De iCOV? Het Expertisecentrum Fraude? Het Inlichtingenbureau? Hoogstwaarschijnlijk allemaal bij de burger onbekende fenomenen. Maar onze data vloeien massaal door de aderen van deze clubs. Hun nobele doel: miljarden aan fraude innen en voorkomen. Maar veel data-uitwisseling is juridisch houtje-touwtje geregeld; een nieuwe ‘Kaderwet gegevensuitwisseling’ verandert dat wellicht.
Curieus is het ontbreken van goed onderzoek naar de mogelijke omvang van fraude in Nederland. Dat heeft een oorzaak: je weet niet wat je niet weet. Het Centraal Bureau voor de Statistiek (CBS) komt tot 4,6 miljard euro, maar dat is exclusief witwassen. Veelal wordt 11 miljard euro aangehouden, gebaseerd op ramingen van adviesbureau PwC. Eind 2013 kwam er een ministeriële commissie-Aanpak Fraude, met premier Rutte als voorzitter en de minister van VenJ als coördinator. Ze brachten een Rijksbreed actieplan uit. Fraudebestrijding scoort al decennia goed in Den Haag. Jaarlijks is er een voortgangsrapportage, maar wel rond de Kerst en dan ligt ‘Den Haag’ kennelijk stil.
Terwijl media vanaf juni 2013 geen genoeg konden krijgen van de Snowden-affaire met de datasnoeperij door Amerikaanse diensten, vernamen we vrijwel niets over het groeiend datagebruik in Nederland, behoudens wat AIVD-incidenten. Terwijl de invloed van het onthulde Amerikaanse datagebruik op de Nederlandse burgers vele malen geringer is dan de omvang en invloed van het datagebruik door de Nederlandse overheden. In tal van samenwerkingsverbanden vergaren, combineren en analyseren ze data, vooral ten behoeve van bestrijding van fraude.
Burger transparanter, overheid niet
Een overzicht met datakoppelingen van het ministerie van VenJ van 23 maart 2015 kreeg geen aandacht: 57 pagina’s tabellen, wellicht opzettelijk even ontoegankelijk als moeilijk leesbaar gemaakt, en volgens minister Van der Steur ook incompleet. Zo ontbreken koppelingen met de grote basisregistraties, want volgens de minister zijn deze ‘al genoegzaam uit de vigerende wet- en regelgeving af te leiden’.
Niemand weet precies wie er welke bestanden voor welke doeleinden koppelt, laat staan de gebruikte technieken, frequentie van de uitwisseling, bewaartermijnen van data et cetera. De WRR stelt in haar recente Big Datarapport (zie kader) eufemistisch dat de exponentiële groei van datagebruik en koppelingen niet gepaard ging met gelijke toename van transparantie en accountability (rekenschap geven van gebruik). ‘Bovendien worden burgers steeds transparanter voor de overheid, terwijl de profielen, algoritmen en methoden die overheidsorganisaties gebruiken nauwelijks transparant of navolgbaar voor die burgers zijn.’
Succes voor geheimzinnige dataclub
Speurders hechten nu eenmaal ook aan geheimhouding, teneinde doelwitten niet in de kaart te spelen. Dat geldt zeker voor Infobox Crimineel en Onverklaarbaar Vermogen (iCOV), de data-analist van OM, politie, Belastingdienst, Douane, FIOD, Financial Intelligence Unit, Voedsel- en Warenautoriteit, Inspectie SZW en Inspectie Leefomgeving en Transport (ILT). Deze participanten doen er verzoeken voor data-analyse en leveren zelf bestanden aan voor de jaarlijks duizend rapporten ‘omtrent vermogen en inkomen’ en driehonderd ‘relatienetwerken’ van veelal criminele organisaties. iCOV was bij het OM ondergebracht, nu bij de Belastingdienst. Andere inspecties en toezichthouders rammelen aan de poort om mee te doen, gezien de successen. Zo draagt iCOV veel bij aan de doelstelling om vanaf 2016 jaarlijks 100 miljoen aan crimineel vermogen in beslag te nemen. Dat was in 2014 al 136 miljoen en in 2015 143,5 miljoen, ruim meer dan beoogd.
Niemand weet precies wie er welke bestanden voor welke doeleinden koppelt
De oorzaak? ‘Deze dataverzameling en -verwerking levert een tijdwinst op van weken/maanden ten opzichte van traditioneel rechercheren en verzamelen van data’, zo vertelde Gees Grootscholten, cheffin van de iCOV, in een eerste grote openbaring van het iCOV-werk voor het WRR-onderzoek. iCOV’s data-exercities worden inmiddels ook aangewend voor operaties tegen ‘ondermijnende criminaliteit’ van drugsproductie en terrorismefinanciering. iCOV deelt officieel geen data maar wel expertise met het Anti-Money Laundry Centre (AMLc), het Financieel Expertise Centrum (FEC) en Regionale Informatie– en Expertisecentra (RIEC’s). Zo’n RIEC kan echter wel iCOV-informatie zien als speurders persoonlijk informatie overhevelen.
Big Brother
Ook de andere nationale datamoloch die in het WRR-onderzoek voor het eerst uitgebreid van z’n activiteiten verhaalt, het Inlichtingenbureau (IB), levert steeds meer ‘informatieproducten’. Met als verschil dat het IB, gevestigd in een onooglijk kantoorpand in Utrecht, sinds kort online haar producten openbaart. Werkwijzen, resultaten en jaarverslagen zijn geheim.
Belangrijkste afnemers zijn gemeenten voor de bepaling van rechtmatigheid van uitkeringen voor WWB en Participatiewet, maar ook de SVB en de Waterschappen (voor kwijtschelding). Koppeling van tientallen bestanden door IB leverde in 2014 een kleine 600.000 ‘signalen’ of mogelijke verdenkingen op voor onterechte WWB-uitkeringen; waarvan 100.000 over voertuigen. ‘Een Porsche is per definitie een auto die een signaaltje krijgt. Rolls Royce, Mercedes of BMW ook wel; auto’s die je niet verwacht bij bijstandsgerechtigden’, aldus de woordvoerders van het IB, Paul Schaafsma en Jan-Peter Bergfeld. Veelal zijn IB-signalen overigens al bekend bij gemeenten en lang niet altijd is opzet in het spel.
WRR: no to ‘computer says no’
In haar recente rapport ‘Big Data in een vrije en veilige samenleving’ trekt de WRR de simpele conclusie: ‘Big Data biedt zeker kansen voor opsporing en surveillance, maar vraagt tevens om sterkere waarborgen voor de vrijheidsrechten van burgers.’
Vooral aanvulling van dataregels en toezicht op de fases van de analyse en het gebruik van Big Data zijn nodig, met meer waarborgen voor betrouwbare en transparante verwerking van data inclusief algoritmen, categorisering, wegingsfactoren enzovoort van de analyses. Teneinde risico’s op discriminatie, beperking van bewegings- en uitingsvrijheid en overspannen pretenties te voorkomen.
Autoriteit Persoonsgegevens en Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (ctivd) moeten hun technische en statistische expertise versterken.
Profilering vraagt om strakkere nadere regels, onder meer over toelaatbare foutmarges en het voorkomen van verlegging van bewijslast. Er moet een verbod op (semi)automatische besluitvorming door computers en de Nederlandse overheid moet hiermee Europees voorop lopen.
Dataverwerking is nu een black box en moet veel transparanter worden, vindt de WRR. Methoden, kosten, beoogde en behaalde resultaten kunnen duidelijk worden zonder dat dit de inhoud van frauderecherche schaadt.
Het IB staat voor beheer, analyse en beveiliging van een enorme hoeveelheid persoonsgegevens. Er ontstaat daardoor eenvoudig een imagoprobleem; de term ‘Inlichtingenbureau’ lijkt direct afkomstig uit ‘1984’ van George Orwell. ‘Negen van de tien keer als mensen in aanraking komen met het IB moeten we wel uitleggen dat het niet de geheime dienst is en we zelf niet aan fraudebestrijding doen’, aldus Bergfeld en Schaafsma.
Wettelijk zweven
Vrijwel alle speurverbanden van de overheid, dus ook iCOV en IB, kennen veel discussie met deelnemers over privacygrenzen. Die zijn immers lang niet helder waar het gaat om de almaar krachtiger analysemethoden. Zowel doelbinding als ‘proportionaliteit’ leveren vraagtekens op: zijn data verzameld met het doel ze zo intens voor fraudebestrijding te gebruiken? En is de enorme hoeveelheid data van elke Nederlander noodzakelijk voor fraudesignalen en opsporing? Met de Autoriteit Persoonsgegevens (AP) heeft het IB regelmatig overleg, en meent zelf: ‘Wij hebben het privacyhart op de goede plaats. De Autoriteit Persoonsgegevens wil graag informatie van ons krijgen over wat er speelt… Ze zijn tevreden over de transparantie die wij betrachten.’ iCOV had bij aanvang in 2013 één gesprek met de AP – toen nog Cbp – over de grenzen, maar officieel advies gaf de AP naar eigen zeggen niet. En te onderzoeken klachten ontving de AP evenmin. Overigens krijg de iCOV vanaf 2016 een grote audit. Niet uitgevoerd door een externe partij maar door het OM.
De misdaadbestrijders willen af van wettelijke knelpunten bij de uitwisseling van data
iCOV heeft dringend behoefte aan meer wettelijk houvast bij (gewenste) groeiende bevoegdheden om grote boeven te kunnen pakken. Grootscholten tegen de WRR: ‘De huidige wetgeving biedt…geen grondslag voor een dergelijke verregaande vorm van samenwerking en gebruikmaking van gecombineerde data (en Big Data); gegevensuitwisseling kan slechts plaatsvinden op basis van de bevoegdheden die door één van de organisaties wordt aangewend.’
Nieuwe datawet
Aangezien de uitbreiding van het delen van data steeds meer spanningsvelden oplevert met bestaande wetgeving, zet het kabinet in op een nieuwe wet die gegevensuitwisseling eenvoudiger moet maken. De groei naar één digitale Rijksoverheid gaat momenteel immers gepaard met de groei naar één of wellicht enkele grote datacomplexen. Met name de banden tussen Belastingdienst en VenJ worden steeds hechter en data-uitwisseling is nu houtje-touwtje geregeld via ambtelijke convenanten – zonder enige politieke bemoeienis, wat eigenlijk niet kan.
Voor een nieuwe ‘Kaderwet gegevensuitwisseling’ produceerden topambtenaren van VenJ, SZW en Financiën, OM en Tilburg (namens gemeenten) een even gedegen als brisante ‘verkenning’. Nergens kreeg dat aandacht, ondanks de vergaande doelstelling: legitimering over een breed terrein voor ‘allerlei samenwerkingsverbanden die gegevens binnen en tussen het bestuursrechtelijke en strafrechtelijke domein willen uitwisselen’.
De misdaadbestrijders willen af van knelpunten bij de uitwisseling van data, opgeworpen door de privacywet (Wbp) en de Europese opvolger vanaf 2017. De criteria in zo’n Kaderwet zullen waarschijnlijk lijken op het reeds wettelijke verankerde Systeem Risico Indicatie (SyRI) voor fraudesignalering door ‘Landelijke Interventieteams’ van samenwerkende sociale inspecties. Hun data-analyse is gebonden aan nauwkeurige procedures, deels uitgevoerd door genoemd IB als ‘onderaannemer’.
Spannend
Het kaderwetsvoorstel werd uitgesteld. Is dat gedaan met het oog op mogelijk meer steun (VVD, CDA, PVV) in een nieuwe Tweede Kamer in 2017? VenJ, desgevraagd: “Het betreft een complexe materie die meer tijd vergt.” Het wetsvoorstel moet dit jaar komen, zegt VenJ. Dan moet het (begin 2017) nog adviestrajecten door. De AP was al kritisch over de genoemde verkenning, en ook de WRR (zie kader) noemt risico’s van voortgaand datagebruik. Dit najaar volgt de kabinetsreactie, aldus een woordvoerder. Voor betrokken fraudespeurders wordt het een uiterst spannend verhaal. Kunnen ze komende decennia los gaan met big data voor fraudebestrijding? Bij voorbeeld zoals de Belastingdienst dat al uitgebreid doet met profilering van burgers en bedrijven en het voorspellen van frauderisico’s? Is er regulering denkbaar met een optimale balans tussen speur- en privacyrechten?
De ervaring met de SyRI-wetgeving belooft problemen voor de datawet. Immers, de methode van SyRI werd, ondermeer onder de fraaie naam ‘Black Box’, jarenlang zonder veel maatschappelijke aandacht toegepast. Pas toen er een strakke wettelijke regulering kwam, kreeg SyRI in de media het stempel ‘Big Brother’ mee. Ook de Kaderwet Data-uitwisseling zal de slapende privacywaakhonden die zo boos waren over Snowden, wakker schudden.