In de jaren zeventig werd de digitale database populair in het bedrijfsleven en later kwamen ook de eerste homecomputers. Het gemakkelijk opslaan en beheren van grote hoeveelheden informatie bracht veel nieuw(e) efficiëntie en gemak. Twintig jaar later, begin jaren negentig, was er een nieuwe innovatie in de ICT die het mogelijk maakte informatie op wereldschaal uit te wisselen. Ik heb het natuurlijk over het internet.
In de jaren zeventig werd de digitale database populair in het bedrijfsleven en later kwamen ook de eerste homecomputers. Het gemakkelijk opslaan en beheren van grote hoeveelheden informatie bracht veel nieuw(e) efficiëntie en gemak. Twintig jaar later, begin jaren negentig, was er een nieuwe innovatie in de ICT die het mogelijk maakte informatie op wereldschaal uit te wisselen. Ik heb het natuurlijk over het internet. Het internet bereikte al snel het bedrijfsleven en de huiskamer, en maakte het mogelijk alle, netjes in databases gerubriceerde informatie eenvoudig te delen via e-mail, websites en andere koppelingen. Tegenwoordig, weer twintig jaar later, is er opnieuw een revolutionaire innovatie in de automatisering, blockchain genaamd. Een publiek logboek op internet dat gekenmerkt wordt door de volledige afwezigheid van een centrale eigenaar of regisseur. Het is een netwerk van deelnemers dat in staat is gezamenlijk controle uit te oefenen over de technologie.
Lancering bitcoin
Blockchain werd geïntroduceerd in 2008 met de lancering van bitcoin, het digitale geld dat geen centrale bank meer nodig heeft voor de uitgifte, en waarbij de gebruikers geen bankiers meer nodig hebben om het te gebruiken. Alle deelnemers van dit nieuwe geldnetwerk kunnen vrijwillig deelnemen en het publieke logboek gebruiken voor het uitvoeren en controleren van geldtransacties en het afrekenen met bitcoins. Blockchain maakt het dus mogelijk om de uitwisseling van informatie efficiënter te maken. Door het vervangen van de banken in het geldverkeer met een zogenaamd gedistribueerd netwerk kunnen kosten worden bespaard voor de gebruikers.
Dit idee heeft menig automatiseerder geïnspireerd ook andere toepassingen van blockchain te gaan ontwikkelen. Van elegante verbeteringen van bestaande processen, zoals het vervangen van kadaster-registraties met blockchaintechniek, tot en met grootse toekomstvisies waarbij hele democratieën zonder bestuur zouden moeten functioneren. Om dicht bij de praktijk te blijven, heb ik een uitdaging uitgekozen uit de DIV-praktijk, waarvoor blockchain oplossingen heeft te bieden.
Voorbeeld: toenemende regeldruk, legacy en bestuurlijk falen
Per mei 2018 is de General Data Protection Regulation (GDPR) geaccepteerd als Europa-brede wet die de Nederlandse Wet bescherming persoonsgegevens (Wbp) zal vervangen. De verordening bevat ingrijpende wijzigingen op het gebied van databescherming en de vrije beweging van persoonsgegevens en maakt dataverwerkende organisaties verantwoordelijk voor de bescherming en verwerking van die persoonsgegevens. Zo scherpt de GDPR de toestemmingseisen aan die gaan over het geven van toestemming voor gegevensverwerking en uitwisseling door de eigenaar van gegevens. Andere regels die de privacy van burgers en consumenten beschermen zijn het recht op verwijdering van gegevens en het recht op dataportabiliteit. Organisaties lopen hierbij het risico boetes te krijgen die kunnen oplopen tot € 20 miljoen of 4% van de jaaromzet, doordat burgers en consumenten compensatie mogen eisen in het geval van een overtreding.
Handmatige verwerking
In een Kamerbrief1 van de in Nederland verantwoordelijke minister, minister Plasterk, zijn de uit de regelgeving opgekomen vraagstukken van antwoorden voorzien. De reactie gaat in op één aspect van de verordening, het recht op inzage van gegevens, en laat de rest min of meer ongemoeid. Voor dit punt waar wel op wordt ingegaan is het voorstel van de Kamer om de verantwoordelijke organisaties hun bestaande, vaak handwerk-intensieve, processen te laten gebruiken, bijvoorbeeld via de telefoon of per e-mail. Voor inzicht in gegevens uit de Basisregistratie Personen (BRP) bijvoorbeeld, moet de burger naar de eigen gemeente. De VNG is inmiddels met een brief2 richting Plasterk gekomen over een impactanalyse van de uitvoeringsconsequenties en een onderzoek naar de financiële consequenties voor gemeenten.
De gevolgen van dit beleid zijn goed te voorzien. Gemeenten, overheidsinstanties en bedrijfsleven worden geacht om een grote hoeveelheid aan interne processen opnieuw in te richten en nieuwe processen te operationaliseren om de aanvullende stroom werkzaamheden te kunnen verwerken. Ook kunnen ze afwachten en hopen dat het wel zal meevallen met het aantal mensen dat gebruik zal maken van dit recht op inzage. Maar hoe zit het met de andere regels uit de verordening? Voor organisaties met bestaande, vaak complexe en inflexibele, documentaire informatievoorzieningen vereist het recht op dataportabiliteit veel betere uitwisselbaarheid van data.
Toename van werkdruk
Wanneer we weten dat veel persoonlijke informatie is opgeslagen in DM-systemen in de vorm van brieven, uittreksels en andere dossiers, zal de nieuwe regelgeving leiden tot een toename van werkdruk bij de DIV-afdelingen die verantwoordelijk zijn voor de documentaire infrastructuur. Trage uitvoering en meer fouten zullen, in het gunstigste geval, leiden tot ontevreden klanten en burgers. In een minder gunstig scenario zijn (massa)claims het resultaat.
De verhoogde eisen aan de interactie en functionaliteit rond gegevens, gecombineerd met aangescherpte dienstverleningstermijnen hebben invloed op de documentaire systemen binnen organisaties. Websites en apps voor de cliën ten en de interfaces tussen samenwerkende organisaties hebben betere aansluiting nodig met de wensen, aangezien handmatige verwerking een kostbaar en potentieel risico vol alternatief is. Het is opmerkelijk te noemen dat er zo weinig informatie beschikbaar is over de gevolgen van de GDPR voor DM-systemen met persoonlijke informatie en voor de DIV-afdelingen die ervoor verantwoordelijk zijn.
DM niet geschikt
Met de verhoogde eisen aan de uitwisselbaarheid van gegevens zullen de DIV-afdelingen onder verhoogde druk komen te staan. Bestaande DM-architectuur is niet altijd geschikt om te voldoen aan hogere interoperabiliteitseisen in combinatie met meer interactiemogelijkheden voor externe gebruikers. DIV dreigt simpelweg niet langer tegen de eisen opgewassen, gezien de toenemende regeldruk en de beperkte datainteroperabiliteit van traditionele infrastructuren in combinatie met beleid dat is gemaakt door onvoldoende tech-savvy-bestuurders.
Hedendaagse regelgeving is primair gebaseerd op acht principes, in 1980 opgemaakt door de Organisation for Economic Co-operation and Development (OECD), te weten: beperkte verzameling, kwaliteit van de gegevens, doelmatigheid, beperking van het gebruik, veiligheidsmaatregelen, openheid, individuele participatie en verantwoordelijkheid.
Blockchain biedt uitkomst
Op blockchain gebaseerde technologie biedt meetbare voordelen boven bestaande technologie in de markt als we naar deze criteria kijken.3 De techniek biedt een nieuwe architectuur die intensieve interactie met en uitwisseling van gegevens mogelijk maakt door ingebouwde veiligheidsen toegangsmechanismen. Dit zagen we al in het voorbeeld over bitcoin, waarmee bancaire infrastructuur voor de uitwisseling van waarde en eigendom met eenvoudige software betrouwbaar werd vervangen door waarde in de vorm van digitale tokens efficiënt uitwisselbaar te maken.
Na acht jaar van intensieve innovatie, ontwikkeling, testen en succesvolle implementaties biedt blockchain inmiddels oplossingen voor allerlei soorten gegevens – naast geld in de vorm van digitale tokens – die gereed zijn voor grootschalige toepassing. De ontwerpers van de GDPR hebben dit gelukkig goed begrepen. Er is een onderdeel opgenomen in de regelgeving dat aangeeft dat de beheerders van de gegevens moeten voldoen aan ‘redelijke verwachtingen’ ten aanzien van privacy. Deze term is opmerkelijk aangezien de verordening tevens bedingt dat gegevens in de vorm van tokens, versleutelde data of gepseudonimiseerde data eveneens voldoen aan de regels. Dit is hoopvol nieuws aangezien het organisaties in staat stelt data te versleutelen en in de vorm van tokens onder regie van de burgers en consumenten te stellen, net als bitcoins. Dit is een zeer belangrijke constatering. Wanneer we persoonlijke gegevens veilig en betrouwbaar onder controle van de gebruikers zelf kunnen brengen, kunnen we ook de handmatige processen die we rond informatie binnen organisaties uitvoeren verschuiven naar de eigenaren van die data, de burgers en consumenten.
Voor de afdeling DIV kan dit ervoor zorgen dat de verwerking, uitwisseling en verwijdering van data op initiatief van de gebruiker geautomatiseerd kan plaatsvinden. Door zorgvuldige implementatie kunnen hierbij regels rond record management, retentie en aanverwanten in acht worden genomen, terwijl de gegevens makkelijker zijn uit te wisselen, te bewerken en te verwijderen, op initiatief van de eigenaar.
Gevolgen voor de documentaire informatievoorziening
Blockchain-technologie leidt een nieuw tijdperk in na de komst van het internet en stelt het individu, de gebruiker of eigenaar van gegevens centraal. Het resultaat is dat hedendaagse uitdagingen voor DIV, rond regelgeving, privacy, dataeigendom, gebruikersinteractie en bijvoorbeeld gegevensuitwisseling, kunnen worden voorzien van nieuwe oplossingen. Nu de op blockchain gebaseerde toepassingen volwassen worden en behoeften uit de maatschappij nieuwe architecturen vereisen, wordt duidelijk dat we aan de vooravond staan van een nieuwe golf vernieuwingen in de DIV.
DIV-afdelingen zullen als controlerende entiteit voor informatie binnen de opkomende netwerkorganisaties optreden. Door het ontstaan van nieuwe stelsels, waarin losse onderdelen in samenwerkingsverbanden het productieproces voor hun rekening nemen, zal de documentaire informatievoorziening een controlerende functie krijgen die een automatiseringsvorm vereist die tegemoet komt aan de nieuwe functionaliteitseisen. De DIV-afdeling kan hierin, met het toepassen van blockchain-technologie, een sleutelrol innemen in het moderniseren van haar wettelijke archieftaak.
mail@martijnbolt.com, Martijn Bolt werkt met zijn bedrijf martijnbolt.com aan digitale transformatie van organisaties m.b.v. blockchain-technologie.
3 http://www.coindesk.com/blockchain-tech-data-protection-authority-radars/
