Al uw gegevens vogelvrij in fraudejacht

Instanties als de politie en het UWV mogen voortaan gebruik maken van veel gegevens om potentiële fraudeurs aan te pakken. Hoe werkt dat?

Het is nogal een opsomming, maar lees toch even door: arbeidsgegevens, gegevens inzake bestuursrechtelijke maatregelen en sancties, detentiegegevens, fiscale gegevens, gegevens over roerende en onroerende goederen, handelsgegevens, huisvestingsgegevens, identificerende gegevens, inburgeringsgegevens, nalevingsgegevens, onderwijsgegevens, pensioengegevens, re-integratiegegevens, schuldenlastgegevens, uitkerings- toeslagen- en subsidiegegevens, vergunningen en ontheffingen, en zorgverzekeringsgegevens.

Uitkeringsinstantie UWV, de Sociale Verzekeringsbank, gemeenten, de Belastingdienst, het OM, de politie, en de Inspectie SZW mogen al deze gegevens gebruiken om potentiële fraudeurs te ontdekken.

De wet die daarvoor nodig was, werd in oktober 2013 als hamerstuk (dus unaniem) door de Tweede Kamer aangenomen. De wet ging op 1 september in.

1. Hoe werkt deze fraudeaanpak?

Een of meer van de hierboven opgesomde bestuursorganen maakt een plan om fraude te ontdekken door verschillende databestanden van de overheid met elkaar te koppelen. Dat gebeurt met het zogenoemde Systeem risico-indicatie (SyRI).

De databestanden worden door een ‘risicomodel’ gehaald. Dat koppelt verschillende gegevens aan elkaar, en besluit aan de hand daarvan of een bepaald persoon een frauderisico is. Een simpel voorbeeld: iemand is ingeschreven als alleenstaand (gegevens van de gemeentelijke basisadministratie). Maar op dat adres wordt veel meer water (gegevens van het nutsbedrijf) gebruikt dan een gemiddelde volwassene doet. Een verhoogd risico op verzwegen samenwonen, en dus mogelijke fraude.

Het systeem is minder grof dan in dit simpele voorbeeld, omdat veel meer dan twee bestanden aan elkaar kunnen worden gekoppeld. Verzamelt een persoon met al deze koppelingen genoeg van dit soort hogere risico’s, dan doet het systeem een risicomelding. En kan een instantie een fraudeonderzoek naar hem opstarten. Het idee achter deze ‘datamining’ is dat de overheid haar beperkte opsporingscapaciteit beter kan inzetten.

2. Is het nieuw?

Ja en nee. Het computersysteem waarmee al deze databanken met elkaar is al sinds 2006 in gebruik. Toen heette het Black Box. Daarmee werd „geoefend” om te kijken of het goed zou werken. Blijkbaar was het antwoord positief, want sinds kort heeft dit systeem een wettelijke basis, inclusief waarborgen om het misbruik van gegevens te beperken. In de oefenfase ging het nog om „een aantal projecten per jaar”. Vermoedelijk zal dat nu toenemen.

3.Is de privacy gewaarborgd?

Ja, vindt het ministerie.

De gegevens worden geanonimiseerd verwerkt. Pas als uit die verwerking risicomeldingen komen, worden die met een geheime sleutel door het ‘Inlichtingenbureau’ weer terug herleid naar individuen. Ambtenaren kunnen dus niet zelf zomaar wat in gegevensbestanden gaan zitten grasduinen. Risicomeldingen moeten na twee jaar worden vernietigd.

Die bestanden mogen niet lukraak aan elkaar worden gekoppeld in de hoop op het vinden van potentiële fraude. Overheden die een koppeling en analyse van bestanden aanvragen, moeten altijd motiveren waarom ze bepaalde gegevens denken nodig te hebben.

Maar wie controleert of die motivering deugt? Hetzelfde bestuursorgaan dat de motivering opstelt. Daarna de Landelijke Stuurgroep Interventieteams, waarin vertegenwoordigers zitten van dezelfde bestuursorganen. En als laatste de minister, die tevens voorzitter is van die landelijke stuurgroep. Kortom, hier komt het vooral aan op het zelfkritische vermogen van een overheid die zichzelf duidelijk niet wantrouwt.

Het CPB en de Raad van State waren zeer kritisch over het wetsvoorstel, omdatdeze adviseurs vinden dat de overheid zichzelf veel te weinig beperkingen oplegt bij het verzamelen en koppelen van gevoelige persoonlijke informatie. Het ministerie heeft een deel van die aanbevelingen overgenomen.