Really interesting step for IRMA: they’re now offering BigBlueButton enabled videoconferencing for meetings where participants have their identities verified.

IRMA is a Dutch mobile app that allows you to share specific aspects of your identity with different parties, relevant to a specific context. For instance if you have to proof you’re over 18 to order an alcoholic beverage, showing your ID is the current norm. But that discloses much more than just your age, as it shows your ID number, full name, date and place of birth etc. IRMA is an app that you can preload with verified identifying aspects, such as your date of birth as registered with the local government’s citizens database, which you can then disclose partially where needed. When ordering a drink, you can show the bartender that you’re ‘over 18’ as verified by your municipality, without having to show your actual date of birth or your full name.

In our pandemic age video conferencing has grown enormously, including for conversations where identity is important. E.g. conversations between patients and doctors, or job interviews, conversations with your bank, exams etc. IRMA-Meet now offers BigBlueButton videocalls from their site, where all participants have been verified on the relevant identity aspects for the call.

Looking forward to hearing user experiences.

Iedereen hongert naar informatie, en naarmate we langer thuis zitten waarschijnlijk ook naar meer nuttige dingen om te doen. Data en informatie kan bij dat laatste helpen: om te zien waar je nuttig iets toe kunt voegen. Hoeveel materiaal is er beschikbaar in Nederland, en wat dreigt op te raken in een regio? Hoeveel tests worden er gedaan, hoeveel zijn er op voorraad? Welke maatregelen worden er precies genomen? Want het RIVM, GGD’s en zorginstellingen doen veel meer dan we kunnen zien. Het antwoord op die vragen is niet beschikbaar. En dus moet je of aannemen dat ‘de instanties’ het allemaal al geregeld hebben (en dat is niet waarschijnlijk want ook voor hen is een nieuwe en complexe situatie), of aannemen dat ze je bewust ongeïnformeerd houden en je niet als zelfstandige actor in deze situatie zien (en ook dat is niet waarschijnlijk, want onze medewerking is noodzakelijk).

Zelfs basale gegevens als het aantal positief getesten, overledenen, en ziekenhuisopnames, zijn niet beschikbaar als data. De cijfers worden wel genoemd in de dagelijkse nieuwsbulletins van het RIVM, maar bijvoorbeeld t.a.v. het aantal tests en ziekenhuisverblijven maar mondjesmaat en inconsistent. Het RIVM heeft wel een data site maar daar is het akelig stil.

Geen relevante zoekresultaten op data.rivm.nl

Ik maak sinds eind februari een excelblaadje, waarin ik elke dag een nieuwe regel toevoeg. Om daar uit af te leiden of we nog op de exponentiële curve zitten, of we in de buurt blijven van wat andere landen doormaken of daar vanaf wijken, en hoe dit zich verhoudt tot de cijfers over het aantal ziekenhuis- en IC-bedden. Raar natuurlijk dat die gegevens, die deels wel in de nieuwsberichten op de RIVM site staan, niet ook als data op diezelfde site te vinden zijn.

Door deze data niet standaard te delen bereik je 3 ongewenste effecten:

  • Je bent niet zelf de betrouwbaarste bron van data, iedereen die iets wil weten is afhankelijk van materiaal uit tweede (of erger) hand.
  • Het is onmogelijk om snel na te gaan of een artikel dat je leest zich baseert op kloppende brongegevens
  • Data en informatie is een middel om anderen in staat te stellen in actie te komen op manieren die het werk van het RIVM en de zorginstellingen ondersteunen. Gebrek aan informatie doemt ons op zijn best tot stilzitten, op zijn ergst tot ongeïnformeerde en schadelijke keuzes.

Die laatste van de drie is het belangrijkst. En dus is het nodig vragen aan het RIVM te stellen naar die gegevens. Dergelijke vragen worden snel als lastig, kritisch en storend ervaren. Het RIVM is volledig bezet met het bestrijden van de epidemie, en dan is elke afleiding storend. Maar in een crisis is zo groot mogelijk transparantie geven juist van belang. Dan hebben wij allemaal meer informatie om onze eigen beslissingen op te baseren, en beter te snappen waar we aan toe zijn. Die transparantie is niet alleen een taak van het RIVM, maar ook van de veiligheidsregio’s. Die veiligheidsregio’s tekenen de verordeningen waarin de beperkingen worden vastgelegd die we nu hebben. Het bestuur van die regio’s zijn de burgemeesters van de gemeenten die er binnen vallen. Die burgemeesters dienen een grotere rol te hebben in de communicatie naar hun inwoners. Niet alleen mondelinge communicatie, maar ook de feiten over de eigen regio gevat in data.

Vragen stellen aan het RIVM op dit moment werkt storend voor het RIVM, leidt af in een tijd van grote drukte en stress. Criticasters leiden alleen tot bunkermentaliteit, en dat komt de kwaliteit van hun werk niet ten goede. Toch is die missende data erg nodig.
Aantal positieve tests, en totaal aantal tests per etmaal, data uit het NIVEL netwerk, aantal sterfgevallen, demografische verdeling van zieken, gehanteerde rekenmodellen, gemaakte keuzes en verworpen keuzes, escalatiepaden, ziekenhuis en ICU bezetting per ziekenhuis, aantal huidige en historische ziekenhuisopnames, genezingen, maatregelen per veiligheidsregio (er zijn nl verschillen) en landelijk, lopende initiatieven RIVM, voorraden en verbruikssnelheid van tests en alle benodigde medische materialen, etc. etc. Het is er ongetwijfeld allemaal.

Dus hoe kunnen we de helpende hand bieden op vlakken die nu niet prioritair zijn voor het RIVM maar wel belangrijk voor de maatschappij, voor ons? Zoals communicatie en datavoorziening.
Ik snap dat het RIVM volledig in beslag wordt genomen door het werk aan Corona. Hoe kunnen we voldoende mensen regelen die de communicatie-kant komen versterken, zorgen dat informatie / overzichten / data die er ongetwijfeld wel zijn ook publiek worden gedeeld op een herbruikbare manier?
Niet om het RIVM te controleren, maar om anderen in staat te stellen te helpen, en datgene te doen wat in hun eigen context mogelijk is en bijdraagt aan het gezamenlijke doel.
Je zou bijkans een hele afdeling wetenschapscommunicatie en data-savvy mensen naar binnen* kunnen loodsen bij het RIVM met als enige doel ons leken met informatiehonger voldoende te voeden, zodat de RIVM professionals zelf kunnen doen wat nodig is. Ik snap dat het RIVM die mensen nu niet ter beschikking heeft, maar dat leidt geheid tot onrust en wantrouwen onder het publiek juist. Als niet nu dan in de komende weken wel.
(* ‘binnen’ alleen metaforisch natuurlijk, we blijven allemaal remote werken uiteraard. #blijfgewoonthuis)

TL;DR De Basisregistratie WOZ waarden is een basisregistratie, en openbaar bovendien. Alle overheden zijn verplicht basisregistraties te gebruiken, maar met een uitvoeringsbesluit wordt de toegang tot de WOZ waarden sterk ingeperkt. Daarmee is het in de praktijk geen basisregistratie, en wordt overheden bij de uitvoering van hun publieke taak toegang geweigerd.

Nederland heeft een Stelsel van Basisregistraties. Dat zijn een tiental verschillende registraties waarvan de gegevens noodzakelijk zijn voor het dagelijkse functioneren van de overheid als geheel. Registraties als het persoonsregister, maar ook het kadaster en bijvoorbeeld de detailkaart van Nederland. Het centrale idee is dat een basisregistratie door alle overheden wordt gebruikt, en dat de inhoud ervan als authentiek gegeven geldt. Dit heeft efficiëntievoordelen, omdat overheden dan geen eigen lijstjes of schaduwadministraties (hoeven te) voeren. En het is fijn voor burgers, die niet bij elk loket al hun gegevens telkens opnieuw hoeven op te geven. Het stelsel van basisregistraties is ook waarom het met open data redelijk goed gesteld is in Nederland, want de basisregistraties waar het niet om persoonsgegevens gaat worden zoveel mogelijk opengesteld voor iedereen (met nog altijd enkele onnodige uitzonderingen).

Om dit Stelsel goed te laten werken zijn er enkele afspraken gemaakt. Waaronder dat alle overheden verplicht zijn om de basisregistraties te gebruiken voor hun publieke taken. Omgekeerd betekent dat alle overheden ook toegang moeten hebben tot alle basisregistraties als dat nodig is voor de uitvoering van hun taken.

Eis 3: De basisregistratie wordt verplicht gebruikt door de hele overheid…Daarop zijn geen uitzonderingen… Dit betekent eveneens dat een afnemer de aangewezen gegevens uit de basisregistratie zonder nader onderzoek kan gebruiken in zijn werkproces.

Maar de basisregistratie WOZ waarden ziet dat kennelijk heel anders.

Basisregistraties zijn bij wet geregeld. Dat is ook zo voor de Basisregistratie WOZ waarden. In Hoofdstuk VI, Artikel 37 a van de Wet Waardering Onroerende Zaken staat:

Er is een basisregistratie WOZ waarin waardegegevens met bijbehorende temporele en meta-kenmerken zijn opgenomen. Het waardegegeven, bedoeld in de vorige volzin, is een authentiek gegeven…De basisregistratie WOZ heeft tot doel de afnemers te voorzien van waardegegevens.

Artikel 37 d stelt vervolgens dat als een afnemer het gegeven gebruikt op basis van een wettelijk taak (d.w.z.voor overheden betreft het een publieke taak), de afnemer het gegeven uit de basisregistratie moet gebruiken (behalve als het gegeven in onderzoek is en het bovendien niet voor belastingheffing is), en je bovendien als de afnemer je toch vraagt om dat gegeven dat volgens 37e mag weigeren. D.w.z. als een overheid jou om je WOZ waarde vraagt je kunt zeggen “kijk maar in de WOZ Basisregistratie”.

Maar daaronder in Artikel 37h staat iets onverwachts

Bij algemene maatregel van bestuur worden bestuursorganen aangewezen die bevoegd zijn tot gebruik van een waardegegeven of de daarbij behorende temporele en meta-kenmerken ten behoeve van de bij die algemene maatregel van bestuur aan te wijzen doeleinden.

Net hadden we het nog over een basisregistratie, en nu ineens over nader vastleggen welke overheden het waardegegeven mogen gebruiken, en voor welke doeleinden! Dan zal in die algemene maatregel van bestuur wel iets breeds staan….

Helaas.

Meteen wordt in de definities (Artikel 1.2.) een afnemer omschreven als bestuursorganen die de waardegegevens gebruiken ten behoeve van de heffing van belastingen door het Rijk, de gemeenten en de waterschappen. Dat is niet de hele overheid, maar slechts een beperkt deel ervan, en wijkt dus af van wat een basisregistratie dient te zijn. Kennelijk om vervolgens te kunnen regelen hoe de kosten van de basisregistratie worden gedragen, want die worden verhaald op de afnemers die het register nodig hebben voor belastingheffing (Rijk, gemeenten en waterschappen).

In Artikel 10 wordt nog een rijtje bestuursorganen genoemd die de gegevens mogen krijgen, maar alleen voor een expliciet daarbij vermelde doelstelling. Dat zijn bijvoorbeeld het CBS, het Openbaar Ministerie, het RvO, de huurcommissie, Staatsbosbeheer, en de notaris. Artikel 11 voegt daar nog een rijtje andere, particuliere, soorten organisaties aan toe, zoals verzekeraars, hypotheekverstrekkers en taxateurs.

Het merendeel van de Nederlandse overheid heeft dus geen toegang tot de Basisregistratie WOZ.

In de praktijk loopt nu al maanden een uitwisseling met een overheid die geautomatiseerd een beperkt aantal WOZ waarden nodig heeft voor de uitvoering van een publieke taak (subsidieverstrekking), omdat de toegang tot de basisregistratie WOZ wordt geweigerd op basis van Artikel 10 en 11 van het genoemde uitvoeringsbesluit. En al zijn die gegevens openbaar.

De Basisregistratie WOZ wil geen basisregistratie zijn, kortom, en het uitvoeringsbesluit bij de Wet die de Basisregistratie WOZ instelt bevat bepalingen die volledig in strijd zijn met de definitie van een basisregistratie.

Paleis Noordeinde is geen woonhuis (meer), en dus is er geen openbare WOZ waarde te vinden in het WOZ Waardenloket

Had fun facilitating a workshop today exploring ethical data use around the Amsterdam Ajax Arena, for crowd control, safety and security around events as well as embedding the several large scale venues on that location better into their urban surroundings. An interesting mix of various threat models and responses in combination with creating a lively urban center where the quality of living is high for all involved. ‘Digital perimeters’ were at the center of discussion. Within various perimeters ever closer to the venue tighter security profiles might apply, meaning different types of data collection and use.

20200128_125348

The workshop took place right in the middle of the case under discussion, the Arena board room itself, with a view of the pitch. We’re facilitating a range of these workshops, focusing on ethical collection and use of location related data. The Arena was one of two cases discussed today. The other case concerned responsible use of mobility tracking data supplied by volunteers.

The conclusion of a report by the Norwegian consumer association, Forbrukerrådet, minces no words: adtech is systematically in breach of GDPR rules. The report’s title is Out of Control.

The extent of tracking makes it impossible for us to make informed choices about how our personal data is collected, shared and used, Finn Myrstad, director of digital policy in the Norwegian Consumer Council is quoted. This is a key issue. The GDPR demands meaningful consent, not just the token consent that sites and apps still often try to get away with. Earlier a French ruling stated much the same about a boiler plate consent form advocated by IAB and that form has since disappeared, or at least I don’t encounter it anymore during my web surfing.

It reads as if the report is the basis for various GDPR complaints in multiple EU countries, so it will be interesting to see those progress through the system.

I’m very much in agreement with Doc Searls position that GDPR is lethal to AdTech.
I came across a nice illustration of the effect (ht Tomasino). Below is an image that shows you what happens when you visit USAToday on its GDPR compliant version and its non GDPR version. Paul Calvano who made the image says “The US site is 5.5MB and contains 835 requests loaded from 188 hosts. When loaded from France it’s 297KB, 36 requests and contains no 3rd party content.” The image shows what a striking difference that is: