Kijk, voor sommige mensen is de tip van Donner om dat vermaledijde interwebs maar helemaal niet meer te gebruiken een goed idee. Tien Nederlandse gemeenten gaan speciale teams inzetten die op sleutelwoorden lekker diep in sociale netwerken graven om fraudeurs te pakken. Nou ben ik de eerste om te roepen dat fraude moet worden aangepakt maar dit is weer een staaltje van IT +overheid = FAIL. De term "data out of place" is ze daar kennelijk helemaal vreemd. Want niet alleen wordt er gekeken naar de gegevens die u op Facebook zet,  nee ook naar die van uw buurman als die het over uw nieuwe wagen heeft. Een soort ´onvrijwillige´ NSB actie, die als de verkeerde data aan uw persoon gekoppeld wordt gewoon keihard bepaalt dat u een fraudeur bent. Als u dus uw terminaal zieke buurman met zijn PGB even extra wil naaien, roept u heel hard op Hyves dat ie voor de 10e keer op vakantie is. Weten ze bij de gemeente veel  dat het om chemo in het ziekenhuis gaat. En nu ga ik even twitteren over de 18" chromen rims op de scootmobiel van mijn buurvrouw.

Kent u hem nog? Ron Kowsoleea, de man die jarenlang problemen had met justitie, omdat hij geen crimineel was? Welnu, vandaag blijkt dat er minstens 2800 potentiële Ron Kowsoleea's zijn. Mensen die zijn vrijgesproken, nooit verdacht waren of in het gunstigste geval zijn overleden (dit zijn er zelfs 8000) staan in de politiedatabases, waar men al jaren ongebreideld al uw gegevens in klopt en daaruit natuurlijk NOOIT verkeerde conclusies trekt, aangemerkt als verdachte. Altijd leuk als je een VOG wilt halen, of een baan als ambtenaar ambieert. Dat kun je dus vergeten, want je hebt dan misschien wel niets te verbergen, maar de politiedatabases denken daar héél anders over.
De Raad van Korpschefs erkent het probleem, maar stelt dat het nog jaren kan duren voor men de databases weer op orde heeft. Want ja, overheid en ICT, dat is nooit een succes geweest en dat zal het ook nooit worden. Waarom de 2800 onschuldigen nog jaren moeten oppassen dat ze niet onschuldig opgepakt worden? Welnu: “Doordat het systeem verouderd is, moeten wijzigingen handmatig ingevoerd worden. Dit gebeurt helaas niet in alle gevallen snel en accuraat.”
Tot zover de woordvoerder van de Raad van Korpschefs. Gaat u maar rustig slapen, de politie houdt de wacht. Waakzaam, dienstbaar en oneindig prutsend met uw gegevens.
  

Klagen over naaktscanners is normaalgesproken iets voor privacyfundamentalisten en moeilijkdoeners die te hoog zijn opgeleid. Maar ineens is daar bijstand uit de tuttenbollenhoek: Een vrouw, met volgens de authoriteiten major boobage, stapte door een naaktscanner, de scan werd gefotografeerd door een arbeider die er stom genoeg nog een bouwvakkerscomment over maakte. Ze deed vervolgens het enig redelijke: Ze stapte naar The Sun. Die was blij dat ze "t**s" in de headline konden zetten en heeft haar klacht inclusief haar naam en foto's van haar facebook op de site geknald, samen met de verhelderende quote: “I'm totally traumatised. I've spoken to the police about it. I'm in too much of a state to go to work.” Jammer voor de Sun en haar lezers dat ze de gewraakte foto's niet hadden.

Linkdump
Klassiek gevalletje "data out of place"

Wel god gloeiende godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godver de godverdomme. 

DNA zou de manier zijn om berovingen, moorden, verkrachtingen en zelfs diefstallen op te lossen, maar dat begint een beetje tegen te vallen, want de werkelijkheid blijkt wat complexer dan gedacht. Mensen die een beetje vooruit plannen, kunnen DNA van een ander achterlaten door bijvoorbeeld een petje te stelen en bij de beroving te 'vergeten'. Wat ook een probleem is, is dat we zoveel DNA in het rondstrooien, via huidschilfers, bijvoorbeeld, dat we de monsters die we nemen heel makkelijk besmetten. Maar stel dat je hebt kunnen vaststellen dat het DNA van de dader moet zijn, niet van het vermoorde meisje, niet van haar vriendje, niet van de agenten die haar vonden, niet van de arts die haar onderzocht en je hebt je lab een beetje op orde, dan komen de volgende problemen aan de orde.
>>>>> meer...

 meer...

   meer...

De database van de politie waarin van 1 miljoen mensen behalve criminele gedragingen ook persoonskenmerken zijn opgenomen, zoals geslacht, adres, afkomst, etc, biedt zeer interessante doorkijkjes. Behalve de helaas voor de hand liggende samenhang tussen Afrikaanse afkomst en problemen qua openbare veiligheid, komen er ook contra-intuitieve samenhangen aan het licht: De vrouwen in de database zijn significant vaker verslaafd aan drugs dan mannen. Mensen verdacht van doodslag zijn relatief vaak al veroordeeld wegens racisme. De politie zou die database heel graag andersom gebruiken: Een Afrikaanse vrouw die te hard rijdt op het platteland zouden ze toch graag beter in de gaten willen houden. Gewoon omdat dat kan. Maar dat is helaas voor de politie niet toegestaan, vanwege Kafka-toestanden: het zal dan te vaak voorkomen dat mensen dan onterecht verdacht worden.
_{Dank voor de linktips.}
Update: De conducteurs van de Nederlandse Spoorwegen kunnen zien met welke trams en bussen je naar het station bent gekomen. Waar is dat belangrijk voor?
Ze eisen ook legitimatie als je met internetkaartjes reist. Je NS-klantenkaart met door het personeel goedgekeurde pasfoto is niet genoeg. Identificatie is niet genoeg, het moet legitimatie met een officieel reisdocument of rijbewijs zijn. Ook je OV-jaarkaart moet je in en uitchecken. Of je nou met je auto of het OV reist, ze willen weten waar je bent.  

Linkdump
emails en documenten nu online

Tweakers kwam vandaag met het bericht dat het intranet van de GPD-persbureau (waarbij 17 lokale kranten zoals BN/De Stem, De Gelderlander en de Gazet van Antwerpen bij aangesloten zijn) lekte en is geïndexeerd door Google. Zo zijn alle contactgegevens op te vragen via Google (eventueel via de cache) en daar zitten veel gegevens van BN'ers tussen. Een genant lek.
De kranten, die doorgaans een kritische houding missen daar waar het berichten over privacy-gevoelige onderwerpen betreft, kunnen hier uit leren dat het vergaren van data op zichzelf onschuldig is en zelfs noodzakelijk voor hun bedrijfsvoering kan zijn, maar dat het tot pijnlijke situaties zal leiden zodra deze data van zijn plek raakt, zoals in dit geval van hun intranet, via google, naar iedereen die het leuk vindt om BN'ers te bellen. Data vergaren is niet het probleem, data out of place is het probleem: Privacy vraagstukken gaan meestal niet over de burgers die wat te verbergen hebben voor de overheid, maar over bedrijven en overheden die wat te verbergen hebben over de burger.
Update nav het eerste comment alhier: Je kunt je vakantiekiekjes van BN'ers ook naar het GPD toe lekken. (thx!)

Het College Bescherming Persoonsgegevens heeft onderzoeken uitgevoerd bij de Centrale Huisartsenpost Gorinchem en de Stichting Schakelpunt Informatie Transmurale Zorg Midden-Holland. Die zijn nu op hun vingers getikt omdat de informatie te toegankelijk is voor derden en de patiënten niet op de hoogte waren gebracht dat hun gegevens er werden opgeslagen c.q. tentoongesteld.
Het CBP noemt deze vormen van lokaal gekeutel voor het gemak maar even "regionale Elektronisch Patiënten Dossiers (EPD')". Het CBP legt nog wel even uit dat het landelijk EPD iets anders is, maar dat wordt niet overgenomen door onze geweldige journalisten, want die tikken er graag even een EVERYBODY PANIC stukje over Het EPD. De term EPD is nu besmet. Een van de redenen om een landelijk Elektronisch Patiënten Dossier (EPD) aan te leggen, was juist om het geklooi eens aan te pakken.
Alle ziekenhuizen en huisartsen houden patiëntgegevens bij in hun computers. Patienten met de complexere problemen gaan vaak naar meerdere artsen. Datatransport is dan cruciaal, maar vaak erg slecht geregeld. Zo kan het Maxima Ziekenhuis in Veldhoven niet bij de gegevens van hun tweede filiaal in Eindhoven.
Tegelijk is er bij allerlei "zelfgemaakte" systemen te weinig tijd besteed aan veiligheidsmaatregelen. Zo kunnen de zusters bij de balie vaak alle gegevens zien. Ze loggen ze niet met hun eigen persoonlijke login in, maar met "balie" wachtwoord "geheim" en laten die computer doorlopend aan en ingelogd. Dat is data out of place. Logbestanden over wie wat bekeken heeft, zijn dan zinloos. Aan dat soort praktijken wil het landelijk EPD ook een einde maken. In het EPD wordt heel precies geregeld wie wat mag zien. Toestemming van de patiënt is ook helder geregeld.
Eerder al constateerden we dat de naam EPD heel slecht gekozen is, omdat het landelijk EPD geen centrale database is, maar dat je gegevens gewoon bij je eigen arts en specialist blijven staan. Het landelijk EPD is een filesharingsprotocol.

Dat de overheid gegevens verzamelt, ala. U heeft niets te verbergen en daders van misdrijven mogen best aan de digitale schandpaal. De Franse politie heeft een grote database van daders èn slachtoffers. Ongeveer de helft van de Fransen wordt er nu al in genoemd. Dat er talloze agenten met MBO werk- en denkvermogen in zitten te rommelen heeft bij maar liefst 83% van de mensen fouten opgeleverd. Mensen staan er in als dader in plaats van slachtoffer, mensen die vrijgesproken zijn staan er nog in als dader, etc. Het gaat mis op het moment dat deze data wordt ingezien door derden (data out of place). Blijkbaar hebben werkgevers toegang tot de database, waardoor 1 miljoen Fransen werden ontslagen, of niet aan een nieuwe baan konden komen.
De plannen van de Franse Regering om de database uit te breiden tot Big Brother database, met tags als wegloopkind, gehandicapt, dakloos, lid van een vakbond, alcoholist, drugsverslaafd, travestiet, transseksueel, homoseksueel, prostituee, hoerenloper, psychisch gestoord en lid van een sekte, zijn van de baan. Maar de huidige database is een megaKafka. 

70% van de mensen vertrouwt de overheid in privacy-aangelegenheden, 30% vreest dat data in verkeerde handen kan komen. Dat staat op Webwereld. Dit soort cijfers (pdf) zeggen niets zonder vervolgvragen. Wie zijn die mensen die de overheid niet vertrouwen? Zijn die privacy-vrezers computernerds of juist digibeten? En hoe is deze verdeling onder ambtenaren?

De onderzoekers, en Webwereld in hun verlengde, nemen het Elektronisch Patienten Dossier als voorbeeld. Het EPD gaat wel over zeer persoonlijke en gevoelige gegevens, maar toch is de EPD-kwestie geen goed voorbeeld voor de privacy-discussie. Het EPD is immers geen database, maar een verbindingsprotocol. Bovendien kun je niet zomaar zeggen, dat mensen die vrezen dat hun gegevens op straat komen te liggen, tegen het EPD zouden moeten zijn, want het EPD regelt een hoop privacy-gevoelige gegevensstromen zeer strak, terwijl die gegevens nu door de medische wereld op uiterst amateuristische wijzen worden verstuurd.

Wat wel leuk is, is dat de onderzoekers hebben gevraagd naar de gegevens die mensen zelf publiceren op profielsites. Daarmee krijg ik gratis een kwantitatief antwoord op een vraag die ik al vaker op Retecool heb besproken.
De helft van de Hyvers wil niet dat die foto's verder worden verspreid. Dat hebben we hier wel eens gemerkt, als we de foto's van een hyves of andere persoonlijke webpagina in de comments plaatsten. Daarom roep ik wel vaker dat privacy niets te maken heeft met verbergen. Een foto die voor iedereen te zien is op een Hyves is okee, maar als we hem op Retecool zetten, gaat er iets fout in hun brein. Het gaat dus om de context waarin de gegevens worden bekeken. Privacy gaat over data out of place.

Daaruit volgt dat de reflex "ik heb niets te verbergen" eigenlijk niet van toepassing is op privacyvraagstukken. Het gaat er in privacyvraagstukken om of de informatie die je aan Instantie A geeft zonder jouw toestemming bij Instantie B kan en mag komen.

Hyves illustreert dat zelf door haar gegevens aan Google door te gaan spelen, vanaf 30 januari. Dat kun je voorkomen door een vinkje weg te halen in je hyves, mijn menu, privacy. Doe je dat niet, dan ben je binnenkort goed vindbaar op achternaam in Google. Leuk voor als je gaat solliciteren.
Update: Dit was gisteren. Per vandaag is die instelling niet meer te veranderen!
_{(thx teringbibber)}

De politieke discussie over privacy dient niet zozeer te gaan over het vergaren van gegevens, want dat kan de burger zelf redelijk overzien en daar zit de pijn ook niet. De politieke discussie dient te gaan over de vraag hoe overheden en bedrijven met onze gegevens omgaan, want dat kunnen we niet overzien en daar zit de pijn wel.