Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 juni 2023

In de Kamerbrief van 21 april 2022 is uw Kamer geïnformeerd over het gebruik van het Risicoclassificatiemodel (hierna: het model) bij de Dienst Toeslagen (hierna: Toeslagen). In extern onderzoek is in kaart gebracht of het model breder is gebruikt dan enkel voor het selecteren van aanvragen die voor een handmatige behandeling in aanmerking kwamen.1 De opdracht is in oktober 2022 aan PricewaterhouseCoopers (hierna: PwC) gegund met het verzoek om vanuit een onafhankelijk oordeel te kunnen vaststellen dat alle hierover relevante informatie bekend is geworden. Op 5 mei jl. heeft PwC het definitieve rapport opgeleverd, dat u bijgaand aantreft.

Hieronder wordt eerst de context en werking van het model toegelicht, gevolgd door de aanleiding en opzet van het onderzoek waarna de samenvatting van de onderzoeksresultaten volgen. De brief eindigt met de bestuurlijke reactie.

Context en werking van het model

Uw Kamer is bij eerdere brieven geïnformeerd over de werking van het model.2 Kort samengevat, het model werd tussen april 2013 en november 2019 ingezet bij de huur- en kinderopvangtoeslag. Het doel was om toeslagaanvragers te behoeden voor fouten en om misbruik te voorkomen. Het model bepaalde het risico op onjuistheden in de ontvangen aanvragen en wijzigingen aan de hand van verschillende indicatoren. Hieruit volgde een risicoscore en de aanvragen met de hoogste scores kwamen in aanmerking voor een handmatige behandeling. De uitbetaling van de betreffende toeslagen werd uitgesteld, totdat een medewerker de zaak handmatig behandeld had. In juli 2020 is het gebruik van het model definitief stilgelegd, omdat het model niet voldeed aan de eisen die de Algemene Verordening Gegevensbescherming (AVG) daaraan stelt.3

Aanleiding en opzet van het onderzoek

De Dienst Toeslagen heeft in april vorig jaar geconstateerd dat de risicoscore van het model in het verleden werd toegevoegd aan beoordelingen van het zogenaamde «screeningsteam» van Toeslagen. Dit team beoordeelde signalen van misbruik en oneigenlijk gebruik en was betrokken bij het instellen van een toeslaggerelateerd CAF-onderzoek. De informatie kon vervolgens door dit screeningsteam worden gedeeld met de betrokkenen bij deze onderzoeken vanuit het Intensief subjectgericht toezicht (IST) en de Fraudeteams. De risicoscore van het model werd door Toeslagen ook gebruikt voor de selectie van adressen in het kader van projecten van de Landelijke Stuurgroep Interventieteams en voor eigen onderzoek naar aanleiding van een door het Financieel Expertise Centrum aangedragen zaken ten aanzien van de aanpak van terrorismefinanciering.

PwC heeft onderzocht of de door Toeslagen gehanteerde risicoscores en modelonderdelen, zoals geprepareerde data, breder zijn gebruikt in de periode 2013 tot juli 2020. Daarbij heeft PwC ook getoetst of de constateringen van het bredere gebruik uit het eerdere onderzoek juist zijn. Het onderzoek is opgebouwd aan de hand van vier hoofdvragen:

• 1) Hoe heeft het breder gebruik van de risicoscores binnen en/of buiten Toeslagen plaatsgevonden in de periode 2013 tot juli 2020?

• 2) Met wie zijn de risicoscores gedeeld?

• 3) Welke gevolgen heeft dit voor burgers gehad?

• 4) Zijn er andere onderdelen van het risicoclassificatiemodel breder gebruikt binnen en/of buiten Toeslagen?

Samenvatting resultaten PwC onderzoek

1) en 2) Hoe heeft het breder gebruik van de risicoscores binnen en/of buiten Toeslagen plaatsgevonden in de periode 2013 tot juli 2020? Met wie zijn deze gedeeld?

PwC concludeert dat de resultaten van hun onderzoek grotendeels de uitkomsten van de eerdere analyse bevestigen, zoals onder het vorige kopje beschreven. Op een enkel punt is nieuwe informatie aan het licht gekomen.

Zo blijkt in aanvulling op de eerdere analyse dat de risicoscores ook intern zijn gedeeld op basis van incidentele verzoeken die bij het data-analyse team van Toeslagen binnenkwamen. Dit gebeurde onder andere bij het verrijken van signalen van mogelijk georganiseerde fraude, in de periode voordat het screeningsteam (ook wel STEAM genoemd) was opgericht. Het is niet mogelijk gebleken om de exacte historie van deze incidentele interne verstrekkingen in kaart te brengen, omdat deze niet werden bijgehouden. Indien een verzoek tot deling van de risicoscores met partijen buiten Toeslagen binnenkwam, werd dit geweigerd. Bij het doorzoeken van de functionele mailboxen is het breder gebruik of delingen van risicoscores buiten Toeslagen ook niet waargenomen.

Daarnaast heeft Toeslagen de risicoscores ook intern gebruikt in drie typen pilots of verkenningen gericht op het verbeteren van de dienstverlening. Deze pilots hebben uiteindelijk geen vervolg gekregen en zijn daarmee niet structureel ingezet binnen Toeslagen.

Er is geen gebruik of deling van risicoscores in de toezicht- en selectieprocessen en systemen van de directies van de Belastingdienst aangetroffen. Dit geldt ook voor andere overheidsinstanties.

3) Welke gevolgen heeft dit voor burgers gehad?

Om de mogelijke gevolgen voor de burger van het (bredere) gebruik van de risicoscores inzichtelijk te maken, heeft PwC gekeken naar het gebruik van de risicoscores (a) bij de selectie voor individueel toezicht, (b) bij de verrijking van fraudesignalen en (c) bij LSI-projecten.

Om het gebruik van risicoscores door het screeningsteam van Toeslagen te kwantificeren, heeft PwC onderzocht hoeveel quickscans er zijn opgesteld met behulp van de risicoscores en welke opvolging hieraan gegeven is:

• • In drie quickscans waren de risicoscores medebepalend voor opvolging in de vorm van een toeslaggerelateerde CAF-zaak. Hoewel het ADR-onderzoek naar de toeslaggerelateerde CAF-zaken de effecten op de burgers in deze drie zaken benoemt, verschilt het genoemde aantal betrokken burgers in het ADR-onderzoek met het aantal betrokken burgers dat staat genoemd in de eindverslagen van deze zaken. Het is daarmee voor nu niet duidelijk hoeveel burgers hierbij precies door Toeslagen (IST of fraudeteam) zijn onderzocht en wat de gevolgen zijn geweest voor hun toeslagen.

• • Bij twee toeslaggerelateerde CAF-zaken, waarvan geen quickscan is teruggevonden, zijn de risicoscores genoemd als aanleiding voor het opstellen van de opdrachtformulieren. Eén van deze twee opdrachtformulieren heeft geresulteerd in een uitgevoerde toeslaggerelateerde CAF-zaak waarbij 41 burgers zijn onderzocht. Bij 15 van deze burgers is na onderzoek ten minste één toeslag stopgezet.

• • Er zijn twee toeslaggerelateerde CAF-zaken gestart met een steekproef, waarbij de risicoscores uit het risicoclassificatiemodel onderdeel waren van de criteria waaraan werd getoetst. Dit heeft geresulteerd in twee onderzoeken naar in totaal 130 burgers. In het ADR-onderzoek wordt benoemd dat één van deze zaken heeft geresulteerd in de stopzetting van tenminste één toeslag bij 12 tot 63 burgers na onderzoek. In het ADR-onderzoek wordt bij de tweede zaak een aantal betrokken burgers benoemd dat niet overeenkomt met de beschikbaar gestelde documentatie. Het is daarmee voor nu niet duidelijk hoeveel burgers hierbij precies zijn onderzocht en wat de gevolgen zijn geweest voor hun toeslagen.

Toeslagen heeft in de onderzoeksperiode deelgenomen aan 73 LSI-projecten. Bij 18 van deze projecten zijn risicoscores gebruikt om te bepalen of Toeslagen zou gaan deelnemen aan het desbetreffende project. Bij 10 van deze projecten heeft de selectie voor adressen vanuit Toeslagen plaatsgevonden mede op basis van de risicoscores. Hierbij zijn 454 adressen door Toeslagen geselecteerd op basis van andere criteria en 107 mede op basis van risicoscores. Van de 107 adressen zijn 56 adressen aan te wijzen waarbij de risicoscore de enige reden was voor selectie door Toeslagen. Een adres wordt overigens pas in een LSI-project onderzocht wanneer sprake is van een meervoudig belang; dat betekent dat een adres door minimaal twee partners moet worden geselecteerd als risico-adres. Het is niet inzichtelijk voor welke adressen een meervoudig belang bestond en welke adressen daarmee vervolgens daadwerkelijk onderzocht zijn in het betreffende LSI-project. Wel kan worden vastgesteld of bij de door Toeslagen aangedragen adressen uiteindelijk een mutatie heeft plaatsgevonden in de toeslagen van burgers, dit is bij 11 van de eerdergenoemde 107 adressen het geval.

4) Zijn er andere onderdelen van het risicoclassificatiemodel breder gebruikt binnen en/of buiten Toeslagen?

In overeenstemming met eerder onderzoek is geconstateerd dat de datapreparatie van het model is gebruikt voor het proces «hoge toeslag, hoog risico» (HOTHOR) en het voorspellend model problematische terugvorderingen van Toeslagen.

In aanvulling hierop is geconstateerd dat de datapreparatie ook werd gebruikt in aanvullende selectieregels «onbekende aanvrager» en «harde stoppers». Bij de selectieregel «onbekende aanvrager» werd een controle uitgevoerd of de aanvrager van een toeslag bekend was bij Toeslagen, en zo niet, dan kon deze burger worden verzocht zich fysiek te melden aan een van de balies. Bij de selectieregel «harde stoppers» werd getoetst op specifieke beslisregels die wezen op geen recht op toeslag.

Bestuurlijke reactie

Het onderzoek van PwC bevestigt en verrijkt het beeld uit de Kamerbrief van 21 april 2022.5 De uitkomsten van het onderzoek zullen worden meegenomen bij de beantwoording van de vraag of, en zo ja, op welke manier een eventuele tegemoetkoming moet worden geboden als gevolg van het gebruik van het model.

In dat kader wordt bij Toeslagen momenteel gewerkt aan een nadere analyse om de gevolgen van de handmatige behandeling na selectie door het model in kaart te brengen. De komende periode wordt op basis van een steekproef van de dossiers en behandelverslagen bekeken of er een verklaring is voor de uitkomsten van de handmatige behandeling. Bijvoorbeeld wanneer een burger een aanvraag heeft gedaan voor huurtoeslag terwijl de betreffende huurwoning geen object is dat in aanmerking komt voor huurtoeslag – dan is een stopzetting een logisch en te rechtvaardigen gevolg van de handmatige behandeling. De planning is om voor het einde van het jaar meer duidelijkheid te kunnen bieden over de uitkomsten van de steekproef.

Voor de volledigheid merk ik op dat Toeslagen sinds juli 2021 niet meer deelneemt aan nieuwe projecten in LSI-verband. Reden hiervoor was het oordeel van de Functionaris Gegevensbescherming (FG) van het Ministerie van Financiën dat de risico’s en maatregelen onvoldoende in zicht en gemitigeerd waren. Destijds is uitsluitend verder gewerkt aan de zes op dat moment operationele projecten, deze zijn in 2022 afgerond. Evenwel heeft Toeslagen geen opvolging gegeven aan de signalen die voortkwamen uit deze projecten, omdat het intensief toezicht (eerder al) was stil gelegd. Toeslagen heeft inmiddels stappen gezet naar een solide borging van gegevensverwerking middels een DPIA voor het interne LSI-proces en zal daarom op termijn gaan heroverwegen om weer deel te nemen aan (nieuwe) LSI-projecten. U wordt hierover geïnformeerd zodra dit proces is afgerond. Hierbij zijn ook andere factoren van belang, zoals de reactie van de FG op de DPIA van Toeslagen en de uitkomsten van de evaluatie van het samenwerkingsconvenant dat op dit moment extern wordt uitgevoerd. De Minister van Sociale Zaken en Werkgelegenheid en de Minister voor Armoedebeleid, Participatie en Pensioenen hebben toegezegd uw Kamer hierover voor de zomer te informeren.6

De Staatssecretaris van Financiën, A. de Vries