17 050 Misbruik en oneigenlijk gebruik op het gebied van belastingen, sociale zekerheid en subsidies

Nr. 489 BRIEF VAN DE MINISTER VAN SOCIALE ZAKEN EN WERKGELEGENHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 oktober 2014

In de procedurevergadering van de vaste commissie voor Sociale Zaken en Werkgelegenheid van 14 oktober 2014 heeft u gesproken over berichtgeving op 1 oktober via onder meer nu.nl en de Volkskrant over het koppelen van data in verband met fraudeonderzoeken. U heeft mij verzocht om een reactie op deze berichtgeving. Daarbij verzoekt u in het bijzonder om:

  • de desbetreffende algemene maatregel van bestuur aan de Kamer te zenden;

  • een toelichting te geven op wat dit besluit in de praktijk voor mensen betekent;

  • aan te geven welke wijzigingen in het Besluit SyRI zijn aangebracht na ontvangst van de adviezen van het College Bescherming Persoonsgegevens en de Raad van State.

Het besluit houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI) treft u bijgaand aan (Stb. 2014, nr. 320). Dit besluit vormt een uitwerking van de artikelen 64, vijfde lid, en 65, achtste lid van de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI). In deze wetsartikelen worden de algemene kaders gesteld voor bestandskoppelingen met inzet van het instrument Systeem Risico Indicatie (SyRI). Tevens zend ik u het nader rapport bij het advies van de Raad van State over dit besluit (Stcrt. 2014, nr. 26306).

Toelichting op het besluit SyRI en de uitwerking voor mensen in de praktijk.

Een belangrijke manier om fraude te voorkomen of te bestrijden is door gebruik te maken van bepaalde gegevens die de overheid of andere organisaties met een publieke taak al beschikbaar hebben. Dit is het uitgangspunt van SyRI.

SyRI is een tevoren omschreven instrument waarmee in een beveiligde omgeving op een zorgvuldige manier data worden gekoppeld en vervolgens geanalyseerd, zodat risicomeldingen kunnen worden gegenereerd. Gemeenten, het Uitvoeringsinstituut werknemersverzekeringen (UWV), de Sociale verzekeringsbank (SVB), de Belastingdienst en de Inspectie SZW, verenigd in de Landelijke Stuurgroep Interventieteams (LSI), kunnen een verzoek tot inzet van SyRI indienen bij de Minister. Zij moeten hiertoe een samenwerkingsverband aangaan.

Voorwaarden inzet SyRI

Bovengenoemde partijen kunnen deel nemen aan een interventieteamproject. Per interventieteamproject moet een verzoek tot inzet van SyRI worden ingediend bij de Minister van Sociale Zaken en Werkgelegenheid. Uit het verzoek moet blijken welke partijen samenwerken aan het interventieteamproject. Het doel van het interventieteamproject moet welbepaald en uitdrukkelijk beschreven zijn en moet passen binnen de doelbinding van de wet, te weten:

  • a. het voorkomen en bestrijden van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen;

  • b. het voorkomen en bestrijden van belasting- en premiefraude, of

  • c. het niet naleven van arbeidswetten.

De concrete en precies omschreven doelstelling van het interventieteamproject is bepalend voor de vraag welke gegevens mogen worden aangeleverd. In het verzoek dient zoveel mogelijk te worden geconcretiseerd welke persoonsgegevens exact nodig zijn om de doelstelling te behalen en of de beoogde koppeling van data voldoet aan de beginselen van proportionaliteit en subsidiariteit. Om te bepalen of het verzoek van partijen voldoet aan de gestelde voorwaarden zal de Minister van Sociale Zaken en Werkgelegenheid advies inwinnen bij de LSI. De LSI beziet concreet of aan de voorwaarden die zijn neergelegd in artikel 5a. 1 Besluit Suwi is voldaan. Indien niet aan deze voorwaarden is voldaan wordt het instrument SyRi niet ingezet.

Gegevensverwerking binnen SyRI

De gegevensverwerking bestaat uit twee fasen:

  • Fase 1: In de eerste fase brengt het Inlichtingenbureau (IB) de bestanden samen en pseudonimiseert deze. Daarna matcht het IB het versleutelde bestand met het risicomodel. Dit genereert potentiële treffers (een natuurlijke of rechtspersoon met een verhoogd risico op fraude). Vervolgens worden de potentiële treffers door het IB ontsleuteld en aan de Inspectie SZW verstrekt. Het IB vernietigt binnen vier weken de resterende gegevens. De vernietiging wordt vastgelegd in een proces-verbaal.

  • Fase 2: In de tweede fase worden de potentiële treffers nader geanalyseerd door de Inspectie SZW. Dit genereert risicomeldingen (een natuurlijke of rechtspersoon die onderzoekswaardig wordt geacht in verband met de doelstelling van het interventieteamproject). De Inspectie SZW geeft risicomeldingen af aan de deelnemende partijen. De overige gegevens worden binnen vier weken na afronding van de analyse vernietigd

Partijen mogen deze risicomeldingen niet zomaar gebruiken. Zij zijn verplicht te onderzoeken of de desbetreffende persoon of het desbetreffende bedrijf de regels daadwerkelijk heeft overtreden. Pas nadat dit is geconstateerd kan een sanctie worden opgelegd. Daarna staat voor de betreffende persoon of het betreffende bedrijf de mogelijkheid tot bezwaar en beroep open.

Terugkoppeling en evaluatie

Partijen die een of meer risicomeldingen ontvangen hebben, geven hierover binnen twintig maanden na de aanvang van het interventieteamproject een terugkoppeling aan de Inspectie SZW. Deze bestaat in ieder geval uit de resultaten van de risicomeldingen, een onderbouwing indien risicomeldingen niet zijn opgevolgd en een terugkoppeling over de bruikbaarheid van de risicomeldingen. Met deze bepaling wordt beoogd de effectiviteit van het risicomodel te verhogen.

Een risicomelding als zodanig heeft geen rechtsgevolgen voor burgers of bedrijven. In het geval van een risicomelding waarop een vervolgactie van handhavers volgt, zal het belang van het toezicht op de naleving van wettelijke voorschriften al snel in de weg staan om openheid van zaken aan de betrokkene te geven.

Verwerking van de adviezen van de Raad van State en het College Bescherming Persoonsgegevens (CBP).

Onderstaand beschrijf ik de belangrijkste aandachtspunten uit de adviezen van de Raad van State en het CBP en mijn reactie daarop. Mijn volledige reactie op het CBP treft u aan in paragraaf 4 van het Besluit SyRI. Mijn reactie op het advies van de Afdeling advisering van de Raad van State (hierna: Raad van State) staat verwerkt in het nader rapport.

Doelbinding.

Op advies van de Raad van State is de term «overige misstanden» geschrapt uit de doelbinding van artikel 64 Wet SUWI.

Gegevens

De Raad van State is van oordeel dat de categorieën van persoonsgegevens die in SyRI kunnen worden verwerkt ruim en veelomvattend zijn en adviseert de categorieën persoonsgegevens kritisch te bezien op noodzaak, subsidiariteit en evenredigheid, en de omschrijving in het ontwerpbesluit toe te spitsen op hetgeen met die eisen in overeenstemming is. Het CBP adviseert om in het besluit inzichtelijk te maken welke persoonsgegevens kunnen worden gekoppeld en heeft gewezen op het vereiste van dataminimalisatie (select before you collect). Dit behelst de wettelijke eis dat niet meer persoonsgegevens mogen worden verzameld dan noodzakelijk voor het doel.

Dit punt onderschrijf ik. De gegevens die ten behoeve van de inzet van SyRI kunnen worden aangeleverd, staan gelimiteerd opgenomen in het Besluit.

Echter, omdat de selectie van gegevens per samenwerkingsverband en per project verschilt is het niet mogelijk dit in de regelgeving voor alle individuele projecten uit te werken. Deelnemende partijen geven in hun verzoek het gezamenlijke doel van de samenwerking aan. De concrete doelstelling van de samenwerking is bepalend voor de vraag welke gegevens moeten worden aangeleverd. In het verzoek dient zoveel mogelijk te worden geconcretiseerd welke persoonsgegevens exact nodig zijn om de doelstelling te behalen.

Risicomodellen

De Raad van State en het CBP geven aan dat ook de indicatoren voor de te ontwikkelen risicomodellen voldoende helder moeten worden benoemd en goed moeten worden onderbouwd, omdat anders het koppelen zou kunnen leiden tot een «fishing expedition» en zelfs tot willekeur. Dit wordt gewaarborgd doordat bij het ontwerp van een nieuw risicomodel de Inspectie SZW beschrijft voor welke specifieke fraudevorm het instrument SyRI wordt ingezet en gemotiveerd onderbouwt welke gegevens daartoe bij elkaar worden gebracht.

Bewaartermijnen

Op advies van het CBP is de bewaartermijn voor risicomeldingen aangescherpt. Een risicomelding wordt twee jaar bewaard in het register risicomeldingen. De wet regelt echter geen bewaar- of vernietigingstermijn van de risicomelding bij de ontvangende instantie. Dit is ondoenlijk gebleken. Allereerst heeft elke instantie zijn eigen administratie met bewaar- en vernietigingstermijnen ingericht op grond van de wetten die voor die specifieke publiekrechtelijke taken relevant zijn. Ten tweede is het zo dat indien een risicomelding de aanleiding is geworden van een sanctie, die risicomelding zelf een rol kan spelen in bezwaar- en beroepzaken, en om die reden nog niet vernietigd kan worden.

Tevens is op advies van het CBP in het besluit opgenomen dat gegevens die niet tot risicomeldingen leiden binnen een maand moeten worden vernietigd.

Bijzondere gegevens

De Raad van State en het CBP maken opmerkingen over het verwerken van bijzondere persoonsgegevens, zoals strafrechtelijke gegevens.

De regeling in dit Besluit is gebaseerd op de Wet SUWI. Met de wijzigingswet SUWI is in de Wet SUWI bepaald dat onder gegevens mede wordt verstaan persoonsgegevens in de zin van de Wbp. De verwerking van de gegevens in SyRI is gebaseerd op de Wet SUWI. Het gaat dus om het verwerken van gegevens, waarop de Wbp van toepassing is. Echter uit de omschrijving van de gegevens die in SyRI kunnen worden verwerkt, blijkt dat het veelal geen bijzondere persoonsgegevens betreft. Dit besluit heeft ook geen betrekking op gegevensverwerkingen die vallen onder het regime van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Of politiegegevens en justitiële en strafvorderlijke gegevens in SyRI kunnen worden verwerkt, moet beoordeeld worden aan de hand van de Wpg respectievelijk de Wjsg. Er kan dus wel sprake zijn van het verwerken van strafrechtelijke gegevens, indien die gegevens op grond van deze wetten aan de bij de samenwerking betrokken bestuursorganen zijn verstrekt.

De Raad van State en het CBP zijn van oordeel dat detentiegegevens strafrechtelijke gegevens zijn. Uit de memorie van toelichting op de Wbp blijkt dat het begrip strafrechtelijke gegevens betrekking heeft op zowel veroordelingen als min of meer gegronde verdenkingen. Echter, met de term detentiegegevens is niet gedoeld op dit soort gegevens. In de sociale zekerheidswetten is vastgelegd dat gedetineerden geen recht hebben op een uitkering. Bij detentie wordt de uitkering beëindigd. Om de rechtmatigheid van de verstrekte uitkering te kunnen vaststellen is het noodzakelijk dat de uitvoeringsorganen kunnen beschikken over informatie van personen die gedetineerd zijn, dat wil zeggen rechtens hun vrijheid is ontnomen dan wel de mededeling dat de persoon zich onttrekt aan de tenuitvoerlegging van een vonnis daartoe. Deze gegevens worden verstrekt door de Minister van Veiligheid en Justitie; dit is geregeld in de Wet SUWI en de WWB. Voor de uitvoering van deze wetten worden enkel die gegevens verstrekt die van belang zijn voor de genoemde doelen. De reden van detentie is dus irrelevant. Met de term «detentiegegevens» was beoogd dat tot uitdrukking te laten komen. Om misverstanden te voorkomen is de term detentiegegevens vervangen door «uitsluitingsgronden voor bijstand en uitkering». Het advies van de Raad van State om vast te leggen dat het bij zorgverzekeringsgegevens en re-integratiegegevens niet gaat om gezondheidsgegevens, is overgenomen. Er is opgenomen dat het gaat om de vraag of iemand is verzekerd dan wel of aan een persoon re-integratieverplichtingen zijn opgelegd en of deze worden nageleefd.

Register risicomeldingen

De Inspectie SZW richt een register van risicomeldingen in waarin de risicomeldingen worden opgeslagen. Dit register heeft als doel om partijen te informeren over de risicomeldingen die zijn verstrekt en om natuurlijke personen of rechtspersonen van risicomeldingen op eigen aanvraag te informeren. De risicomeldingen worden voor twee jaar bewaard in het register en na deze termijn vernietigd. Op verzoek van de Raad van State zijn de regels met betrekking tot dit register opgenomen in het besluit.

Informeren van burgers.

Het CBP adviseert de Minister om de vereisten die betrekking hebben op de wettelijke informatieplicht op passende wijze in de memorie van toelichting op het wetsvoorstel op te nemen. In algemene zin geven uitvoerders voorlichting over SyRI. Bij de start van een interventieteamproject worden betrokkenen via huis- aan huisbladen op de hoogte gesteld van het feit dat een interventieteamproject wordt gestart in de wijk of stad. De individuele burger wiens persoonsgegevens in SyRI worden verwerkt of in een risicomelding worden opgenomen, wordt niet persoonlijk geïnformeerd over die gegevensverwerking. Niet alleen zou dit een onevenredige inspanning vergen van de overheid, maar het zou ook de modus operandi vrijgeven waaraan calculerende burgers hun gedragingen zouden kunnen aanpassen.

Evaluatiebepaling

Het CBP adviseert bij de evaluatie van SyRI ook verslag te doen van de privacyaspecten en gevolgen die het besluit heeft gehad voor de bescherming van de persoonsgegevens. Over de precieze vormgeving van de evaluatie in 2020 vindt nog nader overleg plaats. Het advies van het CBP zal hierbij betrokken worden.

De Minister van Sociale Zaken en Werkgelegenheid, L.F. Asscher

Naar boven