vrijdag 22 november 2013

De overgang naar het doe-het-zelf tijdperk

Een van de uitdagingen bij dienstgericht werken is om te zorgen dat afnemers krijgen wat ze moeten krijgen: niet te weinig, maar ook niet teveel. Dat geldt voor de telecomprovider die megabytes aan zijn klanten levert. Maar het geldt ook voor organisaties die privacygevoelige gegevens als dienst aan anderen leveren. Met dank aan clubs als Diginotar en de NSA houdt privacy de gemoederen de laatste tijd aardig bezig. En dat zal de komende jaren niet anders zijn verwacht ik. Want digitalisering en het internet hebben zo veel nieuws mogelijk gemaakt dat er, uiteraard, ook van alles mis gaat.

De traditionele benadering om te voorkomen dat privacy wordt geschonden is het doelbinding-principe: je krijgt niks behalve wat je echt nodig hebt. Een werknemer mag daarbij alleen die persoonsgegevens zien die voor zijn functie nodig zijn. Dat er in de praktijk vaak niet zo nauw wordt gekeken (het account van een collega is af en toe reuzehandig) nemen we op de koop toe. Zeker als er een auditrapport ligt waar weliswaar een rijtje aanbevelingen maar ook een voldoende in staat.

In een netwerkomgeving, waarin op allerlei manieren informatie wordt uitgewisseld, voldoet zo'n model niet meer. Steeds vaker wordt informatie afgenomen door mensen die niet tot de eigen organisatie behoren. Waarmee de duidelijkheid, die er zogenaamd nog was, in rap tempo helemaal verdwijnt.

Op steeds meer terreinen wordt onderkend dat er een nieuwe rolverdeling nodig is om te bepalen wie recht heeft op welke diensten. In plaats van dat anderen dat voor je bepalen, moeten mensen zelf kunnen aangeven wat er wel en niet met hun gegevens mag gebeuren. Bij sociale media is het al gemeengoed dat je zelf kunt instellen wie wat van je kan zien. Vreemd genoeg is dat bij de overheid en het bedrijfsleven nog niet zo. We kennen daar nog steeds algemene spelregels over gegevensgebruik. Dat meneer Jansen iets okee vindt, maar meneer Pieteresen niet is jammer maar helaas. Iets als “inzage- en correctierecht” is in praktijk nauwelijks bekend en vaak behoorlijk omslachtig.

Door de decentralisatie van het zorgdomein, waarbij gemeenten een grotere rol gaan spelen, wordt het noodzakelijk om zaken op dit gebied ook bij de overheid anders te gaan regelen dan voorheen. Iets als een "integraal klantbeeld", over een aantal domeinen heen, gaat domweg niet lukken in combinatie met de nu bestaande algemene privacyregels. Mensen zijn verschillend en willen een stem hebben in wat er met informatie over hen gebeurt. “De burger als eigenaar van zijn eigen dossier" is meer dan alleen een mooi voornemen. Het verwoordt dat het het niet meer de overheid is die voor haar burgers bepaalt wat goed is, maar dat burgers dat stapsgewijs zelf moeten kunnen doen. Pas dan kunnen de goede voornemens die bij de decentralisaties horen echt waar worden gemaakt.

ICT is daarbij een van de hobbels die genomen moet worden. Helaas zijn veel bestaande ICT-toepassingen onvoldoende dienstgericht ontwikkeld om dit soort rolverschuivingen goed te kunnen ondersteunen. Wil onze maatschappij een "participatiemaatschappij" worden, dan moeten mensen worden gezien als een volwaardige partij bij het uitvoeren van taken. Waarbij bijvoorbeeld hoort dat ze toegang krijgen tot alle relevante informatie en zeggenschap krijgen over de gegevens die van hen zijn. Voor de minderheid aan leveranciers die dienstgericht denken in de haarvaten heeft zitten en dit naar ICT kunnen vertalen, wachten gouden tijden.