Datalekken zijn een ontwerpfout, geen pech
Odido. De gemeente Epe, waar de gegevens van vrijwel alle inwoners zijn buitgemaakt. Het bevolkingsonderzoek bij honderdduizenden vrouwen. Zelfs de Autoriteit Persoonsgegevens, de toezichthouder zelf. De afgelopen maanden lijkt elke week een nieuw lek met zich mee te brengen, en de reactie is steeds dezelfde: betere beveiliging, strengere boetes, snellere meldplicht. Allemaal zinnig, maar het zijn pleisters op een fundamenteler probleem. Onze data ligt op de verkeerde plek.
Een gedachte-experiment om dat duidelijk te maken. In de fysieke wereld heb je één brievenbus. De gemeente, je bank, je tante en de bezorger van een pakketje gebruiken allemaal dezelfde gleuf in je voordeur. Niemand vindt dat raar. We hebben dat halverwege de negentiende eeuw zo bedacht, en sindsdien hebben we het zo gelaten.
Digitaal hebben we het tegenovergestelde gedaan. Mijn Bank, Mijn Overheid, Mijn Energieleverancier, Mijn Zorgverzekeraar, en zo nog tientallen. Elk met een eigen inlog, een eigen interface, een eigen wachtwoord, een eigen beveiligingsniveau. We accepteren het, omdat we niet beter weten. Maar als je het hardop uitspreekt klinkt het absurd: waarom zou ik tientallen aparte digitale postbussen moeten beheren voor partijen die mij allemaal gewoon iets willen sturen?
De vraag achter de vraag
Het antwoord is dat het zo gegroeid is, niet zo ontworpen. Toen het internet commercieel werd, bouwde elke organisatie een eigen klantomgeving. Er was geen neutrale digitale infrastructuur, en niemand had er belang bij om die te creëren. Sterker nog: bedrijven hebben er belang bij dat jij regelmatig bij hén inlogt, niet bij een gedeelde brievenbus waar zij maar één van de afzenders zijn.
Het gevolg is dat jouw gegevens nu op honderden plekken staan. Bij elke organisatie waar je ooit klant bent geweest, ligt iets van jou, soms iets wat je bewust hebt afgegeven, zoals een paspoortscan of rekeningnummer, vaak ook iets wat als bijproduct is ontstaan: je klikgedrag, wat je koopt, hoe laat je inlogt, de lijst is langer dan je denkt. Elk van die plekken is een potentieel datalek. Elk daarvan beheert jouw informatie volgens eigen normen, eigen budget en eigen toewijding. En jij hebt geen idee wat ze precies hebben, hoelang ze het bewaren of wie er toegang toe heeft.
Hier denkt een lezer misschien: maar we hebben toch e-mail? Dat is precies wat e-mail had kunnen zijn, en deels ook is. Het werkt als universele post-infrastructuur omdat het ontworpen is voordat commerciële belangen het konden fragmenteren. Maar e-mail is niet aan jou als persoon gekoppeld, het is gewoon een willekeurig adres dat iedereen kan aanmaken. Niemand kan op basis van een e-mailadres zeker weten dat jij het echt bent, en jij kan op basis van een afzender niet zeker weten dat het bericht echt van je bank komt. Daarom werkt e-mail prima voor losse berichten, maar bouwen organisaties juist eigen portalen voor alles waar het ertoe doet. We missen de laag eronder: een brievenbus die wél bij jou hoort, en waarbij iedereen zeker weet dat hij naar de echte jij stuurt.
Een ander uitgangspunt
Er is een logischer alternatief, en het laat zich in één zin samenvatten: data hoort bij de persoon, niet bij de dienst.
Stel je voor dat jij één digitale brievenbus hebt. Iedereen die je iets wil sturen, een rekening, een bericht, een formulier, stuurt het daarheen. Jij bepaalt wie er mag schrijven en wie niet. Dezelfde infrastructuur kun je gebruiken om informatie terug te sturen, formulieren in te vullen, en op tijdelijke basis bepaalde gegevens te delen wanneer dat nodig is.
Het principe gaat verder dan post. Veel van wat organisaties nu opslaan, hoeven ze eigenlijk niet te weten. Een bank die wil verifiëren dat je een geldige identiteit hebt, hoeft volgens de wet geen kopie van je paspoort te bewaren, een eenmalige bevestiging volstaat, in de praktijk doen ze het wel. Een verhuurder die wil weten of je inkomen voldoende is, vraagt nu om een loonstrook, terwijl een geverifieerde ja of nee van een vertrouwde partij genoeg zou zijn. Een webshop die wil bezorgen, heeft alleen op het moment van bezorging een adres nodig, maar bewaart het jaren.
Dezelfde logica is bruikbaar voor medische gegevens. In plaats van dat jouw dossier verspreid ligt over alle zorgverleners en instanties die je ooit hebt gezien, allemaal aanvalsoppervlakken, draag jij de relevante informatie zelf bij je. Een hulpverlener zou in een noodgeval kunnen uitlezen wat hij moet weten, beveiligd via bijvoorbeeld een combinatie van biometrie en een professioneel token waarover alleen erkende zorgverleners beschikken. Welke vorm precies werkt is iets om uit te zoeken en te testen, maar het principe is duidelijk: geen centrale database om te hacken, want die bestaat niet meer.
De voor de hand liggende bezwaren
Twee tegenwerpingen komen altijd langs. De eerste: wat als ik mijn drager kwijtraak? Dat is een echt probleem, maar het is een technisch probleem, geen principieel probleem. Mensen verliezen nu ook hun bankpas, hun paspoort en hun huissleutel. Daar hebben we werkbare oplossingen voor: meervoudige verificatie, herstel via een vertrouwde uitgever, sociale recovery via personen die jij vooraf aanwijst. Geen enkele oplossing is perfect, die van vandaag ook niet, maar de afweging is haalbaar.
De tweede: dit is veel werk. Klopt. Maar elk groot systeem ooit was veel werk voordat het er was. Het hele postnetwerk is in de negentiende eeuw decennialang stap voor stap opgebouwd. De vraag is niet of het moeilijk is, maar of het de moeite waard is.
Een uitnodiging
Wat hier op het spel staat, is meer dan IT-architectuur. Het is een ontwerpkeuze over hoe we als samenleving omgaan met informatie, met identiteit en met vertrouwen. We zitten nu vast in een model dat niemand bewust gekozen heeft, dat steeds duurder wordt om in stand te houden, qua kosten, qua datalekken, qua verlies van controle, en dat in de kern voortkomt uit een ingesleten patroon: we doen het zo omdat we het zo doen.
De technologie om het anders te doen bestaat. Op kleine schaal wordt eraan gewerkt, ook in Nederland. Op Europees niveau is met eIDAS 2.0 een eerste stap gezet: voor eind december 2026 moet elke lidstaat een digitale identiteitswallet beschikbaar hebben gesteld aan zijn burgers, waarmee mensen zelf bepalen welke gegevens ze met wie delen. Een belangrijk begin, al blijft het beperkt tot identiteitsverificatie en niet tot communicatie of bredere data-soevereiniteit. Wat ontbreekt, is een breder publiek gesprek over wat wij als burgers eigenlijk willen. De discussie over data-soevereiniteit gaat tot nu toe vooral over instituties, niet over individuen.
Misschien is dat het echte beginpunt. Niet “hoe beveiligen we onze data beter”, maar “waarom is onze data zo georganiseerd dat ze überhaupt zo zwaar beveiligd moet worden?” Het antwoord op die vraag bepaalt hoe digitale samenlevingen er over twintig jaar uitzien. En dat antwoord komt er alleen als meer mensen hem stellen.