Persoonsgegevens te gretig verzameld
Bij ongeveer 90 procent van de gemeenten is het vandaag de dag mogelijk om online een afspraak te maken, zo blijkt uit een inventarisatie van Binnenlands Bestuur. Bij slechts 5 van de 53 onderzochte gemeenten moet de burger nog een belletje doen of simpelweg langsgaan en hopen op een korte wachtrij voor de balie.
Wie een online afspraak maakt met de gemeente moet naast een e-mailadres vaak allerlei persoonlijke gegevens invullen, zoals adres, geboortedatum en BSN-nummer. Handig om de klant beter te bedienen, stellen gemeenten. Of oneigenlijke verzameldrift?
Bij ongeveer 90 procent van de gemeenten is het vandaag de dag mogelijk om online een afspraak te maken, zo blijkt uit een inventarisatie van Binnenlands Bestuur. Bij slechts 5 van de 53 onderzochte gemeenten moet de burger nog een belletje doen of simpelweg langsgaan en hopen op een korte wachtrij voor de balie. Online afspraken kunnen worden gemaakt om bijvoorbeeld een paspoort aan te vragen, een huwelijk aan te geven of een gesprek over het kwijtschelden van schulden aan te vragen. De meeste gemeenten vragen hierbij behalve contactgegevens ook om persoonsgegevens. Bijvoorbeeld een geboortedatum, een BSN-nummer en adresgegevens.
Dat is niet noodzakelijk om een afspraak te plannen, zo blijkt uit informatie van de Informatiebeveiligingsdienst voor gemeenten (IBD). ‘Een formulier waar alleen contactgegevens als e-mail of telefoonnummer ingevuld worden volstaat bij het maken van een afspraak ook. Zolang de gemeente genoeg informatie heeft om de persoon te bereiken.’ Een naam, aangevuld met contactgegevens zoals een telefoonnummer of e-mailadres, zou dus genoeg moeten zijn.
Nuttig
Toch kan het voor gemeenten nuttig zijn om op voorhand te weten wie er na een online afspraak voor de balie komt te staan, stelt de gemeente Vlissingen. Een woordvoerder geeft aan dat door deze extra gegevens met zekerheid kan gesteld worden wie de ‘afsprakenmaker’ is. Daardoor kan de gemeente bepaalde zaken beter voorbereiden. ‘Dat scheelt simpelweg tijd’, stelt een woordvoerder.
Het betekent wel dat gemeenten eigenhandig ‘afspraakgegevens’ opslaan. Dat hoeft niet: een veelgebruikte wijze voor authenticatie zonder dat gemeenten zelf gegevens opslaan, is het afsprakenformulier versleutelen met een inlogsessie bij DigiD. Daar is de verbinding bij het invullen gegarandeerd veilig en privé. Van de 53 gemeenten kiezen er negentien voor deze manier. DigiD is daarbij volgens de IBD, ‘zowel aan de voorkant als achterkant’ veilig.
Van de onderzochte gemeenten zijn er 29 (54 procent) die online afspraken zonder DigiD laten verlopen. Dat is volgens de IBD echter niet per se onveiliger dan mét DigiD-versleuteling. ‘Bij de overdracht van persoonsgegevens dient er altijd sprake te zijn van een veilige verbinding. DigiD is een goed authenticatiemiddel met een veilige verbinding. Maar het is niet zo dat als je geen DigiD gebruikt, er ook meteen geen sprake is van een veilige verbinding. Het is aan gemeenten zelf hoe zij hier mee omgaan.’
Gegarandeerd veilig
Een afspraak maken zonder DigiDversleuteling is dus niet per se onveilig. Echter: om betrouwbare authenticatie te doen is versleuteling met DigiD wel het meest geschikt, daarnaast zijn persoonlijke gegevens gegarandeerd veilig. Want wat gebeurt er met de gegevens die door gemeenten zonder DigiD-authenticatie worden verzameld?
De gemeente Almere is één van de 29 gemeenten die bij afspraken om persoonlijke gegevens vraagt. ‘Wij verzamelen deze gegevens om een klantbeeld op te bouwen’, vertelt een woordvoerder. ‘De gemeente Almere wil zaakgericht werken en een uitgebreid beeld hebben van degenen die hun producten nodig hebben. De informatie wordt die via deze contactformulieren binnenkomt wordt vastgelegd en in de toekomst mogelijk gebruikt bij nieuwe afspraken of aanvragen voor producten. Voor de klant is dit handig, omdat bepaalde gegevens niet opnieuw hoeven worden ingevuld. Daarnaast kan de gemeente op basis van deze gegevens beter inzien wat er in welke buurt speelt.
Er wordt zodoende een intelligente portal gebouwd en de dienstverlening verbeterd.’ Toch ziet Almere ook in dat het onopvallend inzamelen en opslaan van privégegevens niet ideaal is. ‘We willen uiteindelijk minder gegevens bewaren. De gemeente denkt hierover na en wil in de toekomst minder van deze data opslaan.’ De Informatiebeveiligingsdienst voor gemeenten wil zich niet over de kwestie uitspreken. ‘Of het opvragen van deze gegevens overbodig is of niet, is uiteraard niet aan de IBD. Het is de verantwoordelijkheid van de gemeente zelf om te bepalen wat nodig is voor een afspraak.’
Het lijkt wel of we helemaal geen regering meer hebben. Mijn vrouw hoort gelukkig en veilig te zijn.
De gemeente zou wat moeten ondernemen hier tegen dat verwacht je maar ze zijn nooit thuis.