Op 10 mei 2023 is het eindverslag (bijlage bij Kamerstuk 35 510, nr. 121) van de rapporteurs Monitoren vervuilde data vastgesteld en openbaar gemaakt. Na afronding van dit verslag zijn nog drie relevante departementale rapportages verschenen1. Dit was aanleiding voor ons als rapporteurs om, net als bij andere departementale rapportages, reflecties te schrijven voor de commissies die deze rapportages in behandeling nemen. Deze reflecties bevestigen en sluiten aan bij onze overkoepelende bevindingen in het eindverslag, maar het leidt ook tot enkele aanvullingen. In dit addendum leest u onze aanvullingen op het eerder uitgebrachte eindverslag.

Definitie van een risicomodel

De ministeries hebben onderzoek gedaan naar het rechtmatig en eigenlijk gebruik van afkomstgerelateerde indicatoren in verwerkingen en risicomodellen. Het valt ons op dat ministeries ogenschijnlijk verschillende definities hanteren van een risicomodel. Dit roept de vraag op in hoeverre rijksbreed een vergelijkbare definitie is gehanteerd voor risicomodel.

Het Ministerie van Defensie hanteert twee definities. Eén voor de Koninklijke Marechaussee (KMar) en één voor de overige defensieonderdelen. Voor die laatste wordt onder «risicomodel» het volgende verstaan: «een model dat bestaat uit vooraf bepaalde indicatoren en aangeeft of er sprake is van een verhoogd risico op een bepaald verschijnsel.».

De KMar en het Ministerie van Justitie en Veiligheid (JenV) hanteren een andere en uitgebreidere definitie, namelijk: «Iedere verwerking waarbij een persoonsgegeven wordt gebruikt bij de beoordeling of wet- en regelgeving wordt nageleefd, of een betrokkene in aanmerking komt voor aanspraken of bij het controleren op misbruik en/of fraude». Door hen wordt ook het gebruik van «zwarte lijsten» aangemerkt als een risicomodel. Ook noemen ze dat een risicomodel kan werken met een algoritme of ander geautomatiseerd proces, maar dat hoeft niet. Ook niet-geautomatiseerde verwerkingen waarbij geen algoritmen gebruikt worden, vallen voor hen onder het onderzoek.

Het Ministerie van Buitenlandse Zaken heeft het begrip risicomodel wel gebruikt maar niet gedefinieerd in de departementale rapportage.

Onderzoek door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft een informatieverzoek gedaan aan het Ministerie van Buitenlandse Zaken om aanvullende informatie te verstrekken over de noodzakelijkheid en de proportionaliteit van de gegevensverwerking in een risicomodel, gegeven de verplichtingen die voortvloeien uit de Algemene verordening gegevensbescherming (AVG). De Minister van Buitenlandse Zaken meldt dit verzoek in zijn departementale rapportage, maar daaruit wordt voor ons niet duidelijk wat de aanleiding is.

De Staatssecretaris van BZK toonde zich ook bewust van het verzoek van de Autoriteit Persoonsgegevens in de brief (Kamerstuk 35 510, nr. 122) aan de Kamer met de reactie op het verzoek van de commissie over de opdrachtformulering voor het onafhankelijk onderzoek naar de uitvoering van de moties. Hierin staat dat bij de selectie van onderdelen ook rekening is gehouden met lopende privacyonderzoeken zoals het bovengenoemde. Dit roept de vraag op wat de aanleiding is van het onderzoek door de Autoriteit Persoonsgegevens en in hoeverre dit verzoek samenhangt met de uitvoering van de moties door het kabinet en de externe toetsing door de Auditdienst Rijk.