18 juni 2024

Informatie-ongelijkheid en de komst van ArQiver

De informatie-gelijkheid tussen overheden/organisaties en haar burgers/klanten is afgelopen decennia in onbalans gekomen. Door politiek en daaruit vloeiende wetgeving worden uitvoerende organisaties enerzijds gedwongen overdreven veel data over hun burger of klant te verzamelen. Anderzijds duwen privacywetten hen gelijkertijd in een keurslijf hoe ze deze verzamelde data mogen toepassen. Immers zonder toestemming van burger of klant mag de uitvoering die verzamelde data minimaal gebruiken. Dit leidt tot enorme ontsporingen en/of inefficiency, zoals we hebben kunnen zien met de toeslagen-affaire en nu de uitvoering van de Wwtf, de wet ter voorkoming van witwassen en financieren van terrorisme. In beide gevallen is de politiek zover doorgeschoten in het (willen) voorkomen van fraude en terrorisme, dat de uitvoerende organisaties in feite gedongen worden elementaire mensenrechten met voeten te treden. Dat dit tot ongelukken en uitwassen leidt, is ook heel begrijpelijk. Hoe kunnen we dit herstellen?

Informatie-ongelijkheid en de komst van ArQiver image

De Wwft: Wat kunnen en wat moeten we ermee?

Over deze hoofdbrekens bij de uitvoering van de Wwtf werd op donderdag 13 juni tijdens het traditionele Risk & Compliance Jaarcongres gesproken. Banken, betaaldiensten en trustkantoren worden geconfronteerd met de zeer ingewikkelde wet. Veel aldaar werkzame personen vragen zich af hoe daar in de praktijk mee om te gaan. De bedoeling van de wet was goed: het bestrijden van witwassen en terrorismefinanciering. Maar in de praktijk is het uit de hand gelopen. Met name financiële instellingen zijn momenteel doorgeschoten in hun angst voor de verschillende, zware boete-opleggende toezichthouders. En er zijn nogal wat  toezichthouders. Naast De Nederlandsche Bank, de Stichting Autoriteit Financiële Markten en het Bureau Financieel Toezicht, maar ook de Deken (advocaten), het ministerie van Financiën en de Kansspelautoriteit. Met boetes die regelmatig in de honderden miljoenen lopen.  

Veel organisaties hebben ermee te maken, maar ook accountants, notarissen, handelaren in onroerend goed en zelfs verhuurders van safes. Want wat zijn ‘ongebruikelijke transacties’ die moeten worden gemeld aan de FUI, de financial intelligence unit van de overheid? Wie bepaalt wat ongebruikelijk is en wanneer het ‘inderdaad’ ongebruikelijk is. Hoe makkelijker we data kúnnen verzamelen, hoe makkelijker politici de grens van wat we willen inzien, verhogen. Ook de nauwkeurigheid waarmee we tegenwoordig kunnen meten, leidt – zoals bij de stikstof affaire – tot de ongewenste situatie dat we ‘alles zo nauwkeurig mogelijk meten’ en overschrijdingsnormen baseren op de kleinste afwijkingen die we nog kunnen meten. En daarmee doorschieten in risicomanagement en gigantische administratieve kosten maken voor een – achteraf – minimaal resultaat.

Datahonger leidt tot uitwassen

Digitalisering maakt meten en verzamelen van data makkelijker. We maken niet alleen meer data, maar ongemerkt ontstaan enorme ‘datasporen’ over alles wat we als burger en klant doen en hebben gedaan. Tot in de kleinste details. Daarnaast kan in de kleinste details worden gezien wat goed, maar vooral wat fout ging. Bij de toeslagenaffaire zagen we dat het niet aankruisen van een minimaal ‘vinkje’ al kon leiden tot onderzoek en verdachtmaking. Datzelfde zien we nu terug bij de uitvoering van de Wwtf: een minimale, onbekende financiële transactie kan al leiden tot opmerkzaamheid en verdachtmaking. Voor klant en burger geldt dan opeens: schuldig tot je het tegendeel kunt aantonen. Volkomen in strijd met de rechten van de mens!

Strijdig met ons rechtsbeginsel: je bent immers pas schuldig tot de rechter dat bewezen acht. Ongelimiteerd data verzamelen zonder bescherming of betrokkenheid van consument, klant of burger is één van de grootste bedreigingen voor onze maatschappij. Het noodzakelijke toezicht op het witwassen leidt tot een markt van bedrijven die tot het uiterste gaan om alle data te verzamelen die maar mogelijk is: ‘hoe meer hoe beter is daar het adagium’. Terwijl juist ‘In der beschränckung zeigt sich erst der Meister’. Meer is niet noodzakelijk beter. Integendeel. Soms verdrinken we dusdanig in de data dat we als organisatie de informatie en de ‘intelligence’ daarvan niet meer zien en herkennen. En dan al snel denken dat het mogelijk fout kan zijn. 

Ongelijke informatiepositie

Zowel de confronterende dag bij Risk en Compliance over de Wwtf, alsmede de ervaringen van de toeslagenaffaire – eerst veel te snelle verdachtmakingen en nu overdreven terugbetalingen – laten zien dat het voor grote ambtelijke, uitvoerende organisaties ondoenlijk is deze groeiende hoeveelheden data nog op ordentelijke wijze te kunnen beoordelen. Waarbij we ethische ontsporingen zien omdat – heel logisch gezien de boetes – het zekere maar voor het onzekere wordt genomen. De burger die wellicht fraudeert, de klant die wellicht geld witwast. Terwijl met een simpele vraag of een eenvoudig gesprek die onterechte verdenking nooit was ontstaan. De burger of klant weet steeds minder wat overheid of bank van hem of haar weet, maar het omgekeerde is wellicht nog veel erger: de overheid en bank weet nog veel minder dan de burger of klant weet. 

In deze zee van data verdrinkt niet alleen ambtenaar en bankemployé maar ook de burger en de klant. Er ontstaat aan beide kanten een gebrekkige, onwenselijke en zelfs onrechtmatige ongelijkheid in informatiepositie. Door privacywetgeving mag overheid of bank zonder doelgerichte consent van een burger of klant ook niet ‘zo maar’ alle data die is gevonden, gebruiken. Terwijl die burger of klant daarmee direct elke ‘verkeerde twijfel’ kon wegnemen. De ambtenaar of bankemployé weet vaak niet welke andere relevante, verdenking wegnemende data, op andere plaatsen binnen zijn eigen organisatie aanwezig is. Inzicht is de eigen dataverzameling van de organisatie is één van de grootste struikelblokken. Data verspreid in vele silo’s en in niet gekoppelde toepassingsomgevingen, uit het zicht van organisatie en burger of klant. 

Balans herstellen: een wederzijds gelijke informatiepositie 

Privacywet en Nationale Archiefwet eisen dat organisaties zorgvuldiger omgaan met data. Data die zij namens of voor burger of klant beheren. Ook data die zij zelf over deze burger of klant hebben verzameld. Die op vele plaatsen in hun organisatie is opgeslagen en wordt bewaard. De groeiende stroom digitale data, inclusief alle ‘vluchtige’ chatdata die tegenwoordig moet worden bewaard, maakt het probleem alleen maar groter. De enige oplossing van dit groeiende probleem is alle gecreëerde en ontvangen data ‘zo snel mogelijk ordentelijke centraal beschikbaar te krijgen’. Een soort real-time, open archief, maar dan een archief aan de voorkant van de levenscyclus. 

Burger of klant krijgt door toegang tot dat ‘open archief’, inzicht in de informatie die de organisatie over hem of haar heeft. En soms niet geheel klopt, onvolledig is of zelfs verkeerde documenten bevat. Een gemeenschappelijk dossier waar zowel burger, klant, ambtenaar en bankemployé ‘opeens’ weer – maar nu digitaal – een werkelijke ópen gesprek aan de balie kunnen hebben. En hun dossiers synchroniseren. Zeker weten dat beiden dezelfde informatie hebben waarop burger, klant, ambtenaar of bankemployé hun gemeenschappelijke conclusies en beslissingen op kunnen baseren. Met alle doelgerichte consent op het gebied van privacy en vertrouwelijkheid, omdat ambtenaar, bankemployé, burger of klant immers zelf zijn of haar data controleert en inbrengt. 

ArQiver: archiveren vooraf en actieve dossier-deling   

De toeslagenaffaire was de reden te onderzoeken waarom het allemaal zo fout liep en wat – vanuit data inzicht gezien – dit had kunnen voorkomen of tenminste minimaliseren. Twee problemen kwamen in zicht: geen centraal ambtelijk overzicht over alle aanwezige data en de ontstane informatie-ongelijkheid tussen burger en ambtenaar. De logische aanbeveling leidde tot de simpele conclusie dat zo snel mogelijk onveranderlijke data te archiveren én dit archief direct open te stellen voor zowel betrokken ambtenaren als burgers. Burger en ambtenaar die beiden in hetzelfde dossier kunnen kijken. Die beiden dossiers kunnen updaten, controleren en aanvullen. Die beiden consent kunnen geven dat de data gedeeld mag worden. Dat een gelijke informatiepositie garandeert tussen burger en overheid. Of bij de Wwtf: tussen klant en bank. 

Enkele jonge ondernemers gingen met moderne techniek en software aan de gang om een oplossing te bouwen. Snel en automatisch aan het begin van een formele lifecycle, informatie onveranderlijk vastleggen in een open archief. Niet alleen formele documentenstromen, maar ook de vluchtiger data daar omheen zoals email en chatdata. Miljoenen documenten en objecten per dag. Voorzien van label, metadata en relevante context. Persistent opgeslagen opdat achteraf geen data wordt veranderd. Net als bij een grootboek bij fouten alleen kan worden geüpdate in nieuwe versies. Een open archief dat via een mobiele app toegang geeft aan burger en klant om zijn eigen dossiers te zien en mede te beheren. Dat product is deze maand geïntroduceerd en komt in augustus definitief op de markt: ArQiver. Een revolutionaire oplossing die het paradigma van onze democratische datahuishouding wezenlijk verandert. Zo snel mogelijk ‘vrijgegeven’ informatie op open wijze archiveren en ter beschikking stellen, zowel intern als via een mobiele app voor elke burger of klant. Het einde van de ongewenst gegroeide informatie-ongelijkheid die helaas tot veel fouten, verkeerde verdachtmakingen en enorme persoonlijke schade heeft geleidt. Ook op het gebied van informatie-ongelijkheid gaat de zon weer schijnen...

Door: Hans Timmerman (foto)

Dutch IT Security Day BW tm 15-10-2024 Dutch IT Golf Cup BW tm 16-09-2024
Dutch IT Security Day BN tm 15-10-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!