Advies Raad van State inzake het ontwerpbesluit houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI)

Nader Rapport

Datum 14 augustus 2014

Nader rapport inzake het ontwerpbesluit houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI)

Blijkens de mededeling van de Directeur van Uw Kabinet van 22 april 2014, nr. 2014000783, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State haar advies inzake het bovenvermelde ontwerp van een algemene maatregel van bestuur rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 15 mei 2014, nr. W12.14.0102/III, bied ik U hierbij aan.

De Afdeling advisering van de Raad van State maakt opmerkingen over onder meer het vastleggen van waarborgen tegen beperkingen van de persoonlijke levenssfeer, over de verwerking van bijzondere persoonsgegevens en het register risicomeldingen. Op deze opmerkingen en voorstellen tot aanpassing wordt hier nader ingegaan.

1. Inleiding

De door de Afdeling advisering van de Raad van State algemene beschrijving van de gegevensverwerking binnen SyRI is accuraat.

2. Verwerking van persoonsgegevens

a. Categorieën persoonsgegevens

De Afdeling is van oordeel dat de categorieën van persoonsgegevens die in SyRI kunnen worden verwerkt ruim en veelomvattend zijn en adviseert de categorieën persoonsgegevens kritisch te bezien op noodzaak, subsidiariteit en evenredigheid, en de omschrijving in het ontwerpbesluit toe te spitsen op hetgeen met die eisen in overeenstemming is.

Voor het aanduiden van de categorieën van gegevens die in SyRI mogen worden verwerkt is aangesloten bij de set gegevens die aan gemeenten moet worden verstrekt op grond van artikel 64 Wet werk en bijstand (WWB) respectievelijk de set gegevens die aan het UWV en de SVB moet worden verstrekt op grond van artikel 54 Wet Structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI). Het uitgangspunt is dat gegevens die voor het vaststellen van de rechtmatigheid van de uitkering worden verzameld op basis van artikel 64 Wet WWB en artikel 54 Wet SUWI ook kunnen worden gebruikt in het SyRI-project. De projecten kunnen zich richten op verschillende thema’s en het is niet wenselijk om op voorhand gegevens uit te sluiten. Ook bij de wijze waarop deze gegevens worden beschreven is aangesloten bij eerdergenoemde wetten. Wel is het advies van de afdeling om de omschrijving in de artikelsgewijze toelichting op te nemen in het artikel overgenomen.

Het principe van dataminimalisatie is gewaarborgd doordat deelnemende partijen voorafgaand aan elk project toetsen welke gegevens noodzakelijk zijn voor het specifieke doel van de samenwerking. In artikel 64 van de Wet SUWI is aangegeven welke deze doelen zijn en die bepalen de begrenzing van de gegevensverwerking bij deze samenwerking. Het gaat er om onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van sociale zekerheid en inkomensafhankelijke regelingen te bestrijden en te voorkomen. Voorts dient belasting- en premie-fraude te worden tegengegaan. Tenslotte is het doel niet naleven van arbeidswetten. Deelnemende partijen geven in hun verzoek het gezamenlijke doel van de samenwerking weer evenals de gegevens die daarvoor moeten worden samengebracht. De doelstelling van het samenwerkingsverband moet binnen deze doeleinden passen en de daartoe te verstrekken gegevens door deelnemers dienen welbepaald en uitdrukkelijk te zijn omschreven. De concrete doelstelling van de samenwerking is bepalend voor de vraag welke gegevens moeten worden aangeleverd. In het verzoek dient zoveel mogelijk te worden geconcretiseerd welke persoonsgegevens exact nodig zijn om de doelstelling te behalen.

De Afdeling adviseert op te nemen dat gegevens die een bepaald aantal jaren oud zijn niet worden verwerkt. In het merendeel van de gevallen zal het gaan om de actuele stand van zaken en actuele gegevens. Soms is het noodzakelijk om niet-actuele gegevens in het project te brengen, omdat deelnemers de geschiedenis van een natuurlijk persoon of rechtspersoon in beeld willen brengen. Het past bij het principe van dataminimalisatie dat deelnemers dit dan moeten motiveren. De toelichting is op dit punt aangepast.

b. Risicomodellen

Volgens de Afdeling moeten ook de indicatoren voor de te ontwikkelen risicomodellen voldoende helder worden benoemd, omdat anders het koppelen zou kunnen leiden tot een ‘fishing expedition’ en zelfs tot willekeur. Het beginsel van dataminimalisatie wordt tevens gewaarborgd doordat bij het ontwerp van een nieuw risicomodel op dit moment de Inspectie SZW beschrijft voor welke specifieke fraudevorm het instrument SyRI wordt ingezet en gemotiveerd onderbouwt welke gegevens daartoe bij elkaar worden gebracht. In de toekomst kan dat ook een andere partij dan de Inspectie SZW zijn. De toelichting is op dit punt aangepast. Hetzelfde geldt ten aanzien van het advies van de Afdeling om in de toelichting uiteen te zetten hoe het beginsel van select before you collect zal worden toegepast bij het opstellen van risicomodellen.

3. Verwerking van bijzondere persoonsgegevens

De Afdeling maakt een aantal opmerking over het verwerken van bijzondere persoonsgegevens.

De regeling in dit Besluit is gebaseerd op de Wet SUWI. Op grond van die Wet SUWI worden onder persoonsgegevens verstaan alle persoonsgegevens als bedoeld in de Wet bescherming persoonsgegevens. Dit bevat dus ook de bijzondere persoonsgegevens, die zijn genoemd in artikel 16 van de Wet bescherming persoonsgegevens (Wbp). Deze gegevens kunnen op grond van de Wet SUWI worden verwerkt voor zover dat is toegestaan op grond van de bepalingen in de Wbp, in het bijzonder artikel 21 (gegevens betreffende de gezondheid) en artikel 22 (strafrechtelijke gegevens). Tegen deze achtergrond is de uitspraak tijdens de parlementaire behandeling dat artikel 64 en 65 van de Wet SUWI geen grondslag bieden voor het verwerken van bijzondere gegevens, die de Afdeling aanhaalt, niet geheel juist. Bij de bespreking van de onderdelen a en b zal dan ook nader worden aangegeven in hoeverre sprake is van verwerking van dergelijke bijzondere gegevens in SyRI.

a. Verwerking van strafrechtelijke gegevens

De Afdeling is van oordeel dat het ontwerpbesluit voorziet in de verwerking van gegevens die moeten worden aangemerkt als strafrechtelijke gegevens. Dit geldt voor de hele categorie detentiegegevens.

Uit de memorie van toelichting op de Wbp blijkt dat het begrip strafrechtelijke gegevens betrekking heeft op veroordelingen als min of meer gegronde verdenkingen. Echter, met de term detentiegegevens in het besluit is niet gedoeld op dit soort gegevens. In de sociale zekerheidswetten is vastgelegd dat gedetineerden geen recht hebben op een uitkering. Bij detentie wordt de uitkering na een maand beëindigd. Voor de WWB (inclusief de IOAW en de IOAZ) en de Werkloosheidswet (WW) wordt de uitkering vanaf de eerste dag van detentie beëindigd. Om de rechtmatigheid van de verstrekte uitkering te kunnen vaststellen is het noodzakelijk dat de uitvoeringsorganen kunnen beschikken over informatie van personen die gedetineerd zijn, dat wil zeggen rechtens hun vrijheid is ontnomen dan wel de mededeling dat de persoon zich onttrekt aan de tenuitvoerlegging. Deze gegevens worden verstrekt door de Minister van Veiligheid en Justitie zoals is geregeld in de Wet SUWI en de WWB. Voor de uitvoering van deze wetten worden enkel die gegevens verstrekt die van belang zijn voor de genoemde doelen. Dat betekent in dit geval dat alleen de voor identificatie noodzakelijke gegevens worden verstrekt, te weten BSN en geboortedatum. Met de omschrijving ‘detentiegegevens’ in het besluit was beoogd dat tot uitdrukking te laten komen. Om misverstanden te voorkomen wordt de term detentiegegevens vervangen door ‘uitsluitingsgronden voor bijstand en uitkering’.

De Afdeling is van oordeel dat gegevens over de bestuurlijke boete gerekend kunnen worden onder de strafrechtelijke gegevens in de zin van de Wbp en deze gegevens uit het Besluit moeten worden geschrapt nu in de memorie van toelichting is bepaald dat in SyRI geen bijzondere persoonsgegevens worden verwerkt. Dit advies wordt niet overgenomen, omdat het wel noodzakelijk is deze gegevens te verwerken.

De Afdeling stelt terecht dat een bestuursrechtelijke sanctie een punitief karakter heeft. Uit de door de Afdeling aangehaalde jurisprudentie en de verwijzing naar de memorie van toelichting bij de Algemene wet bestuursrecht blijkt dat het begrip ‘criminal charge’ een autonoom begrip is. Dat wil zeggen dat voor de toepasselijkheid van de in de artikelen 6 en 7 van het Europees Verdrag tot bescherming van de Rechten van de Mens en de artikelen 14 en 15 van het Internationale Verdrag inzage Burgerrechten en Politieke Rechten (IVBPR) gegarandeerde rechten en waarborgen niet van belang is of een bepaalde sanctie naar nationaal recht als strafrechtelijk of bestuursrechtelijk wordt gekwalificeerd. Met andere woorden ook bij het opleggen van bestuursrechtelijke sancties gelden de waarborgen van het recht op een eerlijk proces, het recht op behandeling binnen een redelijke termijn door een onafhankelijke en onpartijdige instantie, het zwijgrecht e.d. Deze waarborgen worden ook toegepast bij het opleggen van een bestuursrechtelijke sanctie. Dit wil niet zeggen dat een bestuursrechtelijke sanctie daarmee ook een strafrechtelijk gegeven is in de zin van de Wbp. Zoals de Afdeling zelf aangeeft kent de Wbp enkel strafrechtelijke gegevens en niet bestuursrechtelijke gegevens. Uit de door de Afdeling aangehaalde passage uit de memorie van toelichting op de Wbp blijkt dat strafrechtelijke gegevens betrekking hebben op veroordelingen en op min of meer gegronde verdenkingen. Een bestuursrechtelijke sanctie valt niet onder het begrip veroordeling en evenmin onder het begrip gegronde verdenking. Uit de tekst van artikel 22, eerste lid, van de Wbp blijkt dat strafrechtelijke persoonsgegevens verwerkt mogen worden door organen die krachtens de wet zijn belast met de toepassing van het strafrecht. Anders dan bij strafrechtelijke persoonsgegevens het geval is heeft een bestuursrechtelijke sanctie geen gevolgen voor de justitiële documentatie van een persoon (zgn. strafblad). Dat wil zeggen dat een bestuursrechtelijke sanctie geen gevolgen heeft voor bijvoorbeeld de afgifte van een verklaring omtrent het gedrag. Overigens kunnen de in SyRI samenwerkende partijen wel strafrechtelijke persoonsgegevens verwerken, omdat het verbod tot verwerking van die strafrechtelijke gegevens op grond van artikel 22, eerstel lid, van de Wbp niet geldt voor het verwerken van deze gegevens, die de verantwoordelijken verkregen hebben op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. De bij SyRI betrokken bestuursorganen en toezichthouders verkrijgen gegevens op grond van deze wetten. De Afdeling stelt terecht dat de begrippen nalevingsgegevens en schuldenlastgegevens niet adequaat zijn omschreven. In de toelichting op deze gegevens staat dat mede aan de hand van fraudesignalen, geconstateerde overtredingen, opgelegde boetes en maatregelen en strafrechtelijke informatie wordt bepaald of van deze gegevens sprake is. Deze gegevens kunnen dus worden verwerkt indien passend bij de doelstellingen. De toelichting wordt hierop aangepast.

b. Verwerking van gezondheidsgegevens

De Afdeling adviseert om in het artikel zelf vast te leggen dat het bij zorgverzekeringsgegevens uitsluitend gaat om het gegeven dat iemand al dan niet is verzekerd en dat het bij re-integratiegegevens uitsluitend gaat om gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en of deze worden nageleefd. Dit advies is overgenomen.

c. Consistentie van de toelichting

De nota van toelichting is voor zover nodig aangepast in verband met de door de Afdeling geconstateerde inconsistentie op het punt van verwerking van bijzondere gegevens.

4. Register risicomeldingen

Het advies van de Afdeling om de uitwerking van het register in dit besluit te regelen is overgenomen. Het besluit is aldus aangepast. Er wordt een register risicomeldingen ingericht waarin de definitieve selectie van risicomeldingen wordt verwerkt met als doel projectdeelnemers en bestuursorganen te informeren over risicomeldingen die zijn verstrekt en om subjecten van risicomeldingen op aanvraag te informeren of zij in het register staan opgenomen. De Minister van Sociale Zaken en Werkgelegenheid is de verantwoordelijke van het register. De Afdeling vraagt voorts of kan worden volstaan met een passieve informatieplicht of dat wordt bepaald dat personen op wie een risicomelding betrekking heeft, binnen een bepaalde termijn na afloop van het onderzoek daarvan op de hoogte worden gesteld. In de memorie van toelichting van de wet is hierover aangegeven dat de individuele burger wiens persoonsgegevens in SyRI worden verwerkt of in een risicomelding worden opgenomen, niet persoonlijk wordt geïnformeerd over die gegevensverwerking. Niet alleen zou dit een onevenredige inspanning vergen van de overheid en bestuursorganen, maar het zou ook de modus operandi kunnen vrijgeven waaraan calculerende burgers hun gedragingen zouden kunnen aanpassen. Om die reden wordt in de bepaling over het register een bijzondere bepaling opgenomen over de informatie aan de betrokken persoon. Indien sprake is van een verzoek tot informatie over de verwerking in het register wordt dit overigens beoordeeld met toepassing van de bepalingen daaromtrent in de Wbp.

De bewaartermijnen worden ook in het artikel geregeld, zodat duidelijkheid bestaat over de bewaartermijnen en het vernietigen van de gegevens. Daarmee wordt de duidelijkheid in ieder geval op het niveau van de regeling in dit besluit gegevens.

5. Afzonderlijke amvb

Het advies van de Afdeling om de inhoud van het ontwerpbesluit op te nemen in het Besluit SUWI is overgenomen.

6. Redactionele opmerkingen

De redactionele opmerkingen zijn verwerkt. De redactionele opmerkingen over de omschrijving van ‘indicator’, het opnemen van een (actuele) vindplaats bij de Samenwerkingsovereenkomst voor interventieteams en over de uitbreiding van de proces-verbaalplicht zijn niet overgenomen. De redactionele opmerkingen over de toevoeging in het stroomschema van het moment waarop persoonsgegevens moeten worden vernietigd en verwerkt en het inzicht in de uitvoeringskosten zijn eveneens niet verwerkt.

Ik moge U hierbij, het gewijzigde ontwerpbesluit en de gewijzigde nota van toelichting doen toekomen en U verzoeken overeenkomstig dit ontwerp te besluiten.

De Minister van Sociale Zaken en Werkgelegenheid, L.F. Asscher.

Advies Raad van State

No. W12.14.0102/III

’s-Gravenhage, 15 mei 2014

Aan de Koning

Bij Kabinetsmissive van 22 april 2014, no.2014000783, heeft Uwe Majesteit, op voordracht van de Minister van Sociale Zaken en Werkgelegenheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI), met nota van toelichting.

Het ontwerpbesluit geeft uitvoering aan een wijziging van de Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI). Die wetswijziging voorziet erin dat gemeenten en overheidsinstanties op het terrein van sociale zekerheid en belastingen samenwerken bij het bestrijden van fraude door het koppelen van gegevens waarover zij beschikken. De koppelingen worden uitgevoerd binnen het Systeem risico-indicatie (SyRI), waarvoor de Minister van Sociale Zaken en Werkgelegenheid verantwoordelijk is.

De Afdeling advisering van de Raad van State maakt opmerkingen over het vastleggen van waarborgen tegen te vergaande beperkingen van de persoonlijke levenssfeer in het ontwerpbesluit zelf, over de verwerking van strafrechtelijke en andere bijzondere persoonsgegevens en over het register risicomeldingen. Zij is van oordeel dat in verband daarmee aanpassing van het ontwerpbesluit nodig is.

1. Inleiding

De procedure voor het koppelen van gegevens binnen SyRI is als volgt. Twee of meer gemeentebesturen, bestuursorganen of toezichthouders op het terrein van sociale zekerheid of belastingen sluiten een samenwerkingsverband, gericht op het voorkomen en bestrijden van onrechtmatig gebruik van overheidsgelden en -voorzieningen op het terrein van de sociale zekerheid en inkomensafhankelijke regelingen, het voorkomen en bestrijden van belasting- en premiefraude of het niet naleven van arbeidswetten. Zij leveren gegevens aan aan het Inlichtingenbureau, dat als bewerker optreedt.

Het Inlichtingenbureau versleutelt de aangeleverde gegevens, zodat zij niet tot personen herleidbaar zijn, en koppelt de bestanden aan de hand van een van de risicomodellen die door de minister zijn vastgesteld. De gegevens die door de koppeling zijn ontstaan worden alleen ontsleuteld als zij duiden op een verhoogd risico van niet-naleving van wettelijke verplichtingen. De ontsleutelde gegevens worden verstrekt aan de minister.

De minister analyseert de ontvangen gegevens en bepaalt in welke gevallen die leiden tot een risicomelding. De risicomeldingen worden verstrekt aan het bevoegde bestuursorgaan, dat de melding vanuit zijn wettelijke taak nader onderzoekt. De minister kan risicomeldingen ook verstrekken aan het openbaar ministerie en de politie.

2. Verwerking van persoonsgegevens

a. Categorieën persoonsgegevens

Het ontwerpbesluit somt 17 categorieën van persoonsgegevens op die ‘uitsluitend’ in SyRI kunnen worden verwerkt. Die categorieën zijn: arbeidsgegevens, gegevens inzake bestuursrechtelijke maatregelen en sancties, detentiegegevens, fiscale gegevens, gegevens over roerende en onroerende goederen, handelsgegevens, huisvestingsgegevens, identificerende gegevens, inburgeringsgegevens, nalevingsgegevens, onderwijsgegevens, pensioengegevens, re-integratiegegevens, schuldenlastgegevens, uitkerings- toeslagen- en subsidiegegevens, vergunningen en ontheffingen, en zorgverzekeringsgegevens.

Deze categorieën zijn ruim en veelomvattend en de gegevens die eronder vallen kunnen in een aantal gevallen diep ingrijpen in iemands persoonlijke levenssfeer. De opsomming van gegevens is weliswaar bedoeld om de gegevensverwerking in te perken (beginsel van dataminimalisatie),1 maar is in feite zo ruim dat er nauwelijks een persoonsgegeven te bedenken is dat niet voor verwerking in aanmerking komt. De opsomming lijkt niet bedoeld om in te perken, maar om zoveel mogelijk armslag te hebben.

Weliswaar zal bij elk afzonderlijk project nader worden bepaald welke gegevens voor dat project noodzakelijk zijn, maar – zoals de Afdeling ook opmerkte in haar advies over het wetsvoorstel dat aan het ontwerpbesluit ten grondslag ligt – zo’n toetsing in concrete gevallen ontslaat de wetgever (en nu de besluitgever) niet van de plicht om de toekenning van bestuursbevoegheden en de daarmee gepaard gaande beperking van grondrechten zo concreet mogelijk te omschrijven.2

In de artikelsgewijze toelichting wordt iets concreter omschreven om wat voor gegevens het gaat. De toelichting is echter niet de plaats om nadere regels te stellen.3 Voor zover de toelichting meer concreet houvast biedt, dient naar het oordeel van de Afdeling de omschrijving in de toelichting te worden neergelegd in het artikel zelf.

De omschrijving in de toelichting is echter niet in alle gevallen verhelderend. Zo is niet duidelijk waarom onder ‘schuldenlastgegevens’ onder meer wordt begrepen: fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen (zie verder onder punt 3a).

De Afdeling adviseert de categorieën persoonsgegevens in het ontwerpbesluit kritisch te bezien op noodzaak, subsidiariteit en evenredigheid, en de omschrijving in het ontwerpbesluit toe te spitsen op hetgeen met die eisen in overeenstemming is. In alle gevallen waarin de toelichting concreter is, dient de omschrijving in het artikel daartoe te worden beperkt. De Afdeling geeft in punt 3b twee voorbeelden van categorieën van gegevens die in de voorgestelde wettekst een beperktere omschrijving behoeven.

Het verdient eveneens aanbeveling te bepalen dat gegevens die een bepaald aantal jaren oud zijn, niet worden verwerkt; de termijn kan per categorie verschillend zijn.

b. Risicomodellen

Bij elk SyRI-project wordt aan de hand van een risicomodel vastgesteld of er een verhoogd risico is op onregelmatigheden. De minister stelt een of meer risicomodellen vast.4 Elk risicomodel bestaat uit vooraf bepaalde indicatoren.5 Volgens de toelichting moet in het verzoek om uitvoering van een SyRI-project voldoende helder benoemd zijn wat de indicatoren en het te hanteren risicomodel zijn. Anders zou het koppelen kunnen leiden tot een ‘fishing expedition’ en zelfs tot willekeur.6

De Afdeling merkt op dat ook de risicomodellen aan dit vereiste moeten voldoen. Persoonsgegevens mogen immers alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; verwerking mag voorts niet bovenmatig zijn.7

De Afdeling adviseert in de toelichting uiteen te zetten hoe het – in de toelichting genoemde – beginsel ‘select before you collect’ zal worden toegepast bij het opstellen van de risicomodellen.

3. Verwerking van bijzondere persoonsgegevens

De wettelijke regeling voor het koppelen van persoonsgegevens in SyRI – neergelegd in de artikelen 64 en 65 Wet SUWI, de grondslagartikelen voor het ontwerpbesluit – spreekt slechts in algemene termen over het ‘verwerken van gegevens’ voor – kort gezegd – het bestrijden van fraude.8 Uit de omschrijving blijkt niet of de verwerking ook betrekking kan hebben op de categorie ‘bijzondere persoonsgegevens’ in de zin van de Wet bescherming persoonsgegevens (Wbp): gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens.9 Bij de parlementaire behandeling is echter ondubbelzinnig uitgesproken dat dat niet mogelijk is: ‘De voorgestelde artikelen 64 en 65 bieden geen grondslag voor het gebruik van bijzondere gegevens in de SyRI.’10

a. Verwerking van strafrechtelijke gegevens

In SyRI kunnen vier categorieën gegevens worden verwerkt die geheel of gedeeltelijk betrekking hebben op bijzondere persoonsgegevens:11

  • gegevens inzake bestuursrechtelijke maatregelen en sancties, in de toelichting omschreven als: gegevens waaruit blijkt dat een natuurlijke persoon of een rechtspersoon een bestuursrechtelijke boete opgelegd heeft gekregen dan wel dat een andere bestuursrechtelijke maatregel is getroffen;

  • detentiegegevens, in de toelichting omschreven als: gegevens waaruit blijkt of een persoon rechtens zijn vrijheid is ontnomen of zich onttrekt aan de tenuitvoerlegging van een vrijheidsstraf of vrijheidsbenemende maatregel (de reden van de vrijheidsontneming is irrelevant)12;

  • nalevingsgegevens, omschreven als: gegevens waarmee de nalevingshistorie van wet- en regelgeving van een natuurlijk persoon of rechtspersoon kan worden vastgesteld, zoals fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen en strafrechtelijke informatie;

  • schuldenlastgegevens. Deze term lijkt geen betrekking te hebben op strafrechtelijke gegevens. Echter, volgens de toelichting betreft het gegevens waarmee de eventuele schulden van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen.

Bij de parlementaire behandeling van de Wbp merkte de regering op:

‘Het begrip ‘strafrechtelijke gegevens’ heeft betrekking zowel op veroordelingen als op min of meer gegronde verdenkingen. Veroordelingen betreffen gegevens waarbij de rechter, al dan niet onherroepelijk, strafrechtelijk gedrag heeft vastgesteld. Bij verdenkingen gaat het om concrete aanwijzingen jegens een bepaalde persoon. Het begrip strafrechtelijke gegevens omvat mede gegevens omtrent de toepassing van het formele strafrecht, bijvoorbeeld het gegeven dat iemand is gearresteerd of dat tegen hem proces-verbaal is opgemaakt wegens een bepaald vergrijp. De bepaling heeft geen betrekking op de verwerking van persoonsgegevens gericht op de vaststelling van mogelijk strafbaar gedrag, bij voorbeeld door het volgen van trends.’13

Gelet hierop voorziet het ontwerpbesluit in verwerking van gegevens die moeten worden aangemerkt als strafrechtelijke gegevens. Dat geldt voor de hele categorie detentiegegevens.14 Datzelfde geldt voor de meeste nalevingsgegevens en schuldenlastgegevens, zoals opgesomd in de toelichting; alleen fraudesignalen vallen daar niet onder, zolang er nog geen concrete verdenking bestaat.

Gegevens over bestuursrechtelijke maatregelen zijn niet te rekenen onder strafrechtelijke gegevens. Echter, bestraffende sancties – de bestuurlijke boete – hebben een punitief karakter;15 zij zijn in de jurisprudentie van het Europees Hof van de Rechten van de Mens en het Hof van Justitie van de Europese Unie en in de Nederlandse wetgeving in veel opzichten op één lijn gesteld met strafrechtelijke sancties.16 In dat licht kunnen gegevens over de bestuurlijke boete worden gerekend onder de strafrechtelijke gegevens in de zin van de Wbp.

Nu bij de parlementaire behandeling van de wijzigingswet is uitgesproken dat de artikelen 64 en 65 van de Wet SUWI geen grondslag bieden voor verstrekking van bijzondere persoonsgegevens in SyRI, adviseert de Afdeling de verwerking van detentiegegevens en gegevens over bestuurlijke boetes in SyRI nader te bezien. Voorts adviseert zij de categorieën ‘nalevingsgegevens’ en ‘schuldenlastgegevens’ zo te omschrijven dat gegevens over geconstateerde overtredingen, opgelegde boetes en strafrechtelijke informatie daar niet onder vallen.

b. Verwerking van gezondheidsgegevens

Het ontwerpbesluit voorziet voorts in verwerking van zorgverzekeringsgegevens en re-integratiegegevens.

De categorie ‘zorgverzekeringsgegevens’ wordt in de toelichting omschreven als: gegevens waarmee kan worden vastgesteld of een persoon is verzekerd.17

De Afdeling merkt op dat de term ‘zorgverzekeringsgegevens’ meer omvat dan hetgeen in de toelichting is aangeduid. Het begrip kan, zuiver taalkundig, ook betrekking hebben op de inhoud van de aanvullende verzekering of op ingediende declaraties. Daaruit kunnen onder omstandigheden medische gegevens worden afgeleid. Dat verdraagt zich niet goed met de hiervoor al genoemde verzekering bij de parlementaire behandeling van de wijzigingswet dat die wet geen grondslag biedt voor de verwerking van bijzondere gegevens.

Re-integratiegegevens worden omschreven als: gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en/of deze worden nageleefd. Deze omschrijving houdt in dat het niet gaat om medische gegevens; de term in het artikel zelf laat wel ruimte voor verwerking van medische gegevens, omdat re-integratie een middel is om een herstellende of herstelde werknemer weer aan het werk te krijgen en de aard van de re-integratiemaatregel kan zijn afgestemd op de medische beperkingen van de werknemer.

De Afdeling adviseert in het artikel zelf vast te leggen dat het bij zorgverzekeringsgegevens uitsluitend gaat om het gegeven dat iemand al dan niet is verzekerd, en dat het bij re-integratiegegevens uitsluitend gaat om gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en of deze worden nageleefd.

c. Consistentie van de toelichting

In het ontwerpbesluit wordt nader omschreven welke categorieën gegevens kunnen worden verwerkt binnen SyRI. In de toelichting wordt op drie plaatsen gesteld dat het ontwerpbesluit niet ziet op verwerking van bijzondere persoonsgegevens.18 Op één plaats staat dat dat wel het geval is.19

De Afdeling adviseert de toelichting bij te stellen.

4. Het register risicomeldingen

De wet bepaalt dat de minister risicomeldingen verstrekt aan het bevoegde bestuursorgaan en eventueel aan het openbaar ministerie en de politie. Het ontwerpbesluit bepaalt daarnaast dat de risicomeldingen worden opgenomen in een register risicomeldingen. Dit register komt in de Wet SUWI als zodanig niet voor. Het wordt ingesteld bij het ontwerpbesluit en is daarin summier geregeld. Het register wordt beheerd door de minister. Het doel van het register wordt niet omschreven; evenmin wordt bepaald aan wie gegevens uit het register kunnen worden verstrekt. Regels over de werking, organisatie, beschikbaarheid, beveiliging en vernietiging van gegevens en de bewaartermijnen kunnen worden gesteld bij ministeriële regeling.20 Het register staat kennelijk los van het SyRI.

Het register is aangekondigd in de memorie van toelichting bij de wijzigingswet. Daaruit blijkt dat het bedoeld is om de betrokkene desgevraagd te informeren ‘inzake hem verstrekte risicomeldingen’.21

  • a. De Afdeling merkt op dat de essentiële elementen van het register zich niet lenen voor regeling bij ministeriële regeling. Een ministeriële regeling is geschikt voor administratieve voorschriften, uitwerking van details en voorschriften die vaak of met spoed gewijzigd moeten kunnen worden.22 Het register heeft betrekking op de verwerking van persoonsgegevens en overstijgt dat niveau.

    De Afdeling adviseert doel, werking en organisatie van het register, de verstrekking van gegevens (uitsluitend aan de persoon op wie de risicomelding betrekking heeft), beveiliging en vernietiging van gegevens en de bewaartermijnen in het ontwerpbesluit zelf te regelen.

  • b. Het register is, zo werd hiervoor geconstateerd, bedoeld om de betrokkene desgevraagd te informeren over een risicomelding. Dit roept de vraag op of kan worden volstaan met een passieve informatieplicht.

    Een risicomelding is niet zonder betekenis: het gaat om een aanwijzing dat wettelijke voorschriften niet zijn nageleefd. Als het onderzoek niet leidt tot straffen of maatregelen, dan zal de betrokkene niet snel op de hoogte raken van het feit dat er een risicomelding is gedaan en dat hij voorwerp van onderzoek is geweest. Hij zal daar meestal ook niet op bedacht zijn en daarom ook niet op het idee komen te informeren of hij in het register staat vermeld.

    Het verdient overweging te bepalen dat de personen op wie een risicomelding betrekking heeft, binnen een bepaalde termijn na afloop van het onderzoek daarvan op de hoogte worden gesteld.

    De Afdeling adviseert op het voorgaande in de toelichting in te gaan en het ontwerpbesluit zo nodig aan te vullen.

  • c. Volgens de toelichting op het ontwerpbesluit geldt voor het register risicomeldingen op grond van artikel 65, vijfde lid, van de wet een bewaartermijn van twee jaar.23 Artikel 65, vijfde lid, stelt echter geen bewaartermijn voor de risicomelding als zodanig, maar alleen voor het gegeven dat een risicomelding heeft plaatsgevonden. Het ontwerpbesluit voorziet er dan ook in dat de bewaartermijnen voor het register worden geregeld bij ministeriële regeling. Dat zou niet nodig zijn als de bewaartermijn al in de wet stond.

    De Afdeling adviseert de toelichting aan te passen.

5. Afzonderlijke amvb

Het ontwerpbesluit is een nieuwe algemene maatregel van bestuur (amvb), het Besluit SyRI, die strekt tot uitvoering van twee artikelen uit de Wet SUWI. Het is een uitgangspunt van regelgeving dat de uitvoeringsregels die bij een wet behoren zoveel mogelijk in één regeling worden samengebracht.24 Bij de Wet SUWI is dit uitgangspunt grotendeels toegepast: het overgrote deel van de uitvoeringsregels op het niveau van de amvb is neergelegd in het Besluit SUWI. Het Besluit SUWI bevat onder meer regels voor de verwerking van persoonsgegevens en voor het Inlichtingenbureau, dat in het voorliggende ontwerpbesluit een centrale rol vervult. Uit een oogpunt van toegankelijkheid van regelgeving ligt het derhalve in de rede om de regels voor SyRI daaraan toe te voegen.

De Afdeling adviseert de inhoud van het ontwerpbesluit op te nemen in het Besluit SUWI.

6. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging in dezen een besluit te nemen, nadat met het vorenstaande rekening zal zijn gehouden.

De waarnemend vice-president van de Raad van State, P. van Dijk.

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no. W12.14.0102/III

Artikel 1

  • De begrippen ‘risicomelding’ en ‘risicomodel’ invoegen vóór het begrip ‘samenwerkingsverband’.

  • In de omschrijving van ‘indicator’ ‘een bepaalde omstandigheid’ wijzigen in: een verhoogd risico als bedoeld in artikel 65, tweede lid, van de wet.

  • De omschrijving van ‘samenwerkingsverband’ niet beperken tot samenwerkingsverbanden die gebruik maken van SyRI, nu het ontwerpbesluit (blijkens de considerans) mede strekt tot uitvoering van artikel 64, vijfde lid, van de Wet SUWI en dat artikel betrekking heeft op samenwerkingsverbanden die geen gebruik maken van SyRI. Voorts een actuele vindplaats opnemen bij de Samenwerkingsovereenkomst voor interventieteams.

Artikel 2

  • Het vierde lid, onderdeel a, wijzigen in: met het verzoek instemt;.

  • In het vierde lid, onderdeel c, ‘hebben’ wijzigen in: heeft.

  • In het vierde lid, onderdeel d, gelet op artikel 64, vierde lid, van de wet, ‘bestanden’ wijzigen in: gegevens.

  • In het zesde lid de woorden ‘en kan deze wijzigen’ schrappen, aangezien dit vanzelf spreekt.

Overige artikelen

  • In artikel 3, derde lid, de woorden ‘ten behoeve van Onze Minister’ schrappen. Het vierde lid wijzigen in: ‘De bewerker vernietigt de in het kader van het SyRI-project aan hem verstrekte bestanden, de door hem bewerkte bestanden en de bestanden, bedoeld in het derde lid, onderdeel c, binnen vier weken nadat het bestand, bedoeld in het derde lid, onderdeel g, aan Onze Minister is verstrekt.’

  • In de artikelen 4, eerste lid, en 6, eerste lid, de woorden ‘(als) bedoeld in artikel 65, tweede lid, van de wet’, schrappen, nu ‘risicomelding’ gedefinieerd is.

  • In artikel 6, eerste lid, ‘zijn’ wijzigen in: worden. In het tweede en derde lid, ‘, bedoeld in het eerste lid’ telkens schrappen.

  • Artikel 7, tweede lid, schrappen, nu dit vanzelf spreekt.

  • De proces-verbaalplicht in artikel 8, eerste lid, eveneens laten gelden voor de verwijdering van gegevens uit SyRI, bedoeld in artikel 65, zevende lid, van de wet, en voor de vernietiging van gegevens in het register risicomeldingen (ministeriële regeling op basis van artikel 6, derde lid).

Toelichting

  • In het stroomschema in § 2.7 een kolom toevoegen, waarin voor elk van de persoonsgegevens die in de verschillende fasen ontstaan, wordt aangeduid op welk tijdstip zij moeten worden verwijderd of vernietigd.

  • In § 3 (Financiële gevolgen) niet alleen ingaan op de uitvoeringskosten bij het Inlichtingenbureau, maar ook op de kosten bij de andere betrokken bestuursorganen en personen, en op de te verwachten opbrengsten.

Tekst zoals toegezonden aan de Raad van State: Besluit van ..... houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Sociale Zaken en Werkgelegenheid van 17 april 2014, nr. 0056263;

Gelet op de artikelen 64, vijfde lid, en 65, achtste lid, van de Wet structuur uitvoeringsorganisatie werk en inkomen;

De Afdeling advisering van de Raad van State gehoord (advies van);

Gezien het nader rapport van Onze Minister van Sociale Zaken en Werkgelegenheid van ...,

Hebben goedgevonden en verstaan:

HOOFDSTUK 1 ALGEMENE BEPALINGEN

Artikel 1 Begripsomschrijvingen

In dit besluit en de daarop berustende bepalingen wordt verstaan onder:

bestand:

elk gestructureerd geheel van persoons- of bedrijfsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische bepaalde wijze, dat volgens de bepaalde criteria toegankelijk is en betrekking heeft op verschillende natuurlijke- of rechtspersonen;

bedrijfsgegeven:

een gegeven betreffende een geïdentificeerde of identificeerbare rechtspersoon;

bewerker:

de bewerker als bedoeld in artikel 1, onderdeel e, van de Wet bescherming persoonsgegevens;

indicator:

een gegeven dat de aanwezigheid van een bepaalde omstandigheid aannemelijk maakt;

Onze Minister:

de Minister van Sociale Zaken en Werkgelegenheid;

persoonsgegeven:

een gegeven als bedoeld in artikel 1, onderdeel a, van de Wet bescherming persoonsgegevens;

samenwerkingsverband:

de samenwerking tussen twee of meer van de bestuursorganen of personen, bedoeld in artikel 64, eerste lid, van de wet, met het oogmerk SyRI in te zetten en waarbij ieder van de samenwerkende bestuursorganen en personen tevens partij is bij de Samenwerkingsovereenkomst voor interventieteams;

SyRI:

het systeem risico indicatie, bedoeld in artikel 65, eerste lid, van de wet;

SyRI-project:

het project dat met gebruikmaking van SyRI informatie vergaart voor de doelstelling van dat project en past binnen het doel, bedoeld in artikel 64, eerste lid, van de wet;

risicomelding:

de melding, bedoeld in artikel 65, tweede lid, van de wet;

risicomodel:

een model dat bestaat uit vooraf bepaalde indicatoren en aangeeft of er sprake is van een verhoogd risico op:

  • onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van sociale zekerheid en de inkomensafhankelijke regelingen,

  • belasting- en premiefraude, of

  • het niet naleven van arbeidswetten;

verzoek:

verzoek als bedoeld in artikel 65, eerste lid, van de wet;

wet:

de Wet structuur uitvoeringsorganisatie werk en inkomen.

HOOFDSTUK 2 SYRI

Artikel 2 Voorwaarden inzet SyRI

  • 1. Indien het verzoek van het samenwerkingsverband voldoet aan de voorwaarden, bedoeld in het tweede tot en met vierde lid, en uit de in het zesde lid bedoelde prioritering blijkt dat er voldoende capaciteit beschikbaar is voor de koppeling, bedoeld artikel 3, en de analyse, bedoeld in artikel 4, verwerkt Onze Minister de gegevens, bedoeld in artikel 64, tweede lid, van de wet in SyRI.

  • 2. Uit het verzoek blijkt in ieder geval:

    • a. met welke bestuursorganen en personen in het kader van artikel 64, eerste lid, van de wet ten behoeve van het SyRI-project wordt samengewerkt, wat de concrete doelstelling van de samenwerking is, hoe de samenwerking is georganiseerd en vormgegeven, en de beoogde aanvangsdatum en de duur van het SyRI-project;

    • b. welke concrete gegevens door de bestuursorganen en personen van het samenwerkingsverband zullen worden aangeleverd;

    • c. de beoogde wijze van terugkoppeling van de risicomeldingen door Onze Minister, en

    • d. op welke indicatoren en welk risicomodel het verzoek betrekking heeft.

  • 3. Voor verwerking in SyRI komen uitsluitend een of meer van de volgende categorieën gegevens in aanmerking:

    • a. arbeidsgegevens;

    • b. gegevens inzake bestuursrechtelijke maatregelen en sancties;

    • c. detentie gegevens;

    • d. fiscale gegevens;

    • e. gegevens roerende en onroerende goederen;

    • f. handelsgegevens;

    • g. huisvestingsgegevens;

    • h. identificerende gegevens;

    • i. inburgeringsgegevens;

    • j. nalevingsgegevens;

    • k. onderwijsgegevens;

    • l. pensioengegevens;

    • m. re-integratiegegevens;

    • n. schuldenlastgegevens;

    • o. uitkerings- toeslagen- en subsidiegegevens;

    • p. vergunningen en ontheffingen;

    • q. zorgverzekeringsgegevens.

  • 4. Voorts blijkt uit het verzoek, dat ieder van de bestuursorganen en personen, bedoeld in artikel 64, eerste lid, van de wet:

    • a. dat het doen van dit verzoek de instemming heeft van dat bestuursorgaan of die persoon;

    • b. de voorgenomen bestandslevering heeft getoetst aan de gegevens die nodig zijn voor de risico analyses, ten behoeve van het doel van het SyRI-project, waaronder het doel in artikel 64, eerste lid, van de wet;

    • c. heeft onderbouwd dat een mogelijke aantasting van de belangen van de natuurlijke personen of rechtspersonen op wie de verwerking van gegevens betrekking hebben niet onevenredig is in verhouding tot het doel dat met de inzet van SyRI wordt beoogd;

    • d. alleen die bestanden verstrekt, die voor de risicoanalyses, bedoeld in artikel 65, eerste lid, van de wet nodig zijn, en

    • e. in redelijkheid geen minder ingrijpende wijze voor de betrokken personen of rechtspersonen kan hanteren om het doel dat met de inzet van SyRI wordt beoogd, te bereiken.

  • 5. Voor zover een bestuursorgaan dat of een persoon die deel uitmaakt van een samenwerkingsverband voor een SyRI-project niet beschikt over de noodzakelijke gegevens, bedoeld in artikel 64, tweede lid, van de wet is het vierde lid, onderdelen b tot en met e, niet van toepassing.

  • 6. Onze Minister stelt een prioritering van de analysecapaciteit voor SyRI vast en kan deze wijzigen.

  • 7. Onze Minister stelt een of meer risicomodellen vast.

  • 8. Bij ministeriële regeling kunnen nadere regels worden gesteld over de wijze waarop het verzoek door het samenwerkingsverband wordt opgesteld en ingediend en de inhoud van dit verzoek.

Artikel 3 Koppeling door bewerker

  • 1. Indien het verzoek voldoet aan artikel 2, eerste lid, worden de gegevens overeenkomstig artikel 65, eerste lid, van de wet verwerkt, nadat het samenwerkingsverband de noodzakelijke bestanden kosteloos en voldoende beveiligd aan de bewerker heeft aangeleverd.

  • 2. Als bewerker voor de koppeling van de bestanden in SyRI wordt de Stichting Inlichtingenbureau aangewezen.

  • 3. De bewerker verricht ten behoeve van Onze Minister achtereenvolgens de volgende activiteiten ten behoeve van het SyRI-project:

    • a. hij brengt de door het samenwerkingsverband aangeleverde bestanden die ten behoeve van de uitvoering van het risicomodel noodzakelijk zijn samen;

    • b. hij creëert bestanden met versleutelde persoons- en bedrijfsgegevens, zodanig dat deze voor anderen niet meer tot natuurlijke personen en rechtspersonen herleidbaar zijn;

    • c. hij creëert een afzonderlijk bestand met de sleutels voor de ontsleuteling van de versleutelde gegevens bedoeld in onderdeel b;

    • d. hij maakt de bestanden gereed voor koppeling;

    • e. hij neemt de gegevens op in SyRI door het koppelen van de bestanden, bedoeld in onderdeel b, overeenkomstig het risicomodel;

    • f. hij ontsleutelt alleen die gegevens die op basis van de resultaten van de koppeling van de bestanden duiden op een verhoogd risico op onregelmatigheden als bedoeld in artikel 64, eerste lid, van de wet en legt daar een bestand van aan;

    • g. hij verstrekt het bestand, bedoeld in onderdeel f, aan Onze Minister.

  • 4. De bewerker vernietigt de in het kader van het SyRI-project aan hem verstrekte bestanden en de door hem bewerkte bestanden binnen vier weken nadat deze ingevolge het derde lid, onderdeel g, aan Onze Minister zijn verstrekt. Het bestand, bedoeld in het derde lid, onderdeel c, vernietigt de bewerker binnen diezelfde termijn.

Artikel 4 Analyse resultaten

  • 1. Onze Minister analyseert de verstrekte gegevens, bedoeld in artikel 3, derde lid, onderdeel g, en bepaalt in welke gevallen deze leiden tot een risicomelding als bedoeld in artikel 65, tweede lid, van de wet.

  • 2. Onze Minister verstrekt aan de betreffende bestuursorganen en personen van het samenwerkingsverband de in aanmerking komende risicomeldingen die noodzakelijk zijn voor een goede uitvoering van hun wettelijke taak.

  • 3. Indien een natuurlijk persoon of rechtspersoon geen onderwerp is van een risicomelding worden zijn of haar gegevens binnen vier weken na afronding van de analyse, bedoeld in het eerste lid, door Onze Minister vernietigd.

  • 4. De terugkoppeling, bedoeld in artikel 65, zesde lid, van de wet vindt plaats binnen twintig maanden te rekenen vanaf de aanvang van het SyRI-project.

  • 5. Onverminderd de regels krachtens artikel 6, derde lid, vernietigt Onze Minister na de terugkoppeling, bedoeld in artikel 65, zesde lid, maar in ieder geval uiterlijk twee jaar nadat het SyRI-project is aangevangen alle in het kader van dat project verkregen gegevens, waaronder de via de terugkoppeling verkregen gegevens.

Artikel 5 Aanvang en einde SyRI-project

  • 1. Onze Minister bepaalt de aanvangsdatum van het SyRI-project indien het verzoek aan artikel 2, eerste lid, voldoet. Hiervan doet hij mededeling in de Staatscourant.

  • 2. Het SyRI-project eindigt zodra de terugkoppelingen, bedoeld in artikel 65, zesde lid, van de wet bij Onze Minister zijn ingediend of Onze Minister hiertoe besluit.

Artikel 6 Register risicomeldingen

  • 1. Er is een register risicomeldingen waarin de risicomeldingen, bedoeld in artikel 65, tweede lid, van de wet zijn opgenomen.

  • 2. Het register, bedoeld in het eerste lid, wordt beheerd door Onze Minister.

  • 3. Bij ministeriële regeling kunnen in ieder geval regels worden gesteld omtrent de werking, organisatie, beschikbaarheid, beveiliging en vernietiging van gegevens en de bewaartermijnen in het register, bedoeld in het eerste lid.

Artikel 7 Evaluatie

  • 1. Met inachtneming van de termijnen, bedoeld in artikel 65, vijfde lid, van de wet evalueert Onze Minister het voor het SyRI-project gehanteerde risicomodel aan de hand van de ontvangen terugkoppelingen, bedoeld in artikel 65, zesde lid, van de wet. De terugkoppelingen vinden op de volgende onderdelen plaats:

    • a. voor zover beschikbaar: de resultaten van de risicomeldingen;

    • b. de bruikbaarheid van de risicomeldingen;

    • c. indien een of meer risicomeldingen niet tot vervolgacties hebben geleid: de redenen hiervan.

  • 2. De resultaten van de evaluatie kunnen voor Onze Minister aanleiding zijn het risicomodel aan te passen.

  • 3. Bij ministeriële regeling kunnen nadere regels worden gesteld omtrent de terugkoppeling van de resultaten van de risicomeldingen, bedoeld in artikel 65, zesde lid, van de wet, en de evaluatie, bedoeld in het eerste lid.

Artikel 8 Proces-verbaal vernietiging

  • 1. De bewerker respectievelijk Onze Minister stelt bij vernietiging van gegevens als bedoeld in artikel 3, vierde lid, respectievelijk artikel 4, derde en vijfde lid, ter zake een proces-verbaal van vernietiging op waarin staat op welke wijze de gegevens zijn vernietigd alsmede de datum waarop en de locatie waar de vernietiging heeft plaatsgevonden.

  • 2. Het proces-verbaal, bedoeld in het eerste lid, wordt door de bewerker respectievelijk Onze Minister ter kennisname aan het samenwerkingsverband verzonden.

HOOFDSTUK 3 SLOTBEPALINGEN

Artikel 9 Inwerkingtreding

Dit besluit treedt in werking met ingang van 1 juli 2014.

Artikel 10 Citeertitel

Dit besluit wordt aangehaald als: Besluit SyRI.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

De Minister van Sociale Zaken en Werkgelegenheid,

NOTA VAN TOELICHTING

Algemeen

1. Inleiding en achtergrond

Het Besluit fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (hierna: Besluit SyRI) strekt ter uitvoering van artikel 65 van de Wet structuur uitvoeringsorganisatie werk en inkomen (hierna: wet). Dit besluit bevat nadrukkelijk alleen regels voor zover de inzet van het in artikel 65 van de wet beschreven systeem risico indicatie (hierna: SyRI) aan de orde is. Artikel 65 is tezamen met artikel 64 ingevoegd bij de wet van 9 oktober 2013 tot wijziging van de Wet structuur uitvoeringsorganisatie werk en inkomen en enige andere wetten in verband met de fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Stb. 405) (hierna: wijzigingswet SUWI).

De belangrijkste onderwerpen in het Besluit SyRI betreffen:

  • 1. de voorwaarden waaraan een verzoek om gebruik te maken van SyRI moet voldoen (artikel 2);

  • 2. de aanwijzing en de taak van de bewerker in het kader van SyRI (artikel 3);

  • 3. de analyse van de resultaten uit SyRI (artikel 4);

  • 4. de aanvang en het einde van een SyRI-project (artikel 5);

  • 5. het register voor risicomeldingen (artikel 6);

  • 6. de evaluatie van het gehanteerde risicomodel (artikel 7).

2. Hoofdlijnen van het Besluit SyRI
2.1 Algemeen

Fraude met of misbruik of oneigenlijk gebruik van overheidsgelden en overheidsvoorzieningen is een ernstige zaak. Hierdoor ontstaat niet alleen schade voor de overheid, maar ook de integriteit van het stelsel, de betaalbaarheid van de voorzieningen en het maatschappelijk draagvlak voor sociale voorzieningen worden hiermee aangetast. Het kabinet geeft hoge prioriteit aan het voorkomen en het opsporen van fraude.

Een belangrijke manier om dit te bereiken is door gebruik te maken van gegevens die de overheid of andere organisaties met een publieke taak al beschikbaar hebben. De mogelijkheden van gegevensuitwisseling moeten daarom optimaal worden benut. Dit draagt bij aan het draagvlak in de sociale zekerheid en een adequate fraudebestrijding. Dit is het uitgangspunt van SyRI.

SyRI is een instrument waarmee in een beveiligde omgeving op een zorgvuldige manier data worden gekoppeld en vervolgens geanalyseerd, zodat risicomeldingen kunnen worden gegenereerd. SyRI wordt ingezet in het kader van een integraal optreden ter voorkoming en bestrijding van onrechtmatig gebruik van overheidsgelden en -voorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de voorkoming en bestrijding van belasting- en premiefraude, en het niet naleven van arbeidswetten.

De gegevensverwerking in SyRI gebeurt onder verantwoordelijkheid van de Minister van Sociale Zaken en Werkgelegenheid (hierna: de minister).

De grondslag van de gegevensverwerking is artikel 8, aanhef en onder e, van de Wet bescherming persoonsgegevens (hierna: Wbp) Volgens deze bepaling kunnen persoonsgegevens worden verwerkt indien dit noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. Verwezen wordt ter zake tevens naar paragraaf 3 van het algemeen deel van de memorie van toelichting bij de wijzigingswet SUWI.1

Met de wijzigingswet SUWI is in de Wet SUWI bepaald dat onder gegevens mede wordt verstaan persoonsgegevens in de zin van de Wbp. Uit de omschrijving van de gegevens in artikel 2 van dit besluit die in SyRI kunnen worden verwerkt, blijkt dat het geen bijzondere persoonsgegevens betreft. Er worden nadrukkelijk ook geen gegevens betreffende de gezondheid in SyRI verwerkt. Ook bij re-integratiegegevens gaat het niet om gegevens betreffende de gezondheid. Het gaat om gegevens waarmee kan worden vastgesteld of aan iemand re-integratieverplichtingen zijn opgelegd, of anders gezegd, dat er geen ontheffing van re-integratieverplichtingen is in verband met bijvoorbeeld mantelzorg. Daarbij horen niet eventuele medische gronden. Dit besluit heeft ook geen betrekking op gegevensverwerkingen die vallen onder het regime van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Of politiegegevens en justitiële en strafvorderlijke gegevens in SyRI kunnen worden verwerkt moet beoordeeld worden aan de hand van de Wpg respectievelijk de Wjsg.

2.2 Verzoek inzet SyRI

Alleen een samenwerkingsverband van bestuursorganen en personen als bedoeld in artikel 64, eerste lid, van de wet, kan een verzoek tot de inzet van SyRI bij de minister indienen. Als mogelijke deelnemers aan het samenwerkingsverband zijn in de wet aangewezen:2 de gemeenten, het Uitvoeringsinstituut werknemersverzekeringen (hierna: UWV), de Sociale verzekeringsbank (hierna: SVB), de Belastingdienst en de personen3 die zijn belast met het houden van toezicht op de naleving en uitvoering van de regelgeving op het terrein van de minister, in dit geval de Inspectie van het Ministerie van SZW (hierna: Inspectie SZW). De wet laat de mogelijkheid open ook andere bestuursorganen en personen die belast zijn met een publiekrechtelijke taak ter zake bij ministeriële regeling aan te wijzen als mogelijke deelnemers. De samenwerking dient een structureel karakter te hebben.4 De kern van de samenwerking betreft het integraal overheidsoptreden ten aanzien van:

  • a. het voorkomen en bestrijden van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen;

  • b. het voorkomen en bestrijden van belasting- en premiefraude, of

  • c. het niet naleven van arbeidswetten.

Bovengenoemde bestuursorganen en personen werkten tot de inwerkingtreding van de wijzigingswet SUWI al samen binnen zogenaamde interventieprojecten ten behoeve van integraal overheidsoptreden. Hiertoe zijn zij op 8 oktober 2003 de Samenwerkingsovereenkomst voor interventieteams aangegaan. Andere partijen bij deze overeenkomst zijn het Openbaar Ministerie en de Sociale Inlichtingen- en Opsporingsdienst (tegenwoordig: Inspectie SZW, directie Opsporing). Op grond van de samenwerkingsovereenkomst is een Landelijke Stuurgroep Interventieteams (hierna: LSI) in het leven geroepen. In de LSI hebben de Belastingdienst, de Inspectie SZW, het UWV, de Vereniging Nederlandse Gemeenten (hierna: VNG), de Vereniging Divosa, de SVB, het openbaar ministerie, de politie en de ministeries van Financiën en van Sociale Zaken en Werkgelegenheid zitting.5 De LSI- structuur maakt een steviger en beter gecoördineerde aanpak van fraude mogelijk door middel van afstemming en aansturing op landelijk niveau. Ook heeft de LSI veel deskundigheid in huis, onder meer omdat zij in het verleden ten behoeve van bestandskoppelingen projectplannen van samenwerkingsverbanden beoordeelde binnen de interventieteamstructuur.

Alleen degenen die partij zijn bij de Samenwerkingsovereenkomst voor interventieteams kunnen een samenwerkingsverband in de zin van het Besluit SyRI aangaan (zie de begripsomschrijving in artikel 1 van het Besluit SyRI) met uitzondering van het openbaar ministerie en de politie. Het openbaar ministerie en de politie maken dus geen deel uit van een samenwerkingsverband in de zin van het Besluit SyRI en zij verstrekken ook geen gegevens. Anderzijds is het niet zo dat degenen die partij zijn bij de Samenwerkingsovereenkomst voor interventieteams daarmee automatisch tevens een samenwerkingsverband in de zin van het Besluit SyRI vormen. Naast het feit dat men partij moet zijn bij de genoemde samenwerkingsovereenkomst zal uit het verzoek voor de inzet van SyRI moeten blijken met welke bestuursorganen en personen ten behoeve van een concreet project wordt samenwerkt, wat de concrete doelstelling van de samenwerking is en hoe de samenwerking is georganiseerd en vormgegeven.6 Indien aan deze elementen tezamen wordt voldaan is tevens sprake van een structureel samenwerkingsverband zoals bedoeld in de memorie van toelichting bij de wet.7

Een bestuursorgaan of persoon die op dit moment geen partij is bij de samenwerkingsovereenkomst heeft de mogelijkheid – eventueel tijdelijk voor de duur van het SyRI-project – toe te treden. De Samenwerkingsovereenkomst voor interventieteams en eventuele wijzigingen hierop worden door de minister in de Staatscourant gepubliceerd.

Een van de deelnemers aan een samenwerkingsverband is de Inspectie SZW in haar rol van toezichthouder op de naleving van regelgeving van de minister. De Inspectie SZW neemt hierbij een bijzondere positie in. Zij kan in haar rol van toezichthouder samen met anderen een verzoek tot inzet van SyRI indienen.

Daarnaast speelt de Inspectie SZW een centrale rol bij de analyse van de gekoppelde gegevens. Het gaat hier om een ander onderdeel van de Inspectie SZW, te weten de analyse-eenheid. Deze analyse-eenheid is verantwoordelijk voor het risicomodel en het afgeven van de risicomeldingen. De analyse-eenheid voert de werkzaamheden die zijn neergelegd in artikel 4 van het Besluit SyRI namens de minister uit.

Wanneer de deelnemers aan een samenwerkingsverband SyRI willen inzetten voor een SyRI-project dienen zij daartoe een verzoek bij de minister in. Het verzoek dient aan een aantal criteria te voldoen die zijn neergelegd in artikel 2 van het Besluit SyRI. Zo zal uit het verzoek moeten blijken dat het daadwerkelijk om een samenwerkingsverband gaat.8 Hiertoe geven de bestuursorganen en personen het gezamenlijke doel van de samenwerking in hun verzoek weer evenals de gegevens die daarvoor moeten worden samengebracht en de bestuursorganen en personen die deelnemen aan de samenwerking.9 De doelstelling van het samenwerkingsverband moet passen binnen de doelbinding die geldt voor de te verstrekken gegevens door deelnemers en dient welbepaald en uitdrukkelijk te zijn omschreven. De concrete doelstelling van de samenwerking is bepalend voor de vraag welke gegevens moeten worden aangeleverd. In het verzoek dient zoveel mogelijk te worden geconcretiseerd welke persoonsgegevens exact nodig zijn om de doelstelling te behalen. Voorts zijn de gegevens die ten behoeve van de inzet van SyRI kunnen worden aangeleverd gelimiteerd.10

In het verzoek tot inzet van SyRI wordt tevens de beoogde aanvangsdatum van het SyRI-project evenals de verwachte duur opgegeven.11 Ook staat in het verzoek op welke wijze de minister (feitelijk: de analyse-eenheid van de Inspectie SZW namens de minister) de risicomeldingen dient terug te koppelen aan de deelnemers aan het samenwerkingsverband.12

Dit is van belang omdat er grote verschillen tussen SyRI-projecten op het vlak van tijd en capaciteit kunnen bestaan. Dit vergt daarom afspraken over de aard en omvang van de terugkoppeling.

Voorts dienen de indicatoren en het te hanteren risicomodel in het verzoek voldoende helder benoemd te zijn.13 Zonder deze bepaling zou het koppelen van bestanden kunnen leiden tot een ‘fishing expedition’ en zelfs tot willekeur. Overeenkomstig het advies van het College Bescherming Persoonsgegevens (hierna: CBP) van 18 februari 2014 ten aanzien van het Besluit SyRI wordt op deze manier recht gedaan aan het principe ‘select before you collect’.

Ieder van de bestuursorganen en personen aan het samenwerkingsverband gaat afzonderlijk na of er een noodzaak tot gegevensverstrekking is.14 Hiertoe wordt door ieder van de deelnemers aan het samenwerkingsverband aangetoond dat binnen de eigen organisatie goedkeuring is verkregen voor deelname aan het SyRI-project en dat zij vooraf hebben getoetst welke gegevens noodzakelijk zijn in relatie tot het specifieke doel van het project.15 Het gaat hier om het proportionaliteitsbeginsel. Dit beginsel vloeit direct voort uit artikel 8 van het Europese Verdrag voor de Rechten van de Mens. Voorts dient iedere deelnemer aan het samenwerkingsverband zijn keuze tevens te toetsen aan het subsidiariteitsbeginsel.16 De onderbouwing van deze eisen wordt in belangrijke mate bepaald door de inhoud van het concrete SyRI-project en dit zal per geval anders zijn.

Met het proportionaliteitsbeginsel wordt beoogd te voorkomen dat de inperking van de belangen van de natuurlijker personen of rechtspersonen op wie de verwerking van de gegevens betrekking onevenredig is in verhouding tot het doel dat met de verwerking gediend wordt.17 Voor een uitgebreide toelichting wordt verwezen naar paragraaf 3 van het algemeen deel van de memorie van toelichting bij de wijzigingswet SUWI.18

Het subsidiariteitsbeginsel houdt in dat het doel waarvoor de persoons- of bedrijfsgegevens zouden moeten worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van de gegevens betrokken natuurlijke personen of rechtspersonen minder nadelige wijze kan worden bereikt.19 Voor een uitgebreide toelichting wordt verwezen naar paragraaf 3 van het algemeen deel van de memorie van toelichting bij de wijzigingswet SUWI.20

Omdat zowel persoons- als bedrijfsgegevens onderdeel kunnen zijn van SyRI en de bijbehorende risicomeldingen, gelden de beoordelingscriteria ‘proportionaliteit’ en ‘subsidiariteit’ niet alleen voor persoonsgegevens maar ook voor bedrijfsgegevens.

Op vorenstaande geldt een uitzondering: er kunnen deelnemers aan een samenwerkingsverband zijn die geen bestanden ten behoeve van SyRI aanleveren, maar wel risicomeldingen ontvangen. Meer concreet beschikken zij dan niet over de noodzakelijke gegevens die nodig zijn voor de uitvoering van het betrokken SyRI-project. Anderzijds kunnen de via het SyRI-project verkregen risicomeldingen wel informatie bevatten die deze deelnemers kunnen inzetten met het oog op de bestrijding van fraude als onderdeel van de integrale aanpak hiervan in het kader van het samenwerkingsverband. Voor deze deelnemers gelden dus ook alle verplichtingen die voor de andere deelnemers aan het samenwerkingsverband gelden. Alleen de eisen met betrekking tot de bestandsleveringen en de hieraan gekoppelde toetsing (artikel 2, vierde lid, onderdelen b tot en met e, van het Besluit SyRI) zijn niet op hen van toepassing.21

 

Voorbeeld: Aanpak van malafide1 uitzendbureaus in de schoonmaakbranche
 

De Inspectie SZW, de Belastingdienst en het UWV constateren dat in de schoonmaaksector een deel van de uitzendbureaus zich niet aan de regels houdt. Deze bedrijven betalen hun werknemers minder dan het wettelijk minimumloon, laten hun werknemers langer werken dan wettelijk is toegestaan en dragen geen premies en belastingen af2. Zij ondermijnen op deze wijze de rechtstaat en doen een aanslag op de solidariteit van het sociale stelsel.

 

De Inspectie SZW, de Belastingdienst en het UWV gaan daarom een samenwerkingsverband aan en zijn voornemens een SyRI-project te starten. Het doel van het SyRI-project is het aantal malafide uitzendbureaus in de schoonmaakbranche terug te dringen. Dit doel past binnen artikel 64 van de wet omdat het hier – in ieder geval – gaat om het voorkomen en het bestrijden van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en het voorkomen en bestrijden van het niet naleven van de arbeidswetten.

 

De Inspectie SZW, de Belastingdienst en het UWV geven in het verzoek tot de inzet van SyRI ieder afzonderlijk aan dat zij enkel die gegevens zullen verstrekken die nodig zijn voor het doel van het project en geven concreet aan welke gegevens zij zullen uitwisselen. Hierdoor wordt de inperking van het recht op privacy zo klein mogelijk gehouden. In dit voorbeeld heeft de Belastingdienst de gegevens over de fiscale afdrachten van bedrijven, de Inspectie SZW de gegevens betreffende gecontroleerde en beboete bedrijven en het UWV de gegevens van bedrijven die premies voor werknemersverzekeringen afdragen en gegevens betreffende tewerkstellingsvergunningen. Door de koppeling van de betreffende gegevens in SyRI worden natuurlijke- en rechtspersonen niet onnodig belast en overvraagd. Met de inzet van SyRi wordt in casu beoogd om zoveel mogelijk belasting- en premiefraude te reduceren en de niet naleving van arbeidwetten te voorkomen. Gezien de verhouding tussen de geringe inperking van het recht op privacy en de opbrengst in de vorm van fraudebestrijding en het bewerkstelligen dat de arbeidswetten worden nageleefd en het feit dat voldoende helder is welke concrete gegevens worden samengebracht is in casu aan het proportionaliteitsbeginsel voldaan.

 

Voor het beoogde doel is het in dit geval nodig drie bestanden te koppelen. Het is in casu niet mogelijk met minder verstrekkende maatregelen en op een even adequate wijze de belasting- en premiefraude te bestrijden en de niet naleving van de arbeidswetten te voorkomen. Het is immers ondoenlijk voor de Inspectie SZW, de Belastingdienst en het UWV om bij iedere individuele ondernemer en werknemer in de schoonmaakbranche na te gaan of er voldoende belasting- en premie wordt afgedragen en of de arbeidswetten ten aanzien van iedere werknemer goed worden nageleefd. Ondernemers die frauderen zullen bovendien geen toestemming geven voor gegevensuitwisselingen om te voorkomen dat gepleegde fraude aan het licht komt. De inzet van SyRI is daarom noodzakelijk; deze biedt de mogelijkheid de betreffende gegevens te koppelen. Uit de resultaten van de bestandskoppeling sec zal nog niet één op één kunnen worden afgeleid dat er sprake is van een malafide bedrijf. Hiervoor is een nadere analyseslag noodzakelijk. Ook dit is onderdeel van SyRI. Er wordt geconcludeerd dat in casu is voldaan aan het subsidiariteitsbeginsel.

 
X Noot
1

Er is sprake van moedwillige en systematische uitbuiting van werknemers door bijvoorbeeld illegale tewerkstelling en/ of het overtreden van de Arbeidstijdenwet en/ of frauderen met loon en/ of hoge bedragen inhouden op het loon van arbeidskrachten voor huisvesting, reiskosten en ’boetes’ en/ of slechte huisvesting en arbeidsomstandigheden en/ of het niet naleven van de Wet minimumloon en/of cao-loon en/ of schijnzelfstandigheid en/ of het niet voldoen aan fiscale verplichtingen en/ of ontduiken van de Nederlandse wet- en regelgeving door internationale constructies.

X Noot
2

Het gaat in dit voorbeeld niet om werkgevers die loondispensatie toepassen en om die reden minder dan het wettelijk minimumloon betalen of werkgevers die een of meerdere premiekortingen toepassen.

2.3 Voldoen aan voorwaarden

Het verzoek tot inzet van SyRI dient niet alleen aan de voorwaarden die zijn neergelegd in artikel 2, tweede tot en met vierde lid, van het Besluit SyRI te voldoen maar ook aan het vijfde lid. Het laatstgenoemde lid bepaalt dat voorwaarde voor de verwerking van gegevens in SyRI is dat er voldoende capaciteit beschikbaar is om het SyRI-project te kunnen uitvoeren.22 De minister stelt de prioritering van de analysecapaciteit vooraf vast.23 De prioritering is zowel gerelateerd aan de beschikbare capaciteit van de minister (lees: de analyse-eenheid van de Inspectie SZW) als die van de bewerker. Om te bepalen of het verzoek aan artikel 2, eerste lid, van het besluit SyRI voldoet kan de minister een advies inwinnen bij de LSI. In de praktijk zal het advies van de LSI standaard door de minister worden gevraagd, tenzij op voorhand al duidelijk is dat het verzoek niet voldoet aan artikel 2, eerste lid, van het Besluit SyRI. De LSI beziet concreet of aan de voorwaarden die zijn neergelegd in artikel 2, tweede tot en met vijfde lid, van het Besluit SyRI is voldaan.

Indien het verzoek aan de voorwaarden, bedoeld in artikel 2, van het Besluit SyRI voldoet, geeft de minister na overleg daarover met het samenwerkingsverband en de bewerker, aan wanneer het SyRI-project van start gaat. Vanaf de aanlevering van de bestanden aan het IB tot het verstrekken van de risicomeldingen aan de deelnemers van het samenwerkingsverband is de minister verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (hierna: Wbp). Voorafgaand aan de aanlevering van de bestanden aan het IB en na ontvangst van de risicomeldingen zijn de ontvangers, te weten de bestuursorganen en personen van het samenwerkingsverband, weer verantwoordelijken.

Bij ministeriële regeling kunnen door de minister nadere eisen worden gesteld aan de wijze waarop het verzoek wordt opgesteld, hoe en waar het moet worden ingediend en aan de bij het verzoek te verstrekken informatie (zevende lid).

2.4 Bewerking en analyse
2.4.1 Algemeen

Na vaststelling dat het verzoek tot inzet van SyRI aan de voorwaarden voldoet en voor aanvang van het SyRI-project zal een kick off meeting met het samenwerkingsverband en de bewerker, de Stichting Inlichtingenbureau (hierna: IB), plaatsvinden. Tijdens die bijeenkomst ontvangt het samenwerkingsverband onder meer informatie en instructies over de wijze waarop de bestanden moeten worden aangeleverd en het te hanteren beveiligingsniveau.24

De gegevensverwerking bestaat uit twee fasen:

  • Fase 125

    In de eerste fase brengt de bewerker de bestanden samen en pseudonimiseert deze. Hierna wordt door de bewerker de eerste stap in de risicoselectie toegepast op deze versleutelde gegevens: de bestanden worden getoetst aan het risicomodel (met alle indicatoren). Dit genereert potentiële treffers. Onder potentiële treffer wordt een treffer verstaan die een verhoogd risico op fraude aanduidt. Vervolgens worden de potentiële treffers door de bewerker ontsleuteld. Elk risicomodel met vooraf bepaalde indicatoren kan evenwel leiden tot verklaarbare toevalstreffers die niet op fraude duiden. Deze toevalstreffers dienen terzijde te worden gelegd. Daarom is een vervolgstap nodig (fase 2).

  • Fase 226

    In de tweede fase worden de ontsleutelde potentiële treffers nader geanalyseerd door de analyse-eenheid van de Inspectie SZW. Op basis van de definitieve risicoselectie doet de minister (lees: de analyse-eenheid van de Inspectie SZW) risicomeldingen.

Indien in het hiernavolgende over bewerker wordt gesproken wordt telkens IB bedoeld.

2.4.2 Fase 1: bewerking

Fase 1 van de gegevensverwerking wordt uitsluitend door de bewerker uitgevoerd. Omdat dit gespecialiseerde activiteiten betreffen waarbij grote hoeveelheden gegevens betrokken kunnen zijn en het tevens vraagt om de nodige waarborgen op het gebied van veiligheid, is ervoor gekozen om het IB als bewerker aan te wijzen. Het IB is in 2001 door het Ministerie van Sociale Zaken en Werkgelegenheid opgericht en brengt al vele jaren gegevensbestanden uit verschillende bronnen samen. De afgelopen jaren, voor de inwerkingtreding van de wijzigingswet SUWI en het onderhavige besluit, heeft het IB fase 1 in het kader van de inzet van SyRI al uitgevoerd. Met de inschakeling van het IB is een passend veiligheidsniveau voor de gegevens en de vereiste onafhankelijkheid geborgd.

De bewerker vult en beheert twee bestanden. Het eerste bestand (het bronbestand) bevat de gegevens die het samenwerkingsverband heeft aangeleverd. Persoons- en bedrijfsgegevens worden in dat bestand gepseudonimiseerd. Hierbij worden onder meer persoons- en bedrijfsnamen, burgerservicenummers en adressen vervangen door een code (een pseudoniem). De bewerker toetst het bronbestand geautomatiseerd aan het in casu te hanteren risicomodel met indicatoren.

Voorts creëert de bewerker een sleutelbestand waarin is aangegeven welke persoons- of bedrijfsnaam, burgerservicenummer of adres bij een bepaald pseudoniem hoort. Wanneer bepaalde natuurlijke personen, rechtspersonen of adressen aan de hand van het risicomodel als verhoogd risico worden aangemerkt, worden deze weer ontsleuteld aan de hand van het sleutelbestand. Daarna worden alle gegevens die met deze verhoogde risico’s samenhangen (met uitzondering van het sleutelbestand) doorgeleid aan de minister ten behoeve van de tweede fase van de risico analyse door de analyse-eenheid van de Inspectie SZW.

De bewerker vernietigt binnen vier weken na doorgeleiding de bij hem nog aanwezige bestanden van het SyRI-project.27 De vernietiging wordt vastgelegd in een proces-verbaal.28

2.4.3 Fase 2: analyse

De tweede fase wordt uitgevoerd door de analyse-eenheid van de Inspectie SZW en bestaat uit een nadere analyse van de potentiële treffers. In deze fase gaat het om ontsleutelde gegevens. Deze worden beoordeeld op onderzoekswaardigheid.

Op basis van de definitieve risicoselectie doet de minister de risicomeldingen (in praktijk zal dit de analyse-eenheid van de Inspectie SZW namens de minister zijn). Een risicomelding geeft aan dat een rechtspersoon of een natuurlijk persoon onderzoekswaardig wordt geacht in verband met de doelstelling van het betrokken samenwerkingsverband. De risicomeldingen worden vervolgens aan de betreffende bestuursorganen en personen van het samenwerkingsverband verstrekt voor zover deze voor hen relevant zijn.29 Het Openbaar Ministerie en de politie kunnen voor zover dat noodzakelijk is voor de uitvoering van hun wettelijke taak op hun verzoek eveneens risicomeldingen ontvangen.30

Indien een natuurlijk persoon of rechtspersoon met een verhoogd risico geen onderwerp is van een risicomelding worden zijn of haar gegevens binnen vier weken na afronding van de analyse vernietigd.31 De minister (lees: de analyse-eenheid van de Inspectie SZW namens de minister) vernietigt eventueel resterende gegevens na terugkoppeling door de deelnemers aan het samenwerkingsverband. Dit hoeft niet onmiddellijk na ontvangst te zijn, maar wel uiterlijk twee jaar na aanvang van het SyRI-project.32 De vernietiging wordt vastgelegd in een proces-verbaal.33

Deze opdracht tot vernietiging strekt zich niet uit tot de gegevens in het register risicomeldingen.34 Hiervoor geldt op grond van artikel 65, vijfde lid, van de wet een bewaartermijn van twee jaar.

2.5 Register risicomeldingen

De definitieve selectie van risicomeldingen wordt opgeslagen in het register risicomeldingen.

Het register wordt beheerd door de minister (lees: de analyse-eenheid van de Inspectie SZW namens de minister). Indien er een verzoek tot inzage door een natuurlijk persoon of een rechtspersoon wordt gedaan over de aanwezigheid van zijn of haar gegevens in risicomeldingen kan het register hiervoor worden gehanteerd. Bij ministeriële regeling kunnen nadere regels worden gesteld waaronder regels over de vernietiging van de gegevens in het register.35

2.6 Terugkoppeling en evaluatie

De bestuursorganen en personen die een of meer risicomeldingen ontvangen hebben, geven hierover een terugkoppeling aan de minister (lees: de analyse-eenheid van de Inspectie SZW) op grond van artikel 65, zesde lid, van de wet. De terugkoppeling dient binnen twintig maanden na de aanvang van het SyRI project plaats te hebben gevonden (artikel 4 vierde lid, van het Besluit SyRI). Deze bestaat in ieder geval uit de resultaten van de risicomeldingen, een onderbouwing indien risicomeldingen niet zijn opgevolgd en een terugkoppeling over de bruikbaarheid van de risicomeldingen. Met deze bepaling wordt beoogd de effectiviteit van het risicomodel te verhogen. Aan de hand van de terugkoppeling kan het risicomodel dat wordt toegepast op de bestandskoppeling en de analysefase daarna zo nodig door de analyse-eenheid van de Inspectie SZW worden aangepast.

2.7 Stroomschema

Onderstaand zijn de procedurele stappen bij de inzet van SyRI globaal in een stroomschema weergegeven.

Partij Samenwerkingsovereenkomst voor interventieteams (art. 1 Besluit SyRI)

|

Aangaan samenwerkingsverband (bestuursorganen en personen) (artt. 1, en 2, 2e lid, onderdeel a, Besluit SyRI)

|

Voornemen indienen verzoek inzet SyRI (samenwerkingsverband)

|

Goedkeuring voornemen indienen verzoek inzet SyRI en toetsing voorwaarden door individuele bestuursorganen en personen samenwerkingsverband (art. 2, 4e lid, Besluit SyRI)

|

Indienen verzoek door samenwerkingsverband bij minister (art. 2, 2e lid, Besluit SyRI)

|

Advies LSI

|

Vaststelling of verzoek aan voorwaarden voldoet (minister) (art. 3, 1e lid, Besluit SyRI)

|

Indien verzoek aan voorwaarden voldoet: kick off bewerker

|

Aanleveren bestanden (samenwerkingsverband) (art. 3, 1e lid, Besluit SyRI)

|

Koppelen bestanden door IB (art. 3, 3e lid, Besluit SyRI)

|

Verstrekken bestanden door IB (art. 3, 3e lid, onderdeel g, Besluit SyRI)

|

Beoordeling resultaten door I-SZW (*) (art. 4, 1e lid, Besluit SyRI)

|

Verstrekken risicomeldingen aan individuele bestuursorganen en personen (door I-SZW(*)) (artt. 4, 2e lid, 6, 1e lid, Besluit SyRI)

|

Terugkoppeling (door bestuursorganen en personen aan I-SZW (*)) (art. 65, 6e lid, wet)

|

Verwerken resultaten terugkoppeling door I-SZW (*) (art. 7, 1e lid, Besluit SyRI)

|

Zo nodig: aanpassen risicomodel door I-SZW (*) (art. 7, 2e lid, Besluit SyRI)

(*)= analyse-eenheid Inspectie SZW

3. Financiële gevolgen

De financiële gevolgen van de maatregel SyRI zijn in onderstaande tabel weergegeven. Dit budget is bedoeld voor de werkzaamheden van het IB.

Tabel: Uitvoeringskosten SyRi1

(bedragen x € 1.000)

2014

2015

2016

2017

2018

SyRI

264

264

264

264

264
X Noot
1

Kamerstukken II 2012/13, 33 579, nr. 7, p. 14.

4. Ontvangen adviezen en commentaar
4.1 Algemeen

Het Besluit SyRI is voor een uitvoeringstoets voorgelegd aan het UWV, de VNG, het uitvoeringspanel van gemeenten en de Belastingdienst. Deze partijen achten het besluit uitvoerbaar. De VNG heeft enkele toelichtende vragen gesteld. De SVB heeft afgezien van een uitvoeringstoets.

4.2 Inspectie SZW

De Inspectie SZW heeft geen opmerkingen vanuit haar rol als toezichthouder. Vanuit zijn andere twee rollen heeft de Inspectie SZW een aantal technische opmerkingen geplaatst welke merendeels zijn overgenomen. De Inspectie SZW adviseert om de samenwerkingsovereenkomst voor interventieteams aan te passen aan het onderhavige besluit. Dit is de bedoeling.

4.3 CBP

Omdat het hier met name om de verwerking van persoonsgegevens gaat is het CBP op grond van artikel 51, tweede lid, van de Wbp om advies gevraagd. Het CBP heeft bezwaar tegen het besluit en adviseert het besluit niet aldus in te dienen. De opmerkingen van het CBP zijn nauwlettend bestudeerd en verwerkt.

Select before you collect

Het CBP adviseert om vooraf zoveel mogelijk inzichtelijk te maken welke selectie van persoonsgegevens wordt gemaakt. Dit punt wordt geheel onderschreven.

Echter, omdat de selectie van gegevens per samenwerkingsverband en per project verschilt is het niet mogelijk dit in de regelgeving voor alle individuele projecten uit te werken. Het principe wordt gewaarborgd doordat deelnemende partijen voorafgaand aan elk project toetsen welke gegevens noodzakelijk zijn voor het specifieke opsporingsdoel. Deelnemende partijen geven in hun verzoek het gezamenlijke doel van de samenwerking weer evenals de gegevens die daarvoor moeten worden samengebracht. De doelstelling van het samenwerkingsverband moet passen binnen de doelbinding die geldt voor de te verstrekken gegevens door deelnemers en dient welbepaald en uitdrukkelijk te zijn omschreven. De concrete doelstelling van de samenwerking is bepalend voor de vraag welke gegevens moeten worden aangeleverd. In het verzoek dient zoveel mogelijk te worden geconcretiseerd welke persoonsgegevens exact nodig zijn om de doelstelling te behalen. Voorts zijn de gegevens die ten behoeve van de inzet van SyRI kunnen worden aangeleverd gelimiteerd.36 Hierdoor wordt de inperking van het recht op privacy zo klein mogelijk gehouden. Bovenstaande is toegelicht in de memorie van toelichting bij de wet en nader uitgewerkt in onderhavig besluit.

Zo is het begrip gegevens in de artikelen 64 en 65 van de wet in het Besluit Syri uitgewerkt in een concrete lijst van gegevens. Voorts is aan de hand van een voorbeeld aangegeven welke gegevens wel en welke gegevens niet worden verstrekt en hoe het aspect van ‘select before you collect’ bij de beoordeling van het verzoek wordt beoordeeld. Zie het voorbeeld op pagina 9 van deze nota van toelichting.

Anders dan het CBP adviseert horen aspecten als het tijdstip en de wijze waarop de indicator en het risicomodel worden gebruikt niet thuis in begripsomschrijving.

Proportionaliteit en subsidiariteit

Het CBP adviseert een nadere toelichting te geven op de proportionaliteit en subsidiariteit van de gegevensverwerking waarbij het soort persoonsgegevens, de aard van de gegevensverwerkingen en de context waarbinnen de gegevensverwerkingen in SyRI plaatsvinden worden geadresseerd. Het CBP vraagt terecht aandacht voor deze aspecten. Echter, op wetsniveau heeft deze afweging al plaatsgevonden en die is uitvoerig toegelicht. Die afweging werkt door in het Besluit SyRI. Het is daarom niet nodig om de eerdere afweging te herhalen. Wel is in deze nota van toelichting verwezen naar de relevante passages in de memorie van toelichting bij het wetsvoorstel.

Het CBP stelt terecht dat de toelichting bij het subsidiariteitsvereiste niet helemaal correct is. Het advies is overgenomen en de toelichting ter zake gecorrigeerd.

Wettelijk verplichting

Volgens het CBP heeft ‘wettelijke verplichting’ in de zin van de Wbp betrekking op iedere verplichting tot gegevensverwerking die krachtens een algemeen verbindend voorschrift wordt opgelegd. Het is daarom niet mogelijk om in artikel 65 Wet SUWI de Minister van SZW beleidsruimte te geven in de zin dat een verzoek om SyRI kan worden afgewezen, zoals wordt voorgesteld. Deze opmerking van het CBP lijkt betrekking te hebben op de grondslag uit de Wbp die voor de gegevensverwerking op grond van dit besluit is gekozen. Die grondslag is in ieder geval de noodzaak voor een goede vervulling van de publiekrechtelijke taak door de bestuursorganen, die daartoe op grond van artikel 64 van de Wet SUWI samenwerken. De bestuursorganen en personen die op grond van artikel 64 samenwerken kunnen gegevens verwerken in SyRI, maar daartoe moet een verzoek worden gedaan. Het is voor samenwerkingsverbanden niet verplicht om gebruik te maken van SyRI. In die zin is geen sprake van een wettelijke verplichting voor de gegevensverwerking via SyRI. De verwijzing naar de grondslag voor de gegevensverwerking in de Wbp is in deze nota van toelichting beperkt tot artikel 8, aanhef en onder e, Wbp om hierover in dit verband geen onduidelijkheid te laten bestaan.

Bijzondere persoonsgegevens

Het CBP stelt dat het bij de gegevensverwerking binnen SyRI ook op bijzondere persoonsgegevens kan gaan. Op grond van het gegevensbegrip in de Wet SUWI is dat in beginsel mogelijk. Echter, uit de opsomming van de soorten gegevens in artikel 2 van dit besluit blijkt dat het geen bijzondere gegevens betreft waarover op grond van de Wet SUWI bijzondere regels zouden kunnen worden gesteld. Dit besluit heeft geeft betrekking op gegevensverwerkingen die vallen onder het regime van de Wpg en de Wjsg. Het Besluit SyRI en de toelichting op het besluit zijn aldus aangepast.

Terugkoppelingen

Het advies van het CBP om te expliciteren dat het bij terugkoppelingen door bestuursorganen ten behoeve van de evaluatie van het risicomodel ook termijnen aan het gebruik van de teruggekoppelde persoonsgegevens moeten worden gesteld is, is overgenomen.

Evaluatiebepaling

Het CBP adviseert bij de evaluatie van het Besluit SyRI ook verslag te doen van de privacyaspecten en gevolgen die het besluit heeft gehad voor de bescherming van de persoonsgegevens. Over de precieze vormgeving van de evaluatie in 2020 vindt nog nader overleg plaats. Het advies van het CBP zal hierbij betrokken worden. Voorts vindt er nog nader overleg plaats over de rol van de Functionaris voor de Gegevensbescherming bij het Besluit SyRI.

Het CBP adviseert, vanwege de aard en omvang van de gegevensverwerkingen, binnen SyRI de Functionaris voor de Gegevensbescherming (FG) jaarlijks schriftelijk te laten rapporteren over de gevolgen die het besluit in de praktijk heeft gehad voor de privacy van betrokkenen. De toezichtsinstrumenten van de FG bestaan uit privacy audits en het openbare register van meldingen van persoonsgegevensverwerkingen37

5. Regeldrukeffecten

Met het Besluit SyRI wordt het vooral mogelijk om reeds door de burgers of bedrijven aangeleverde gegevens bij de ene overheidsorganisatie of organisatie met een publieke taak te delen met bepaalde andere overheidsorganisaties ten behoeve van de fraudebestrijding. Het besluit SyRI heeft geen gevolgen voor de administratieve lasten en inhoudelijke nalevingkosten.

6. Privacy Impact Assessment

Gezien de aard van het Besluit SyRI is in de fase van beleidsontwikkeling een Privacy Impact Assessment (hierna: PIA) uitgevoerd.38 Met behulp hiervan is de noodzaak van gegevensverwerking bekeken, en zijn op gestructureerde wijze de implicaties van het Besluit SyRI op de gegevensbescherming in kaart gebracht. Hierbij is in het bijzonder aandacht besteed aan de beginselen van gegevensminimalisering en doelbinding, het vereiste van een goede beveiliging en de rechten van betrokkenen.

In SyRI worden persoonsgegevens verwerkt waaronder bijzondere persoonsgegeven. Artikel 64, eerste lid, van de wet geeft de doelbinding waarvoor SyRI kan worden ingezet. Per project wordt door de samenwerkende partijen het doel bepaald waarvoor SyRI wordt ingezet. Het doel voor de inzet van SyRI verschilt per project, maar dat doel moet passen binnen de doelbinding van artikel 64, eerste lid. Bij het indienen van het verzoek voor de inzet van SyRI wordt de concrete doelstelling aangegeven alsmede de concrete gegevens die worden aangeleverd. De doelstelling is voor alle samenwerkende partijen dezelfde. In het Besluit SyRI is nader uitgewerkt hoe de verantwoordelijkheid voor de verwerking van gegevens in SyRI is belegd. De gegevensverwerking vindt in twee fasen plaats en zal worden gebruikt om risicomeldingen te genereren. De verwerkte gegevens worden niet verwerkt om buiten de doelbinding van SyRI het gedrag, de aanwezigheid of de prestaties van betrokkenen in kaart te brengen en of te beoordelen of te voorspellen. Door de regels die aan het instrument SyRI worden gesteld in dit besluit wordt bewerkstelligd dat met de inzet van het instrument op een zorgvuldige manier data worden verwerkt en vervolgens geanalyseerd onder verantwoordelijkheid van de minister.

7. Evaluatie

De juridische basis van het Besluit SyRI worden gevormd door de artikelen 64 en 65 van de wet. De wet, waaronder de betreffende artikelen, wordt iedere vijf jaar geëvalueerd. Meer in het bijzonder wordt dan naar de doeltreffendheid en de effecten van de wet gekeken. Bij de voorgenomen evaluatie van de wet in 2020 zal ook het Besluit SyRI worden geëvalueerd. Van de evaluatie zal te zijner tijd verslag worden gedaan aan de Staten-Generaal.

Artikelsgewijs

Artikel 1

Artikel 1 bevat een aantal begripsomschrijvingen. Zo is een begripsomschrijving van ‘bestand’ opgenomen. Qua inhoud is aangesloten op de begripsomschrijving van bestand in artikel 1 van de Wbp met dien verstande dat de begripsomschrijving in het Besluit SyRI niet beperkt is tot persoonsgegevens, maar ook betrekking heeft op bedrijfsgegevens. Onder persoonsgegevens wordt elk gegeven verstaan betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een bedrijfsgegeven is een gegeven betreffende een geïdentificeerde of identificeerbare rechtspersoon. Tussen een persoonsgegeven en een bedrijfsgegeven kan overlap zitten. Zo kan informatie over een eenmanszaak direct te herleiden zijn tot een natuurlijk persoon en daarmee tot persoonsgegevens.

Voor het begrip ‘bewerker’ is één op één aangesloten op de begripsomschrijving in artikel 1, onderdeel e, van de Wbp. Een bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag onderworpen te zijn. De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, onderdeel d, van de Wbp). In een samenwerkingsverband zijn de samenwerkende bestuursorganen en personen gezamenlijk verantwoordelijke (artikel 64, tweede lid, van de wet).

Voorts is een begripsomschrijving van ‘indicator’ opgenomen. De indicatoren zijn van belang voor de risicoselectie; de risicoselectie resulteert in risicomeldingen. Aan de hand van de indicatoren worden de potentiële treffers bepaald die moeten duiden op een verhoogd risico in relatie tot het doel van de bestandskoppeling. Met andere woorden: de aanwezigheid van een indicator maakt het waarschijnlijker dat een bepaalde omstandigheid zich voordoet.

Voorbeelden van indicatoren zijn:

  • a. als personen met een uitkering volgens de basisregistratie personen (Brp) op verschillende adressen ingeschreven staan terwijl zij op een adres woonachtig zijn dan kan sprake zijn van samenleeffraude;

  • b. indien het vermogen van iemand in een jaar explosief stijgt kan sprake zijn van verzwegen inkomsten of vermogen;

  • c. als personen met een uitkering onroerend zaak belasting betalen voor een bedrijfspand kan dat duiden op uitkeringsfraude.

Ten behoeve van de duidelijkheid is een begripsomschrijving van ‘samenwerkingsverband’ opgenomen. In de begripsomschrijving in artikel 1 is verwezen naar artikel 64, eerste lid, van de wet. De begripsomschrijving is daarmee tweeledig: in artikel 64, eerste lid, van de wet staan namelijk zowel het doel van de samenwerking als de bestuursorganen en personen die kunnen samenwerken genoemd. Het doel van de samenwerking is integraal overheidsoptreden op een beperkt aantal terreinen. Het aantal partijen dat kan samenwerken is gelimiteerd. De bestuursorganen en personen die deelnemen aan een samenwerkingsverband zijn in het kader van het verwerken van de gegevens gezamenlijke verantwoordelijke39 in de zin van de Wbp. Onder verwerken wordt hier verstaan: elke handeling of elk geheel van handelingen met betrekking tot persoons- of bedrijfsgegevens. Hieronder vallen in ieder geval het verzamelen, het vastleggen, het ordenen, het bewaren, het bijwerken, het wijzigen, het opvragen, het raadplegen, het gebruiken, het verstrekken door middel van doorzending, de verspreiding of enige andere vorm van terbeschikkingstelling, het samenbrengen, het met elkaar in verband brengen en het afschermen, het uitwisselen en het vernietigen van gegevens. Van een samenwerkingsverband in de zin van het Besluit SyRI is voorts alleen sprake indien het bestuursorganen en personen betreft die tevens partij zijn bij de Samenwerkingsovereenkomst voor interventieteams (Stcrt. PM). Voorts heeft de begripsomschrijving alleen betrekking op samenwerkingsverbanden die gebruik willen maken van SyRI. Voor samenwerkingsverbanden die geen gebruik maken van artikel 65 geldt deze begripsomschrijving nadrukkelijk niet. Deze vallen buiten de reikwijdte van het Besluit SyRI.

Zie ook paragraaf 2.2 van het algemeen deel van deze nota van toelichting.

De begripsomschrijving ‘samenwerkingsverband’ geldt nadrukkelijk alleen voor de werkingssfeer van het Besluit SyRI en wordt dus slechts gehanteerd als bestuursorganen en personen samenwerken en gebruik willen maken van SyRI. Met andere woorden: deze begripsomschrijving geldt niet in situaties dat SyRI niet wordt ingezet en het samenwerkingsverband alleen is gebaseerd op artikel 64 van de wet.

In artikel 1 is ook een begripsomschrijving van ‘SyRI’ opgenomen, een van de kernbegrippen in het Besluit SyRI. SyRI omvat de technische infrastructuur en de bijbehorende procedures waarmee in een beveiligde omgeving op een zorgvuldige manier versleutelde data kunnen worden gekoppeld en vervolgens geanalyseerd, zodat risicomeldingen kunnen worden gegenereerd. Een risicomelding betekent dat een natuurlijk persoon of rechtspersoon onderzoekswaardig wordt geacht in verband met mogelijke fraude, onrechtmatig gebruik of niet naleving van wetgeving.

Nog een kernbegrip in de systematiek van het Besluit SyRI is het SyRI-project. Dit is het project dat beoogd met gebruikmaking van SyRI informatie te vergaren voor de doelstelling van dat project (artikel 1 van het Besluit SyRI). Het SyRI-project vangt op een door de minister vast te stellen datum aan, nadat is vastgesteld dat het verzoek tot inzet van SyRI aan de voorwaarden voldoet (artikel 5, eerste lid, van het Besluit SyRI). In de praktijk zal die aanvangsdatum in samenspraak met het samenwerkingsverband en de bewerker worden bepaald. Het SyRI-project eindigt zodra de deelnemers aan het samenwerkingsverband een terugkoppeling aan de minister hebben gegeven over de ontvangen risicomeldingen (artikel 5, tweede lid, van het Besluit SyRI).

Artikel 2

Dit artikel vormt een van de belangrijkste bepalingen van het Besluit SyRI en betreft het verzoek van het samenwerkingsverband aan de minister tot het inzetten van SyRI ten behoeve van een beoogd SyRI-project. Overeenkomstig het advies van het CBP bij het wetvoorstel wijzigingswet SUWI bevat het tweede lid de soorten van gegevens die in SyRI mogen worden verwerkt. Bij deze gegevens is aangesloten bij de set gegevens die aan gemeenten moeten worden verstrekt op grond van artikel 64 WWB respectievelijk gegevens die aan het UWV en de SVB moeten worden verstrekt op grond van artikel 54 Wet SUWI. Deze gegevens worden gebruikt bij het vaststellen van de rechtmatigheid van de uitkering en kunnen op basis van artikel 64 Wet SUWI ook worden gebruikt in het SyRI-project. Het betreft nadrukkelijk geen bijzondere persoonsgegevens zoals gegevens betreffende de gezondheid of strafrechtelijke gegevens. Meer concreet gaat het om de volgende gegevens:

  • a. arbeidsgegevens, zijnde gegevens waarmee een door een persoon verrichte werkzaamheden vastgesteld kunnen worden, zoals arbeidsverhoudingen;

  • b. gegevens inzake bestuursrechtelijke maatregelen en sanctie, zijnde gegevens waaruit blijkt dat een natuurlijke persoon of een rechtspersoon een bestuursrechtelijke boete opgelegd heeft gekregen dan wel dat een andere bestuursrechtelijke maatregel is getroffen;

  • c. detentiegegevens, zijnde gegevens waaruit blijkt of een persoon rechtens zijn vrijheid is ontnomen of zich onttrekt aan de tenuitvoerlegging van een vrijheidsstraf of vrijheidsbenemende maatregel40;

  • d. fiscale gegevens, zijnde de gegevens waarmee de fiscale verplichtingen van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals inkomsten, omzet en vermogen;

  • e. gegevens roerende en onroerende goederen, zijnde gegevens waarmee het bezit en gebruik van bepaalde goederen door een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals woning- en voertuigbezit;

  • f. handelsgegevens, zijnde gegevens waarmee de aard en werkzaamheden van een rechtspersoon kunnen worden vastgesteld, zoals bedrijfsactiviteiten, concernstructuur en rechtsvorm;

  • g. huisvestingsgegevens, zijnde gegevens waarmee de (daadwerkelijke) verblijfs- of vestigingsplaats van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals Brp-, nuts- en huurgegevens;

  • h. identificerende gegevens, zijnde bij een natuurlijk persoon naam, adres, woonplaats, postadres, geboortedatum en geslacht en administratieve kenmerken en bij een rechtspersoon naam, adres, postadres, rechtsvorm en vestigingsplaats en administratieve kenmerken;41

  • i. inburgeringsgegevens, zijnde gegevens waarmee kan worden vastgesteld of aan een persoon inburgeringsverplichtingen zijn opgelegd;

  • j. nalevingsgegevens, zijnde gegevens waarmee de nalevingshistorie van wet- en regelgeving van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen en strafrechtelijke informatie;

  • k. onderwijsgegevens, zijnde gegevens waarmee de financiële ondersteuning ten behoeve van de bekostiging van onderwijs kan worden vastgesteld;

  • l. pensioengegevens, zijnde gegevens waarmee pensioenrechten kunnen worden vastgesteld;

  • m. re-integratiegegevens, zijnde gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en/of deze worden nageleefd;

  • n. schuldenlastgegevens, zijnde gegevens waarmee de eventuele schulden van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen;

  • o. uitkerings- toeslagen- en subsidiegegevens, zijnde gegevens waarmee de financiële ondersteuning van een natuurlijk persoon of rechtspersoon kan worden vastgesteld;

  • p. vergunningen en ontheffingen, zijnde gegevens waarmee kan worden bepaald voor welke activiteiten een natuurlijk persoon of rechtspersoon toestemming heeft gevraagd of verkregen, zoals omgevingsvergunningen en drank- en horecavergunningen;

  • q. zorgverzekeringsgegevens, zijnde gegevens waarmee kan worden vastgesteld of een persoon is verzekerd.

Voor de toelichting op het zesde lid wordt verwezen naar het algemeen deel van de toelichting op pagina 8.

Ingevolge het zevende lid stelt de minister een prioritering van de analysecapaciteit op basis van de beschikbare capaciteit bij de minister en de bewerker en aan de hand van bepaalde thema’s. De prioritering wordt na vaststelling door de minister door de LSI met de partijen van de Samenwerkingsovereenkomst voor interventieteams gecommuniceerd.

Voor een uitvoerige toelichting wordt verwezen naar paragraaf 2.2 van het algemeen deel van deze nota van toelichting.

De minister stelt een of meer risicomodellen vast. In de praktijk is dat de analyse-eenheid van de Inspectie SZW. De evaluatie, bedoeld in artikel 7 van het Besluit SyRI, wordt gebruikt om de risicomodellen te verfijnen.

Artikel 3

Artikel 3 is pas aan de orde nadat is vastgesteld dat verzoek van het samenwerkingsverband aan de voorwaarden van artikel 2 van het Besluit SyRI voldoet.

In artikel 3 zijn de werkzaamheden van de bewerker (IB) nader uitgewerkt. De bewerker voert de eerste fase van de risicoselectie uit (zie ook paragraaf 2.4 van het algemeen deel van deze nota van toelichting). De deelnemers aan het samenwerkingsverband leveren de bestanden met persoons- en bedrijfsgegevens aan bij de bewerker. Deze bestanden kunnen ook gegevens bevatten die instanties in het kader van de inlichtingenplicht, bedoeld in artikel 64 Wet werk en bijstand en artikel 54 van de wet, aan gemeenten, UWV en SVB moeten verstrekken. Een voorbeeld hiervan zijn gegevens in het kader van openbare nutsvoorzieningen energie en water.

In de eerste fase brengt de bewerker de bestanden samen en versleutelt deze. Hierna worden de bestanden gekoppeld. Deze koppeling wordt aangemerkt als de opname in SyRI. Na afgifte van de risicomeldingen maken de gegevens geen deel meer uit van het systeem. De deelnemers aan het samenwerkingsverband zijn verantwoordelijken in de zin van de Wbp voor wat betreft dit voortraject, dat wil zeggen tot het aanleveren van de gegevens aan het IB. Vanaf de aanlevering aan het IB is de minister verantwoordelijke in de zin van de Wbp42. Deze verantwoordelijkheid eindigt weer na het afgeven van de risicomeldingen. Vanaf de ontvangst van de risicomeldingen zijn de deelnemers aan het samenwerkingsverband ieder afzonderlijk verantwoordelijke in de zin van de Wbp voor de informatie die zij via de risicomeldingen ontvangen hebben.

Via de koppeling overeenkomstig het risicomodel worden potentiële treffers gegenereerd.

Na de ontsleuteling en verstrekking van de potentiële treffers door de bewerker (derde lid, onderdelen f en g) wordt een nadere analyse van de potentiële treffers uitgevoerd. In deze fase gaat het om ontsleutelde gegevens. Deze worden beoordeeld op onderzoekswaardigheid.

Artikel 4

Op basis van de definitieve risicoselectie bepaalt de minister (lees: de analyse-eenheid van de Inspectie SZW) welke treffers leiden tot een risicomelding (eerste lid). Deze worden vervolgens verstrekt aan die bestuursorganen en personen van het samenwerkingsverband die deze nodig hebben ter uitvoering van hun wettelijke taak.

Zie ter zake ook artikel 65, derde lid, onderdeel a, van de wet. Dit betekent dat de inhoud van de risicomelding per bestuursorgaan en persoon over eenzelfde natuurlijk persoon of rechtspersoon kan verschillen. Ook kan de minister op verzoek van het openbaar ministerie of de politie risicomeldingen verstrekken.43 Gelijktijdig met de risicomelding informeert de minister het betrokken bestuursorgaan of persoon over de grondslag van de van toepassing zijnde geheimhoudingsplicht. Ingevolge artikel 65, vierde lid, van de wet blijft de geheimhoudingsplicht namelijk gelden van de organisatie die de gegevens heeft verstrekt. Dit betekent bijvoorbeeld dat op gegevens afkomstig van de Belastingdienst de geheimhoudingsplicht van artikel 67 Algemene wet inzake rijksbelastingen van toepassing blijft.44

De risicomeldingen die de bestuursorganen en personen van de minister ontvangen kunnen ook aanleiding zijn deze tevens door te geleiden naar het openbaar ministerie of politie. Dit doen zij rechtstreeks zonder tussenkomst van het samenwerkingsverband of de minister.

Het derde en vijfde lid zijn mede opgenomen naar aanleiding van de reactie van het CBP op het wetsvoorstel wijzigingswet SUWI. Door middel van deze leden wordt geborgd dat de persoons- en bedrijfsgegevens niet langer worden bewaard dan strikt noodzakelijk is.

In het derde lid is tevens bepaald dat indien een natuurlijk persoon of rechtspersoon geen onderwerp van een risicomelding is, zijn of haar gegevens binnen vier weken na afronding van de analyse worden vernietigd. Het gaat om al die gegevens die niet resulteren in een constatering van een verhoogd risico op onrechtmatige gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, belasting- en premiefraude en het niet naleven van arbeidswetten.

In artikel 65, zesde lid, van de wet is neergelegd dat de bestuurorganen en personen die een risicomelding van de minister ontvangen de resultaten hiervan terugkoppelen aan de minister. In artikel 4, vierde lid, van het Besluit SyRI is bepaald binnen welke termijn die terugkoppeling moet plaatsvinden: twintig maanden te rekenen vanaf de aanvang van het SyRI-project. Feitelijk betekent dit dat het gebruik van de risicomeldingen – ruimschoots – binnen die twintig maanden moet liggen. Zie ook de paragrafen 2.4 en 2.6 van het algemeen deel van deze nota van toelichting.

Artikel 5

Artikel 5 bepaalt wanneer een SyRI-project aanvangt en eindigt. Indien is vastgesteld dat het verzoek tot inzet van SyRI aan de voorwaarden voldoet, bepaalt de minister vervolgens de aanvangsdatum van het SyRI-project (eerste lid). Uiteraard gebeurt dit in overleg met dat samenwerkingsverband. Het vaststellen van de aanvangsdatum hangt direct samen met de beschikbare capaciteit van het IB en de prioritering van de analysecapaciteit (zie artikel 2, zevende lid, van het Besluit SyRI). Van het SyRI-project doet de minister vervolgens mededeling in de Staatscourant.

Het SyRI-project eindigt zodra alle deelnemers aan het samenwerkingsverband een terugkoppeling aan de minister hebben gegeven over het nut en de bruikbaarheid van de risicomeldingen (tweede lid). Hierbij wordt de ontvangst van de laatste terugkoppeling als einddatum gehanteerd. In artikel 4, vierde lid, van het Besluit SyRI is hieraan ook een termijn gekoppeld: binnen twintig maanden na aanvang van het SyRI-project moet de terugkoppeling aan de minister hebben plaatsgevonden. Zie ook paragraaf 2.6 van het algemeen deel van deze nota van toelichting.

Artikel 6

In het register zijn de risicomeldingen opgenomen.45 Het register wordt door de minister beheerd (lees: de analyse-eenheid van de Inspectie SZW). Op die wijze kunnen natuurlijke personen en rechtspersonen desgevraagd worden geïnformeerd inzake over hen verstrekte risicomeldingen voor maximaal 2 jaar. Het register wordt beheerd door de minister.

Het derde lid biedt een grondslag om bij ministeriële regeling onder meer regels te stellen over:

  • a. de in het register op te nemen gegevens en de wijziging en verstrekking daarvan;

  • b. de nodige voorzieningen van technische en organisatorische aard ter beveiliging van het register tegen verlies of aantasting van gegevens en tegen onbevoegde kennisneming;

  • c. de bewaartermijnen;

  • d. de verwijdering van gegevens uit het register, en

  • e. de openbaarheid van het register.

Zie ook paragraaf 2.5 van het algemeen deel van deze nota van toelichting.

Artikel 7

Vooralsnog bestaan er twee standaard risicomodellen. Op termijn is het de bedoeling dat de mogelijkheid te creëren om voor een SyRI-project een speciaal op dat project toegesneden risicomodel te hanteren. Op grond van dit artikel is de minister verplicht het risicomodel te evalueren (eerste lid). Hiervoor worden de ontvangen terugkoppelingen van de bestuursorganen en personen op grond van artikel 65, zesde lid, van de wet als basis gebruikt evenals het register. De evaluatie kan ook al lopende het SyRI-project starten. Uit dit artikel volgt tevens dat bij ieder SyRI-project een evaluatie van het risicomodel wordt verricht. De evaluatie draagt zo bij aan de verfijning van de risicomodellen.

Artikel 8

Bij de vernietiging van gegevens in het kader van de artikelen 3, vierde lid, en 4, derde en vijfde lid, van het Besluit SyRI door de minister of de bewerker, zijn zij verplicht een proces-verbaal vernietiging op te stellen. Dit is een extra waarborg voor bestuursorganen en personen van het samenwerkingsverband dat de eerder aangeleverde gegevens daadwerkelijk vernietigd worden. Om te zorgen dat dit telkens eenduidig aan de samenwerkingsverbanden wordt gecommuniceerd zal door de minister een model proces-verbaal worden vastgesteld dat standaard moet worden gebruikt.

De Minister van Sociale Zaken en Werkgelegenheid,

X Noot
1

Kamerstukken II 2012/13, 33 579, nr. 9, blz. 13.

X Noot
2

Kamerstukken II 2012/13, 33 579, nr. 4, punt 2.

X Noot
3

Aanwijzing 214 van de Aanwijzingen voor de regelgeving.

X Noot
4

Voorgesteld artikel 2, zevende lid.

X Noot
5

Voorgesteld artikel 1.

X Noot
6

Toelichting, § 2.2 (Verzoek inzet SyRI), vijfde tekstblok.

X Noot
7

Artikelen 7 en 11, eerste lid, van de Wet bescherming persoonsgegevens (Wbp).

X Noot
8

Artikel 64, tweede lid, van de Wet SUWI.

X Noot
9

Artikel 16 Wbp.

X Noot
10

Kamerstukken II 2012/13, 33 579, nr. 3, blz. 22.

X Noot
11

Voorgesteld artikel 2, derde lid, onderdelen b, c en j, alsmede de toelichting op artikel 2.

X Noot
12

Dit laatste staat in een voetnoot.

X Noot
13

Kamerstukken II 1997/98, 25 892, nr. 3, blz. 118.

X Noot
14

Overigens kent de Wet SUWI sinds 2002 een specifieke grondslag voor de verstrekking van gegevens over detentie (artikel 54, derde lid, onderdeel h, van de Wet SUWI). Die regeling houdt verband met het feit dat detentie en voortvluchtigheid in een aantal sociale zekerheidswetten een uitsluitingsgrond voor uitkeringsrechten vormen (bij voorbeeld artikel 43, aanhef en onderdelen d en e, van de Wet werk en inkomen naar arbeidsvermogen; artikel 13, eerste lid, aanhef en onderdelen a en b, van de Wet werk en bijstand). Dit relativeert de noodzaak om opnieuw te voorzien in verstrekking van detentiegegevens.

X Noot
15

Artikel 5:2, eerste lid, aanhef en onderdeel c, juncto artikel 5:40 van de Algemene wet bestuursrecht.

X Noot
16

Bij voorbeeld Europees Hof van de Rechten van de Mens 21 februari 1984, NJ 1988, 937 (Öztürk); Hof van Justitie van de Europese Unie 23 december 2009, zaak C-45/08 (Spector Photo Group NV, Chris Van Raemdonck tegen Commissie voor het Bank-, Financie en Assurantiewezen), r.o. 42; Kamerstukken II 2003/04, 29 702, nr. 3, blz. 122–123 (regeling van bestuurlijke boete in de Algemene wet bestuursrecht).

X Noot
17

Voorgesteld artikel 2, derde lid, onderdeel q, alsmede de toelichting op artikel 2.

X Noot
18

Toelichting, § 2.1 (Algemeen), laatste alinea; § 4.3 (Advies Cbp), onder ‘Bijzondere persoonsgegevens’; toelichting op artikel 2.

X Noot
19

Toelichting, § 6 (Privacy Impact Assessment): ‘In SyRI worden persoonsgegevens verwerkt waaronder bijzondere persoonsgegeven.’

X Noot
20

Voorgesteld artikel 6.

X Noot
21

Kamerstukken II 2012/13, 33 579, nr. 3, blz. 39. Idem toelichting op artikel 6 van het ontwerpbesluit.

X Noot
22

Zie ook aanwijzing 26 van de Aanwijzingen voor de regelgeving.

X Noot
23

Toelichting, § 2.4.3 (Fase 2: analyse).

X Noot
24

Zie ook aanwijzing 104 van de Aanwijzingen voor de regelgeving.

X Noot
1

P. 25.

X Noot
2

Artikel 64, eerste lid.

X Noot
3

Onder personen worden toezichthoudende organen, zoals de Inspectie SZW, verstaan; dit zijn dus geen individuele personen (Kamerstukken II 2012/13, 33 579, nr. 3, p. 4).

X Noot
4

Kamerstukken II 2012/13, 33 579, nr. 3, p. 37.

X Noot
5

Artikel III van de Samenwerkingsovereenkomst voor interventieteams d.d. 8 oktober 2003.

X Noot
6

Kamerstukken II 2012/13, 33 579, nr. 3, p. 4.

X Noot
7

Kamerstukken II 2012/13, 33 579, nr. 3, p. 4, 37.

X Noot
8

Artikel 2, tweede lid, van het Besluit SyRI.

X Noot
9

Zie artikel 2, tweede lid, onderdelen a en b, van het Besluit SyRI en Kamerstukken II 2012/13, 33 579, nr. 3, p. 4 en 36.

X Noot
10

Zie artikel 2, derde lid, van het Besluit SyRI.

X Noot
11

Zie artikel 2, tweede lid, onderdeel a, van het Besluit SyRI.

X Noot
12

Zie artikel 2, tweede lid, onderdeel c, van het Besluit SyRI.

X Noot
13

Zie artikel 2, tweede lid, onderdeel d, van het Besluit SyRI.

X Noot
14

Zie artikel 2, vierde lid, van het Besluit SyRI en Kamerstukken II 2012/13, 33 579, nr. 3, p. 37.

X Noot
15

Kamerstukken II 2012/13, 33 579, nr. 3, p. 24–25.

X Noot
16

Zie artikel 2, vierde lid, onderdelen c en e, van het Besluit SyRI en Kamerstukken II 2013/14, 33 579, nr. 3, p. 4.

X Noot
17

Zie artikel 2, vierde lid, onderdeel c, van het Besluit SyRI en Kamerstukken II 2013/14, 33 579, nr. 3, p. 25.

X Noot
18

P. 18–20.

X Noot
19

Zie artikel 2, vierde lid, onderdeel e, van het Besluit SyRI.

X Noot
20

P. 20–23.

X Noot
21

Zie artikel 2, vijfde lid, van het Besluit SyRI.

X Noot
22

Artikel 2, vijfde lid, van het Besluit SyRI.

X Noot
23

Artikel 2, zevende lid, van het Besluit SyRI.

X Noot
24

Artikel 3, eerste lid, van het Besluit SyRI.

X Noot
25

Zie p. 4–5 van het algemeen deel van de memorie van toelichting bij de wijzigingswet SUWI.

X Noot
26

Zie p. 5 van het algemeen deel van de memorie van toelichting bij de wijzigingswet SUWI.

X Noot
27

Artikel 3, vierde lid, van het Besluit SyRI.

X Noot
28

Artikel 8, eerste lid, van het Besluit SyRI.

X Noot
29

Artikel 65, derde lid, onderdeel a, van de Wet SUWI.

X Noot
30

Artikel 65, derde lid, onderdeel b, van de Wet SUWI.

X Noot
31

Artikel 4, derde lid, van het Besluit SyRI.

X Noot
32

Artikel 4, vijfde lid, van het Besluit SyRI.

X Noot
33

Artikel 8, eerste lid, van het Besluit SyRI.

X Noot
34

Artikel 4, vijfde lid, van het Besluit SyRI.

X Noot
35

Artikel 6, derde lid, van het Besluit SyRI.

X Noot
36

Zie artikel 2, derde lid, van het Besluit SyRI.

X Noot
37

Regeling van de Minister van Sociale Zaken en Werkgelegenheid van 21 april 2011, nr. BO/BVA/2011/1037, houdende de toedeling van toezichtsbevoegdheden aan de functionaris voor de gegevensbescherming van het Ministerie van Sociale Zaken en Werkgelegenheid (Regeling toezichtsbevoegdheden functionaris voor de gegevensbescherming SZW) (Stcrt. 2011, 7524).

X Noot
38

Zie ook Kamerstukken I 2010/11, 31 051, nr. D; motie-Franken.

X Noot
39

De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, onderdeel e, van de Wbp).

X Noot
40

De reden van de vrijheidsontneming is irrelevant (artikel 54, negende lid, Wet SUWI en artikel 64, twaalfde lid, WWB).

X Noot
41

Zie ook artikel 126nc, tweede lid, van het Wetboek van Strafvordering.

X Noot
42

Kamerstukken II 2012/13, 33 579, nr. 3, p. 38.

X Noot
43

Zie art. 65, derde lid, onderdeel b van de Wet SUWI.

X Noot
44

Kamerstukken II 2012/13, 33 579, nr. 3, p. 39.

X Noot
45

Kamerstukken II 2012/13, 33 579, nr. 3, p. 39.

Naar boven