Een club privacyvoorvechters neemt het met een "bodemprocedure":https://platformburgerrechten.nl/2018/01/12/ngos-starten-rechtszaak-tegen-de-staat-over-risicoprofilering-van-nederlandse-burgers/ op tegen de Staat om het Systeem Risico Indicatie te bestrijden. SyRI is een systeem om sociale fraude aan te pakken, maar de wijze waarop roept vragen op. Volgens het Platform Bescherming Burgerrechten met name "omdat toezicht op het systeem ontbreekt en bovendien wordt door de overheid de informatieverplichting aan betrokken burgers aan de laars gelapt".
Syri: wat is het en hoe werkt het:
– SyRI en AVG
– Geschiedenis van SyRI
– Hoe werkt SyRI?
– Toepassing SyRI
– Data-analyse uitbreiden of stoppen?
“Een ambtenaar van het ministerie van Sociale Zaken en Werkgelegenheid zei letterlijk gedurende een overleg: ‘Alles wat niet normaal is, vinden wij opvallend’. Dus als jij toevallig volgens hun normen ‘abnormaal’ bent, kan dat voor jou veel risico’s meebrengen.” Aan het woord is Anton Ekker van Deikwijs. Hij is advocaat van een groep maatschappelijke organisaties die een rechtszaak tegen de Staat beginnen om SyRI, een instrument dat de overheid inzet voor bestrijding van sociale fraude door personen (uitkeringen) en bedrijven (malversaties).
Eerder deze week voerden de aanklagende organisaties overleg met betrokken ambtenaren, omdat de juridische procedure dat vereist. De partijen kwamen vooralsnog geen stap verder, zeggen Ekker en Tijmen Wisman. Laatstgenoemde is wetenschappelijk onderzoeker aan de Vrije Universiteit en voorzitter van de Platform Bescherming Burgerrechten.
SyRI werkt sinds 2014. Waarom nu pas de rechtszaak? Wisman: “We hebben lang gezocht naar geschikte advocaten die hier principieel achter staan en dit voor een schappelijk bedrag willen doen. Vervolgens vergden voorbereiding en formulering van de dagvaarding veel tijd.”
Wat is er mis met SyRI?
Anton Ekker: “Er vindt profilering plaats op basis van persoonsgegevens, van vertoond gedrag, voorkeuren, speciale kenmerken. Veel gegeven uit verschillende databanken worden gecombineerd om analyses op los te laten. Volgens de AVG (Algemene Verordening Gegevensbescherming, is per 25 mei van toepassing) is dit profilering.”
Is dat zo erg?
Anton Ekker: “Er ontstaan onaanvaardbare risico’s, zoals stigmatisering, veroudering van gegevens of onjuiste oordelen. Dat moet je afwegen met Artikel 8 van het Europees Verdrag voor de Rechten van de Mens over de privacyrechten: is de methode bijvoorbeeld proportioneel? In het kader van fraudebestrijding vindt de overheid van wel, maar dat onderbouwen ze nauwelijks. Het gaat om een systeem waarmee honderdduizenden of miljoenen mensen geanalyseerd kunnen worden.”
Is dat niet proportioneel inzake fraudebestrijding?
Anton Ekker: “SyRI leidt ertoe dat iedere burger door de overheid geanalyseerd kan worden en in een register met risicomeldingen kan belanden. Terwijl we niet weten hoe dat systeem werkt. We moeten het doen met enkele zeer vaag geformuleerde wettelijke bepalingen. Het is zo algemeen: ‘onjuist gebruik van overheidsgelden’. En veel te ruime categorieën van gegevens die de overheid mag aanwenden.”
Is data-analyse voor fraudebestrijding onjuist?
Anton Ekker: “Belangrijk is dat bij wet bevoegdheden worden toegekend aan organen om hun informatie te delen in samenwerkingsverbanden die zij naar eigen goeddunken mogen samenstellen: gemeenten, nutsbedrijven, Kadaster, Belastingdienst, UWV, SVB. Wij gaan nu eens lekker alle data op een hoop gooien en daar analyses op loslaten. De partij die deelneemt is ook verplicht z’n data in te brengen. De wet geeft nauwelijks criteria wanneer die bevoegdheid kan worden ingezet en je als burger er doelwit van bent. Dit leidt tot een systeem waarvan ik zeg: dat is totaal vaag.”
Hoe hebben wij daar last van?
Anton Ekker: “Stel, als burger krijg je een sanctie: uitkering stopgezet, een boete of vervolging wegens fraude. Dan moet je erachter zien te komen dat dit volgt uit toepassing van SyRI, want je was niet actief op de hoogte gesteld. Vervolgens moet je erachter komen hoe het zit met het risicomodel, gebruikte gegevens en manier van analyseren. Uit het pak papieren dat wij kregen is niet op de maken hoe dat gaat, want het risicomodel is geheim.”
Dat is toch logisch?
Anton Ekker: “Toezicht ontbreekt. De overheid lapt ook de informatieverplichting aan betrokken burgers aan de laars. Die is niet mogelijk, zegt de overheid, omdat de werkwijze niet openbaar mag worden. Maar we hebben het niet over terrorismebestrijding.”
Maar ze gooien data van niet-verdachten toch weg?
Tijmen Wisman: “Dat laat onverlet dat er tot dat moment op grote schaal privacy wordt geschonden. Ook met de selectie van zogenaamde verdachten, wat via een schimmige werkwijze plaatsvindt.”
Hoe ernstig is SyRI?
Anton Ekker: “Dit is typisch asymmetrische machtsuitoefening in het panopticum van Jeremy Bentham: je wordt voortdurend in de gaten gehouden, maar weet het zelf niet. Er wordt hier in Nederland wel erg makkelijk over gedaan, bijvoorbeeld in vergelijking tot Duitsland of Roemenië.”
Is het doelbewust zo kwaadaardig?
Tijmen Wisman: “We uiten geen Big Brother beschuldigingen. Ambtenaren doen dit allemaal met goede intenties om fraude en misdaad te bestrijden. Maar ze hebben daartoe wettelijke bevoegdheden gekregen die veel te ver gaan, die hen te veel macht geven over onschuldige burgers.”
Wat en wie is het Platform Bescherming Burgerrechten?
Platform Bescherming Burgerrechten bestaat sinds 2009 en heeft onder meer de volgende deelnemers:
– Nederlands Juristen Comité voor de Mensenrechten (NJCM)
– Privacy First
– Stichting KDVP (groep artsen)
– Ouders Online
– Humanistisch Verbond
In de Algemene Verordening Gegevensbescherming (AVG) stelt de Europese wetgever in Art. 22:
1. De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
Met andere woorden: het automatisch analyseren van persoonsgegevens met directe besluitvorming tot gevolg is verboden. Dat geldt ook voor het hanteren van risicoprofielen om personen te selecteren. Je mag wel profileren, ook op risico voor het begaan van misdaad, maar met menselijke tussenkomst. Een politieagent mag inschatten dat een 20-jarige jongen eerder een boef is dan een 80-jarige vrouw. Maar een computer een lijst laten uitspugen met alle jongens tussen de 15 en 25 jaar in een bepaalde wijk? Dat mag niet.
Eenvoudig gezegd is het de kunst om bij het toepassen van profilering tijdig het initiatief van de computer over te nemen, alvorens er besluiten vallen. Dat is een grijs gebied en met name daarover gaat de rechter in deze zaak oordelen. Is de profilering met SyRI een zaak van louter of hoofdzakelijk datasystemen in computers? Of weet de overheid duidelijk te maken dat SyRI risicoprofielen ophoest, maar geen verdachten? Dat doen mensen uiteindelijk en pas dan ben je verdachte.
Ook over de zinsnede ‘in aanmerkelijke mate treft’ is er geen jurisprudentie. Want wanneer is dat in de toekomst bij profilering het geval? Bij het stopzetten van een uitkering, het geven van een boete het strafrechtelijk vervolgen staat dat buiten kijf. Maar in andere gevallen?
Wat in ieder geval helder is dat automatische besluitvorming met persoonsgegevens niet mag ‘om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft.’
De AVG biedt ook uitzonderingen wanneer automatisch profileren wél mag. Bijvoorbeeld als betrokkenen toestemming geven. Maar ook als het op grond van de Nederlandse wet is toegestaan c.q. noodzakelijk is. De AVG noemt bijvoorbeeld expliciet bestrijding van belastingfraude en – ontduiking als uitzondering. Maar geldt die uitzondering ook bij SyRI, gelet op de noodzaak van socialefraudebestrijding?
De AVG stelt wel waarborgen:
– Als burger moet je specifiek worden ingelicht;
– Je hebt recht op uitleg over de totstandkoming van het besluit;
– Je moet je standpunt kunnen toelichten en het besluit kunnen aanvechten;
- Afwijzing mag alleen met ‘dwingende gerechtvaardigde gronden’ die zwaarder wegen dan jouw belangen als bezwaarde.Overigens blijkt uit een recente rapportage aan de Tweede kamer over het Raad van State-advies over de AVG-invoering dat het kabinet meent dat juist SyRI aan de toets voldoet. Daar staat ook in dat ‘de betrokkene inzage kan krijgen in de resultaten van de data-analyses alsmede in de vraag door wie de uitkomsten daarvan gebruikt (mogen) worden’. Opmerkelijk, want de bezwaarden zeggen juist dat deze informatieplicht met toepassing van SyRI wordt ontdoken.
Op vragen stelt de woordvoerster van het ministerie van Sociale Zaken en Werkgelegenheid onomwonden: “De komst van de AVG heeft geen gevolgen voor de regeling in de Wet SUWI en het Besluit SUWI. SyRI voldoet aan de wettelijke eisen. Alleen de begrippen worden aangepast aan die van de AVG.”
Begin 2004 is voor socialefraudebestrijding de Landelijke Stuurgroep Interventieteams (LSI) opgericht, onder toenmalig staatssecretaris Mark Rutte van Sociale Zaken. Eerste deelnemers aan de LSI waren UWV, Belastingdienst, SVB, SIOD en Arbeidsinspectie (nu beide onderdeel van de Inspectie SZW), het Openbaar Ministerie, de Vereniging van Nederlandse Gemeenten en Divosa. Een van de middelen die de LSI hanteert, is data-analyse.
De voorloper van SyRI werd onder de naam ‘Black Box’ jarenlang door de LSI toegepast voor het opsporen van fraude met uitkeringen, belastingen en toeslagen, faillissementen, arbeidsvoorschriften et cetera. Zonder afzonderlijke wettelijke grondslag, maar wel binnen de privacyregels. Aanleiding voor de ‘Black Box’ was het project ‘Waterproef’ (of ‘Waterproof’) waarbij waterverbruik, gemeten door nutsbedrijven, werd gekoppeld aan adressen van uitkeringsgerechtigden. Aanvankelijk werd dit project door de toezichthouder afgekeurd.
Ondanks de afkeuring bleef de behoefte bij de verschillende kabinetten bestaan om maatregelen door te voeren tegen sociale fraude. Zo werd per 1 januari 2013 de Wet aanscherping handhaving en sanctiebeleid SZW van kracht, bekend als de Fraudewet, gericht op fraudebestrijding in het sociale domein en uitgevoerd door gemeenten, SVB en UWV.
Een vervolg op de Fraudewet werd het Wetsvoorstel fraudeaanpak door bestandskoppelingen. Dat voorstel werd in september 2013 (zonder stemming) aangenomen door de Tweede Kamer. Ook in de Eerste Kamer was er geen weerstand. Op 1 oktober 2013 werd het voorstel als hamerstuk afgetikt. Per 1 januari 2014 werd de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI) gewijzigd met bepalingen om SyRI te legitimeren. Op 12 september 2014 trad het Besluit SyRI in werking.
Uit een rapportage aan de Tweede Kamer valt op te maken dat vóór SyRI wettelijk werd verankerd, er in 22 van de 160 projecten van de interventieteams gebruik werd gemaakt van de techniek voor bestandskoppeling en risicoanalyse (Black Box).
De SyRI-methode omvat een risicomodel dat bestaat uit vooraf bepaalde indicatoren en aangeeft of er sprake is van een verhoogd risico op:
- onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen; sociale zekerheid en inkomensafhankelijke regelingen,
- belasting- en premiefraude, of
– het niet-naleven van arbeidswetten door bedrijven.SyRI omvat de technische infrastructuur en procedures om in een beveiligde omgeving pseudoniem data te koppelen en te analyseren, teneinde risicomeldingen (op naam) te genereren. Een risicomelding betekent dat een rechtspersoon of natuurlijke persoon een bepaalde kans wordt toegedicht op frauduleus handelen, onrechtmatig gebruik en niet-naleving van wetgeving. Deze werkwijze moet leiden tot een meer effectieve en efficiënte inzet van het controleapparaat.
Bij het doen van onderzoek naar sociale fraude wordt er, afhankelijk van het doel van het onderzoek, geput uit maximaal 55 bronbestanden. Daarbij gaat het onder meer om:
a. arbeidsgegevens, over verrichte werkzaamheden;
b. gegevens inzake bestuursrechtelijke maatregelen en sancties, zoals boetes;
c. fiscale gegevens van natuurlijke personen en rechtspersonen;
d. bezit van roerende en onroerende goederen;
e. gegevens over uitsluitingsgronden van bijstand of uitkeringen;
f. handelsgegevens van rechtspersonen en bestuurders;
g. huisvestingsdata;
h. identificerende data: naam, adres, woonplaats, postadres, geboortedatum, geslacht en administratieve kenmerken;
i. inburgeringsdata;
j. nalevingsdata, over overtredingen;
k. (financiële) onderwijsdata;
l. pensioendata;
m. data re-integratieverplichtingen;
n. data schulden;
o. uitkerings-, toeslagen- en subsidiedata, de financiële ondersteuning;
p. data over verleende vergunningen en ontheffingen, zoals bouwvergunningen;
q. zorgverzekeringsdata, louter om te bepalen of een persoon is verzekerd.Voorbeelden van relevante bronnen:
– Gegevensuitwisseling gedetineerden in het buitenland;
– Vermogen in het buitenland (Belastingdienst, Internationaal Bureau Fraude-informatie IBF);
- Gegevenslevering nutsbedrijven en woningverhuurders. Met water- en energieverbruik wordt adres- en leefvormfraude ontdekt;
– Gegevensuitwisseling Registers kinderopvang en peuterspeelzaalwerk (ook gastouderopvang).In 2017 is de IND toegetreden. Zij brengt haar bestanden over immigratie etc. in bij het samenwerkingsverband teneinde van de resultaten van SyRI ook gebruik te kunnen maken.
De minister van Sociale Zaken en Werkgelegenheid bepaalt of het verzoek voor toepassing van SyRI wordt gehonoreerd en de bewindspersoon blijft ook leidend in de procedure. Officieel verstrekken de bestuursorganen de databestanden aan de bewindspersoon.
Het instrument SyRI heeft volgens betrokken ambtenaren een substantieel aandeel in de fraudebestrijding; in 2010 was de geraamde opbrengst ruim 23 miljoen euro. Bovendien werkt het preventief, zo wordt gesteld. Zo leverde het gastouderonderzoek in Midden-Nederland bijna zes miljoen euro op met duizenden misbruikers, maar had ook een sterk afschrikwekkende werking.
Vanaf 2014 hanteert de LSI landelijke thema’s waarbinnen projecten worden uitgevoerd. LSI-projecten richtten zich in de afgelopen jaren onder meer op gastouderbureaus, uitzendbureaus, schijnconstructies, arbeidsmigratie, recreatieterreinen en op probleemwijken, waarbij is gecontroleerd op fraude en op illegale tewerkstelling. Recent onderzochte wijken zijn bijvoorbeeld Weesp-Noord, De Valuwe in Cuijk, Dauwendaele in Middelburg, de kern van Vaals en Meerzicht in Zoetermeer. Ook recreatieparken op de Noord-Veluwe, in West-Brabant, Hardenberg/Ommen, Maasdriel en Zundert waren in de afgelopen jaren onderwerp van onderzoek. De aanpak van adresfraude is ook in recente interventieteamprojecten, zoals in de buurt Hoograven (Utrecht), een belangrijk thema geweest.
Voorstellen voor projecten van deelnemers worden ter goedkeuring aan de LSI (Stuurgroep) voorgelegd. In 2017 is nog een samenwerkingsverband voor fraudebestrijding opgetuigd met onder meer de gemeenten Utrecht, Eindhoven, Tilburg, Zwolle, Gouda, Capelle aan den IJssel en Emmen. Verder zijn in de afgelopen twee jaar voor nog twee projecten voor toepassing van SyRI een aanvraag ingediend. “Beide aanvragen zijn nog in behandeling”, aldus een woordvoerster van het ministerie van SZW.
Als het gaat om fraudebestrijding, vindt er meer en meer afstemming en samenwerking plaats met de Regionale Informatie en Expertise Centra. Deze RIEC’s ondersteunen lokale besturen in de aanpak van ondermijnende criminaliteit. De RIEC’s vallen onder het ministerie van Justitie en Veiligheid. In de wijkgerichte projecten is het standaard dat, wanneer het interventieteam bij de uitvoering van de controles vermoedt dat er sprake kan zijn van georganiseerde criminaliteit of hennepteelt, het RIEC in die regio wordt geïnformeerd en eventueel bij het Landelijk Bureau Bibob.
Gegevens over fraudebestrijding uit bestandskoppelingen worden nooit openbaar gemaakt, maar bij de Autoriteit Persoonsgegevens wordt wel gemeld welke soorten gegevens zijn gebruikt. De risicoanalyse op het bestand van potentiële hits levert een aantal risicomeldingen op. Die worden in het register risicomeldingen opgenomen, alle overige gegevens worden vernietigd. Risicomeldingen moeten eerst worden onderzocht door het projectteam, voordat een sanctie kan worden opgelegd. Iedere burger kan infomeren of hij/zij in het register is opgenomen. Actieve meldingen zijn er niet.
De verzamelde databerg wordt in een beveiligde omgeving gepseudonimiseerd en vervolgens worden daarmee de ‘risico’s’ op fraude geanalyseerd: een bepaalde groep van kenmerken geeft een verhoogde kans op fraudeverdenking. Pseudonimiseren, is, anders dan anonimiseren, een techniek waarmee de identiteit van een persoon achteraf wel herleidbaar is. Dat is ook de bedoeling van SyRI: het identificeren van personen die in de groep vallen met een hoog risico op fraude.
Data-analyse uitbreiden of stoppen?
Toenmalig minister Asscher van SZW vond destijds dat ‘de proportionaliteit wordt gewaarborgd doordat deelnemende partijen voorafgaand aan elk project aan de Wbp (Wet bescherming persoonsgegevens, Red.) toetsen welke gegevens noodzakelijk zijn voor het specifieke opsporingsdoel. Hierdoor wordt de inperking van het recht op privacy zo klein mogelijk gehouden.
Het College bescherming persoonsgegevens (CBP, de voorloper van Autoriteit Persoonsgegevens) plaatste in zijn advies bij het conceptbesluit SyRI hierbij vraagtekens. Zo vereist artikel 8 van het Europees Verdrag voor de Rechten van de Mens dat wetgeving bepalingen bevat die regelen welke soorten data mogen worden verwerkt, de categorieën van personen die het betreft en de omstandigheden waaronder dit gebeurt.
Het CBP adviseerde om vooraf zoveel mogelijk inzichtelijk te maken welke selectie van persoonsgegevens wordt gemaakt. Omdat de selectie van gegevens per samenwerkingsverband en per project verschilt, was het volgens toenmalig minister Asscher niet mogelijk om dit in de regelgeving voor alle individuele projecten uit te werken. Het advies van het CBP is daarop als volgt verwerkt: ‘binnen SyRI worden alleen gegevens verwerkt als daar een wettelijke grondslag voor is en alles wordt tevoren gespecificeerd’.
In de media is SyRI af en toe beschouwd als een ultieme aantasting van privacy, als de realiteit geworden Big Brother. Volgens betrokken ambtenaren is het tegendeel het geval. Volgens hen zijn er nu regels opgesteld die willekeur en onjuist datagebruik bij de fraudebestrijding voorkomen. Toch is het negatieve imago niet weggenomen.
Levert deze risicobepaling met veel data (te) grote risico’s op voor de privacy en rechtsstaat? Dat zal tijdens de rechtszaak blijken en alleen daarom al is het goed dat die wordt gevoerd. Want de komende jaren lonkt op veel meer terreinen profilering ten dienste van de samenleving…
Vrijdag (19 januari) vindt in De Nieuwe Liefde in Amsterdam een bijeenkomst plaats over de bescherming van burgerrechten. SyRI en de rechtszaak tegen de Staat, komen daarbij uitgebreid aan de orde. Sprekers zijn onder anderen auteur Tommy Wieringa, filosoof Maxim Februari, wetenschapper Vincent Icke en Aline Klingenberg (coördinator Recht & ICT aan de Rijksuniversiteit Groningen en plaatsvervangend rechter bij de Rechtbank Noord Nederland).
