De combinatie datagebruik en privacy ligt al jaren onder een vergrootglas. Zeker ook waar het gaat om fraudebestrijding door de overheid. Toch is er veel mogelijk als we een aantal belangrijke AVG-principes in acht nemen en rekening houden met ethische aspecten.
Er zijn genoeg voorbeelden van zaken waar we het als overheid beter hadden moeten of kunnen doen. Zo staat mij de uitspraak van de rechtbank van begin vorig jaar over het wettelijke Systeem Risico Indicatie (SyRI) nog helder voor de geest. Voor degenen die het niet kennen: SyRI is een instrument waarmee overheidsorganisaties fraude in het sociaal domein gezamenlijk wilden bestrijden door gegevens met elkaar te delen. De rechter oordeelde onder meer dat ‘de wetgeving wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar is’. Maar ook deelde de rechter de mening van het Rijk dat bestrijding van fraude een belangrijk maatschappelijk doel is, waarvoor moderne technieken moeten worden benut.
Speelveld vaststellen
Dergelijke uitspraken en de mogelijke onrust die hierop volgt leiden tot het onterechte idee dat we als overheid niets meer mogen op het gebied van gegevensgebruik en fraudebestrijding. Moeten we bij opsporing van fraude dan terug naar pen, papier en persoonlijke waarneming? Zelf zie ik het anders. Ik ben blij dat de Autoriteit Persoonsgegevens en onafhankelijke rechters toetsen of wij als overheid de privacy van burgers wel voldoende respecteren en of we dat ook kunnen aantonen. Laten we wel zijn, werken met data is een relatief jong fenomeen. Met de principes die ten grondslag liggen aan de AVG en uitspraken zoals die over SyRI wordt het speelveld wat mij betreft steeds duidelijker.
Transparantie is in dat speelveld een groot goed. Die transparantie geldt in eerste instantie naar burgers. Zij moeten zien dat de overheid integer en volgens de wet met hun privacy omspringt. Maar ik ga graag een stap verder. Ook binnen organisaties en samenwerkingsverbanden moet duidelijk zijn wat de werkprocessen zijn en welke algoritmes bijvoorbeeld worden gebruikt. Met alle media-aandacht rond fraudebestrijding en privacy van de afgelopen tijd is dit meer dan eens ook een bestuurlijk thema. Je moet als wethouder willen weten hoe de datagerichte fraudebestrijding binnen de gemeente zich verhoudt tot de wet. Dat ben je niet alleen verplicht richting de burger, je voorkomt ook dat je voor vervelende verrassingen komt te staan.
Goed beslagen ten ijs
Die verrassingen zitten soms in een klein hoekje. Hoekjes waar je als organisatie zelf volledig verantwoordelijk voor bent. Koop je als gemeente op de markt een tool om datagericht fraude mee op te sporen, dan kun je niet blind op de leverancier vertrouwen. Je moet zelf alle ins en outs kennen én erop kunnen rekenen dat je medewerkers er verstandig mee omgaan. Ook moet je het beheer goed regelen en processen en tools tussentijds evalueren. Een zaak die de verantwoordelijkheid van de afdelingen ICT of handhaving overstijgt. Concreet gaat het om vragen die ervoor zorgen dat je het goede blijft doen. Voldoet wat we doen nog aan de eisen van proportionaliteit en subsidiariteit? Aan principes zoals doelbinding, gegevensminimalisatie en bewaartermijnen? Is de datakwaliteit van een voldoende niveau om goede resultaten te krijgen?
Mogelijkheden zorgvuldig benutten
Met dat ‘goede’ is echt veel mogelijk. Zo kun je persoonskenmerken of karakteristieken van een wijk gebruiken op metaniveau. Dus zonder dat de gegevens herleidbaar zijn tot individuele personen. Blijkt bijvoorbeeld uit onderzoek dat onder alleenstaande mannen gemiddeld meer bijstandsfraude voorkomt, wil en mag dat niet zeggen dat die hele groep verdacht is. De eerste vraag is natuurlijk of je data kloppen? Logische vervolgvragen zijn welke oorzaak er áchter dit verschijnsel schuilgaat en hoe je dit in de toekomst kunt voorkomen. Denk aan nalevingsgerichte communicatie specifiek voor deze groep. Daarnaast kun je in je handhavingsplan opnemen dat je onder deze groep meer steekproeven uitvoert.
Statistieken en persoonskenmerken kun je niet gebruiken voor individuele risicoselectie. Wil je op persoonsniveau risicogestuurd werken, dan kun je wel uitgaan van indicatoren die gaan over gedrag, patronen dus. Een mooi voorbeeld is het onderzoek naar uitkeringsgerechtigden met vermogen in het buitenland. Iedereen beseft inmiddels wel dat risicoselectie op basis van etniciteit uit den boze is. Maar regelmatig of langer op vakantie gaan naar een bepaald land in combinatie met bijvoorbeeld onverklaarbare bedragen op de bankrekening, kan wel een rechtmatige aanleiding zijn voor nader onderzoek. In dat woordje ‘kan’ ligt nog wel een belangrijk element besloten. Het mag niet zo zijn dat risicoselectie op basis van data automatisch leidt tot een handhavingsactie. Er moet altijd sprake zijn van een individuele beoordeling en maatwerk. Hierbij is het vakmanschap van ‘de handhaver’ onmisbaar.
Part of the game
Met de toeslagenaffaire bij de Belastingdienst vers in het geheugen, gaat het bij datagerichte fraudebestrijding tegenwoordig vooral, en terecht, over de onrechtvaardige behandeling van burgers. Maar laten we niet vergeten dat de essentie van fraudeopsporing juist réchtvaardigheid is. En in het huidige ‘datatijdperk’ is werken met data, ook waar het gaat om toezicht en handhaving, gewoon part of the game.
Ingrid Hoogstrate is directeur VNG Naleving
Goed artikel! In het vaststellen of je data van goede kwaliteit is dan wel wordt aangewend voor de juiste vragen kunnen tools zoals kosa.ai helpen. Deze maken inzichtelijk waar de risico’s/grenzen aan de gekozen algoritmes en datasets zitten. Klopt wel dat uiteindelijk een mens de afweging moet maken bij vermoedens van fraude etc.