Onderzoeksrapport: Het verknoopte doolhof van de gedecentraliseerde iOverheid

Na twee decennia van overhevelen, stapelen en verknopen van taken en verantwoordelijkheden in het sociale domein  is de ICT-infrastructuur van de iOverheid verworden tot een spaghetti van datastromen. Grote hoeveelheden persoonsgegevens worden doorgegeven en bewerkt zonder dat duidelijk is wie daar verantwoording voor neemt. Burgers zijn niet in staat basale rechten uit te oefenen als het gaat om inzage of correctie van persoonsgegevens; ze hebben geen idee welke informatie er door welke partij wordt verwerkt – en de verantwoordelijke organisatie vaak evenmin.

Dat zijn de belangrijkste conclusies van een onderzoek dat Platform Burgerrechten deelnemer Stichting KDVP door onderzoeksbureau VosWiz liet uitvoeren naar de architectuur van data-uitwisselingen in het sociale domein. Het rapport is onder meer gebruikt in de procedure tegen het Systeem Risico Indicatie en geeft een beschrijving van de ontwikkelingen van de data-infrastructuur die gemeenten en publieke instanties gebruiken in de uitvoering van de sociale zekerheid. Daarbij wordt geconstateerd dat de huidige architectuur fundamentele tekortkomingen kent als het gaat om het afleggen van verantwoording aan burgers en het kunnen voldoen aan de eisen van privacywetgeving. Het rapport stamt uit 2018, maar is nog zeer actueel in verband met de recent ontstane discussie over het Inlichtingenbureau, dat een centrale rol speelt in deze infrastructuur.

Achterhaalde infrastructuur

De ICT-architectuur in het sociale domein borduurt al sinds de jaren negentig voort op een (inmiddels) achterhaald concept van centraliseren. Data van bronhouders zoals de BRP, het UWV, de SVB en de Belastingdienst worden via centrale knooppunten als Suwinet doorgesluisd naar partijen die deze gebruiken voor hun taken, waarbij de spil wordt gevormd door twee organisaties: het BKWI en het Inlichtingenbureau. Deze zijn in feite Suwinet; ze spelen een typisch centrale rol in het bepalen wat door wie mag worden ingezien en gebruikt. Behalve dat deze insteek haaks staat op een duurzame en privacyvriendelijke architectuur waarbij persoonsgegevens uitsluitend belanden bij partijen die deze aantoonbaar noodzakelijk en proportioneel verwerken, hebben deze twee organisaties er in de loop der jaren verschillende taken en bevoegdheden bij gekregen die niet verenigbaar zijn met hun rol als doorgeefluik. Bovenop de al ongezonde insteek van de gecentraliseerde ICT-infrastructuur maken deze taken en rollen deze tot een ondoorzichtig en onoverzichtelijk geheel, waarbij verantwoordelijke organisaties hun wettelijke verplichtingen die voortvloeien uit privacywetgeving niet kunnen nakomen.

Alles in één dossier

De meest recente toevoeging aan dit complex zijn de zogeheten ‘integrale systemen’ bij de gemeente, die na de grote drie decentralisaties van 2015 (Participatiewet, WMO, Jeugdzorg) werden geïntroduceerd. Wijkteams werden verantwoordelijk voor alle sinds de jaren 90 gedecentraliseerde taken; werk & inkomen, Wmo en jeugdzorg, en kregen daarbij de opdracht om “over schotten heen te kijken”, wat in de praktijk erop neerkomt dat persoonsgegevens uit verschillende domeinen, verzameld voor verschillende taken, in één dossier terechtkomen – door het kabinet vervat in het motto ‘één gezin, één plan, één regisseur’.

Informatie van verschillende bronhouders wordt via het Inlichtingenbureau in bulk ingevoerd in deze integrale systemen, die zo een zeer compleet en indringend beeld geven van de persoonlijke levens van burgers. Deze systemen hebben hoe langer hoe meer functionaliteiten voor handhaving en controle, bovenop de basale taken van intake, het volgen van de cliënt en het declareren van zorg. Het ontbreekt het zowel bij de bronhouders als bij de doorgeefluiken IB en BKWI aan zicht op wat er op gemeentelijk niveau met deze gegevens gebeurt, terwijl er sprake is van zeer grote variatie in implementaties. Getuige de vele rapporten over gemeenten die hun toegang en omgang met Suwinet-gegevens niet op orde hebben, valt zeer te betwijfelen of gemeenten over de kennis en cultuur beschikken om zich wél aan de wet houden in het gedecentraliseerde bestel.

De alwetende gemeente

Het resultaat van deze ondoorzichtige opeenstapeling van gegevensleveringen is de alwetende gemeente, die vrijwel ongecontroleerd de door haar verzamelde persoonsgegevens naar haar eigen inzicht mag gebruiken om de torenhoge ambities van de decentralisaties waar te maken. Duidelijkheid over verantwoordelijkheid en transparantie bij deze verknoping ontbreekt; terwijl de gemeente over steeds meer persoonsgegevens en ICT beschikt om de individuele burger te profileren en te beoordelen, weet diezelfde burger totaal niet wat de overheid allemaal over hem weet. De indruk die hierdoor ontstaat is die van een tot de tanden bewapende gedigitaliseerde overheid die vooral wantrouwen oproept bij burgers die op de diensten van de overheid zijn aangewezen als het gaat om hun levensonderhoud.

Geen van de aangedragen oplossingen voor de problemen bij gemeenten alsmede de verantwoordingsproblematiek in Suwinet geeft blijk van out of the box denken.  Voor een duurzaam en privacyvriendelijke oplossing is een systeem vereist dat ingericht is om naast de burger te staan, in plaats van tegenover. Daarvoor moet afscheid worden genomen van de huidige architectuur, die is gestoeld op fraudebestrijding en het centraliseren van informatiestromen en bevoegdheden. In plaats daarvan zou transparantie en accountability als uitgangspunt moeten worden genomen in een nieuwe, decentrale architectuur die een toekomstbestendige rechtsbescherming biedt voor burgers die aanspraak maken op sociale voorzieningen. Het rapport geeft in het slothoofdstuk een aantal voorbeelden van oplossingen in deze richting.

Het rapport valt hieronder te downloaden.

Afbeelding: “Gordian Knot” by paloetic (CC BY-NC-SA 2.0)