Nieuws

Bedrijven hebben websites als MijnBelastingdienst ontdekt als jachtgrond voor persoonlijke gegevens

Bedrijven hebben onlineprivédomeinen als MijnOverheid en MijnBelastingdienst ontdekt als jachtgrond voor persoonlijke gegevens. Met toestemming van de gebruiker halen ze daar data op, bijvoorbeeld voor een huurcontract van een woning. De Autoriteit Persoonsgegevens heeft ‘scherpe vragen’.

De website van DigiD. Beeld ANP XTRA

Het aanbod was te mooi om te laten lopen. De huur van circa 1.000 euro per maand mocht dan fors zijn, hij kreeg daar wel een fonkelnieuw appartement voor terug. En dat appartement bevond zich niet alleen in een van de hoogste gebouwen van Utrecht, maar ook nog eens op een steenworp afstand van het Centraal Station. Dus noteerde de kandidaat-huurder zijn naam en inkomen op het digitale inschrijfformulier van ‘De Syp’, zoals de woontoren is genoemd aan de historische Van Sijpesteijnkade.

De belangstelling was enorm, maar tot zijn vreugde werd hij uitverkozen. Vanaf de oplevering van het gebouw, medio maart, mag hij een van de 226 appartementen huren. Verhuurder Amvest wilde nog wel zijn identiteit en financiële draagkracht controleren.

Digitale brug

Die check ging via Huurpaspoort, een jong bedrijf dat een digitale brug wil vormen tussen huurders en verhuurders. Huurpaspoort gaf de kandidaat-huurder de opdracht de app Ockto te downloaden op zijn telefoon. Die zou zijn persoonlijke gegevens gaan ophalen en overzichtelijk presenteren. Waar die gegevens vandaan komen? Uit de private domeinen die zijn opgezet voor zijn contacten met de overheid, van MijnOverheid en MijnBelastingdienst tot MijnUWV. Van de aangifte inkomstenbelasting, de schulden en bezittingen tot de samenstelling van het huishouden en de details van het arbeidscontract, het is er allemaal te vinden.

Hmm, dat voelde niet helemaal lekker. Maar ja, hij wilde toch die woning. En de alternatieve route die werd aangeboden, zelf de benodigde gegevens selecteren en opsturen, klonk niet erg aanlokkelijk. Logisch toch, dat de verhuurder de voorkeur zou geven aan de kandidaat die wel toegang geeft tot zijn overheidskluis? Bovendien ging het ook wel makkelijk zo.

Steeds opnieuw tikte de kandidaat-huurder zijn DigiD in, de digitale sleutel voor die domeinen. Die handeling, voor ieder domein opnieuw, is de reden dat de app voldoet aan de Algemene Verordening Gegevensbescherming. Logius, de Dienst Digitale Overheid, legt de app dan ook geen strobreed in de weg. Een woordvoerder: ‘De gerechtigde geeft zelf toestemming. Dat was voor ons een voorwaarde. Het systeem herkent alleen nu nog niet dat het Ockto is dat binnenkomt.’

Zo verzamelde Ockto zijn persoonlijke gegevens. Hij mocht een selectie maken, vóór hij de informatie vanuit de app zou versturen naar Huurpaspoort. Maar dat lukte even niet, dus drukte hij op ‘Zend’. Hij was wel geschrokken van wat hij allemaal zag staan. Meer dan drie jaar salaris, meer dan tien jaar werkgevers, meer dan twintig jaar woonadressen, enzovoorts. ‘Niet te geloven. Ze weten meer dan Google.’

Gebruiksgemak

Ook corporatie Woonstad Rotterdam gebruikt Huurpaspoort voor de verhuur van vrije sector woningen in het nieuwbouwproject ‘Buitengewoon Bajonet’. Bij wijze van experiment, zegt woordvoerder Eric Smulders. Hij noemt gebruiksgemak en efficiency als voordelen, maar ook de verbetering ten opzichte van de werkgeversverklaring, recente loonstroken en bankafschriften die worden opgevraagd. ‘We hebben regelmatig te maken met huurfraude. De gegevens in Huurpaspoort komen direct van de overheid. Dat maakt ze een stuk betrouwbaarder.’

De Autoriteit Persoonsgegevens heeft een aantal ‘scherpe vragen’ over de methode, zegt woordvoerder Martijn Pols van de privacywaakhond. ‘Ik wil nadrukkelijk niet ingaan op het concrete geval van Huurspaspoort, maar je kunt je afvragen of die gegevens allemaal nodig zijn voor het huren van een huis. Wordt de gebruiker goed geïnformeerd? Is hij vrij om een andere methode van aanmelden te kiezen?’

Privacy-wetenschapper Tijmen Wisman is kritisch: ‘Dit programma lijkt overvragen te faciliteren. Het geeft een private partij toegang tot domeinen die door de overheid zijn gecreëerd voor heel andere doeleinden. Het stelt verhuurders in staat een steeds uitgebreidere risicoanalyse te maken. Dat is heel kwalijk. Wonen is een voorwaarde voor het opbouwen van een goed bestaan. Een kredietscore op steeds meer terreinen staat haaks op een vrije samenleving.’

D66-parlementariër Kees Verhoeven (die met de VVD ijvert voor meer databeheer door de burger zelf) sluit daarbij aan: ‘Dit lijkt allemaal heel handig, maar steeds meer toegang tot steeds meer data stelt steeds meer organisaties in staat om burgers te beoordelen op basis van die data. Hier telt niet alleen privacy, maar ook de gevolgen voor de vrije toegang tot de woningmarkt.’

Groen vinkje

De privacy van huurders is juist gebaat bij Huurpaspoort, zegt mede-oprichter en -eigenaar Jelle Vreman. ‘Wie een huurwoning zoekt, meldt zich nu bij gemiddeld acht partijen aan, vaak in verschillende systemen. Dat is niet alleen onhandig, maar negen van de tien keer blijven je data ook nog rondslingeren. Woningcorporaties worstelen vaak met de balans tussen fraudebestrijding en privacy. De app Ockto vernietigt de gegevens onmiddellijk na gebruik door de kandidaat-huurder, Huurpaspoort na inzage door de verhuurder.’

Bij Huurpaspoort wordt bovendien voortdurend gewerkt aan de beperking van de hoeveelheid informatie, verzekert Vreman. Nu kan een verhuurder nog de gehele adreshistorie inzien van een kandidaat-huurder, zegt hij, net als diens werkgeversgeschiedenis over drie jaar. ‘Uiteindelijk willen we uitsluitend die informatie bieden die een verhuurder strikt nodig heeft om zijn huurders te kiezen.’

Ook de verhuurder van woontoren De Syp, Amvest, ziet geen privacyproblemen. Huurpaspoort kan er misschien zelfs voor zorgen dat ‘we uiteindelijk kandidaat-huurders kunnen accepteren met een minimale uitwisseling van persoonlijke gegevens. Wij krijgen dan bijvoorbeeld niet precies te zien hoeveel iemand verdient, maar alleen een groen vinkje.’

De kandidaat-huurder hoopt straks te kunnen genieten van een fraai uitzicht over Utrecht. ‘Ik ga er maar vanuit dat Ockto en Huurpaspoort alles netjes afhandelen. Maar uiteindelijk moet je de burger niet in staat stellen zijn overheidsgegevens zomaar te delen met private partijen. De overheid zou hem daar tegen moeten beschermen.’

Wilt u belangrijke informatie delen met de Volkskrant? Tip hier onze journalisten

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.