SyRI is watching you

BRIEF, COLUMN - Iedere keer wordt aangegeven dat er waarborgen in het systeem zitten. Maar iedere keer schuift het gebruik weer een stukje verder op.

Toen het nieuws over SyRI naar buiten kwam, schoot me onmiddellijk de uitspraak1984 wasn’t meant to be an instruction manual” te binnen.

Het koppelen van overheidsdatabases en daarmee op basis van risicoprofielen alle burgers screenen om te zien of er iemand fraude pleegt (of per ongeluk geen snars van de duizenden regels snapt), lijkt namelijk rechtstreeks overgenomen uit dat boek.

Deze zoveelste inbreuk op de privacy van de burger door de overheid bleek zonder stemming door beide Kamers heen te zijn gegaan.

Na de bekendmaking keek ik iedere vijf minuten op de sociale media in afwachting van de rellen op het Binnenhof, het bezetten van de ministeries, de woeste Kamervragen, de grote krantenkoppen, de ziedende deskundigen bij Pauw en RTL Late Night, en nog veel erger.

Het bleef echter opvallend stil. Te stil.

Na een korte opleving van aandacht was het onderwerp in twee dagen alweer verdwenen uit de kranten en van de TV.

Nu, een paar weken later, moet dan ook de conclusie zijn dat de burgers geen flauw benul hebben hoe ernstig het is wat er nu gebeurt.

Nogmaals een poging dus om duidelijk te maken waarom uw privacy belangrijk is, waarom SyRI een ramp is en waarom u in verzet moet komen. Om vervolgens af te sluiten met een oproep om, net zoals ik, een brief naar de fractievoorzitters van de Tweede Kamer te sturen.

Laten we beginnen met te verwijzen naar de lijst met maatregelen die de afgelopen vijftien jaar genomen zijn die allemaal uw privacy raken. Bij vrijwel iedere maatregel ontbreken overigens duidelijke uitspraken over of het wel helpt en of het proportioneel is. En bij iedere maatregel weer de opmerking dat het zorgvuldig gebeurt en dat het alleen, heus alleen maar voor dat ene doel is.

En keer op keer weer de zogeheten function creep. Neem de kentekenplaatcamera’s. Echt alleen maar bedoeld voor vinden overtreders. Nu dus ingezet voor de belastingdienst om foute leaserijders op te sporen.

En zo dus ook met alle databases, het zijn er inmiddels meer dan 5000, die de overheid aanlegt met gegevens over u. Nee, echt, die zijn alleen voor dat ene specifieke doel.

Maar nu worden ze wel gecombineerd. Om fraude te identificeren.

Het verhaaltje is dat de overheid dan bijvoorbeeld kan ontdekken dat iemand onterecht een uitkering geniet, omdat elders blijkt dat hij of zij samenwoont, maar dit niet meldt.

Maar waar het op neerkomt, is dat ze iedereen, ja iedereen, gaan controleren om te zien of niet een van de vele duizenden regeltjes wordt overtreden. Dus u bent vanaf nu verdacht, tenzij blijkt dat er niets kan worden gevonden. Een flagrante overtreding van het grondrecht om vrij van beschuldiging te zijn, tenzij er aannemelijke grond is om onderzoek te doen.

En wie denkt dat dit systeem alleen gebruikt zal worden om fraudeurs met een bijstandsuitkering op te sporen, zit er heel goed naast. Dit gaat straks werken voor alle belastingbetalers.

Natuurlijk zegt de minister dat het netjes gebeurt en dat de risicoprofielen zo opgesteld worden dat alleen de ernstige gevallen gevonden worden. Maar denkt u nou echt dat die tientallen ambtenaren die al jaren hier aan werken zullen zeggen dat er niemand uit het systeem komt en het dus opgeheven kan worden? Nee, die gaan net zo lang aan het profiel sleutelen tot er voldoende gevallen uitkomen. En anders slepen ze er gewoon nog een paar databases bij.

En zo gaan we stapje voor stapje steeds verder. Kinderen worden vanaf vóór hun geboorte in de gaten gehouden. Alles wordt geregistreerd en jarenlang bewaard. Ieder vlekje in de database kan tegen u gebruikt worden. Of ze pakken uw kinderen af. Of u staat als fraudeur bekend en u krijgt geen lening meer, of geen hypotheek. Of u mag geen voetbaltraining geven omdat ooit ergens iemand in een database heeft gezet dat u een kind heeft geslagen. Of u krijgt geen baan bij de overheid omdat ergens een vinkje staat achter dierenactivist (=terrorist). Enzovoort.

En dat alles omdat de overheid in uw naam alle risico’s wil uitsluiten, alle fraude wil opsporen en alles veilig wil maken. Zonder garanties dat het lukt, maar met de garantie dat u geen privacy overhoudt.

Kortom, kom in opstand.

Zojuist heb ik daarvoor onderstaande mail naar de fractievoorzitters in de Tweede Kamer gestuurd.

——

Onderwerp: Inzake de door uw partij goedgekeurde inbreuken op de Grondwet.

Geachte mevrouw/heer …,

Recent vernam ik via de media dat u al vorig jaar de invoering van SyRI (koppelen databases voor opsporing fraude) zonder stemming de Tweede Kamer heeft laten passeren.

Nadien heeft u en uw partij geen blijk gegeven deze maatregel alsnog af te willen wijzen.

Daarom aan u een aantal vragen over deze zoveelste inbreuk op de privacy van burgers.
 
 
1. Privacy staat in de Grondwet. Afwijken van de Grondwet kan alleen met zwaarwegende redenen. Waarom vindt u dat fraudebestrijding (zonder garantie op het gewenste resultaat) voldoende reden is de Grondwet naast u neer te leggen?

Voor de zekerheid de relevante artikelen:

Nederlandse Grondwet artikel 10 – Privacy
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

Nederlandse Gondwet artikel 13 – Briefgeheim
1. Het briefgeheim is onschendbaar, behalve, in de gevallen bij de wet bepaald, op last van de rechter.

Nederlandse Grondwet artikel 15 – Vrijheidsontneming
1. Buiten de gevallen bij of krachtens de wet bepaald mag niemand zijn vrijheid worden ontnomen.

Universele verklaring van de rechten van de mens, artikel 12:
Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn thuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft eenieder recht op bescherming door de wet.
 
 
2. Kunt u aangeven waarom het basale recht om onschuldig te zijn, tenzij er gegronde redenen zijn om schuld te vermoeden, zoals dat ook in de Universele verklaring van de rechten van de mens staat, niet langer van toepassing is?

Voor de zekerheid het relevante artikel:

Universele verklaring van de rechten van de mens, artikel 11:
1. Eenieder die wegens een strafbaar feit wordt vervolgd, heeft er recht op voor onschuldig te worden gehouden, totdat zijn schuld krachtens de wet bewezen wordt in een openbare rechtszitting, waarbij hem alle waarborgen, nodig voor zijn verdediging, zijn toegekend.
 
 
3. Kunt u aangeven welke garanties er zijn dat er op geen enkele wijze buiten het gestelde doel gegevens gebruikt gaan worden, een uitbreiding van de gebruikte dataverzamelingen (u heeft er meer dan 5000 tot uw beschikking) zal plaatsvinden en/of een uitbreiding zal zijn van instanties/personen die toegang krijgen tot die gegevens?
 
 
4. Bent u het met me eens dat het begrip fraude in een complex uitkerings- en belastingstelsel wel heel snel tot false positives zal leiden? Dat er mensen zijn die in al hun oprechtheid niet in staat zijn de duizenden regeltjes en drempelwaarden te voldoende te begrijpen?
 
 
5. Kunt u aangeven hoe bij mij als burger het gevoel weggenomen kan worden dat u niet bezig bent stap voor stap toe te werken naar een totale controle staat waarin privacy ondergeschikt is aan de macht van de overheid? Kunt u daarbij ook aangeven wat u gaat doen om te voorkomen dat ik als burger straks de overheid, en de politiek, alleen nog maar zie als een bedreiging?
 
 
6. Kunt u aangeven hoe het kan zijn dat een zo belangrijke wet met zoveel impact op de Grondwet en universele mensenrechten zonder stemming door het parlement is geloodst? Bent u het met mij eens dat dit niet anders dan als verzaken van uw taak als volksvertegenwoordiger kan worden gezien?

Bij voorbaat dank voor uw antwoorden.

Met vriendelijke groet
Stephan Okhuijsen, bezorgd burger

——

Dit zijn de mailadressen die u kunt gebruiken. Het werkt altijd beter als u de mailtjes een voor een verstuurt en persoonlijk maakt.

h.zijlstra@tweedekamer.nl
l.bontes@tweedekamer.nl
S.Buma@tweedekamer.nl
n.klein@tweedekamer.nl
h.krol@tweedekamer.nl
b.vojik@tweedekamer.nl
a.pechtold@tweedekamer.nl
emileroemer@sp.nl
D.Samsom@tweedekamer.nl
A.Slob@tweedekamer.nl
C.vdStaaij@tweedekamer.nl
marianne.thieme@tweedekamer.nl
r.vvliet@tweedekamer.nl
g.wilders@tweedekamer.nl

  1. 5

    Als ze het er niet door krijgen dan trekken ze gewoon weer de terrorisme- of kinderpornokaart. Daar trapt iedereen gewoon weer in en dus gaan we lekker verder op de ingeslagen weg. We komen pas in actie als de voorbeelden zoals je die hebt gegeven voor het gevoel te vaak voor gaan komen. Zolang je spaarzaam gebruik maakt van die mogelijkheden zal niemand klagen, behalve degene(n) die het overkomt. En die worden dan door de massa als zeurpiet, of erger, weggezet. Zo kom je simpel van onwelgevallige figuren af. Ook leuk voor de rancuneuze ambtenaar die toevallig toegang tot die gegevens heeft: even een vinkje zetten en weg is de vervelende burger.

  2. 8

    @7: Bedankt voor de link.

    Het gaat er dus om:
    – dat het al in de kamercommissie besproken is
    en
    – geen enkel parlementslid het in de 2e Kamer bespreken wil.

    Dat kan 2 dingen betekenen:
    – alle 2e-kamerleden zijn het met het wetsvoorstel eens
    of
    – een meerderheid is het ermee eens, en de minderheid denkt dat het geen publiciteit oplevert, als hij een debat start.

  3. 10

    @8, je kunt veel beweren, maar niet dat Piet niet controversieel is!

    Verplicht stemmen lijkt mij inderdaad noodzakelijk. En behoorlijk registreren, zodat er tenminste ook bekend gemaakt kan worden wat men werkelijk doet, ipv belooft.

    (Maar ja… wie brengt het in stemming?)

  4. 13

    Ik geef een (cynische) voorschot op de antwoorden.

    1)
    i)GW 10 is niet van toepassing: de persoonlijke levenssfeer blijft gehandhaafd;
    ii) GW 13 is niet van toepassing, ‘onze fractie’ heeft onlangs zelfs voorgesteld het briefgeheim uit te breiden naar alle telecommunicatiemiddelen;
    iii) GW15 is niet van toepassing; niemand wordt hier zijn vrijheid ontnomen;
    iv) Voorzover Artikel 12 UDHR van toepassing is (let wel: de overheid komt niet bij u over de vloer!), is het dat de inmenging, zo die er al is, niet willekeurig is, maar systematisch.

    2) UDHR is niet van toepassing: niemand wordt vervolgd en burgers worden dan ook gehouden als onschuldig zijnde.

    3) De garanties zijn opgenomen in Wet Bescherming Persoonsgegevens, zie daar;

    4) “Iedereen wordt geacht de wet te kennen”, verder (spoiler: blabla) “doet onze partij er alles aan om hinderlijke regels voor burgers (en/of ondernemers) weg te nemen.”

    5) De vraag hier vraagt eigenlijk om een blabla/geruststellingsverhaal. “Uw gevoelens tellen voor ons”, “privacy is belangrijk”, “een zeker wantrouwen tegen de overheid is terecht”, “actief burgerschap”.

    6) De GW en de mensenrechten zijn (zie hierboven) niet geschonden. “Wij stellen uw ongerustheid op prijs en we zullen er alles aan doen om uw privacy te waarborgen.”

    Ik zou prettig verrast zijn als het dit niveau zou ontstijgen.

    December komt er binnenkort aan, misschien wil GS hun #Defember weer oprakelen (op verzoek), al vraag ik me af hoe impopulair een anti-fraudeursmaatregel daar zou zijn.

    Binnenkort ook maar even die mail sturen dan…

  5. 15

    @13
    “misschien wil GS hun #Defember weer oprakelen (op verzoek)”

    Wil je echt met droge ogen beweren dat geenstijl ook maar iets positief zou staan t.o.v. ‘privacy’?

    GS/ TMG staan erom bekend dat ze willens en wetens de privacy van deze en gene schenden. Voorbeelden te over, wat dat aangaat. Dat blogje, overigens met vermelding in de antisemitisme monitor, maalt niet om het ‘recht op privacy’. De hoofdredacteur van GS, Marc Burema aka “Pritt”, gooit nota bene te pas en te onpas persoonsgegevens online, al dan niet via zijn Twitteraccount.

    Je moet wel extreem naïef zijn, wil je zelfs maar denken dat GS/ TMG enig privacy respecteert.

    @14
    Ja, altijd. Daarbij: niet geschoten is altijd mis.

  6. 17

    @15 Nee, dat wil ik niet (zeker niet met droge ogen) beweren. Het leek me echter mogelijk dat dit zo’n gehypet artikeltje daar kon worden, reaguurders helemaal flippen, en met de kans dat ze die brief gewoon gaan ctrl+c/ctrl+v’en (inclusief “Stephan Okhuijsen” aan het eind) met de mail-adressen. En dat zou wel aantikken (in jouw woorden: niet geschoten, altijd mis). Maar een gestructureerde gedachte achter een coherent privacybeleid? Nee.

    @16 Zodadelijk

    @Steeph Al reacties, trouwens?

  7. 20

    Hier nog artikel in NRC:
    http://www.nrc.nl/opklaringen/2014/10/18/allemaal-een-daderprofiel-ook-gij-lodewijk-a/

    En de in het NRC artikel aangehaalde interviews met voorzitter College Bescherming Persoonsgegevens: Jacob Kohnstamm. Hij noemt de ontwikkeling dramatisch, ook omdat het openbaar debat is overgeslagen dor onze volksvertegenwoordiging:
    http://www.eenvandaag.nl/binnenland/54286/syri_burgers_op_grote_schaal_doorgelicht
    http://www.eenvandaag.nl/binnenland/54340/jacob_kohnstamm_uit_zorgen_over_syri

  8. 22

    Reactie PvdA (afdeling voorlichting, namens Diederik Samsom)

    —–
    Hartelijk bedankt voor uw bericht.

    Er is een wet fraudeaanpak bestandskoppelingen. Artikel 64 en 65 regelen
    de wettelijke basis van instrument Systeem Risico Indicatie (SyRI). SyRI
    is een instrument waarmee gegevensbestanden van gemeenten, UWV, SVB,
    Inspectie SZW en Belastingdienst kunnen worden gekoppeld ten behoeve van
    de bestrijding van fraude op het terrein van de sociale zekerheid en de
    inkomensafhankelijke regelingen, de belasting- en premieheffing en de
    arbeidswetten. Deze wet regelt ook de waarborgen met betrekking tot het
    gebruik van het instrument.

    De werkwijze van SyRI is sinds 2006 in gebruik, toen bekend onder de
    oude naam: Black Box. Ook toen was er overleg met het CBP over de
    vormgeving, maar op verzoek van het CBP is SyRI in de wet opgenomen. Er
    is dus geen sprake van een (nieuw) besluit waar geen ruchtbaarheid aan
    is gegeven.

    De wet is ondertussen al als hamerstuk aanvaard door de Tweede- en
    Eerste Kamer. In de schriftelijke ronde zijn toelichtende vragen gesteld
    door de PvdA, VVD, SP en CDA. Het is dus niet zo dat wij dit ongemerkt
    voorbij wilden laten gaan.

    SyRI werkt als volgt:

    • Eén of meer in de wet genoemde bestuursorganen hebben het plan een
    interventieteamproject te starten en gaan een samenwerkingsverband aan.
    Zij bepalen het doel van het project. Het doel van het project moet
    vallen binnen de (brede) doelbinding van de wet èn binnen de voor dat
    jaar vastgestelde prioritaire thema’s van de Landelijke Stuurgroep
    Interventieteams (LSI). SZW (UBN) is voorzitter van de LSI. Deelnemers
    zijn onder meer UWV, de SVB, de VNG, Divosa, de Belastingdienst, het OM,
    de politie, en de Inspectie SZW.
    • Het samenwerkingsverband dient een projectvoorstel in bij de LSI.
    Eisen project:

    – Binnen SyRI mogen in beginsel alle gegevens worden verwerkt waar UWV,
    SVB en gemeenten beschikken ten behoeve van het vaststellen van de
    uitkering. Dit geldt ook voor de gegevens die andere deelnemers hebben
    t.b.v. de eigen taak. Deze gegevens mogen niet zomaar allemaal worden
    ingebracht in een project. Per project moet gemotiveerd welke gegevens
    nodig zijn door het specifieke opsporingsdoel van het project. Alleen
    deze gegevens mogen worden verzameld.
    – Bestuursorganen leveren de gegevens aan bij het Inlichtingenbureau
    (IB). Het IB anonimiseert de gegevens en legt ze langs een door de
    Inspectie SZW opgesteld risico-model. Er is dus geen sprake van grote
    hoeveelheid gegevens die worden gekoppeld.
    – De ‘hits’ worden aangeleverd aan de Inspectie SZW. De ‘no-hits’ worden
    vernietigd. De Inspectie SZW ontsleutelt de gegevens tot
    persoonsgegevens, analyseert de gegevens en komt tot een kleinere set
    van ‘hits’. Ook nu worden de ‘no-hits’ vernietigd.
    – De Inspectie levert de hits terug aan de bestuursorganen. Dit zijn
    potentiële fraudegevallen. Bestuursorganen zijn verplicht nader
    onderzoek te doen of het echt gaat om fraude te doen voordat ze een
    sanctie treffen.
    – Het project wordt beoordeeld door de LSI. Op deze manier wordt
    gewaarborgd dat aan de in de regelgeving gestelde eisen wordt voldaan en
    dat de projecten zich richten op maatschappelijk relevante
    (fraude)thema’s.
    • Tot slot wordt in de regelgeving eisen gesteld aan bewaartermijnen,
    het informeren van burgers, de veiligheid van de ICT-systemen
    enzovoorts.

    Dit betekend voor uw vragen als volgt:

    1) De privacy van burgers wordt absoluut gewaarborgd, omdat men werkt
    met in anonieme gegevens, het briefgeheim wordt niet geschonden want er
    wordt geen post bekeken, er wordt door middel van SyRI geen mensen in
    hechtenis genomen, maar het kan een eventuele veroordeling wel
    ondersteunen.

    2) Het recht om onschuldig te zijn gaat nog steeds op. Men doet
    onderzoek op basis van overeenkomsten in de modellen. Daarnaast is het
    zo dat zelfs als iemand een ‘hit’ is, dit niet automatisch betekend dat
    iemand schuldig is aan fraude. Een verder onderzoek zal dit uit moeten
    wijzen.

    3) Zoals in de uitleg staat, worden gegevens anoniem verwerkt en als ze
    geen resultaat opleveren vernietigd.

    4) Dit zou kunnen, daarom is het goed dat er altijd verder onderzoek
    gedaan wordt naar positives. Zo kan er bepaald worden of er sprake is
    van opzet.

    5) Deze wet is al sinds 2006 in gebruik, hij is echter pas recentelijk
    intentioneel benoemd specifiek met het doel om duidelijkheid te scheppen
    voor iedereen. Het feit dat dit recentelijk in behandeling is genomen,
    meer openbaar is geworden en is aangepast, toont dat de overheid
    absoluut niet van plan is te veranderen in een totalitaire staat.

    6) Nee, dit zijn wij absoluut niet met u eens. Nogmaals, het feit dat
    het in behandeling is genomen betekend juist meer openheid en helderheid
    dan dat het daarvoor was. Het feit dat er geen groot debat over is
    geweest, betekend niet dat we er niet mee bezig zijn geweest.

    Ik hoop u hiermee voldoende te hebben geïnformeerd.

    Mocht u nog vragen of opmerkingen hebben, aarzel dan niet om nogmaals
    contact op te nemen. De afdeling Voorlichting heeft ook een telefonisch
    spreekuur op werkdagen van 11:00 tot 12:00 en van 14:00 tot 16:00 uur
    (070 – 318 30 25). Op woensdagmiddag van 13:00 tot 14:00 uur is er
    telefonisch spreekuur door Kamerleden (070 – 318 27 42).

    Met vriendelijke groet,

    Afdeling Voorlichting PvdA

  9. 23

    @22 Zelfde mailtje heb ik ook geschreven. Ugh… betekend, alleen maar in verkeerde vorm geschreven… -_-

    Overigens had ik naast het rijtje in #0 ook de woordvoerders van de partijen aangeschreven die -voor zover ik kon vinden- hierover gaan. Daaronder dus ook Gert-Jan Segers (CU). Hieronder zijn reactie:

    Geachte heer […],

    In antwoord op uw vragen kan ik u meedelen dat vanmiddag [red: 11-11] een motie van de ChristenUnie en de PvdA is aangenomen die stelt dat er bij nieuwe wetgeving een Privacy Impact Assessment moet plaatsvinden:
    http://www.sconline.nl/nieuws/kamer-standaard-privacytoets-bij-nieuwe-wet-en-regelgeving
    Dat laat zien dat wij veel waarde hechten aan privacy en daar ook werk van maken.

    Met vriendelijke groet,

    Gert-Jan Segers
    Lid Tweede Kamer der Staten Generaal
    Woordvoerder: Defensie, Veiligheid & Justitie, Europese Zaken
    Binnenlandse Zaken, Koninkrijksrelaties en Integratie en Grondrechten

    Verder heb ik nog een mail gekregen van de persoonlijk medewerker van van Wijngaarden (VVD), de betreffende woordvoerder, Sander van Haarlem. Die verwees mij naar hetzelfde als #21. Hieronder zijn mail, maar je kunt voor de inhoud beter kijken naar de link die in #21 staat gegeven, die is hetzelfde als de bijlage.

    Geachte heer […],

    Dank voor uw mail. De bescherming van de persoonlijke levenssfeer is onze fractie zeer dierbaar. Om die reden heb ik het kabinet in een brief om nadere tekst en uitleg gevraagd. Deze brief sluit ik hierbij. Het aanpakken van belastingfraude en andere vormen van fraude zijn essentieel, de uitwisseling van gegevens helpt hierbij. Het bewaren van gegevens heeft ook geholpen bij het oplossen van moord- en verkrachtingszaken.

    Maar het middel mag niet erger zijn dan de kwaal. Wij gaan daarom met het kabinet in gesprek om te beoordelen of de privacy waarborgen rondom de opslag, opsporing en doorzoeking van de gegevens van Nederlanders optimaal zijn. Als hier verbetering in mogelijk is, moeten we dat niet nalaten.

    Met vriendelijke groeten,

    Jeroen van Wijngaarden
    Kamerlid VVD-fractie

    Mocht de redactie (Steeph!) reden zien om (een deel van een van) beide mails te omitteren (@21: waarom mag je de reactie niet integraal overnemen?), dan kan dat natuurlijk, maar ik zou wel graag weten waarom. (Zonodig: mijn mailadres is bekend bij de redactie.)