Privacy in USA vogelvrij

Informatie is tegenwoordig in IT afgezonken, en dat heeft
verstrekkende gevolgen voor de bescherming ervan.
Informatie, en privacy zijn lastige begripen, en het wordt
snel te abstract voor de man op straat.  Ergens voelen we
wel dat het niet handig is, als iedereen al je informatie
heeft.  Maar wat daar nu de implicaties van zijn, wordt
menigeen al gauw te vaag.  Aan de andere kant is het lastig
te verkroppen dat de privacy van bijvoorbeeld veelplegers
zo ver gaat, dat goedwillenden zich openlijk afvragen of
dat nu de bedoeling van privacy is.

Door dit soort schijnbare tegenstellingen willen sommigen
hun privacy opgeven gewoonweg omdat ze niets te verbergen
hebben, niets onwettigs doen, geen gekkigheid uithalen, en
belasting betalen als daarom gevraagd wordt.  Als daarmee
dan de kwaadwillenden ook maar gepakt worden.  Een mooi
gebaar, wat tevens laat zien dat privacy een te abstract
begrip is voor velen.  Wat men bijvoorbeeld vergeet is wat
het betekent om privegegevens, van burgers die niets
verkeerd gedaan hebben, op straat te leggen.  Op de
uitroep: "van mij mogen ze alles weten" heeft het bankwezen
slim ingespeeld en voegt daar aan toe:  "behalve m'n pin
code".  Maar daar ligt dan ook de crux!  Zodra men
privacyschendingen in de eigen portomonee voelt, wordt een
en ander meteen veel concreter.  Dan snapt de burger ineens
wat het betekent als je informatie op straat ligt.

Voorbeeldje.  Stel je voor dat je toekomstige werkgever via
de belastingdienst vlak voor de salarisonderhandelingen een
overzicht opvraagt van wat je de laatste tien jaar zoal
hebt verdiend.  Dan kun je er vanuit gaan dat het aanbod
dat je krijgt haarscherp is: geen cent teveel hoor.  Dat
gebeurd er nu als iedereen alles van je mag weten.  Maar
goed dat dat niet gebeurd.  Of toch?  Uit een FBI onderzoek
begin jaren negentig bleek het relatief eenvoudig om binnen
een week voor 175 dollar de volledige salarishistorie te
krijgen van iedere willekeurige Amerikaan.  Dit werd
inderdaad door toekomstige werkgevers gebruikt om scherpe
salarisonderhandelingen te voeren.  Die informatie werd
illegaal aangeleverd door mensen van de IRS, de Amerikaanse
belastingdienst, voor de somma van 25 dollar per verzoek.
Zoveel is je privacy dus waard voor de mensen die je data
beheren, en het gevolg van ondoordachte implementatie van
de systemen van de IRS.  Er werden naar aanleiding van deze
zaak maar liefst honderden IRS medewerkers op hun vingers
getikt.

Maar het kan nog gekker bij de IRS.  Een lid van de Ku Klux
Klan die bij de IRS werkte was opzoek naar een mogelijke
mol bij zijn afdeling.  Wat deed hij?  Heel slim, hij
bekeek gewoon alle records van zijn KKK-vrienden om te zien
of er eentje bij was die bijverdiende bij de FBI, de CIA of
de NSA.  Dat speelde ergens eind negentiger jaren.  In de
rechtzaak die volgde, kon niemand bewijzen dat hij iets met
de verkregen informatie gedaan had, en daarom kon hij niet
veroordeeld worden.  Later werd de wet aangepast en is nu
het bekijken van IRS data door IRS medewerkers strafbaar
als die data niet voor het werk relevant waren.

Na vele jaren ervaring met privacy, schendingen daarvan en
de mogelijke gevaren die dat oplevert voor de burger, zou
je denken dat men in Amerkia die zaken nu wel op orde
heeft.  Dat blijkt niet het geval te zijn, bleek uit een
uitspraak van de hoge raad van 24 februari 2004.  Wat is
het geval?  De wet op de privacy verbied de overheid het
willens en wetens bekend maken van privegegevens van
burgers, zonder dat ze daar zelf toestemming voor gegeven
hebben.  So far, so good.  En bovendien wordt er een waarde
toegekend aan deze overtreding:  minimaal 1000 dollar kun
je terugkrijgen als je kunt aantonen dat je "adversely
affected" bent.  Oftwel, als dit je aantoonbaar schade
heeft toegebracht.  En daar zit de adder onder het gras:
men draait namelijk de bewijslast om.  Okay, je data ligt
op straat, so what?  En dat laatste nu, moet jij aantonen
als Amerikaanse staatsburger.

Dus jij moet aantonen dat je baas je belastingdossier kent,
dat je verzekering je ziektedossier kent, dat iemand je
identiteit heeft gestolen, etc.  Dat gaat ver.  Dat ging
ook sommige anderen te ver, en een aantal anonieme
mijnwerkers spanden een zaak aan.  Waarom?  Ze hadden
claims ingediend bij de overheid wegens zwarte longen door
werken in de mijnen.  Maar hoe hou je nu al die cases
simpel uit elkaar?  Juist, gebruik de sofinummers gewoon
als casenummer!  Dat is handig omdat iedereen dan kan zien
wat je sofinummer is, zodat iemand je gegevens nog
makkelijker kan opvragen voor je salarisgegevens of je
identiteit nog eenvoudiger gestolen kan worden.  We kunnen
zonder problemen voorstellen hoe het is, als je ineens
geconfronteerd wordt met een stapel aan vorderingen omdat
een malafide bedrijfje zich onder jou identiteit bij de
Kamer van Koophandel heeft ingeschreven om even snel
iedereen op te lichten.  Met slechte privacy bescherming is
dat allemaal binnen handbereik.

Vorige maand heeft de supreme court een verstrekkende
uitspraak gedaan:  "The question before us is whether
plaintiffs must prove some actual damages to qualify for a
minimum statutory award of $1,000. We hold that they must."
Dat betekent dus dat in de USA je gegevens vogelvrij zijn,
zelfs als de overheid ze als confetti over het land
uitstrooit.  En dat als je daar een probleem mee hebt, so
what!

X

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica 
aan de Vrije Universiteit in Amsterdam.  Hij schrijft      
maandelijks een column in AG II.  Deze tekst is 
copyright SDU.  Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.