PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

TPC op

Sluit je aan bij de TPC Linked In-groep, neem deel aan discussies en ontmoet vakgenoten.
Naar Linked In

column

Waar ligt de grens van openbaarheid?

Door Paul Hofstra
Laatste bijgewerkt op woensdag 27 juni 2018 om 11.31
Print dit artikelE-mail dit artikel

 

Augustus 2017 (jaargang 15, nummer 4)

Het is een thema van bijkans gargantueske proporties: datalekken en informatie­beveiliging. Je kunt geen krant meer openslaan of er is sprake van steeds moeilijker te bestrijden vormen van ransomware en massaal verlies van uiterst privacygevoelige informatie. Dat creëert een sfeer van toenemende urgentie, maar ook van toenemende geheimzinnigheid en angst. Angst voor te veel openheid over eigen digitale kwetsbaarheden en angst voor (te veel) openheid over maatregelen om die digitale kwetsbaarheden te mitigeren, met als gevolg dat alle luiken potdicht gaan. Niets kan en mag meer openbaar worden gemaakt. Banken die voor de zoveelste keer digitaal beroofd zijn, houden dat liever achter de kiezen dan het feit openbaar te maken, teneinde de eigen reputatie maar niet te bezoedelen. Banken en beroving blijft een ingewikkelde combinatie. 

Maar ook de overheid heeft af en toe last van soortgelijke reflexen. Hoewel de Wet Bescherming Persoonsgegevens (Wbp) dwingt om datalekken te melden bij de Autoriteit Persoonsgegevens op straffe van forse boetes, worden digitale kwetsbaarheden niet heel gemakkelijk wereldkundig gemaakt. Zo dreigde het college van B en W van de gemeente Rotterdam haar eigen lokale rekenkamer voor de rechter te slepen, indien het voornemen om een rapport over informatiebeveiliging openbaar te maken zou worden doorgezet. 

Hier botsen twee belangrijke principes in het publieke domein. Het principe van in volle openbaarheid verantwoording afleggen over het gevoerde beleid versus de (al dan niet vermeende) gevaren die openbaarmaking met zich meebrengt voor stad en burger. 

Gelukkig is de wet redelijk duidelijk over de route die in dit geval moet worden doorlopen. Zo stelt de gemeente­wet dat rapportages van de rekenkamer openbaar dienen te worden gemaakt, tenzij er sprake is van naar de aard vertrouwelijke informatie. Die informatie mag dus geen deel uitmaken van de rapportages van de rekenkamer. Om te bepalen of informatie naar de aard vertrouwelijk is, kan worden teruggevallen op de zogenoemde objectieve criteria set van de Wet Openbaarheid van Bestuur (Wob). Hierin wordt bepaald dat informatie niet openbaar kan worden gemaakt indien:

a.  de veiligheid van de staat in het geding is,
b.  de veiligheid van de kroon aan de orde is, dan wel
c.  sprake is van privacygevoelige informatie, en ten slotte
d.  sprake is van commercieel gevoelige informatie.

De rapportage van de Rekenkamer Rotterdam bevatte op basis van deze wettelijke bepalingen geen vertrouwelijke informatie. In dat geval dwingt de gemeentewet vervolgens de reken­kamer tot het openbaar maken van het betrokken rapport. Helder toch, zo zou je denken. Maar niets is minder waar. Naast de juridische realiteit is er altijd nog een politiek bestuurlijke realiteit en die bepaalde dat de informatie over de uitkomsten van de zogenoemde penetratietesten wel degelijk een gevaar vormden voor de stad, omdat het openbaar maken van deze informatie min of meer neer zou kunnen komen op een uitnodiging aan hackers om het met het rapport van de rekenkamer in de hand in Rotterdam ook maar eens te proberen. Hoewel de gemeente de mate van uitlokking naar mijn overtuiging veel te zwaar heeft aangezet, heeft zij nog wel een punt. Ook de rekenkamer kon uitlokking immers niet geheel uitsluiten. 

Niettemin dient in dit geval de juridische realiteit te prevaleren boven de politieke realiteit, omdat het democratische uitgangspunt van het afleggen van verantwoording in volle openbaarheid nu eenmaal zwaarder weegt dan het risico op uitlokking, te meer daar de gevolgen van eventuele ‘hacks’ relatief eenvoudig zijn te voorkomen, namelijk extra (digitale) beveiligingsmaatregelen treffen. Dat geldt nadrukkelijk niet voor gemorrel aan democratische uitgangspunten. Die schade is immers aanzienlijk moeilijker te repareren.

Drs. P. Hofstra RO CIA is directeur van Rekenkamer Rotterdam

Gepubliceerd op: woensdag 30 augustus 2017 om 10.48
Laatste bijgewerkt op: woensdag 27 juni 2018 om 11.31