SyRI: fraude tegengaan door middel van profilering

SyRI staat voor Systeem Risico Indicatie. Het systeem werd in 2014 ingevoerd. Het is een systeem dat de overheid gebruikt om persoonsgegevens van Nederlandse burgers te analyseren om zo risico-profielen te kunnen vormen en mensen die mogelijk frauderen met sociale voorzieningen op te sporen. Op 29 oktober 2019 was er een zitting in een rechtszaak tegen SyRI, omdat er de mening is dat SyRI een bedreiging vormt voor vrijheden van de burger in de Nederlandse rechtstaat. De rechtbank heeft 5 februari 2020 beoordeeld dat SyRi in de hier omschreven vorm niet meer ingezet worden.

Wat is SyRI?

Onofficieel bestaat SyRI al sinds 2008 om de functies ervan te testen, maar officieel is het pas in 2014 toegevoegd aan de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI). Het wordt een samenwerkingsverband genoemd ter 'voorkoming en bestrijding van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de voorkoming en bestrijding van belasting- en premiefraude, en niet naleven van de arbeidswetten (SUWI Art.64.1).' De bedoeling is dat er bij verdenking van fraude bepaalde persoonsgegevens worden geanalyseerd om een risico-profiel te maken. Als er op basis van dat profiel de conclusie getrokken wordt dat er bij een bepaald persoon een hoger risico is op misbruik van overheidsgelden of -voorzieningen wordt de naam van die persoon doorgegeven om verder onderzoek te kunnen doen. Er is op dit moment in het proces dus nog geen enkel bewijs dat er iets mis is, er wordt hier alleen een voorspelling gedaan.

Stappen van de risico-analyse

Stap 1

Twee of meer partijen starten een 'samenwerkingsverband' waarbij aan het ministerie van SZW (Sociale Zaken en Werkgelegenheid) wordt gevraagd om een risico-analyse op te starten. Deze partijen leveren hiervoor alle persoonsgegevens die het ministerie opvraagt aan bij de Stichting Inlichtingenbureau.

De partijen die zo'n samenwerkingsverband kunnen opstarten zijn:

• Colleges van burgemeester en wethouders
• Uitvoeringsinstituut werknemersverzekeringen
• Sociale verzekeringsbank
• Toezichthouders op de naleving en uitvoering van het ministerie van SZW
• Belastingdienst
• Personen en bestuursorganen die door de ministers van SZW en Financiën zijn aangewezen

Stap 2

Stichting Inlichtingenbureau verwerkt deze gegevens tot een risico-analyse. Hierbij worden de gegevens gepseudonimiseerd. Dit betekent dat de de naam van de persoon die wordt onderzocht wordt omgezet in bijvoorbeeld een getal. De gegevens die onderzocht worden, worden aan dat getal gekoppeld in plaats van een naam. Op deze manier zorgt men ervoor dat de persoon die de analyse uitvoert geen namen ziet.

Stap 3

Als uit de risico-analyse blijkt dat een bepaald persoon een hoger risico geeft op misbruik van overheidsgelden wordt er weer een naam aan de gegevens gekoppeld, en wordt die naam teruggestuurd naar de minister van SZW. Als de Stichting Inlichtingenbureau de analyse niet doorstuurt naar aanleiding van de analyse vernietigen zij de resultaten per direct.

Stap 4

De minister van SZW laat het verdere onderzoek over aan de Inspectie SZW. De Inspectie SZW gaat verder met de analyse en bepaalt of er daadwerkelijk een melding gemaakt moet worden. In het geval van een melding wordt dit doorgegeven aan de minister van SZW. De minister geeft de risico-melding weer door aan de partijen van het samenwerkingsverband, en eventueel aan de politie of het Openbaar Ministerie. Het ministerie SZW bewaart risico-meldingen maximaal 2 jaar waarna ze vernietigd moeten worden.

Stap 5

Indien er een melding door de Inspectie SZW is gedaan wordt verder onderzoek gedaan om bewijslast te kunnen vinden van de vermeende fraude. Als de fraude bewezen kan worden kan er overgegaan worden op het opleggen van sancties aan de fraudeur. Als het samenwerkingsverband tot zulke acties overgaat moeten ze dit terugkoppelen naar de minister. De risico-melding wordt opgenomen in een register. Hiervan wordt de betrokken burger niet van op de hoogte gesteld, maar het is wel inzichtelijk voor hem/haar.

Welke persoonsgegevens gebruiken ze?

Voor het doen van een risico-analyse zijn persoonsgegevens nodig. Deze gegevens worden op verzoek van de minister tijdens het onderzoek aangeleverd door de volgende partijen:

• Het Uitvoeringsinstituut werknemersverzekeringen
• Colleges van burgemeester en wethouders
• Sociale verzekeringsbank

Het is onduidelijk welke gegevens hierbij precies gevraagd worden en op basis van welke indicatoren er wordt besloten dat er bij een bepaald persoon een hogere kans op fraude bestaat. De overheid wil dit niet vrijgeven omdat ze bang is dat fraudeurs dan gedrag gaan aanpassen zodat ze op basis van de bekende factoren niet meer via SyRI naar voren komen als mogelijke fraudeurs. Wel zijn er 17 categorieën van gegevens bekend waaruit persoonsgegevens gehaald en geanalyseerd worden:

Rechtszaak

In maart 2018 is het Ministerie van Sociale Zaken gedaagd door een groep eisers die van mening zijn dat SyRI buiten gebruik moet worden genomen. Twee redenen hiervoor zijn al genoemd: de hoeveelheid gegevens die geanalyseerd kunnen worden en de onduidelijkheid over welke gegevens dat precies zijn, en de onduidelijkheid over de precieze indicatoren die leiden tot een verhoogd risico. Daarnaast worden personen niet individueel geanalyseerd na meldingen, maar wordt het als een zogenaamde 'sleepnetmethode' ingezet, waarbij inwoners van hele wijken in een keer door de analyse heen gehaald worden. Een kritiekpunt dat daarop voortbouwt is dat anno 2019 bij de 5 massa-analyses die zijn uitgevoerd sinds 2014 geen enkele fraudeur naar voren is gekomen dankzij SyRI. Het systeem is dus onduidelijk in zijn werking, en lijkt te falen in zijn doel. Daarnaast is het de vraag of SyRI niet in strijd is met artikel 10 van de Grondwet: het recht op privacy en de Algemene Verordening Gegevensbescherming (AVG). De overtuiging heerst dat regelmatig gebruik van systemen als SyRI kan leiden tot normalisering van inbraak op de privacy door de overheid, en de denkwijze dat burgers verdachten zijn zonder dat er enkel bewijs van misdraging is. Dit zou eventueel kunnen leiden tot een politiestaat.

In oktober 2019 was de zitting van deze zaak. Op 5 februari 2020 heeft de rechtbank de uitspraak gedaan dat de wetgeving rondom SyRi in strijd is met artikel 8 lid 2 van het Europees Verdrag voor de Rechten voor de Mens (EVRM). Dit betekent dat de rechtbank heeft beoordeelt dat er geen goede balans is tussen de inbreuk op het privéleven en het maatschappelijk belang dat de wetgeving rond SyRi zou moeten dienen. Zoals de eisers als van mening waren, spreekt nu ook de rechtbank uit dat de gebruikte werkwijze onvoldoende controleerbaar en inzichtelijk is. Deze uitspraak betekent dat SyRi in de hier omschreven vorm niet meer ingezet mag worden.