De coronapandemie zet de wereld op zijn kop. Wie betaalt de rekening? En wie profiteert? Lees meer

Het virus SARS-CoV-2, beter bekend als het coronavirus, dook eind 2019 op in de Chinese provincie Hubei. In een paar weken tijd veroorzaakte het een epidemie, waarna het zich over de rest van de wereld verspreidde. Begin maart 2020 verklaarde de World Health Organisation de ziekte tot een pandemie en gingen landen wereldwijd 'op slot'.

Met het coronavirus is een crisis van historische proporties ontstaan, niet alleen medisch, maar ook economisch. In de vorm van steunfondsen en noodmaatregelpakketen werden bedrijven wereldwijd met vele miljarden op de been gehouden.

Waar met geld gesmeten wordt, liggen misbruik en fraude op de loer. Daarom volgt FTM de ontwikkelingen op de voet. Wie profiteert van de crisis? En welke oplossingen dienen welke belangen? 

210 artikelen

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

42 artikelen

© Matteo Bal

Overheid kan lokroep van techbedrijven maar moeilijk weerstaan

Techbedrijven boden ministeries hun software gratis aan om de pandemie te helpen bestrijden. Die software kon gegevens ‘verzamelen en analyseren’. Eén bedrijf – Palantir – beloofde zelfs toegang tot medische dossiers op patiëntniveau. Gericht toezicht op software-aanbieders ontbrak, terwijl de overheid het gevaar liep in de tang van de techbedrijven te komen. ‘Wanneer ze je uit de brand helpen, wordt het moeilijker ze daarna streng te reguleren.’

‘Zou jij nog iets kunnen betekenen in het kader van corona?’ mailt een ambtenaar van het ministerie van Volksgezondheid, Welzijn en Sport (VWS) aan een onbekende relatie. Het is 24 maart 2020, een dag nadat minister-president Rutte en VWS-minister Hugo de Jonge een ‘intelligente lockdown’ hebben aangekondigd om het oprukkende coronavirus een halt toe te roepen. 

De coronamaatregelen hebben een streep gezet door de ‘periodieke wandelingen’ van de ambtenaar met de relatie, wiens naam is zwart gemaakt in de informatie die op basis van de Wet openbaarheid bestuur (wob) openbaar werd gemaakt. Maar er is des te meer te bespreken. ‘Never waste a good crisis,’ schrijft de ambtenaar. 

Ambtenaren leken alles aan te grijpen, technologiebedrijven hengelden naar opdrachten

Het typeert de manier waarop sommige (medewerkers van) overheden handelden tijdens de coronapandemie. Ambtenaren leken soms alles te willen aangrijpen, technologiebedrijven hengelden naar opdrachten en softwareleveranciers probeerden zichzelf bij ministeries in de kijker te spelen.

Maar is de overheid wel toegerust voor alle technologische mogelijkheden waarover ze – tijdens de coronapandemie, en daarbuiten – kan beschikken?

‘Grootschalige rekenkracht om het virus te volgen’

Een week voordat de VWS-ambtenaar het mailtje stuurt, ontvangen vier ministers en een staatssecretaris een brief van Amazon Web Services. ‘Excellenties,’ schrijft een medewerker van AWS Benelux, ‘Amazon Web Services (AWS) wil graag haar diensten en technologie aanbieden aan de Nederlandse regering om COVID-19 te helpen bestrijden. We bieden onze hulp al in verschillende landen aan waaronder Italië, Spanje, Frankrijk, Portugal, het Verenigd Koninkrijk, de Scandinavische landen, de Verenigde Staten en Israël. Dagelijks komen daar nieuwe landen bij.’

De hulp is gratis: publieke organisaties en het mkb kunnen software voor videoconferenties gebruiken. Ook zijn er virtuele callcenters en chatbots beschikbaar, waarmee burgers kunnen worden geïnformeerd zonder persoonlijke interactie. Dat heeft veel voordelen: fysiek contact – met alle risico’s op besmetting van dien – is niet nodig en er hoeft geen leger ambtenaren te worden vrijgesteld om vragen van bezorgde burgers te beantwoorden.

De software draagt op nog een manier een steentje bij aan de bestrijding van de pandemie. ‘De informatie van deze tools kan ook worden geaggregeerd en geanalyseerd, bijvoorbeeld om te laten zien waar reacties aangeven dat er een vermoeden is van een COVID-19 concentratie,’ zo staat in de brief. En: ‘We werken daarnaast samen met de Wereldgezondheidsorganisatie WHO om grootschalige rekenkracht te activeren om analyses uit te voeren om het virus te volgen en de verspreiding ervan beter te beperken.’

Amazon was zeker niet de enige partij die in de crisistijd wilde klaarstaan voor de overheid. Ook Booking.com meldde zich om technologische ondersteuning te bieden. En FME, de Nederlandse ondernemersorganisatie voor de technologische industrie, zocht contact over een robot die corona zou kunnen detecteren. Uit een mail blijkt dat er binnen Defensie interesse was om met de robot binnenkomende reizigers op Schiphol te screenen op het virus.

Ondertussen werd vanuit VWS indirect contact gezocht met Apple, Google en Microsoft.

Maar door die aanbiedingen riskeerde de overheid in de tang van technologiebedrijven te komen, stelt Bram Klievink, hoogleraar digitalisering en openbaar beleid aan Universiteit Leiden. ‘Wanneer ze je uit de brand helpen, wordt het moeilijker ze daarna strenger te reguleren. Dat roept de vraag op of besluitvormers het speelveld wel overzien. Kunnen ze het kaf van het koren scheiden? Grote techbedrijven hebben al jaren de mond vol van hun maatschappelijke rol, maar in praktijk kennen veel van hun producten ethisch gezien fikse haken en ogen. Zijn we, zeker onder tijdsdruk, als samenleving en als overheid in staat om door die mooie woorden heen prikken?’

Toegang tot patiëntgegevens

Dat er zeker voor burgers veel op het spel stond, blijkt uit een opvallend aanbod van Palantir Technologies, een omstreden Amerikaanse leverancier van software die veel verschillende gegevensbronnen combineert, waardoor een zeer gedetailleerd beeld van burgers ontstaat. 

Vorig jaar publiceerde Follow the Money een reconstructie waaruit bleek dat Palantir de Veiligheidsregio Midden- en West-Brabant in de zomer van 2020 hielp om gegevens van onder meer het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Centraal Bureau voor de Statistiek (CBS), het Koninklijk Nederlands Meteorologisch Instituut (KNMI) en Google te koppelen. De software zou in eerste instantie verkeersstromen inzichtelijk maken, maar gaandeweg het project zochten ambtenaren en medewerkers van Palantir naar meer manieren om de software te gebruiken. Ook probeerde de producent in gesprek te komen met het ministerie van Justitie en Veiligheid, het ministerie van Defensie en andere instanties.

Palantir meldde zich al in maart 2020 bij VWS. Het bedrijf bood, ‘in samenwerking met Amazon Web Services,’ voor niets een bijna realtime ‘COVID-19 response platform’ aan. Het ministerie zou daarmee de ziekenhuiscapaciteit kunnen bijhouden en besmettingen kunnen volgen.

Maar Foundry, zoals het systeem heet, bood meer mogelijkheden. Met de software kon namelijk ook informatie uit medische dossiers van patiënten worden opgehaald, zo staat in het aanbod aan VWS. Daarmee zouden gebruikers tot op detailniveau inzage kunnen krijgen in persoonlijke medische gegevens. 

Dat mag niet zomaar: de Algemene verordening gegevensbescherming (AVG) bepaalt dat alleen bevoegde personen toegang mogen hebben tot het dossier van een patiënt. In bepaalde situaties kunnen patiëntgegevens wel toegankelijk zijn zonder autorisatie, maar dan moeten zorgaanbieders kunnen verantwoorden waarom toegang tot het patiëntendossier noodzakelijk is. Maar daarover wordt in het voorstel van Palantir met geen woord gerept.

Palantir bood VWS voor niets een bijna realtime ‘COVID-19 response platform’ aan

 In reactie op vragen van Follow the Money over Palantir laat een woordvoerder van VWS weten de aangeboden diensten niet te hebben gebruikt.

Maar gebruikt of niet, de softwareleveranciers hadden de overheid in elk geval iets te bieden. Vooral in de hectische begindagen na de eerste besmettingen in Nederland leek het coronavirus nog het meest op een moderne Hydra – de mythologische draak waarvan elke afgehakte kop dubbel terugkeerde. 

COVID-19 plaatste de overheid voor een crisis waarvan de omvang niet was te overzien. Bovendien waren er te weinig middelen in huis om zelf het verloop van het virus inzichtelijk te maken. Elke hulp van een ervaren partij was daardoor welkom.

Overzicht ontbrak echter, zo blijkt uit de wob-documenten. Toen de Europese Commissie eind maart 2020 alle lidstaten vroeg op een rijtje te zetten welke software-oplossingen ze in huis hadden om inzicht in het verloop van de coronabesmettingen te krijgen, moest VWS nog met de inventarisatie beginnen; het lukte medewerkers niet om op tijd een overzicht aan te leveren.

De dynamiek van een crisis

Grote technologiebedrijven hadden snel door dat ze zich in deze crisis positief konden profileren, terwijl ambtenaren vooral op zoek waren naar een acute oplossing, stelt Kees Verhoeven. Hij was tot voor kort Tweede Kamerlid voor D66, en adviseert nu overheden en bedrijven over dataveiligheid en privacy. Hij haalt Facebook aan, dat met zijn ‘Data for Good’-project inzicht in de verspreiding van het coronavirus wilde verschaffen. ‘En bij de corona-app stonden grote techbedrijven vooraan om hun diensten aan te bieden. Ze hadden goed door dat ze zo hun imago konden opkrikken.’

De dynamiek van een crisis brengt het risico met zich mee dat je vooraf niet genoeg voorwaarden stelt omdat je bepaalde keuzes moet of wilt maken, zegt Verhoeven. ‘Binnen de overheid bestaat wel het besef dat je niet te gemakkelijk moet zwichten voor het aanbod van techbedrijven, maar in crisistijd is er altijd wel een reden om toch snel met zulke partijen in zee te gaan. Er heerst dan het idee dat er nú iets moet gebeuren. Dat maakt het lastig om “nee” te zeggen tegen een partij die wappert met een mooie oplossing of technologische innovatie.’

Hij vervolgt: ‘Maar ondertussen denken we te weinig na over wat het bedrijf zelf met zijn aanbod wil bereiken. We vinden het vanzelfsprekend dat we afhankelijk zijn, terwijl het feit dat de overheid grootgebruiker is van de diensten van techbedrijven ertoe heeft geleid dat ze terughoudend is geweest in het reguleren van diezelfde bedrijven.’

Dat dat grote risico’s met zich meebrengt, bleek wel tijdens de coronacrisis. De casus-Palantir liet zien hoe verguld ambtenaren waren met de vele mogelijkheden die de software van het bedrijf bood. In combinatie met Palantirs ambitie om een oplossing te bouwen die andere overheden zou imponeren, zorgde dat ervoor dat er steeds nieuwe mogelijkheden werden overwogen om het ‘coronadashboard’ van de veiligheidsregio Midden- en West-Brabant uit te breiden.

In de tang

Binnen de overheid was altijd al weinig oog voor de risico’s van digitalisering, maar de pandemie voegde daar explosieve elementen aan toe, stelt Corien Prins. De hoogleraar recht en informatisering aan de Universiteit van Tilburg wijt dat aan gebrekkige technische kennis onder ambtenaren, terwijl de overheid inzet op digitalisering en weinig toezicht houdt op naleving van relevante wetgeving.

‘Door de pandemie is er nog minder dan voorheen aandacht voor de risico’s van digitalisering,’ zegt Prins. ‘En omdat men zo naarstig op zoek is naar een oplossing, is het geloof in het oplossend vermogen van de technologie extra dominant. Tegelijk gaf de pandemie een boost aan de macht van techbedrijven en aan de informele contacten tussen de bedrijven en overheden.’

In Nederland is de Autoriteit Persoonsgegevens (AP) verantwoordelijk voor het toezicht op de digitale middelen die door de overheid en bedrijven worden gebruikt. Maar, zegt Prins, ‘tijdens de pandemie lijkt de AP vooral te hebben ingezet op “zichtbare” dossiers, zoals de corona-app en niet – of in elk geval niet zichtbaar – op de rol van techbedrijven.’

Corien Prins, hoogleraar recht en informatisering

Door de pandemie is er nog minder dan voorheen aandacht voor de risico’s van digitalisering

Dat blijkt ook uit de jaarverslagen van de toezichthouder. In 2020 beantwoordde de AP vooral prangende vragen die ontstonden door allerlei coronamaatregelen. Zo onderzocht zij of bedrijven de temperatuur van hun werknemers mochten controleren, of personeel veilig kon thuiswerken en of het delen van locatiegegevens van alle Nederlanders wel was toegestaan. In 2021 kreeg de zwarte lijst ‘Fraude Signalering Voorziening’ (FSV) van de Belastingdienst veel aandacht.

De AP houdt ook ‘datahonger’ van overheden, instellingen en bedrijven nauwlettend in de gaten. Dat is onderdeel van haar meerjarenplan 2020-2023, waarin samenwerking door overheidsorganisaties en het ongeoorloofd delen van gegevens speerpunten zijn. Maar, schreef de toezichthouder, vanwege te weinig budget ging alle aandacht uit naar ‘impactvolle projecten’. 

De AP adviseerde eind 2021 weliswaar de Eerste Kamer om het voorstel voor de Wet gegevensverwerking door samenwerkingsverbanden (WGS) niet aan te nemen, maar voor commerciële partijen die zich in crisistijd bij de overheid aandienden, was geen tijd.

Prins: ‘We zitten dus met een toezichthouder die het helaas – om tal van redenen – niet voor elkaar krijgt de belangen van burgers goed te beschermen. Decennialang heeft de overheid zich, ondanks tal van waarschuwingen door deskundigen, de macht van techbedrijven laten aanleunen. Dat speelt niet alleen op het terrein van de zorg, maar ook in het onderwijs en in de veiligheids- en beveiligingsindustrie. Ik heb het gevoel dat men begint wakker te worden, maar helaas hebben veel commerciële partijen zich inmiddels een stevige positie verworven, ten koste van burgers en hun privacy.’

Hoogleraar Klievink: ‘De discussie die we nu voeren over de software die we wel en niet willen gebruiken, en dus ook de normbepaling, vindt op dit moment slechts beperkt plaats, zeker als het gaat om rol die technologie speelt in de implementatie van beleid. Politici zien de digitale component als iets instrumenteels, maar de fundamentele keuzes blijven onderbelicht.’

Reactie Autoriteit Persoonsgegevens

‘De AP kan niet van tevoren alle software controleren die techbedrijven aanbieden op een ministerie of in een provinciehuis. Daar lopen wij in de praktijk inderdaad tegenaan,’ laat een woordvoerder van de Autoriteit Persoonsgegevens weten.

‘De AP heeft, publiekelijk én op de achtergrond, de overheid steeds bijgestuurd en gewaarschuwd. Aanzetten tot of medeplichtigheid aan overtredingen van de AVG is bovendien nog niet beboetbaar. Overheidsorganisaties zijn volgens de AVG dus zélf verantwoordelijk voor software die zij inzetten en moeten zelf aantonen dat software die ze willen gebruiken de privacy van burgers voldoende beschermt. De functionaris gegevensbescherming is daarbij de “first line of defence”: overheden moeten deze interne toezichthouder áltijd om advies vragen en dat advies vervolgens opvolgen.’

Lees verder Inklappen