Reactie minister Asscher op artikel in de Volkskrant over fraudeaanpak
Vandaag verscheen in de Volkskrant een artikel over fraudeaanpak door bestandskoppeling (Burger breed doorgelicht op fraude, pagina 8). Helaas staan er in dit artikel een aantal feitelijke onjuistheden:
- Het is niet juist dat er zomaar een grote hoeveelheid gegevens aan elkaar gekoppeld wordt.
- Adviezen van de het College Bescherming Persoonsgegevens en de Raad van State zijn wel degelijk serieus bekeken en overgenomen.
- De Tweede Kamer heeft de mogelijkheid gekregen en genomen om serieus naar de wet te kijken. Er zijn schriftelijke vragen gesteld door 4 partijen en vervolgens heeft de Kamer unaniem met dit voorstel ingestemd.
Hieronder nadere informatie over dit wetsvoorstel:
De wet
Er is een wet fraudeaanpak bestandskoppelingen (wijzigingswet SUWI). Artikel 64 en 65 - en de onderliggende AMvB - regelen de wettelijke basis van instrument Systeem Risico Indicatie (SyRI). SyRI is een instrument waarmee gegevensbestanden van gemeenten, UWV, SVB, Inspectie SZW en Belastingdienst kunnen worden gekoppeld ten behoeve van de bestrijding van fraude op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de belasting- en premieheffing en de arbeidswetten. Deze wet en (met name) de onderliggende AMvB regelen ook de waarborgen met betrekking tot het gebruik van het instrument.
De werkwijze van SyRI is sinds 2006 in gebruik (oude naam: Black Box). Ook toen was er overleg met het CBP over de vormgeving. Op verzoek van het CBP is het in de wet opgenomen. De voormalig staatssecretaris van SZW heeft een paar keer gesproken over zijn voornemen in de TK. Er is dus geen sprake van een (nieuw) besluit waar geen ruchtbaarheid aan is gegeven.
De wet is als hamerstuk aanvaard door de TK en EK. In de schriftelijke ronde zijn (enkel) toelichtende vragen gesteld door de PvdA, VVD, SP en CDA.
SyRI in het kort
- 1 of meer in de wet genoemde bestuursorganen hebben het plan een interventieteamproject te starten en gaan een samenwerkingsverband aan. Zij bepalen het doel van het project. Het doel van het project moet vallen binnen de (brede) doelbinding van de wet èn binnen de voor dat jaar vastgestelde prioritaire thema’s van de Landelijke Stuurgroep Interventieteams (LSI). SZW (UBN) is voorzitter van de LSI. Deelnemers zijn (o.a) UWV, de SVB, de VNG, Divosa, de Belastingdienst, het OM , de politie, en de Inspectie SZW.
- Het samenwerkingsverband dient een projectvoorstel in bij de LSI. Eisen project:
- Binnen SyRI mogen in beginsel alle gegevens worden verwerkt waar UWV, SVB en gemeenten beschikken t.b.v het vaststellen van de uitkering. Dit geldt ook voor de gegevens die andere deelnemers hebben t.b.v. de eigen taak. Deze gegevens mogen niet zomaar allemaal worden ingebracht in een project. Per project moet gemotiveerd welke gegevens nodig zijn door het specifieke opsporingsdoel van het project. Alleen deze gegevens mogen worden verzameld.
- Bestuursorganen leveren de gegevens aan bij het Inlichtingenbureau (IB). Het IB pseudonimiseert de gegevens legt ze langs een door de Inspectie SZW opgesteld risico-model. Er is dus geen sprake van grote hoeveelheid gegevens die worden gekoppeld (VK).
- De ‘hits’ worden aangeleverd aan de Inspectie SZW. De ‘no-hits’ worden vernietigd. De Inspectie SZW ontsleutelt de gegevens tot persoonsgegevens, analyseert de gegevens en komt tot een kleinere set van ‘hits’ . De ‘no-hits’ worden vernietigd.
- De Inspectie levert de hits terug aan de bestuursorganen. Dit zijn potentiële fraudegevallen. Bestuursorganen zijn verplicht nader te onderzoeken of het echt gaat om fraude voordat ze een sanctie treffen.
- Het project wordt beoordeeld door de LSI. Op deze manier wordt gewaarborgd dat aan de in de regelgeving gestelde eisen wordt voldaan en dat de projecten zich richten op maatschappelijk relevante (fraude)thema’s.
- Tot slot wordt in de regelgeving eisen gesteld aan bewaartermijnen, het informeren van burgers, de veiligheid van de ICT-systemen etc.
Weging bezwaren Raad van State en College Bescherming Persoonsgegevens (CBP).
- Het CBP en de Raad van State adviseren de lijst van gegevens die in projecten gebruikt mogen worden limitatief op te sommen in de AMvB. Dit advies is niet letterlijk overgenomen; er is op een andere manier invulling gegeven aan het advies. Er is een veelheid aan projecten mogelijk, het is niet mogelijk op voorhand aan te geven welke gegevens nodig zouden kunnen zijn. Dit zou leiden tot een eindeloze lijst met gegevens. In plaats daarvan is geregeld dat partijen voorafgaand aan elk project toetsen welke gegevens noodzakelijk zijn voor het specifieke opsporingsdoel.
- Op advies van het CBP is de doelbinding aangepast en is de passage ‘en overige misstanden’ geschrapt uit de doelbinding.
- Het advies van de Raad van State om de indicatoren voor de te ontwikkelen risicomodellen voldoende helder te benoemen, is overgenomen.
- Op advies van het CBP zijn de vernietigingstermijnen van ‘no-hits’ aangescherpt en bij AMvB geregeld.
- Op advies van het CBP zijn de regels over bewaartermijnen aangescherpt. Het bestuursorgaan mag nog maar 2 jaar gebruik maken van een risicomelding. De wet bevat geen éénduidige bewaar- of vernietigingstermijn bij het bestuursorgaan. Dit is ondoenlijk omdat iedere instantie eigen wettelijke termijnen hanteert. Er is aangesloten bij de eigen wettelijke termijnen.
- Het advies om betrokken vooraf individueel te informeren is niet overgenomen omdat personen dan getipt worden over het feit dat ze mogelijk onderwerp van onderzoek zijn. Personen worden in algemene zin geïnformeerd als zij (bijv.) een uitkering aanvragen.
- Het advies van de Raad van State om de regels met betrekking tot het register risicomeldingen in de AMvB op te nemen, is overgenomen.