Overheid komt met API’s voor datadelen tussen burger en private partijen

Photo by the_iop on Pixabay

De overheid komt met API’s (application programming interfaces) voor het delen van data tussen burgers en private partijen, ter vervanging van de praktijk met convenanten. Dat meldde Security.nl vorige week. Het gebruik van convenanten werd immers in augustus verboden door de Autoriteit Persoonsgegevens. En het is een mooie stap op weg naar de implementatie van de Data Governance Act (DGA).

DGA kennen de meesten als directeur-grootaandeelhouder, maar in 2022 werd Verordening 2022/868 aangenomen die ook zo heet – de Nederlandse naam is Datagovernanceverordening. Doel ervan is een kader voor hergebruik van overheidsinformatie, databemiddelingsdiensten en data-altruïsten te stellen. (Dit staat dan naast wetten zoals de Wet open overheid die aangeven wélke data hergebruikt mag worden.)

De kaders komen neer op regels over het gestructureerd en machinaal op kunnen vragen van data, en toepassen van technieken voor anonimisering of differentiële privacy zodat het bijvoorbeeld AVG-compliant gaat. Dan kom je al heel snel uit bij de applicatieprogrammainterface (API), omdat je daarin formeel vastlegt welke data kan worden opgevraagd en wat er moet gebeuren als zo’n aanvraag binnenkomt.

Ik schrok eerlijk gezegd een beetje toen ik las hoe het nu gaat:

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.
De achterliggende reden is dat er geen formele manier (lees: API) is om die gegevens op te halen. De app doet zich dus voor als de burger zelf, logt in en scrapet alles waar ie met zijn vieze regex-vingers bij kan. Daarna wordt bij de dienstverlener uitgezocht wat er nodig is. Nee, word ik niet vrolijk van.

Hoe dat op te lossen? Het ministerie zag weinig heil in verbieden van scrapen, met name omdat je feitelijk niet kunt zien of iemand zelf inlogt dan wel of een app dat namens hem doet. Dat niveau van kat-en-muisspel is zelfs voor Facebook of Linkedin forsehoofdpijngevend. Een convenant, waarin de diensten afspreken zich keurig aan de wet te houden? Liever niet, zegt de AP:

Zolang en voor zover in dit convenant sprake is van verwerkingen die in strijd zijn met de AVG, acht de AP het ongewenst dat het ministerie van BZK die verwerkingen zou reguleren en daarmee zou legitimeren. … de AP acht het niet juist om om die redenen verwerkingen te faciliteren die, naar het zich laat aanzien, in strijd zijn met de AVG en grote risico’s met zich mee brengen voor de bescherming van persoonsgegevens van burgers.
De enige echte route is dus het implementeren van een formeel protocol waarmee wél genuanceerd informatie kan worden opgevraagd. En dat is precies het kader dat de DGA ook eist.

Bij Tweakers wijst men op het al bestaande Solid Project (van Tim Berners-Lee, die ja) dat precies hiervoor is bedoeld. In Zweden is hiermee bijvoorbeeld het datauitwisselingsplatform iGrant.io mee gerealiseerd. Het Nederlandse Yivi zou ook een hele mooie implementatie zijn om te kiezen.

Arnoud

 

5 reacties

  1. Welke apps zijn het die die data scrapen? Ik wist niet dat die bestaan. Gewoon voor mijn beeldvorming, wie maakt die apps? Zijn die van een bank waarbij je een hypotheek wil aanvragen zelf, of misschien van een partij zoals de consumentenbond, een hypotheekbemiddelaar of makelaarsorganisatie? Of worden ze aangeboden door commerciele partijen voor wie het vergaren van die informatie een verdienmodel is?

  2. “data-altruïsten”, deze moest ik even opzoeken

    Daarnaast komt er een landelijk register van erkende “data-altruïsten”. Dit zijn organisaties die gegevens verzamelen voor een algemeen belang, bijvoorbeeld gegevens die nodig zijn voor medisch-wetenschappelijke onderzoeken. Het Register geeft zekerheid dat data in goede handen zijn.

    Geloof er niets van, waarschijnlijk net zo als het “effectief altruïsme” van Sam Bankman-Fried. It’s all about the money baby

    1. Niet alle gegevens die door verschillende partijen worden verzameld, beheerd en verstrekt voor het algemeen belang zijn persoonsgegevens of zelfs maar gegevens over mensen in het algemeen. Het gaat ook om zaken zoals wat is op een locatie de hoogte, de gemiddelde temperatuur, neerslag, uren zonneschijn, waar loopt de gemeentegrens, welk waterschap is verantwoordelijk, liggen er kabels in de bodem, mag je er vliegen of uitzenden, wie is de eigenaar van het pand, hoeveel inwoners heeft deze gemeente en al dat soort dingen.

      Veel handel in data draait om geld, maar niet alles.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.