Marktplaats artikel bij De Correspondent

Vrijdag 30 mei werd m’n artikel over Marktplaats op de Correspondent geplaatst. Dat het goed ontvangen zou worden vermoede ik wel, maar dat zoveel media er melding van zouden maken…

Hier de inleiding en link naar het artikel, en daaronder alle media (die ik zo snel kon vinden) die naar het artikel verwijzen.

Wie zijn gegevens opvraagt bij Marktplaats, krijgt niet alleen inzage in de eigen transacties, maar ook in de persoonsgegevens van derden. Gastauteur Douwe Schmidt kreeg van 32 gebruikers zomaar het IP-adres toegestuurd en van 14 het mobiele telefoonnummer. Dat is in strijd met de privacyvoorwaarden van de site zelf en waarschijnlijk ook met de wet. En het blijkt geen incident, maar een structureel probleem bij de grootste koopjesmarkt van Nederland.

via De Correspondent.

Linked at:
NRC.nl
De Volkskrant
NU.nl
Tweakers.net
Het Parool
AD.nl
Z24.nl
Webwereld
Security.nl
Nieuws.nl
BNR (met Audio reactie Marktplaats)
PZC.nl
Fok.nl

Zo word je minder makkelijk vindbaar in de digitale wereld

Dit artikel verscheen eerder bij de decorrespondent.nl

De gereedschapskist van een datamijnwerker is groot. Naast het versturen van brieven, bankhangen in wachtkamers van overheidsinstanties en via onregelmatige schotschriften op De Correspondent oproepen tot totaal dataonderzoek, kan ik ook gewoon mijn dataspoor minimaliseren. Deze drang is licht obsessief, zowel on- als offline. Het lijkt tegenstrijdig: ben ik succesvol in het uitwissen van mijn digitale sporen, dan is mijn rol als datamijnwerker snel uitgespeeld.

Maar hoe hard ik het ook probeer, ik blijf sporen achterlaten. Ik ben geregistreerd, wordt geanalyseerd en binnenstebuiten gekeerd in meer databases dan ik zelf ooit kan achterhalen. Toch wil ik mijn dataspoor zo klein mogelijk houden.

Begin dit jaar was ik daarom in Berlijn voor de workshop ‘Othernet,’ over hoe ik mijn datasporen onder controle kan krijgen. Gewapend met mijn Raspberry Pi, Een kleine, goedkope computer waarmee je kunt leren hoe een computer werkt. een Fairphone Een eerlijk geproduceerde telefoon die een open besturingssysteem heeft. en mijn Macbook Pro Een ouderwetse computer die volledig door de NSA en zijn vriendjes doorzoekbaar is. vertrok ik naar het toen ijskoude Oosten. Mijn docent was Danja Vasiliev, een Russische kunstenaar en programmeur. Samen met Julian Oliver vormt hij het kunstcollectief Critical Engineers, dat zich fundamenteel kritisch verhoudt tot de technologie die we dagelijks gebruiken.

Technologie is niet neutraal

Volgens Vasiliev en Oliver is technologie niet goed, niet slecht, maar ook zeker niet neutraal. Zoals het volume van de muziek in een kroeg bepaalt hoe je gesprek verloopt, zo beïnvloedt technologie onze communicatie via onze mobieltjes en tablets. Twitter verstuurt maximaal 140 tekens voor je, De Correspondent accepteert alleen commentaar van leden en Uitzendinggemist.nl werkt alleen in Nederland.

Maar ook dat ik van Apple alleen software uit de Appstore op mijn iPhone mag installeren en dat je dvd’s niet zomaar kunt kopiëren, zijn voorbeelden waarbij technologie beperkend en niet neutraal werkt.

Soms bestaan beperkingen om het medium optimaal te laten functioneren, soms omdat er geld aan te verdienen valt en soms omdat er wetten, staten en macht in het spel zijn. Van Vasiliev leer ik hoe ik de technologie aan kan passen om mijn communicatie vrij te maken van deze beperkingen en hoe dat mijn dataspoor verkleint.

Een middel om dat te doen is het virtueel veranderen van je locatie. Op dag één helpt Vasiliev me met het installeren van OpenVPN. Een VPN is een versleutelde connectie tussen twee computers. De websites die ik bezoek registeren niet langer Duitsland als mijn locatie maar de locatie van de VPN, bijvoorbeeld Nederland. Websites die niet beschikbaar zijn in het buitenland, zoals Uitzendinggemist.nl, werken dan weer. Een VPN is alsof je een tunnel tussen twee punten aanlegt en niemand kan zien waar de tunnel begint en wat erdoorheen gaat.

Ik installeer het ene einde van deze tunnel op mijn smartphone en het andere einde op mijn Raspberry Pi. Vasiliev: ‘Je kunt voortaan vanaf je telefoon verbinding maken met je Raspberry Pi thuis. Waar je je ook bevindt, voor de websites die je bezoekt, zal het lijken alsof je thuis bent.’

Het blijft een raar idee om tegelijkertijd op twee plekken te zijn. Bij het bestellen van een boek op Bol.com gaat de website ervan uit dat het boek naar Nederland moet worden verstuurd. En als ik naar Youtube ga mag ik, ondanks strengere regels in Duitsland, gewoon filmpjes kijken met muziek van bekende artiesten eronder. Ik vraag me af of ik in overtreding ben als ik websites via de VPN bekijk die op mijn fysieke locatie officieel niet zijn toegestaan. In ieder geval is mijn dataspoor weer een stukje kleiner geworden.

In Berlijn in Bangkok

Op dag drie maak ik een OnionPi.  Dat is een wifi acces point dat de gebruiker direct het anonieme Tor-netwerk Tor is een technologie die de gebruiker in staat stelt om anoniem op internet te surfen. Doordat de verbinding via meerdere computers verloopt, is de oorsprong niet te achterhalen. opstuurt. Met behulp van de eerder genoemde Raspberry Pi, Vasilievs hulp en een scheutje engelengeduld gaat het netwerk pas online als alle andere cursisten al in de kroeg zitten. Ik log in met mijn, totaal niet geanonimiseerde, iPhone op de OnionPi en controleer de locatie. Volgens de website WTFismyip.com Deze website kan je gebruiken om je IP en virtuele locatie te bekijken. ben ik in Bangkok. Vasiliev naast mij logt ook in en hij zit opeens in San Francisco. Terwijl we virtueel aan de andere kant van de wereld zitten proosten we in Berlijn op een geslaagd project.

Als je een broek bestelt binnen die welkomstberichtloze kilometers, valt die dan onder het garantierecht van de Belgen of van de Nederlanders?

Dat dit ook in ons nadeel kan zijn, laat collega-Critical Engineer Julian Oliver zien met zijn project Border Bumping. Hij reisde enkele maanden langs de Niagara-rivier tussen de Verenigde Staten en Canada en bracht alle GSM-masten langs de oever in kaart.

Bij het oversteken van een grens krijg je een bericht op je mobiel, waarin de telecomprovider je welkom heet op zijn netwerk. Iedereen kent het bericht ‘Welkom in België’ dat je krijgt bij het bezoeken van onze zuiderburen. Alleen lopen de momenten waarop je dit bericht krijgt niet gelijk met die grens. Zo kan je al kilometers België in zijn voordat je telefoon overschakelt van je Nederlandse provider op de Belgische en je het welkomstbericht krijgt.

Maar, als je een broek bestelt binnen die welkomstberichtloze kilometers, valt die dan onder het garantierecht van de Belgen of van de Nederlanders?

Interessant voor de veiligheidsdiensten

‘s Avonds in de kroeg benadrukt Oliver dat dat een redelijk onschuldig voorbeeld is. Volgens hem zijn de GSM-masten aan beide zijden van de Amerikaans-Canadese grens in een strijd verwikkeld om de beller zo lang mogelijk vast te houden. Pas kilometers diep Canada in laat de Amerikaanse mast je ‘los.’ Uit commercieel belang, maar het is ook interessant voor de veiligheidsdiensten.

Iedereen die de grens nadert kan gevolgd en geïdentificeerd worden via zijn mobiel, voordat hij het grondgebied betreedt. Oliver: ‘En pas echt vervreemdend was het toen ik een GSM-mast ontdekte die zich aan mijn telefoon voordeed als een mast van provider AT&T, maar fysiek het logo van de lokale politie droeg.’

Grenzen zijn altijd een uitgelezen plek geweest om informatie te verzamelen, maar Olivers project laat zien dat door onze mobieltjes niet duidelijk is aan welke kant van de grens we ons bevinden en wat de consequenties daarvan zijn.

De OnionPi hangt nu thuis voor mijn raam, zodat zoveel mogelijk buren gebruik kunnen maken van deze anonieme internetdienst. Het is een gek idee dat die willekeurige voorbijgangers en buren die het netwerk gebruiken, virtueel naar de andere kant van de wereld worden geschoten zodra ze op mijn netwerk inloggen. Misschien gebruiken ze het voor goede zaken, misschien bestellen ze drugs en wapens. Ik ben in ieder geval minder goed te volgen, en een deel van mijn buren nu ook.

Tweet zet gemeente in beweging

Dit blog verscheen eerder bij de Correspondent.

@AmsterdamNL: ‘Nog 1 vraag, want DBI heeft geen Twitter-account: mag ik uw naam en e-mailadres of telefoonnummer? Dan kunnen ze contact opnemen.’

Die tweet ontving ik vorige week van de gemeente. Het markeerde het voorlopige einde van mijn  zoektocht naar mijn data bij die gemeente: eindelijk had ik antwoord. Twee brieven, zes telefoontjes en twee wanhopig stemmende bezoeken aan de gemeentebalie hielpen mij niet verder. Eén klacht op Twitter zette het hele radarwerk weer in beweging. Moderne zoektochten eisen moderne middelen.

Continue reading Tweet zet gemeente in beweging

Aan wie spelen gemeenten onze persoonsgegevens allemaal door?

Dit artikel verscheen eerder op decorrespondent.nl@AmsterdamNL: ‘Nog 1 vraag, want de DBI heeft geen Twitter-account: mag ik uw naam en e-mailadres of telefoonnummer? Dan kunnen ze contact opnemen.’

Die tweet ontving ik vorige week van de gemeente. Het markeerde het voorlopige einde van mijn wanhopige zoektocht naar mijn data bij die gemeente: eindelijk had ik antwoord. Twee brieven, zes telefoontjes en twee wanhopig stemmende bezoeken aan de gemeentebalie hielpen mij niet verder. Eén klacht op Twitter zette het hele radarwerk weer in beweging. Moderne zoektochten eisen moderne middelen.

Welke instellingen hadden mijn gegevens bij de Gemeentelijke Basis Administratie in mogen zien voordat ik er een digitaal slot op zette?

Op 8 november 2013 verzocht ik de gemeente niet langer mijn gegevens te delen. Deze mogelijkheid tot geheimhouding, gewoon via de website van de gemeente, was bij weinigen bekend en veel lezers deden dit dan ook direct na het lezen van het artikel waarin ik deze mogelijkheid beschreef.

De vraag die overbleef was met wie mijn gegevens gedeeld waren in de maanden en jaren daarvoor. Welke instellingen hadden mijn gegevens bij de Gemeentelijke Basis Administratie (GBA) in mogen zien voordat ik er een digitaal slot op zette?

Van afdeling kastje naar afdeling muur

Voor het inzien van deze zogenoemde afnemerslijst Een overzicht van alle bedrijven, instellingen en andere instanties die toegang hebben tot de persoonsgegevens die opgeslagen liggen bij de gemeente. diende ik per ouderwetse post een inzageverzoek in. Een zelf ook ietwat verbaasde ambtenaar bezwoer me de brief nergens in het systeem terug te kunnen vinden en adviseerde mij de brief opnieuw te versturen. Deze tweede brief, op 10 januari afgegeven aan de balie van de Dienst Basisinformatie (DBI), werd door hetzelfde lot getroffen. Ik probeerde andere methodes (bellen en nogmaals langsgaan), maar die boden geen oplossing. Behulpzame maar machteloze ambtenaren verbonden mij door met afdelingen die altijd pauze hadden en fysieke bezoeken gingen van afdeling Kastje naar afdeling Muur.

Behulpzame maar machteloze ambtenaren verbonden mij door met afdelingen die altijd pauze hadden en bezoeken gingen van afdeling Kastje naar afdeling Muur

Ondertussen mailden lezers hun ervaringen uit andere delen van het land. Twee datamijnwerkers stemden in met het gebruik van hun bevindingen onder voorwaarde van anonimiteit. Een man uit Almere schreef dat het eerste deel van zijn verzoek – de geheimhouding van zijn adres en andere persoonlijke gegevens – eenvoudig verliep. ‘Ze noemen die geheimhouding hier een ‘adresblokkade’ en hebben die op de gegevens van mij en mijn kinderen gezet. Bij onze speurtocht kwamen we erachter dat de bibliotheek ook op de een of andere manier (als derde) toegang heeft tot het GBA. Ik kon daar eigenlijk geen enkel gerechtvaardigd doel voor bedenken. Het tweede deel van mijn verzoek, namelijk wie mijn gegevens ingezien heeft, lijkt wat lastiger te zijn.’

Hij stuurde me een kopie van een brief van de gemeente Almere die afsloot met: ‘Uw verzoek om protocolgegevens die zijn opgevraagd, zowel hier als landelijk, gaat enige tijd in beslag nemen.’ Hij heeft nog steeds geen antwoord gekregen.

In Groningen zijn ze competent

Een lezer uit Groningen had meer succes. Zijn gegevens waren geblokkeerd en de afnemerslijst had hij inmiddels ontvangen. Op 10 januari pijnigde hij me met een triomfantelijke mededeling: ‘Ik heb alles al binnen, in grunn [Groningen, DS] zijn ze verschrikkelijk competent 🙂 Ruimschoots binnen de wettelijke termijn van vier weken ook nog eens. 50 kantjes op papier, opvragingen en een lijstje van afnemers.’

Zijn afnemerslijst was bepaald exotisch te noemen, met instanties als MvVWS/Dienst Donorregister, MN services, SVB/AOW-WW, Waterschap Hunzen en Aa’s, ‘Wetterskap Fryslan’ (toch niet de eerste instantie waar je aan denkt bij een Groninger) en, mijn persoonlijke favoriet: USZO/ABP/FB/IT/BO/BIV.

Mijn hoofdstedelijke arrogantie met moeite wegslikkend belde ik andermaal met de gemeente. De telefoniste verzocht me mijn verzoek ten derde male in te dienen

Mijn hoofdstedelijke arrogantie met moeite wegslikkend belde ik andermaal met de gemeente. De telefoniste verzocht me mijn verzoek voor de derde keer in te dienen, nu per e-mail. Ik https://twitter.com/dosch/status/431799248343269376” target=”_blank”>twitterde gefrustreerd over het falen van de Amsterdamse gemeente en het balletje begon eindelijk te rollen.

10 februari, 3 dagen na de tweet, kreeg ik post van de DBI Amsterdam. De brief had een verrassende wending. Want waar ik om vroeg, een volledige gemeentelijke afnemerslijst, werd niet verstrekt. En waar ik niet om gevraagd had, een overzicht van de opvragingen op mijn persoon bij het ministerie van Binnenlandse Zaken, was volledig opgesomd. Het DBI stuurt schijnbaar dit soort verzoeken door naar het ministerie van Binnenlandse Zaken om de lijst compleet te maken.

Onaangenaam gevoel

En het is een hele lijst. Tussen december 2012 en april 2013 zijn mijn gegevens achtereenvolgens verstrekt aan de Raad voor Rechtsbijstand, de Belastingdienst, de Koninklijke Notariële Beroepsorganisatie, de Structuurtelling, het Kadaster, de GGD, Stichting Netwerk Gerechtsdeurwaarders en Dienst Uitvoering Onderwijs.

Ik heb onlangs een huis gekocht en betaal nog steeds een studieschuld af. Dat verklaart de Koninklijke Notariële Beroepsorganisatie, het Kadaster en de DUO. De, mij tot nu toe onbekende, Structuurtelling is een ander woord voor ‘volkstelling.’ En de GGD stuurde mij ooit een enquête op over mijn gezondheid.

Maar wat de raad voor rechtsbijstand en de gerechtsdeurwaarders met mijn data moeten, is mij volstrekt onduidelijk

Maar wat de Raad voor Rechtsbijstand en de gerechtsdeurwaarders met mijn data moeten, is mij volstrekt onduidelijk. En ik ben niet de enige die fronst bij het inzien van mijn eigen afnemerslijst. Bij de behulpzame Groninger staat ook de politie in het rijtje. Hij meent dat de politie vaker in zijn gegevens kijkt dan dat daar van zijn kant aanleiding toe is. Of dit waar is kan ik niet verifiëren, maar het onaangename gevoel van bekeken te zijn zonder te weten waarom, komt me niet onbekend voor. Waarom vragen deze instellingen om mijn informatie en welke informatie krijgen ze dan precies?

Elke datazoektocht werpt weer meer vragen op dan hij beantwoordt. Zo vraag ik mij nog af waarom mijn verzoek aan de DBI bij Binnenlandse Zaken terecht is gekomen, wat de gehele lijst van afnemers is die theoretisch toegang heeft tot mijn data en hoe ik kan achterhalen welke informatie is verleend aan de in de brief genoemde instellingen.

Vandaag doe ik de brieven op de post naar alle afnemers die het ministerie van Binnenlandse Zaken kon opsommen. Mocht u zich ondertussen ook, zoals de mede-speurders uit Groningen en Almere, op uw dossier hebben gestort, of werken bij een instantie als ‘USZO/ABP/FB/IT/BO/BIV,’ dan hoor ik graag uw verhaal.

Hoe bedrijven bepalen of ze zaken met je doen

Dit artikel verscheen eerder op decorrespondent.nl

In de zomer van 2013 wilde ik lid worden van Snappcar, een netwerk waar autobezitters hun auto verhuren aan autolozen. Snappcar past in het rijtje van bedrijven die de share-economy hebben omarmd en vormgeven. Via AirBnB huur je een appartement, via Peerby leen je een verrekijker, via thuisafgehaald koop je cupcakes voor onderweg en met Snappcar huur je het vervoer.

Als je mee mag doen tenminste.

Het bedrijf besloot die zomerdag in luttele seconden dat het geen zaken met me wilde doen. De auto die ons naar Midden-Frankrijk had moeten brengen ging niet door, de vakantiestress steeg en een nieuwe datazoektocht was geboren.

Als persoon bleek ik volledig kredietwaardig, maar er was sprake van een risico op wanbetaling op mijn adres

In een pathetische poging mijn vakantie te redden had ik diezelfde dag nog telefonisch contact met iemand van Snappcar. Een aardige dame vertelde dat een derde partij mijn gegevens had gecontroleerd en gescoord. ‘En een vrij hoge score ook,’ voegde ze eraan toe, ‘maximaal om eerlijk te zijn.’

Als ik wilde weten hoe dit kwam, moest ik mij richten tot een derde partij: Focum. De volgende dag stuurde ik een brief met verzoek tot inzage in mijn dossier en vertrok op vakantie, met een auto van een ouderwets verhuurbedrijf.

Toen ik terugkwam lag er post van Focum op de deurmat. De envelop bevatte mijn kredietwaardigheid zoals beoordeeld door Focum. Dat kwam deels overeen met wat de dame van Snappcar mij al had verteld, met één interessant verschil. Als persoon bleek ik volledig kredietwaardig, maar er was sprake van een risico op wanbetaling op mijn adres. Het leek erop dat een oude bewoner zich misdragen had. Lezers van mijn blog bij Bits of Freedom wezen erop dat deze informatie dan wel uit de Gemeentelijke Basis Administratie afkomstig moest zijn.

De hoogst mogelijke score

Het is nu bijna acht maanden later. Ik ben in Utrecht. Aan de rand van het centrum staat een statig pand in een klein parkje. Op de begane grond huist een advocatenkantoor. Op de bovenste verdieping heb ik een afspraak met Pascal Ontijd, de baas van Snappcar. Op een doek staat: ‘8 miljoen auto’s die 23 uur per dag stilstaan .’ Het klinkt geweldig en ik vraag Pascal waarom ik niet mee mag doen.

Op een doek staat: ‘8 miljoen auto’s die 23 uur per dag stilstaan .’ Het klinkt geweldig en ik vraag Pascal waarom ik niet mee mag doen

Hij pakt zijn laptop erbij en opent mijn dossier. In twee vakjes naast elkaar staan twee getallen: een nul en een elf. ‘Die nul zegt dat jij altijd je schulden op tijd hebt afbetaald. Oftewel, dat jij een prima persoon bent om zaken mee te doen. Die elf zegt me dat op jouw adres mensen hebben gewoond, of wonen, die de schuldsanering voorbij waren. Een score van elf ligt tegen het criminele aan. Het is de hoogst mogelijke score. Daarom ben je afgewezen.’

Maar waar komt die elf vandaan? Pascal legt uit dat zij die informatie krijgen van IDchecker. Dat is het bedrijf dat mijn rijbewijs controleerde vlak nadat ik het uploadde op de site van Snappcar. ‘Zij doen de eerste check en dat groene vakje dat je hier op je profielpagina ziet, dat is groen omdat je rijbewijs geldig verklaard is.’ Het is aan Pascal zelf om te bepalen wat hij met deze informatie doet. Hij hoeft me niet af te wijzen. Maar het verleden heeft aangetoond dat mensen met zulke hoge scores voor problemen zorgen.

Ja- en nee-vragen

Ik volg mijn data naar een bedrijventerrein in Haarlem. In de bedrijfskantine van IDchecker zitten Joe Bloemendaal van de afdeling verkoop en mede-eigenaar Pierre de Boer voor me. Ze beheren een van de grootste systemen voor het scannen van identiteitskaarten, paspoorten en rijbewijzen van Nederland.

Is er een kopie van mijn rijbewijs in dit gebouw? ‘Nee, en die is er ook nooit geweest.’ Joe is aan het woord. Hij werkt al jaren bij meerdere bedrijven die diensten leveren rond het vaststellen van iemands identiteit en Focum is zijn oude werkgever. Hij legt uit dat mijn rijbewijs een fractie van een seconde aanwezig was op een van hun servers.

Op die server zijn twee dingen gebeurd. Eén: er werd vastgesteld dat het een geldig document betrof. Twee: de tekst is gelezen, opgeslagen als exceldocument en naar Focum verstuurd. Focum vergeleek de inhoud met hun databases en stuurde de resultaten terug. De combinatie van de resultaten en van IDchecker werd naar Snappcar gestuurd en de foto van mijn rijbewijs werd gewist. Er ligt geen data meer van mij bij IDchecker. Mijn reis naar Haarlem lijkt dan ook onzinnig, maar Joe en Pierre zijn blij dat ik er ben. Ze willen graag nog een paar misverstanden de wereld uit helpen.

‘Dat stuk dat je geschreven hebt over het GBA klopt niet helemaal. Er is geen enkele mogelijkheid waarop wij of Focum gebruik kunnen maken van de Gemeentelijke Basis Administratie,’ legt Joe uit. ‘De enige registers van de overheid waar we toegang toe hebben, zijn die van de Rijksdienst Wegverkeer (RDW), om te controleren of een rijbewijs nog geldig en niet gestolen is, en de registers van het ministerie van Binnenlandse Zaken, om datzelfde te doen voor paspoorten. Daar kunnen wij een vraag stellen en slechts een ‘ja’ of ‘nee’ terugkrijgen. In jouw geval hebben we gevraagd of het rijbewijs geldig (ja), gestolen (nee) of als vermist opgegeven is (nee). We kunnen niet door die bestanden bladeren.’

Positieve en negatieve databases

Bedrijven als Focum en concurrenten als EDR of Experian, hebben een breed scala aan bronnen om uit te putten: Kadaster, incassoregistraties, faillisementsverklaringen, telefoonboeken, je internetsporen, opgekochte adresbestanden en ga zo maar door. ‘Als je van de verhuisservice van KPN gebruikmaakt, voedt je een database met informatie die KPN kan verkopen aan dit soort bedrijven,’ legt Pierre uit. In deze keten van gegevensopslag en gegevensbewerking is niet direct te achterhalen waar het fout gaat. De gebruikte databases zijn vrijwel gelijk voor alle databoeren, maar hoe de data bewerkt wordt om tot voorspellende conclusies te komen, dat is het geheim van de smid.

‘In Nederland is te weinig bewustzijn over de effecten van dit soort bedrijven op ons leven’

‘In Nederland is te weinig bewustzijn over de effecten van dit soort bedrijven op ons leven,’ meent Pierre. In andere landen is het normaal om eens per jaar bij dit soort databoeren je dossier op te vragen. De Duitse tak van Experian verwerkt jaarlijks meer dan 1 miljoen van dit soort aanvragen op een speciaal daarvoor opgerichte afdeling.

Volgens Joe was het voor mij in ieder geval handig geweest om het dossier van mijn adres op te vragen voor ik m’n huis kocht, dan had ik geweten waar ik aan begon. Ik spartel tegen dat dat niet in mijn dossier staat van Focum en laat hem het A4’tje zien. Hij fronst. ‘Dat is wel wat mager. Focum heeft meer informatie dan dit. Wellicht moet je er nog eens om vragen.’

Zo simpel werkt het

Zo komen de geheimen van de databoeren slechts langzaam aan de oppervlakte. Het beste dat ik kan doen is naar Utrecht afreizen en met Pascal praten. ‘We zitten met een dilemma,’ legt hij uit, ‘dankzij internet kunnen mensen hun meest waardevolle bezittingen met elkaar delen. Maar tegelijkertijd kan je op internet zo makkelijk je identiteit verbergen dat we nooit zeker kunnen weten met wie we te maken hebben. Om het wel te laten werken, moeten we ergens vertrouwen kweken.’

Bij Pascal heb ik in ieder geval voldoende vertrouwen gewekt. Met een simpele klik maakt hij een rood vakje groen. Zo simpel? Ja, zo simpel. Uiteindelijk bestaat de hele industrie van IDcheckers, datascrapers en gegevensverwerkers om op artificiële wijze na te bootsen waar mensen intuïtie voor hebben: in korte tijd besluiten of je iemand kunt vertrouwen of niet.

Digitale intuïtie

In de zomer van 2013 wilde ik lid worden van Snappcar, De site van Snappcar. een netwerk waar autobezitters hun auto verhuren aan autolozen. Snappcar past in het rijtje van bedrijven die de share-economy hebben omarmd en vormgeven. Via AirBnB huur je een appartement, via Peerby leen je een verrekijker, via thuisafgehaald koop je cupcakes voor onderweg en met Snappcar huur je het vervoer.Als je mee mag doen tenminste.

Lees het hele artikel bij De Correspondent.

Mormonen hebben óók toegang tot het testamentenregister

Dit artikel verscheen eerder op decorrespondent.nlVandaag een update op mijn verhaal van vorige week. Met dank aan de brede kennis van Correspondent-lezers en de bereidheid om die te delen.

Vorige week zette ik een eerste stap in de datamijn van mijn gemeente. Daar kwam ik erachter dat de gemeente gegevens van elke ingezetene kan delen met een breed palet aan http://www.bprbzk.nl/GBA/Gemeentelijke_Basisadministratie_Persoonsgegevens_GBA/Gegevensverstrekking_uit_de_GBA] ” data-id=”3626″>afnemers, Afnemers zijn: bestuursorganen (delen van de overheid zoals de belastingdients), Verplichte derden (advocaten, notarissen etc.) en Vrij Derden. Dat zijn niet commerciële partijen zoals je sportvereniging. Verder kunnen onderzoeksinstellingen voor historische, statistische of wetenschappelijke doeleinden inzicht krijgen. Zie voor meer informatie: http://www.bprbzk.nl/GBA/Gemeentelijke_Basisadministratie_Persoonsgegevens_GBA/Gegevensverstrekking_uit_de_GBA] waaronder enkele godsdienstigen. Het is al jaren zo dat je zelf kunt aangeven als je dit niet wilt, maar vrijwel niemand weet dat. Twee lezers waren al thuis in de materie en gaven mij enkele waardevolle aanvullingen. Bij dezen.

Eric Hennekam is onderzoeker en docent gespecialiseerd in het zoeken in archieven en personen. Hij was destijds betrokken bij het onderzoek in Trouw waar ik in mijn verhaal naar verwees. Hij verraste ons in de reacties met een primeur: de mormoonse kerk in Utah (Verenigde Staten) heeft, naast toegang tot de persoonskaarten Persoonkaarten werden vanaf de jaren veertig tot 1994 gebruikt voor registratie van burgers. Ze bevatte destijds veel meer informatie dan nu over ons bij de gemeente bekend is, zoals je religie. van alle burgers die tussen 1939 en 1970 zijn overleden, ook toegang tot het testamentregister. Het register dat voor nabestaanden bijhoudt bij welke notaris een testament ligt. Het zou kunnen dat er in de toekomst nog andere registers opduiken waarvan we nu nog niet weten dat ze aan de mormonen gegeven zijn.

Privacygevoelige informatie

De mormonen uit Utah digitaliseren momenteel de microfilms die ze van onze persoonskaarten hebben. Ze maken zo een gigantisch archief toegankelijk met bergen persoonsinformatie. Hier was onlangs in Frankrijk nog een rel over toen persoonsgegevens van overledenen online verschenen die in Frankrijk nog onder de privacywet vallen en niet openbaar zijn. Maar afgelopen week verscheen ook de publicatie van passagiersgegevens van mensen die naar Canada zijn gegaan. Privacygevoelige informatie die dankzij de mormonen nu voor iedereen inzichtelijk is.

De schijn is hiermee gewekt dat er meer archieven naar Utah zijn verscheept dan uit de die contracten blijkt

Hennekam: ‘Dat testamentenregister viel me pas onlangs op. Ik weet nog niet precies wat het is, maar ik denk dat het de lades zijn van het Nationaal Archief waarin de persoonsgegevens liggen van wie een testament heeft opgemaakt en bij welke notaris. Normaal zou dit pas na 75 jaar openbaar gemaakt mogen worden. Wat mij voornamelijk verbaasde is dat deze archieven niet vermeld worden in de contracten die destijds gesloten zijn tussen de mormonen en het Nationaal Archief.’

De schijn is hiermee gewekt dat er meer archieven naar Utah zijn verscheept dan uit die contracten blijkt. Hennekam heeft vervolgens een Wob-verzoek  Een verzoek tot inzage in overheidsgegevens op basis van de Wet openbaarheid van bestuur. ingediend, maar is niet te spreken over de inzichten die hem dat heeft opgeleverd. Zodra het gelukt is om meer informatie boven tafel te halen, zal ik hier zeker over berichten.

Voordelen en geheimhouding

Een andere aanvulling kwam van een medewerker van ICTU. ICTU is een overheidsinstelling en ontwikkelt websites als mijnoverheid.nl Als medeontwikkelaar van vele overheidssites benadrukt hij ook de voordelen: ‘Dankzij het stelsel van basisregistraties Het stelsel bestaat uit dertien registratiesystemen, waarvan het GBA er slechts één is hoef je nieuwe gegevens maar één keer door te geven voor de hele overheid.’

Maar er zijn ook nadelen, legt hij uit: ‘Zo kan je niet online inzien wie de afnemers zijn. Je kan de gemeente om een lijst vragen, maar verwacht vanwege de ambtelijke vorm geen lijst die makkelijk te lezen is voor leken. Bedrijven kunnen nooit zomaar je gegevens opvragen; ze moeten een doel hebben en ze moeten specifiek op jou betrekking hebben.’

Massaal gegevens opvragen voor analyse mag dus niet. Maar aan de andere kant, ik heb zelf ook wel eens mijn afnemerslijst opgevraagd en kwam een pensioenbedrijf tegen dat ik niet kende. Dat zou niet moeten kunnen. Geheimhouding aanvragen bij de gemeente is dan niet voldoende. Als je niet wilt dat een bedrijf je gegevens heeft dan moet je dit bij het bedrijf melden, niet bij de gemeente.’

Aan het stuk over de verstrekking van gegevens aan kerkelijke genootschappen wilde de ICTU-medewerker ook nog wat toevoegen.

Databaseregistraties

SILA SILA regelt de registratie van kerkelijken en verzorgt de connectie tussen de administratie van kerken en de gemeente. krijgt weliswaar een update van de Gemeentelijk Basisadministratie (GBA) als je verhuist, maar alleen als je bij het SILA geregistreerd staat. En een registratie bij het SILA is er alleen als je ouders je als gelovig hebben opgegeven bij geboorte.’

Dat dit niet echt breed bekend is, blijkt niet alleen uit de reacties op mijn vorige artikel, maar ook uit het feit dat er nog 6,7 miljoen individuen bij SILA in de database staan. Dat getal is een stuk hoger dan het aantal Nederlanders dat zich als kerkelijk identificeert.

Gelukkig is er in de nabije toekomst kans op meer duidelijkheid en inzicht. Komend jaar zal mijnoverheid.nl uitgebreid worden met meer databaseregistraties. Op termijn zal ook de afnemerslijst inzichtelijk zijn. Tot die tijd zijn we aangewezen op opt-out ‘Opt-Out’ is een term waarmee bedoeld wordt dat je automatisch onderdeel bent van een systeem totdat je zelf hebt aangegeven dit niet te willen en slecht leesbare afnemerslijsten die je zelf moet opvragen.

Mormoon worden na je dood: de gemeente regelt het voor je

Dit artikel verscheen eerder op de DeCorrespondent.nl

De overheid weet veel van ons. Van geboorteaangifte tot doodverklaring, van huwelijksakte tot salarisstrook en van A- tot doctoraaldiploma; de overheid houdt het bij. In een urbane, ontwikkelde samenleving waar we met 17 miljoen een klein stukje aarde bewonen lijkt dat noodzakelijk. Zonder deze gedetailleerde persoonsinformatie zou belasting heffen een stuk lastiger worden. Zonder belasting geen machtsmonopolie. Zonder belasting geen staat. Een staat zonder kennis over de onderdanen is als een virus zonder gastheer.

En, hoewel een enkele libertariër of anarchist me zal tegenspreken, het heeft zo z’n voordelen. Afgezien van een enkele verwoestende oorlog en de eenzijdige onderdrukking van het individu heeft de natiestaat vrede, ontwikkeling en stabiliteit gebracht. Beter dan Rick in The Life of Brian van Monthy Python kan ik het niet What did the Romans ever do for us, The Life of Brian van Monty Python. verwoorden: What did the Romans ever do for us? 

De GBA-gemeentekluis

Wat in het groot geldt voor het hele land, gaat in het klein op voor mijn gemeente, Amsterdam-Noord. De veer over het IJ, de Noord-Zuidlijn, snelheidsbeperkingen tegen fijnstof en een de aangeharkte openbare ruimte waren niet mogelijk geweest zonder de gemeente. Niet mogelijk zonder geld voor de gemeente. Niet mogelijk zonder burgers die geld aan de gemeente geven. Niet mogelijk zonder gegevens over burgers zodat de gemeente weet hoeveel geld ze kan innen.

De basis voor dit alles is de Gemeente Basis Administratie (GBA). Echter, aan deze centrale opslag van gegevens zit ook een kant die minder bekend is. De gegevens worden met een reeks derden gedeeld zonder expliciete toestemming. De GBA-datakluis staat op een kier. Hierbij meer informatie over deze kluis en waarom die op een kier staat.

De kier

Eén reden voor de kier is dat overheidsinstellingen, zoals de Belastingdienst, de Sociale Verzekeringsdienst, sociale diensten en de waterschappen bij de informatie kunnen. Nederland loopt Het artikel ‘Overheid overtreedt steeds vaker privacywet’ van webwereld.nl met het koppelen van dit soort bestanden voorop in de wereld en Nederlanders kijken er meestal niet van op. De vraag in hoeverre dit de staat of de burgers ten goede komt is interessant, maar zal ik een andere keer behandelen. Interessanter nu zijn de andere kieren.

Zo lekt uit een van die kieren informatie naar partijen als gerechtsdeurwaarders, sportverenigingen of de Nederlandse Spoorwegen (om zwartrijders op te sporen). Maar ook naar instanties die je ziel willen redden, zoals kerkgenootschappen, kunnen een kopietje krijgen. De Stichting Interkerkelijke Ledenadministratie (SILA) krijgt automatisch te horen van de gemeente wie er geboren, verhuisd of overleden is. Ook de inwoners die niet al bij het kerkgenootschap horen.

In het slechtste geval betekent dit dat je bij het aankloppen aan de hemelpoort de vraag krijgt of je toch niet liever mormoon wilt worden

En de mormonen in Utah in de Verenigde Staten kregen een volledige kopie van de persoonskaarten van alle burgers die tussen 1939 en 1970 zijn overleden. In ruil voor gratis digitalisatie van deze kaarten hielden ze een kopie voor in hun eigen ondergrondse kluis. Lees hier over de ondergrondse kluis van de Mormonen.

Voor armlastige gemeentes een ideale manier om deze kostbare operatie gratis gedaan te krijgen. Waarom de mormonen dat voor niks doen? Om mensen die geen mormoon zijn na hun dood alsnog mormoon Het artikel ‘Mormonen hebben ook Anne Frank postuum gedoopt’ uit Trouw. te maken, zoals Anne Frank en leden van het Koninklijk Huis. In het gunstigste geval betekent al dit datalekken dus dat je lokale kerk weet dat je na een verhuizing in de wijk woont, in het slechtste geval betekent dit dat je bij het aankloppen aan de hemelpoort de vraag krijgt of je toch niet liever mormoon wilt worden.

Bel-me-niet-register

De norse gemeentediender die mij te woord stond in mijn vorige verslag, had duidelijk geen kaas gegeten van de wet. Hij beweerde dat ik mijn GBA-gegevens niet geheim kan houden voor derden en dat ik geen inzage mag hebben in welke partijen die gegevens opvragen. Ondanks dat hij het op overtuigende wijze bracht, had hij ongelijk op in ieder geval één en misschien wel twee punten.

Allereerst: er is een gemeentelijk equivalent van het bel-me-niet-register. Via een vaak simpel te vinden formulier, kan je aangeven dat je niet wil dat de gemeente je informatie met anderen deelt. Mocht je na het lezen van mijn artikel vandaag ook behoefte hebben aan wat meer controle op je GBA, dan kan je bij gemeente vragen om geheimhouding. Zoeken op ‘Geheimhouding persoonsgegevens’ op de site van je gemeente levert vrijwel altijd het gewenste resultaat op.

Ik heb ondertussen deze geheimhouding aangevraagd. Maar ik blijf met twee vragen zitten die ik voor volgende keer hoop te kunnen beantwoorden:

1) Welke instellingen, bedrijven en partijen hebben in het verleden mijn informatie al opgevraagd? Hiertoe heb ik een https://pim.bof.nl/” data-id=”3183″>PIM-verzoek Verzoek met behulp van de Privacy Inzage Machine van Bits of Freedom. Link: https://pim.bof.nl/ ingediend bij de Dienst Basis Administratie van Amsterdam.

2) Waarom moet ik me actief afmelden voor dit systeem? Waarom is het ‘Opt-Out’? ‘Opt-Out’ is een term waarmee bedoeld wordt dat je automatisch onderdeel bent van een systeem totdat je zelf hebt aangegeven dit niet te willen Dat we voor een ordentelijk werkende overheid een deel van onze gegevens kenbaar moeten maken kan ik volgen. Dat die informatie ook zonder mijn expliciete toestemming met een wijd spectrum van derden gedeeld worden, is niet te verdedigen.

De overheid weet veel van ons, en dat is meestal oké. Maar voordat we bedrijven het vuur aan de schenen leggen, omdat ze onze privé gegevens te gelde maken, moeten onze primaire democratische instituten stoppen met ongevraagd onze data verspreiden. Dat zou ‘Opt-In’ moeten zijn, net als het bij leven kiezen wel of niet mormoon te zijn.

Het mysterieuze stukje data dat mijn autohuur dwarsboomde

Dit artikel verscheen eerder bij decorrespondent.nl

In augustus raakte ik in problemen door een stukje data. Het was absoluut een ‘first world’probleem,  maar toch, een dag voor je vakantie erachter komen dat je geen auto kunt huren is hinderlijk. Het stukje data claimde een ‘verhoogd risico op insolventie’ Het onvermogen om aan je betalingen te kunnen voldoen. op m’n adres. Nu ben ik vast wel eens te laat geweest met het terugbrengen van een videoband, kwam ik onlangs een euro tekort bij de fietsenmaker en deed ik er eens een maand over om de bloemist te betalen die mij het boeket had gegeven toen ik geen geld had. Niks om trots op te zijn, maar om dan te spreken van insolventie op mijn adres lijkt me overdreven. Zeker een dag voor mijn vakantie.

Financiële misdragingen

Maar terwijl de vakantieganger in mij het verhuurbedrijf, hun werknemers en bijbehorende gezinsleden tot in de derde generatie vervloekte, sprong mijn datamijnwerker enthousiast op: ik was op het data-equivalent van een goudader gestuit! Dit stukje data verraadde de aanwezigheid van een dossier dat ergens over mij was aangemaakt. Ik besloot dit dataspoor te volgen.

​De eerste etappe was makkelijk en voerde naar Focum, een bedrijf dat informatie levert over de kredietwaardigheid van consumenten. Na een dataverzoek bleek dat zij het waren die mijn adres ‘insolvent’ hadden verklaard. In datzelfde dataverzoek had ik ook gevraagd om ‘een volledig en begrijpelijk overzicht […] en de beschikbare informatie over de herkomst van mijn gegevens.’ Deze herkomst is wat ik nu zoek en wat ze me nog schuldig zijn.

In een strategische terugtrekking volgde ik het dataspoor een stukje terug naar het autoverhuurbedrijf. Zij waren behulpzamer en meenden dat er een kans is dat er nog een registratie op mijn woonadres staat van een vorige bewoner, dat tot ongeveer één jaar na uitschrijving bij de gemeente geregistreerd kan blijven. Zouden de financiële misdragingen van de vorige bewoner mijn huis nog steeds besmetten en mijn vakantieplannen dwarsbomen – terwijl ik daar al bijna twee jaar woon?

‘De Gemeente kan niks voor u doen’

Of ligt de fout bij de gemeente? Ik volg het spoor door herfstwinden en slagregens naar het loket Burgerzaken in het centrum van de stad. Een man met hangsnor deelt nummertjes uit. Hij heet mij welkom. Ik leg hem uit waar ik voor kom. Hij acht zichzelf kennelijk voldoende geïnformeerd dat doorverwijzen naar het loket met een gemeentelijke privacy-expert niet nodig is. Zonder er een boek op na te hoeven slaan rakelt hij de wet op: ‘De Gemeente deelt informatie uit de Gemeentelijke Basis Administratie (GBA) met zichzelf. De Gemeente deelt gegevens uit het GBA met andere delen van de overheid. De Gemeente deelt gegevens uit het GBA met ‘derden’ nadat zij hier een verzoek voor hebben ingediend. De Gemeente hoeft burgers hier geen inzicht in te geven. De Gemeente acht dit afdoende antwoord.’

Ik spartel tegen. Het kan toch niet zo zijn dat er bedrijven zijn die eenvoudig informatie over mij mogen opvragen uit het GBA en dat ik daar zelf niks vanaf weet? De ambtenaar blijft onbewogen: ‘De Gemeente gaat erg secuur om met uw data. De Gemeente kan niks voor u doen. De Gemeente heeft een deur en die is achter u.’

Het kost me een fietstocht naar huis om deze teleurstelling te boven te komen. Niet alleen wil ik weten hoe dat bedrijf mijn adres insolvent kan verklaren, ik accepteer ook niet dat ‘De Gemeente’ mijn gegevens deelt met derden en mij daarover niet kan informeren. Vandaag nog gaan er brieven op de post naar de gemeente en naar Focum met een vraag om meer duidelijkheid. U hoort nog van mij.