Het was de afgelopen weken weer flink raak als het gaat om het slordig omspringen met persoonsgegevens. In Duitsland stapte een medewerker van een call center naar de politie omdat zijn bedrijf illegaal gebruik maakte van persoonsgegevens van 1,5 miljoen mensen. De gegevens, waaronder bankrekeningnummers, waren gewoon te koop op de illegale markt. Het kostte de Duitse consumentenbond even later geen enkele moeite om tegen betaling van 850 euro de bankgegevens van zes miljoen burgers te bemachtigen. Naar schatting zijn de privégegevens van 20 miljoen Duitse bankrekeninghouders illegaal in omloop. De informatie is afkomstig van contracten voor mobiele telefoonverbindingen en van lijsten met de namen van loterijdeelnemers en donateurs van charitatieve instellingen. Bij veel mensen zijn bedragen afgeschreven voor loterijen waaraan ze niet hebben deelgenomen. De betrokken organisaties ontkennen de persoonsgegevens zelf te hebben verhandeld. Het blijft de vraag wie die gegevens uit hun computers heeft gehaald.

Voor de zevende keer in nog niet eens een jaar is de Britse overheid enkele weken geleden privacygevoelige informatie kwijtgeraakt. Ging het een vorige keer nog om belastinggegevens die waren kwijtgeraakt bij de post, dit keer is een memorystick met details over zo’n 10.000 veelplegers, de persoonsgegevens van alle gevangenen in Engeland en Wales en 33.000 politiedossiers verdwenen. De achtergrond is prozaďsch: een door het ministerie van Binnenlandse Zaken ingehuurde consultant was de memorystick kwijtgeraakt. Zijn bedrijf is grondig doorzocht maar de stick werd niet gevonden.

Ook in Nederland gebeuren er ‘ongelukken’ met gegevens van burgers. Het gaat hier vaak om data van mensen bij bedrijven die op internet slecht beveiligd zijn. Zo lagen dit jaar de gegevens van klanten van grote instellingen als internetprovider Planet en Fortis op straat. Er is alle reden om niet te geloven dat het om incidenten gaat. Er wordt overal ter wereld slecht omgesprongen met persoonlijke of gevoelige gegevens en er spelen enorme financiële belangen. In een recent onderzoek onder driehonderd systeembeheerders heeft bijna 90 procent aangegeven dat ze bij ontslag bedrijfsgeheimen meenemen. Daarnaast bleek uit hetzelfde onderzoek dat IT-personeel te laks is bij de opslag van vertrouwelijke gegevens. Het is voor mensen met een klein beetje verstand van computers een peulenschilletje om die gevoelige data te bemachtigen. Het kraken van de Nederlandse ov-chipkaart door wetenschappers laat tenslotte zien dat alles wat wordt bedacht kan worden nagemaakt of gedecodeerd. De conclusie moge duidelijk zijn: digitale persoonsgegevens zijn niet risico- en inbraakvrij op te slaan.

Bij de meerderheid van de Nederlandse politiek heerst een hardnekkig geloof dat het allemaal wel meevalt met het opslaan van gegevens. De meeste partijen blijven stug volhouden dat het technisch mogelijk is waterdichte systemen te bedenken. Deze naďeve redenering was ook te horen in de discussies over de meermaals gekraakte ov-kaart: we zullen de techniek zo aanpassen dat de chip niet meer te kraken is. Maar de toekomst zal uitwijzen dat het kraken van de vernieuwde ov-chipkaart slechts een kwestie van tijd is. En in de discussie over het bewaren van belgegevens werd ons bezworen dat het opbergsysteem waterdicht zal zijn. Het wachten is slechts op het eerste ‘incident’ dat deze garantie logenstraft. De bovengenoemde zogenaamde incidenten - er zijn er wereldwijd nog velen te noemen - laten zien dat de politieke praatjes niet deugen.

De genoemde voorbeelden laten ook zien dat er niets klopt van het slappe argument dat geregeld wordt gespuid in de Tweede Kamer als het gaat om het verzamelen van gegevens in het kader van de bestrijding van terrorisme. Waarom zou je tegen grote bevoegdheden van de overheid zijn die een beperkte inbreuk maken op de privacy; waarom zou je bezwaar maken als de overheid op grote schaal allerlei privégegevens van je gaat bewaren: als je niets gedaan hebt, heb je toch ook niets te vrezen?

Er is echter alle reden om te vrezen dat het fout gaat. Overheidsinstellingen, justitie en politie zijn niet te vertrouwen. Niet omdat deze instituties in zichzelf onbetrouwbaar zijn, maar omdat er wordt gewerkt door feilbare en verleidbare mensen. Gegevens van burgers zijn geliefde handelswaar voor allerlei bedrijven. Alles valt te digitaal te kraken en de gelegenheid maakt de dief. Was het vroeger onmogelijk om met hele kaartenbakken de markt op te gaan, tegenwoordig is het heel simpel om een stick met miljoenen gegevens te kopiëren en te verkopen aan de hoogst biedende.

Overheid en politiek betonen zich vaak onrealistisch naďef als het gaat om opslag van (gekoppelde) persoonlijke gegevens en ze negeren stelselmatig de gevaren. Zo langzamerhand verkeert deze naďviteit in een laakbare tekortkoming. Bijvoorbeeld jegens de plicht tot vóórzorg. Ook op dit punt dreigen overheid en politiek bedreigingen te worden van de burger.