Ik heb toch niets te verbergen
Waarom het de hoogste tijd is om dit niet langer als zwak argument te zien - maar als strategie.
Jarenlang was "ik heb toch niets te verbergen" de zin die je zei als je privacy niet begreep. Privacy-experts rolden met hun ogen. Juristen legden geduldig uit waarom het argument niet deugde: het gaat niet om wat u te verbergen hebt, maar om wie er toegang heeft en wat ze ermee doen. Terecht, overigens.
Maar er is iets veranderd. En misschien is het tijd om die zin te heroveren.
Het topje van de ijsberg
Afgelopen week dook een verontrustend detail op in de Odido-datadiefstal - want laten we het zo noemen. "Datalek" is de juridische term, maar bij een bankoverval spreken we ook niet over een geldlekkage. Het gaat om diefstal, met daders, slachtoffers en verantwoordelijkheid. En die diefstal trof in dit geval 16.000 medewerkers van vitale Nederlandse infrastructuur - een detail dat niet door het NCSC maar door onderzoeksplatform Follow the Money1 boven water werd gehaald. Medewerkers van drinkwaterbedrijven, netbeheerders, ProRail, Schiphol, Gasunie. Telefoonnummers, paspoortnummers, bankrekeningnummers. Targets, kortom, voor buitenlandse inlichtingendiensten.
Maar dat was slechts het topje van de ijsberg. De volledige omvang: circa 6,5 miljoen personen en 600.000 bedrijven. Gegevens van identiteitsbewijzen - nummers, geldigheidsdatums - van miljoenen mensen. BSN-nummers, met name van oud-ZZP'ers van wie het KVK-nummer ooit gelijk was aan hun BSN - een erfenis van beleid dat allang achterhaald is. En bij 71.000 mensen stond het e-mailadres van een bewindvoerder of hulpverlener in het bestand - en daarmee dus ook het feit dát ze begeleiding ontvangen.
Schokkend? Misschien. Maar bovenal: symptomatisch. Dit is niet het eerste lek, en het wordt ook niet het laatste. De lijst groeit — exponentieel, uiteraard, want in dit vakgebied groeit alles "exponentieel".
De realistische aanname is allang niet meer "mijn data lekt misschien ooit." Het is: "mijn data staat waarschijnlijk al ergens waar ik geen weet van heb."
Het officiële advies
Het standaardadvies na zo'n lek? Controleer wat er gelekt is, verander je wachtwoord - en wees "alerter dan normaal." Dit is het digitale equivalent van iemand vertellen dat zijn huissleutel gekopieerd is en adviseren goed uit te kijken bij het oversteken.
Dergelijk generiek advies beschermt precies de mensen die het minst bescherming nodig hebben, en laat de kwetsbaarsten in de steek. "Pas op voor phishing" helpt niets voor de vrouw die gevlucht is voor een gewelddadige ex-partner en van wie het adres nu op straat ligt. Of voor de 71.000 mensen van wie nu publiekelijk bekend is dat ze onder bewindvoering staan of zorg ontvangen - informatie die ze nooit zelf gedeeld hadden. Voor hen is dit geen IT-probleem. Het is een veiligheidsprobleem.
Niet alle data is hetzelfde
Hier ligt de kern van het probleem: we behandelen al onze persoonlijke data alsof het dezelfde bescherming nodig heeft. Dat klopt niet (meer). Er zijn ruwweg drie categorieën:
Identiteitsgegevens - paspoortnummer, telefoonnummer, geboortedatum. Van deze kun je aannemen dat ze al op straat liggen. Stop met systemen bouwen die erop vertrouwen dat ze geheim zijn. Maar context telt: een huisadres is voor een stalking-slachtoffer geen identiteitsgegeven, maar veiligheidskritische data. De categorie hangt niet alleen af van wat de data is, maar van wie jij bent - en dat is precies waarom generiek beleid tekortschiet.
Echt persoonlijke data - medische geschiedenis, je financiële situatie, seksuele oriëntatie. Dit verdient bescherming - maar via toegangscontrole en dataminimalisatie, niet via de illusie dat het vanzelf geheim blijft.
Veiligheidskritische data - de locatie van iemand die vlucht voor een gewelddadige ex-partner, de identiteit van een klokkenluider, het feit dat iemand een gevoelige functie vervult. Hier is geheimhouding geen illusie maar een noodzaak. Elk systeem dat gebouwd wordt op de "niets te verbergen"-aanname moet deze groep expliciet beschermen - niet als voetnoot, maar als ontwerpeis.
Het argument is dus niet "geef het maar op en deel alles." Het is: stop met het verwarren van deze drie categorieën, en stop met beleid bouwen alsof de eerste nog geheim is.
Het verdienmodel van criminelen hangt af van jouw ontkenning
Een gelekt paspoortnummer is alleen waardevol als de andere kant aanneemt dat jij niet weet dat ze het hebben. Phishingmails die jouw gegevens citeren om geloofwaardig te lijken, werken alleen als die gegevens nog als privé aanvoelen. Behandel je telefoonnummer en paspoortnummer voortaan zoals je naam: publiek bekend, en dus niet voldoende om iets mee te bewijzen. Criminele bedrijfsmodellen draaien op informatieasymmetrie. Haal de asymmetrie weg en je haalt de marge weg.
Wat je nu kunt doen
Als individu begint het met een mentaliteitsverandering: jouw persoonsgegevens bewijzen niets meer. Als iemand - een "bankmedewerker", een "helpdeskmedewerker" - jouw adres, geboortedatum of paspoortnummer noemt om te bewijzen dat het legitiem is, is dat voortaan eerder een alarmsignaal dan een geruststelling. Criminelen hebben die data ook.
Stel jezelf daarnaast vaker de vraag of een organisatie jouw échte gegevens eigenlijk wel nodig heeft. Als je een kaasschaaf bestelt, heeft de webshop je echte geboortedatum niet nodig. Dataminimalisatie is in eerste instantie een taak voor organisaties, maar je kunt er zelf ook aan bijdragen. Bij contracten en overheidsdiensten ligt dat anders, maar bij loyaltyprogramma's, nieuwsbrieven en webshops is burgerlijk ongehoorzaam zijn volkomen redelijk.
Stem daarnaast met je voeten. Kies aanbieders die dataminimalisatie serieus nemen. Vraag actief wat er met je data bewaard wordt en hoe lang. Stap over als een bedrijf slordig met je gegevens omgaat. Niet iedereen heeft die keuze in gelijke mate - je kunt wel van telecomprovider wisselen, minder makkelijk van gemeente of zorgverzekeraar. Maar waar je die keuze wel hebt, is het gebruik ervan het krachtigste signaal dat je als individu kunt afgeven.
Als organisatie: kijk grondig naar elk proces waarbij persoonsgegevens dienen als bewijs van identiteit. Die aanpak werkt alleen zolang die data geheim is - en dat is ze niet meer. Verificatie moet gebaseerd zijn op iets wat alleen de gebruiker op dat moment kan leveren: een tijdelijke code, een authenticatie-app, een fysieke sleutel. De eerlijke kanttekening: dit soort werk is zelden urgent genoeg om prioriteit te krijgen. Het concurreert met nieuwe features, deadlines en uitbesteding naar de goedkoopste aanbieder. Dat is geen onwil, het is structureel. En het is precies waarom je hier niet alleen op vrijwillige actie kunt rekenen.
Een kans voor Nederland
En dan kom je vanzelf bij de overheid - niet om te vingerwijzen of achteroverleunend te verwachten dat "ze" het maar moeten oplossen, maar omdat hier een echte kans ligt die onbenut blijft.
Nederland is geen klein land in het digitale landschap. AMS-IX is een van de grootste internetknooppunten ter wereld. We hebben een dichte concentratie van fintech, logistiek en kritieke infrastructuur. Dat maakt ons waardevol - maar ook een aantrekkelijk doelwit. Stel nu eens dat Nederland het land wordt dat deze transitie serieus neemt: dat onze systemen voor identiteitsverificatie en publieke dienstverlening zo worden herontworpen dat gelekte persoonsgegevens hier structureel minder bruikbaar zijn dan elders. Dan wordt Nederland niet onaantastbaar - maar wel een minder lonend doelwit. In een wereld waar aanvallers rationele keuzes maken, telt dat.
Dat vereist meer dan een pagina met tips na een lek. Het vereist een nationale agenda: hoe ziet robuuste identiteitsinfrastructuur eruit als we aannemen dat de data al op straat ligt? Denk aan een wegwerp-BSN: een nummer dat alleen bruikbaar is voor de partij aan wie je het geeft, zodat een lek bij de ene organisatie nergens anders bruikbaar is. Hoe beschermen we de mensen voor wie geheimhouding nog wel een veiligheidsvraagstuk is? En hoe stoppen we met het bewaren van data die we tien jaar later niet meer nodig hebben maar waar mensen dan nog steeds last van hebben?
Dat vraagt om overheidsadvies dat zich niet verschuilt achter algemeenheden die zo breed zijn dat niemand er iets mee kan. Inspireer en stimuleer: geef organisaties concrete handvatten, benoem goede voorbeelden, stel doelen. "Wees alerter dan normaal" is geen beleid. Het is een schouderklopje aan de zijlijn.
Digitale weerbaarheid als concurrentievoordeel: het is geen vergezicht. Het is een keuze.
De data ligt al op straat. De enige vraag die rest is of onze systemen, gewoontes en instituties daar al op gebouwd zijn.
Ík heb toch niets meer over om te verbergen...
1. Odido lekte ook data van 16 duizend werknemers in strategische sectoren - Follow the Money
Foto door Paula via Pexels