Webwereld meldde eerder deze maand dat werkgevers in de Verenigde Staten steeds vaker een verzekering tegen identiteitsdiefstal als secundaire arbeidsvoorwaarde aanbieden. Afhankelijk van de dekking kunnen Amerikaanse werknemers zich tegen betaling van een bedrag tussen de 1 tot 50 dollar verzekeren tegen de ellende die identiteitsdiefstal heet.
Dat er in de VS een markt is voor dit verzekeringsproduct, lijkt inmiddels wel duidelijk. 'Identity theft' is daar al enige tijd de snelst groeiende vorm van criminaliteit, alhoewel de berichten over de omvang van het probleem variëren. De Federal Trade Commission berekende een stijging van 52 procent tussen 2002 en 2004 (van 161.896 in het jaar 2002 tot 246.570 het afgelopen jaar). Even zovele persoonlijke drama's van ellende en machteloosheid.
Want de ergernis en het leed waarmee men wordt geconfronteerd als de persoonlijke data zijn buitgemaakt en de moeite die het vervolgens kost om de juiste identiteit weer in alle systemen op orde te krijgen lijkt - althans in de VS - enorm te zijn. Ellende en kosten: voer voor verzekeraars. Nog even wachten, en we krijgen ook in ons land op radio en tv een reclamespotje waarmee ons aan de hand van een redelijk bizar scenario een onmisbare verzekering wordt aangeprezen. "Wij vergoeden uw schade en wikkelen ook nog eens alle administratieve ellende voor u af. Glashelder."
Maar over welke schade hebben we het dan? Als de dekking uitsluitend de directe schade omvat en niet de gevolgschade, zal veel van de echte ellende buiten de verzekering blijken te vallen. Bovendien is het hoogst twijfelachtig of alle mogelijke ellende - en dus schade - wel op voorhand is te overzien. Soms zullen de consequenties van een 'afgepakte' en vervolgens 'misbruikte' identiteit pas veel later echt duidelijk worden. Juist met het huidige gebrek aan inzicht over de werkelijke gevolgen van deze nieuwe vorm van criminaliteit, is het vooralsnog onmogelijk de dekking glashelder te regelen.
Kortom, onbezorgd met een identiteitsverzekering op pad is er voorlopig niet bij.
En dan nog een vraag: wat is 'schade' hier precies? Op simpele euro's waardeerbare schade, zouden de verzekeraars kunnen stellen. Als de schade al op geld waardeerbaar blijkt te zijn (wat in het geval van identiteitsdiefstal zeker geen eenvoudige klus is, en dus een leuke bron voor gesteggel), dan nog zal de verzekering niet meer zijn dan een eenvoudig doekje voor het bloeden. Want wat gedupeerden natuurlijk juist willen, is compensatie voor de meer immateriële ellende die ze aan het verdwijnen, manipuleren, etc. van hun identiteit overhouden. Alleen al de gedachte die gedupeerden blijvend zal achtervolgen dat ergens op de wereld iemand zich van hun identiteit heeft voorzien en ze nooit de volledige zekerheid zullen hebben hun identiteit weer helemaal voor zichzelf te hebben.
En dan hebben we het nog niet eens over het object van verzekering: 'identiteit'. Is dat uw pinpas-, zorg- of sofi-nummer? Inmiddels is het in feite veel meer dan dat: 'identiteit' is ook de persoon zoals de overheid u denkt te kennen en wenst te beoordelen. Of het etiket dat u na wat digitale analyses en elektronische observaties door een commercieel bedrijf opgeplakt heeft gekregen. Het zal echter niet verbazen als verzekeraars deze laatste vormen van 'identiteit' bij voorkeur buiten de deuren van de polisdekking willen houden.
Veel van de bovenstaande vragen houden direct verband met een volstrekte onbekendheid in ons land met het fenomeen 'identiteitsdiefstal' en de exacte consequenties hiervan. Op wat losse berichten over fraude met pinpassen en sofi-nummers na, is het opvallend stil. Toegegeven: ook ik weet niet of we ook in ons land moeten vrezen voor de doemscenario's waarmee de VS en nu ook het Verenigd Koninkrijk worden geconfronteerd.
Wie weet valt het allemaal best wel mee en is onze identiteitsinfrastructuur minder kwetsbaar voor diefstal en manipulatie van 'identiteiten'. Maar misschien vergissen we ons daar lelijk in. Duidelijk is in ieder geval wel dat we nauwelijks inzicht hebben in de zwakke plekken van het systeem.
Duidelijk is ook dat we niet weten wat precies de kwetsbare kanten zijn van een identiteitsinfrastructuur die is opgebouwd vanuit de gedachte van centralisatie. Maar de weg van centralisatie zijn we inmiddels wel ingeslagen.
Ook het met Prinsjesdag nu officieel aan het Nederlandse publiek gepresenteerde Burger Service Nummer (BSN) is daar weer een voorbeeld van. En dat terwijl aan de andere zijde van de Noordzee in toenemende mate, ook bij de politiek verantwoordelijken, twijfels rijzen over de wenselijkheid van één unieke identiteitskaart. De kwetsbaarheid voor grootschalige en oncontroleerbare identiteitsfraude speelt daarbij een belangrijke rol.
Vele jaren geleden sprak de huidige advocaat-generaal bij de Hoge Raad, Spier, over 'sluipende schade'. Het ging toen over asbest en milieuverontreinigende stoffen. Simpel gesteld: risico's waarvan we pas jaren later de enorm schadelijke consequenties vaststellen en (kunnen) overzien. Ook in een digitale omgeving is een scenario van sluipende schade heel goed voorstelbaar. Zeker als we kijken hoe via populaire beleidsvoornemens als stroomlijning basisgegevens, ketenuitwisseling en unieke nummers een digitaal spinnenweb wordt opgebouwd. Maar daarbij wordt tegelijkertijd veronachtzaamd maatregelen tegen manipulatie te treffen.
Laat staan dat men in staat is om snel en adequaat in dat web van duizenden verbindingen de bron van alle identiteitsellende te traceren. Een overheid die de rechten en plichten of de handel en wandel van haar burgers wenst te bestieren of te observeren vanuit één unieke, centraal aangestuurde, identiteit maakt die identiteit juist ook kwetsbaar. Eén keer manipuleren is voldoende en de zwakste schakel bepaalt de kracht van de hele identiteitsketen.
Identiteitsfraude. Niet meer dan een hype of inderdaad bron van een sluipende digitale schade waarvan we de consequenties pas overzien als het te laat is? Identiteitsdiefstal: verzekerbaar of niet en zo ja, waarover hebben we het dan precies? Hoog tijd om ook in ons land eens een keertje bij stil te staan.