Fraudebestrijding met algoritmesysteem SyRI in strijd met privacywetgeving

AVG

Opmerkelijke uitspraak Rechtbank Den Haag 5 februari j.l.

Opnieuw tikt de rechter de Staat op de vingers, ditmaal voor de invoering van het Systeem Risico-indicatie (SyRI). SyRI is een instrument dat gebruik maakt van nieuwe data-technologieën en wordt ingezet ter bestrijding van fraude op het terrein van sociale zekerheid en inkomensafhankelijke regelingen, belasting-/premieheffing en arbeidswetten. De wettelijke basis hiervoor ligt in de artikelen 64 en 65 van de SUWI (Wet Structuur Uitvoeringsorganisatie Werk en Inkomen).

SyRI wordt gebruikt voor het maken van een risicoanalyse, bijvoorbeeld van wijken waar het risico op fraude het grootst zou zijn. Daarvoor worden bestanden van een aantal overheidsorganen (gemeenten, UWV, Belastingdienst) gekoppeld en geanonimiseerd. Zo komt een risicoprofiel naar voren van bepaalde groepen en/of wijken. Een grote hoeveelheid persoonsgegevens wordt gekoppeld, zoals het arbeidsverleden, immigratie- en inburgeringstrajecten, belastinggegevens en boete-gedrag. Bekende SyRI projecten zijn: Adresfraude Afrikaanderwijk Rotterdam, WGA kwetsbare buurten Capelle aan den IJssel, WGA Haarlem Schalkwijk. Wie in zo’n wijk woont wordt vervolgens scherp onder de loep genomen. De overheid is voornemens om hetzelfde te doen bij groepen bedrijven.

Streep door SyRI wetgeving wegens strijd met EVRM

De rechtbank Den Haag heeft daar in haar uitspraak van 5 februari j.l. een streep door gehaald. In het proces, aangespannen door NCJM, Platform Bescherming Burgerrechten en Privacy First, gesteund door de FNV, oordeelt de rechtbank dat de SyRI wetgeving in strijd is met de algemene beginselen van gegevensbescherming, zoals in het EVRM, maar ook in het Europees Handvest en in de Algemene Verordening Gegevensbescherming (AVG) vastgelegd. Het doel van fraudebestrijding door de Staat wordt door de rechtbank erkend, maar daarmee is nog niet iedere inbreuk op het privéleven toegestaan. De inzet van SyRI is een inmenging in het privéleven van de burger en dat mag alleen als daar een wettelijke grondslag voor is. Die is er hier onvoldoende, aldus de rechtbank. Daarom verklaart de rechtbank artikel 65 van de SUWI onverbindend, want in strijd met (Europese) regelgeving van een hogere orde.

Gevaren van profilering door grote verzameling data

De rechtbank verwijst naar het ongevraagde (en door de overheid genegeerde) advies van de Raad van State over de SyRI wetgeving. Daarin word gewaarschuwd voor de mogelijke gevaren bij het gebruik van grote verzamelingen data en bij profilering om personen in kaart te brengen met een verhoogd risico. Wijst het algoritme uit dat wijk A een hoog risicoprofiel heeft op fraude dan is iedere willekeurige bewoner bij voorbaat verdacht. Big brother is watching you, maar dan wel zonder dat je dat weet. Waartoe dat kan leiden heeft het toeslagendrama bij de Belastingdienst laten zien. Het zou niet vreemd zijn als ook bij de toeslagenfraude gebruik is gemaakt van algoritmen op grond waarvan een redelijk willekeurige toeslagontvanger tot fraudeur is bestempeld, met alle gevolgen van dien.

Aansprakelijkheid en recht op schadevergoeding ex artikel 82 AVG

Dat deze uitspraak een staartje kan hebben, lijkt voor de hand te liggen. De Speciale VN rapporteur voor de Mensenrechten noemt de uitspraak van de rechtbank Den Haag van internationale betekenis. Wie schade heeft geleden door de SyRI projecten – bijvoorbeeld door ten onrechte als fraudeur te zijn aangewezen – kan een beroep doen op artikel 82 van de AVG. Dat artikel regelt het recht op schadevergoeding bij onrechtmatige verwerking van persoonsgegevens.

Dat zal ongetwijfeld ook bij de toeslagenaffaire nog een rol gaan spelen. Vragen? Neem contact op met Ina Brouwer.