongekend onrecht was het rapport in de schijnwerpers, maar we maakten op hetzelfde moment ook een ongekende blunder en die heeft niemand gezien.’

‘Dan gaat ineens de politie met camera’s rijden. Daar is die camera nooit voor bedoeld’

Advies aan de (in)formateur

Deze weken laat De Groene onafhankelijke deskundigen aan het woord. Welke stappen moeten op hun terrein in de komende vier jaar worden gezet? Wat moet er in het regeerakkoord komen?

Als je het hebt over de invloed van tech, dan kun je drie grote blokken onderscheiden, zegt Verhoeven. Er is de manier waarop de internationale verhoudingen verschuiven: hoe gaan we bijvoorbeeld om met de toenemende macht van China. Daarnaast is er de discussie over nepnieuws en grote techplatforms als Google en Facebook: de vraag wie er eigenlijk de baas moet zijn over het publieke debat. Ten slotte is er de kwestie van overheden die door data te verzamelen steeds meer te weten te komen over hun burgers, en wat ze met die informatie willen bereiken. Niet onbelangrijk: hoe goed is die informatie eigenlijk beveiligd? Op dat gebied had Verhoeven naast het meest bizarre moment uit zijn Kamerlidmaatschap ook een redelijk bizar laatste jaar. Niet alleen kwam het rapport Ongekend onrecht uit en werd de wgs aangenomen, er was ook een datalek bij de ggd, waardoor de gegevens van miljoenen op corona geteste Nederlanders op straat kwamen te liggen.

Bij het ggd-datalek, maar ook bij allerlei andere datalekken, wordt keer op keer een basale fout gemaakt, zegt Verhoeven. ‘Iedereen denkt: “Wow, hightech, dit is super complex en er is een grote technische systeemfout gemaakt.” Maar het zijn altijd menselijke organisatorische fouten. Bij het datalek bij de ggd werd gewoon niet goed gecontroleerd wie toegang had. Mensen werden gewoon omgekocht omdat ze in alle gegevens konden.’

Het zijn fouten die met simpele maatregelen voorkomen konden worden, maar het loont niet, er is geen prikkel om dat te doen, denkt Verhoeven. Bovendien: wie moet er verantwoordelijk gehouden worden? ‘Alles is op afstand gezet. Het gaat vaak over decentraliseren, maar ook automatiseren is een vorm van iets op afstand zetten. Tegenwoordig is het bijna onmogelijk om een minister aan te spreken, want het is bijna altijd een uitvoeringsinstantie die én gedecentraliseerd is én geautomatiseerd. Als Kamerlid controleer je de minister. Dus ik kan tegen Hugo de Jonge zeggen: er gaat iets mis. En die zegt dan: ja, bij 25 ggd’s gaat iets mis.’

Dat er in de controle van de uitvoering iets mis gaat staat na onder meer de toeslagenaffaire wel vast. Het is ook een van de prioriteiten in de formatie, ziet Verhoeven. ‘Maar wat ik mis aan de uitvoeringsdiscussie: daar moet ook echt de component van data in. Want “data” is een verlengstuk van wantrouwen geworden.’

Je zou denken dat de overheid niet meer zo happig is om op data te leunen, of dat er in ieder geval meer beveiliging en toezicht komt, maar het tegenovergestelde gebeurt: de datahonger groeit, dat zie je bijvoorbeeld aan de wgs. Bij de Autoriteit Persoonsgegevens, de instantie die verantwoordelijk is voor het opsporen van datalekken, werken maar 180 mensen. Een aangenomen motie om het budget te verhogen, wordt door het huidige demissionaire kabinet niet uitgevoerd. Wel doet demissionair minister van Justitie Ferdinand Grapperhaus onderzoek naar manieren om de versleuteling van onder meer WhatsApp zwakker te maken, zodat opsporingsdiensten via een achterdeur kunnen meelezen met de berichten van mensen die zij verdacht vinden.

‘De rechtsstaat is scheefgetrokken’, zegt Verhoeven, en daarmee bedoelt hij dat waarden als onschuldpresumptie er voor de overheid minder toe lijken te doen. Het begon wat hem betreft aan het begin van deze eeuw: de digitalisering nam toe, maar ook de angst voor uitholling van de verzorgingsstaat door fraudeurs en, sinds 9/11, de angst voor terrorisme. ‘Sindsdien zijn er heel veel wetten bij gekomen, wordt er gevraagd om passagiersgegevens en kentekengegevens en worden de grenzen gescreend. De Wiv, beter bekend als de sleepwet, is ook in zekere zin een voortvloeisel van 9/11. En dan is er internationaal het schandaal dat is blootgelegd door Edward Snowden.’

Maar ook het legaliteitsbeginsel, het idee dat de overheid zichzelf aan de wet moet houden en dat er dus een wettelijke basis moet zijn voor handelen, heeft te lijden gehad onder de datahonger, zegt Verhoeven. ‘Met het verregaand volgen, het onder de huid kruipen, grootschalig data verzamelen tegen burgers.’ Verhoeven noemt als voorbeeld het Inlichtingenbureau, dat rond de eeuwwisseling werd opgericht door Mark Rutte, toen nog staatssecretaris van Sociale Zaken en Werkgelegenheid. ‘Dat bureau verzamelt allerlei informatie en als ze dan het idee krijgen dat bepaalde mensen aan het frauderen zijn geven ze een signaal aan gemeenten.’

‘Discussies over cookies met Henk Kamp... die vanuit zijn Gmail staatsgeheime stukken mailde’

Het is een stijl van politiek bedrijven die volgens Verhoeven terug te voeren is naar Ruud Lubbers, de christen-democraat die van 1982 tot 1994 minister-president was. De langstzittende ooit, met op plaats 2 Mark Rutte. ‘Hij was zo’n beetje de macher, de manager. Onder Den Uyl waren er debatten, strijd en richtingendiscussies. Onder Lubbers werd het: “We gaan het zo en zo en zo doen, we hebben een coalitie, de Kamerleden moeten hun mond maar houden, Torentjesoverleg, bam.”’ Die mores van problemen oplossen in plaats van debat voeren onder het mom ‘het land moet bestuurd worden’ klinkt ook nu – demissionair premier Mark Rutte wordt zulke visieloze managementpolitiek ook verweten. ‘En als je dan ook allemaal data krijgt, ja, dan denk je: daar gaan we lekker mee aan de slag.’

Volgens Verhoeven is het een cultuur van maakbaarheid die onder Lubbers postvatte en die nu uit zijn voegen springt. ‘Kijk naar de corona-app. Die moest er te snel komen om veilig te zijn want er is een virus en we gaan het virus bestrijden. En terecht hoor, maar “data” heeft vleugels gegeven aan die wens van maakbaarheid. Dat komt vervolgens bij een uitvoeringsinstantie terecht en dan is er geen enkel kader. We moeten wat met data want we moeten problemen voorkomen, dus dan gaat zo’n ambtenaar een systeem kopen. En dan gaat ineens de politie met camera’s rondrijden en kijken of coronagedrag gemonitord kan worden. Daar is zo’n camera nooit voor bedoeld. Zulke systemen worden de hele tijd opgerekt en niemand controleert of het volgens de wet is. Niemand controleert of het doel wel wordt bereikt. Zo krijg je allerlei schendingen van de rechtsstaat en schendingen van burgerrechten.’

Verhoeven heeft nooit met een andere premier te maken gehad dan Rutte. In 2010 kwam hij in de Tweede Kamer als negende op de lijst, met de hakken over de sloot. Hij kreeg de restjesportefeuille, zoals toenmalig partijleider Alexander Pechtold die grappend noemde. Wonen, vervoer, economie. ‘Vanuit economie liep ik tegen de cookiewet aan, dat speelde toen. Ik dacht: hier is iets aan de hand, we hebben hier een debat over en niemand snapt er eigenlijk iets van. Het werd me vrij snel duidelijk dat er een aantal digitale dossiers was, die ben ik allemaal blijven doen.’

Zijn Kamerlidmaatschap voerde van datalek naar datalek: van Diginotar, het overheidssysteem dat in 2011 lek bleek, naar de ggd. ‘Diginotar, dat moesten ministers Piet Hein Donner en Ivo Opstelten, niet de meest digitaal ingevoerde figuren, toen runnen.’ Hij lacht. ‘En de discussies over cookies en expliciete toestemming moesten gevoerd worden met Henk Kamp, die later vanuit zijn Gmail staatsgeheime stukken ging mailen.’

Digitaliseringsvraagstukken vallen nu grotendeels onder het ministerie van Justitie en Veiligheid. Volgens Verhoeven bevindt de discussie over privacy versus bescherming zich ook op het spanningsveld dat dat ministerie kenmerkt. Maar daaraan is zeker de afgelopen jaren de discussie over burgerrechten toegevoegd. ‘De grondwet hoort bij het ministerie van Binnenlandse Zaken. Misschien moet dat ministerie meer de hoeder van de rechtsstaat zijn en niet juist het ministerie waar ook die veiligheidscomponent ingebakken zit. Dat zou een interessante ontwikkeling zijn.’

Verhoeven zou in het volgende kabinet het liefst een ministerie van Digitale Zaken zien, dat een visie op digitalisering bewaakt. Sinds 2021 is er al een commissie in de Tweede Kamer met dezelfde naam. ‘In de Tweede Kamer draait het om structuur en procedures. Met deze commissie is er een loket voor de buitenwereld, maar ook een structuur om de minister verantwoordelijk te houden of een debat aan te vragen, die politiek op het gebied van digitalisering mogelijk maakt. Met een commissie kun je signaleren dat er iets verkeerd gaat, of met een motie komen, of een andere meerderheid vormen om iets af te dwingen.’

Ook in de Kamer heeft de digitalisering volgens Verhoeven toegeslagen: parlementariërs zitten in WhatsApp-groepen en moeten dagelijks honderden mails verwerken. Kamervragen zijn bijna uitsluitend gebaseerd op nieuws, en nieuws komt de hele dag via alle kanalen binnen. Wat meer kennis zou op zijn plaats zijn, denkt hij, over de manier waarop politici functioneren en besluiten nemen. ‘Het feit dat je heel hoog kunt komen in Den Haag als je veel in het nieuws bent, dat maakt dat het niet slim is om eens even een saaie, dikke wet te gaan lezen. Terwijl dat vijf jaar later het grote ding kan zijn.’

Dan speelt ook nog mee dat je data niet kunt zien. ‘Als je de memorie van toelichting van wgs leest, staan daar heel abstracte en verhullende zinnen. Na een halve bladzijde val je in slaap. Maar je moet doorlezen en je afvragen wat het betekent. En dan zie je: dit betekent dat de Fiod, de politie, de Belastingdienst, de nvwa, allerlei gemeenten, zorginstellingen, recherche, financiële private partijen, informatie op grote schaal kunnen gaan uitwisselen.’

Er moet volgens Verhoeven dus een minister komen: een aanjager, iemand die verantwoordelijk gehouden kan worden. Hij proeft nog weinig animo, al staat digitalisering tijdens deze formatie wel op de kaart. Verder ziet hij graag een hoofdstuk in het regeerakkoord met een visie op het gebruik van digitalisering door de overheid. ‘Er moeten principes komen die je vervolgens ook gewoon gaat naleven. En dat begint bij een algemeen besef dat je, als je maar op grote schaal systemen blijft bouwen zonder erover na te denken, veel maatschappelijke schade gaat toebrengen. Noem het een datakader of zo. Het moet ergens stoppen, er moet een begrenzing zijn.’

En echt cruciaal is dat er meer budget naar de toezichthouders gaat. ‘De nctv, de Belastingdienst, overtreden allemaal de regels en komen daar allemaal mee weg.’ Met de uitspraak van Dekker dat het budget al flink gegroeid is, neemt hij geen genoegen. ‘We hebben het over de afgelopen tien jaar zo’n beetje, hè? Als je de historische verandering van de afgelopen tien jaar recht wil doen met geld, dan moet je het budget van de Autoriteit Persoonsgegevens vertienvoudigen. Dan moet je echt zeggen: we zijn in een totaal andere wereld terechtgekomen, we hebben zo’n stevige toezichthouder nodig die zoveel zaken kan behandelen; dan hebben we een leger nodig van achttienhonderd man.’