Overheden kijken reikhalzend uit naar een nieuwe datawet waarmee ze bijna onbegrensd privacygevoelige gegevens kunnen delen en analyseren. Ze zeggen die nodig te hebben voor het bestrijden van maatschappelijke problemen als huiselijk geweld en criminaliteit. Tegenstanders waarschuwen voor een herhaling van de toeslagenaffaire. ‘Dit is de legalisatie van willekeur.'
- Dinsdag 11 juni heeft de Eerste Kamer het laatste woord over de Wet gegevensverwerking samenwerkingsverbanden (WGS). Komt die wet erdoor, dan krijgt de overheid vergaande vrijheid om van burgers gegevens te verzamelen, te analyseren en te delen.
- De overheid wil meer armslag bij de aanpak van criminaliteit en handhaving van de openbare orde. Bij signalen van witwassen bekijkt de fiscus bijvoorbeeld graag de gegevens die andere overheidsdiensten al over de vermoedelijke witwasser in huis hebben. Dit onderling grasduinen in databestanden gebeurt in zogeheten samenwerkingsverbanden. Maar die praktijk staat op gespannen voet met de grondwet, die de burger recht geeft op ‘eerbiediging van zijn of haar persoonlijke levenssfeer’.
- Op papier beoogt de nieuwe wet die spanning op te lossen: meer ruimte voor (het delen van) ‘geautomatiseerde gegevensanalyses’, en minder ruimte om de burger bloot te stellen aan de risico’s daarvan, zoals stigmatisering of discriminatie.
- In werkelijkheid schiet de wet juist op dat tweede front tekort, zegt onder andere de Autoriteit Persoonsgegevens: rechten van burgers worden erdoor uitgehold.
- Geruchten (of zoiets als opvallende kenmerken in een databestand) kunnen het startschot zijn voor een dataverzameling waarin te hooi en te gras informatie wordt vastgelegd die de onwetende burger niet kan verifiëren – en waartegen hij zich ook niet kan verweren. Dit laatste is volgens privacydeskundigen het grootste probleem. De Wet gegevensbescherming zet de burger met lege handen tegenover de almacht van de overheid.
- De Eerste Kamerfractie van GroenLinks-PvdA is tegen de wet, die van de VVD, PVV en het CDA zijn voor. De sleutel ligt morgen bij de zestien stemmen die de BBB heeft in te brengen.
Wat een RIEC is, een Regionaal Informatie- en Expertisecentrum, had niemand een paar jaar geleden aan Gabriel Malki hoeven vragen. Dat is nu wel anders.
‘Ik durf geen brief meer te openen. Iedere keer is het de Belastingdienst met een aanslag of een bank die mijn rekeningen wil stopzetten.’
In 2020 vermoedden medewerkers van de gemeente Enschede dat Malki misbruik maakte van zorggelden. De gemeente deelde die verdenking vervolgens met de politie, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en de Belastingdienst. Dat gebeurde via het RIEC, een samenwerkingsverband waarin overheidsorganisaties informatie delen om georganiseerde criminaliteit te bestrijden.
En toen begon wat de ondernemer zelf noemt ‘een heksenjacht’.
Het UWV liet zelfs niet na om zijn kinderen en hun moeder, die niet bij hem wonen, heimelijk te observeren. De vrouw was toezichthouder in het zorgbedrijf, en een van de vermoedens was dat zij en Malki de onderneming samen runden, terwijl dit niet zo op papier stond.
‘Als het niet via de ene weg kan, dan wordt geprobeerd je op een andere manier uit te schakelen’
Intussen is de oorspronkelijke beschuldiging van misbruik van zorggeld al sinds 2022 van tafel, na een schikking met Malki. Als onderdeel daarvan moest hij afzien van juridische stappen en een klacht over zijn behandeling intrekken.
Maar het UWV en de Belastingdienst zijn in de afgelopen jaren doorgegaan met hun onderzoeken naar Malki en zijn zorgbedrijf. Hadden zijn medewerkers wel een echt dienstverband en dus recht op een uitkering? Klopten de belastingafdrachten?
Ook Malki’s banken stellen aan de lopende band dwingende vragen. Steeds moet hij in detail uitleg geven over uitgaven. Hij vermoedt omdat ze lucht kregen van de verdenkingen tegen hem. Eén bank zette zijn rekeningen stop.
‘Ik ben geen crimineel’
Malki ziet het als de essentie van samenwerkingsverbanden als het RIEC: ‘Als het niet via de ene weg kan, dan wordt geprobeerd je op een andere manier uit te schakelen.’
Hij vindt dat hij – zelfs als hij fouten heeft gemaakt – onterecht is beland in de aanpak van de samenwerkende overheden: ‘Ik ben geen crimineel. Mijn familie, collega’s en zorgbedrijf zijn geen criminele organisatie.’
De kasten bij hem thuis puilen inmiddels uit van de dossiermappen met verdenkingen en zijn verweren daarop. Dat er een verband was tussen de onderzoeken van de verschillende instanties vermoedde hij wel, maar hij kon het lange tijd niet vaststellen.
Het duurde langer dan twee jaar voordat hij erachter kwam dát het Regionaal Informatie- en Expertisecentrum in zijn zaak een centrale rol speelde. Pas nadat in 2022 RTL Nieuws over Malki’s problemen berichtte, werd hem daar duidelijkheid over gegeven.
Sindsdien probeert hij dossierstukken te krijgen. Welke besluiten zijn over hem genomen? Op basis van welke criteria werd hij een zogeheten ‘RIEC-casus’? Met wie is allemaal informatie over hem gedeeld? En klopten die gegevens wel?
Van het kastje naar de muur
Follow the Money volgt zijn zoektocht nu anderhalf jaar: waar Malki ook aanklopt, documenten krijgt hij niet en hij wordt van het kastje naar de muur gestuurd.
Wat er met hem gebeurt, laat zien dat een burger weinig rechten en controlemogelijkheden heeft wanneer een samenwerkingsverband van overheden het op hem heeft gemunt.
Was Malki verdachte geweest in een strafzaak, dan zou hij weten op grond van welke aannames hij als crimineel wordt behandeld, en hij zou die aannames ter discussie hebben kunnen stellen.
Er zou, kortom, sprake zijn geweest van rechtsbescherming. Nu kan Malki zich nergens op beroepen. Het RIEC ontkent dit probleem.
De tien RIEC’s bestaan al sinds 2008 en behandelen jaarlijks zo’n 1300 zaken. Die behandeling gaat gepaard met het uitwisselen van informatie tussen de gemeente en allerlei overheidsdiensten.
Maar daar is tot op heden geen duidelijke wettelijke basis voor. De informatie-uitwisseling maakt inbreuk op het grondwettelijk recht op bescherming van de persoonlijke levenssfeer (artikel 10). Daarom is een wet nodig met waarborgen zodat burgers niet zijn overgeleverd aan willekeur, discriminatie en stigmatisering. En zodat burgers zich kunnen verweren tegen de overheid.
Die wet nadert haar voltooiing.
Brede doelstelling
Op 11 juni behandelt de Eerste Kamer het voorstel voor de Wet gegevensverwerking door samenwerkingsverbanden (WGS). De doelstelling is heel breed: ‘Het voorkomen van fiscale en sociale fraude, het toezien op de naleving van wettelijke voorschriften, het handhaven van de openbare orde en veiligheid en het voorkomen en opsporen van strafbare feiten.’
De nieuwe wet geldt voor – voorlopig – vier samenwerkingsverbanden van de overheid die tamelijk onbekend zijn: de Zorg- en Veiligheidshuizen (voor gegevensuitwisseling over personen en gezinnen met ‘complexe problemen’); het Financieel Expertisecentrum (FEC, voor gegevensuitwisseling over de ‘integriteit van de financiële sector’) en de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV, voor gegevensuitwisseling gericht op het tegengaan van witwassen en belastingontduiking).
Eén ding hebben deze samenwerkingsverbanden gemeen. Er wordt zeer privacygevoelige informatie gedeeld en geanalyseerd.
Op grond van het wetsvoorstel zijn er voortaan bijna geen beperkingen meer: financiële en strafrechtelijke informatie, gegevens uit de gemeentesystemen en zelfs gegevens over seksueel gedrag. Bovendien mogen dit soort gegevens worden gedeeld van mensen rondom de betrokkene.
Eveneens opvallend: ook private partijen als banken kunnen gegevens ontvangen en aanleveren.
Algoritmen
De wet voorziet ook in de inzet van algoritmen: Met ‘geautomatiseerde gegevensanalyses’ kunnen bijvoorbeeld straten of buurten worden doorgelicht op zoek naar personen met wat wordt genoemd een ‘verhoogd risico’. Follow the Money liet eerder zien dat dit schadelijk kan uitpakken, vooral voor groepen toch al kwetsbare burgers.
De VVD, PVV en het CDA zijn voor de nieuwe Wet gegevensverwerking. Of die op 11 juni wordt aangenomen hangt af van de BBB, die zestien zetels heeft, en waarvan de senatoren niet reageren op vragen over hun standpunt.
Van de vier grootste partijen zal GroenLinks-PvdA als enige met zekerheid tegenstemmen. De Eerste Kamerfractie spreekt van een wet ‘die alle elementen in zich heeft waarmee het in het toeslagenschandaal is misgegaan’.
Want, zegt de partij, de overheid mag ingrijpende maatregelen nemen op basis van vage verdenkingen, ‘zonder dat daar toezicht en waarborgen tegenover staan om burgers te beschermen tegen de overheid’.
De Tweede Kamer (onder meer VVD, PVV, CDA en PvdA) stemde op 17 december 2020 in met het wetsvoorstel, nadat belangrijke adviesorganen hadden gewaarschuwd dat grondrechten van burgers ernstig in het geding zouden komen. Dat was op de dag dat de parlementaire enquêtecommissie die onderzoek deed naar de toeslagenaffaire in haar eindverslag Ongekend onrecht had vastgesteld dat grondbeginselen van de rechtsstaat waren geschonden.
Tweede Kamerlid Kees Verhoeven (D66) sprak van een ‘gevaarlijke wet’ en waarschuwde als een van de weinigen: ‘Om fraude en ondermijning uit te bannen kiest men vol daadkracht voor het verkeerde middel: gehaaste inzet van data zonder grip. Nu is het doodstil, maar als het straks weer misgaat, schreeuwt men moord en brand.’
De Vereniging van Nederlandse Gemeenten (VNG), het Openbaar Ministerie en de politie kijken ‘reikhalzend’ uit naar de nieuwe wet. Hoewel ze nu zonder expliciete wettelijke basis te werk gaan, staan ‘wettelijke belemmeringen’ een ‘effectieve’ gegevensuitwisseling toch in de weg, schreven de voorzitters in mei in een gezamenlijke brief aan de Eerste Kamer.
Legio anderen maken zich grote zorgen.
‘Dit is heel ingrijpend’
‘We krijgen een wet waarin staat dat de overheid actie mag ondernemen bij een eerste vermoeden van onrechtmatige activiteiten,’ zegt historicus Bob de Graaff, emeritus hoogleraar en expert op het gebied van de inlichtingendiensten.
‘Men handelt op signalen, geruchten en aanwijzingen die uit cijfers lijken voort te komen. Zo’n eerste vermoeden kan al meteen leiden tot een zeer ruime dataverzameling. Dat is heel ingrijpend.’
De Autoriteit Persoonsgegevens (AP) spreekt van ‘substantiële risico’s voor uitholling van rechtstatelijke waarborgen’ – dat iemand onschuldig is tot het tegendeel is bewezen, en stelt dat de overheid van burgers niet meer gegevens mag verzamelen dan strikt noodzakelijk.
‘Open deur naar onbegrensde surveillance door een onbegrensde hoeveelheid partijen’
Volgens de Autoriteit druist de wet ook in tegen het beginsel van een transparante overheid. Want in de praktijk zullen burgers tegen wie verdenkingen bestaan – net als nu het geval is – daarvan niet op de hoogte worden gebracht.
AP-voorzitter Aleid Wolfsen deed al in 2021 een dringend beroep op de Eerste Kamer om ‘kafkaëske toestanden voor grote aantallen mensen’ te voorkomen: ‘Het wetsvoorstel zet de deur wagenwijd open voor een onbegrensde surveillance door een onbegrensde hoeveelheid partijen, publiek en privaat. [..] Dat kan ingrijpende gevolgen hebben. Wij adviseren de Eerste Kamer daarom dringend om dit wetsvoorstel niet aan te nemen.’
De Raad van State, het belangrijkste adviesorgaan van de regering, waarschuwde in april 2020 dat het wetsvoorstel in strijd is met de Grondwet. Er kwamen aanpassingen en volgens de Raad van State en de Autoriteit Persoonsgegevens is het wetsvoorstel daarmee duidelijker en beter geworden.
Maar volgens de laatste bevat het nog steeds onvoldoende waarborgen.
‘Afbreuk aan slagkracht wet’
Daarom stelde de toezichthouder voor om het delen van gegevens vooraf te laten toetsen door een rechter. Volgens de AP is dat nodig omdat mensen die in beeld komen vaak geen verdachte zijn, terwijl hun gegevens dan al wel breed mogen worden gedeeld: ‘Dat doet qua impact niet onder voor zware opsporingsmiddelen als huiszoekingen en telefoontaps.’
Maar demissionair minister van Justitie Dilan Yeşilgöz (VVD) ziet niets in een rechterlijke toets vooraf.
De Regionale Informatie- en Expertisecentra hebben jaarlijks zo’n 1300 zaken onder zich, en zo’n 16.000 keer vragen opsporingsambtenaren van onder meer de politie en de Belastingdienst rapportages op bij de infobox Crimineel en Onverklaarbaar Vermogen (iCOV).
De minister verwacht daarom dat zo’n toets ‘een enorm beslag zal leggen op de personele capaciteit van de rechterlijke macht’. Die zou ook afbreuk doen aan de ‘beoogde verbetering van de slagkracht’.
De rechten van de burger zijn al voldoende beschermd, meent minister Yeşilgöz
Volgens Yeşilgöz moet iedereen bij de overheid zich houden aan de Algemene verordening gegevensbescherming (AVG) en is dat op zichzelf al een bescherming. Ook zijn er al ‘rechtmatigheidsadviescommissies’, die moeten beoordelen of verwerking van gegevens is toegestaan en of er geen sprake is van discriminatie. ‘Met de getroffen waarborgen kan worden volstaan,’ vindt de minister.
Die commissies bestaan echter uit vertegenwoordigers van de partijen in het samenwerkingsverband en zijn dus niet onafhankelijk, stelde de AP. Bovendien zijn hun adviezen niet bindend. Dat wekt bij experts weinig vertrouwen nu de overheid na tal van affaires bekendstaat als een notoire schender van de privacywet.
‘Black-box bureaucratie’
De AVG en het wetsvoorstel lossen het gebrek aan rechtsbescherming dan ook niet op, vindt Tijmen Wisman, voorzitter van het Platform Burgerrechten en universitair docent privacy- en gegevensbeschermingsrecht aan de Vrije Universiteit Amsterdam. ‘We zien hier de legalisering van willekeur en van een black box-bureaucratie. Je kunt als overheid voortaan doen waar je zin in hebt.’
Hij wijst er ook op dat burgers lang niet altijd zullen weten dat er gegevens over hen worden gedeeld. ‘Als je niet op de hoogte wordt gesteld, dan is er dús ook geen rechtsbescherming.’
‘De overheid gelooft heilig dat met big data allerlei misstanden kunnen worden opgespoord’
Wisman was eerder betrokken bij de rechtszaak tegen het omstreden ‘fraudesleepnet’ Systeem Risico Indicatie (SyRI), een instrument waarmee de overheid misbruik van uitkeringen, toeslagen en belastingen wilde bestrijden. De rechtbank Den Haag zette daar in 2020 een streep door omdat SyRI in strijd was met het Europees Verdrag voor de Rechten voor de Mens. ‘Als SyRI niet mag, dan mag dit al helemaal niet,’ stelt Wisman.
De organisaties die eerder de zaak tegen SyRI aanspanden – naast Platform Burgerrechten onder meer de vakorganisatie FNV en Privacy First – stuurden op 14 mei een brief naar de Eerste Kamerleden.
Daarin wezen ze nogmaals op de grote risico’s van de Wet gegevensverwerking: ‘Door ongecontroleerde gegevensdeling kunnen burgers en ondernemingen zonder mogelijkheid tot verweer bij tal van organisaties te boek komen te staan als crimineel, fraudeur of malafide’ [..] ‘Een dergelijke werkwijze legitimeert de praktijken die voorafgingen aan de toeslagenaffaire en het FSV-schandaal.’
Waarom houdt de overheid zo’n datahonger dat de nieuwe wet er ondanks alle risico’s moet komen?
Die honger komt voort uit de wens om risico’s te vermijden, zegt inlichtingenexpert Bob de Graaff. Maatschappelijke problemen als ondermijning gaat de overheid liefst preventief te lijf. ‘Ze zoekt daarbij steeds meer de grenzen van de rechtsstaat, of overschrijdt die zelfs.’
Een in de loop van de jaren gegroeid wantrouwen tegenover de burger speelt ook een rol. ‘Dat is gekoppeld aan een heilig geloof dat met het gebruik van big data allerlei misstanden kunnen worden opgespoord.’
Terwijl de overheid er tegelijkertijd niet op is berekend om zorgvuldig met die data om te gaan. ‘We zien bijvoorbeeld dat in veel gevallen het opleidingsniveau van de mensen die daarmee belast zijn niet voldoende is.’
De Graaff maakt zich zorgen. ‘De overheid probeert met behulp van gegevens steeds meer grip te krijgen op burgers en achter de voordeur te kijken, maar hoe langer de arm van de overheid wordt, hoe verder mensen zich terugtrekken om buiten het bereik van die arm te blijven.’
Voor burgers die toch in de greep komen van de samenwerkende overheden, zoals Malki, wachten jarenlange onzekerheid en eindeloze procedures.
De samenwerkingsverbanden maken al langer data-analyses van burgers die op dat moment nog nergens van werden verdacht. Dit blijkt uit documenten die zijn vrijgegeven nadat Follow the Money bij gemeenten documenten opvroeg met een beroep op de Woo.
De analyses hadden als doel om personen en adressen te vinden waar mogelijk iets aan de hand was.
In Rotterdam bijvoorbeeld, maakte het Regionale Informatie- en Expertisecentrum scans en analyses van vastgoed en transacties. Mede op basis hiervan stelde het RIEC een overzicht op van ‘vermoedelijk malafide’ ondernemingen en personen: ‘Deze lijst wordt gescreend om vervolgens de gekozen entiteiten verder te raadplegen in de systemen van alle partners,’ vermeldt een document dat de gemeente verstrekte.
Ook de infobox Crimineel en Onverklaarbaar Vermogen (iCOV) – het samenwerkingsverband tegen witwassen en belastingontduiking – heeft buurten doorgelicht: ‘Twee straten en een woontoren op Rotterdam-Zuid worden bij wijze van pilot nader geanalyseerd op signalen van witwassen aan de hand van risico-indicatoren op eigenaar, hypothecaire financiering en transacties met het vastgoed,’ staat in een van de stukken uit Rotterdam.
De RIEC's opereren al jaren zonder de toetsing die verplicht is voorafgaand aan het verwerken van persoonlijke gegevens
De documenten maken niet duidelijk op basis van welke bevoegdheden de samenwerkingsverbanden dit precies doen.
De RIEC's in heel Nederland opereren al jaren zonder de voor samenwerkingsverbanden verplichte data protection impact assessments. Die zijn bedoeld om vooraf in beeld te brengen wat de risico’s zijn van het verwerken van persoonlijke gegevens. Een interne toezichthouder moet daar vervolgens over adviseren.
Het Openbaar Ministerie laat weten dat de RIEC-partners nog werken aan de data protection impact assessments. Het is niet bekend wanneer die klaar en goedgekeurd zijn. De gemeente Rotterdam zegt in een reactie ‘te allen tijde de grondrechten te waarborgen en er kan alleen een inbreuk plaatsvinden als dat in overeenstemming met de wet is’.
Over het andere samenwerkingsverband, de iCOV, bestaan sinds de oprichting in 2013 twijfels of de werkwijze voldoet aan de privacywet AVG en het Europees Verdrag voor de Rechten van de Mens. Die twijfels staan in interne documenten waarvan de inhoud bekend is bij Follow the Money. Bij de iCOV komt veel privacygevoelige informatie samen over financiën en bezittingen van burgers.
Eind 2021 werd wel gestopt met gebiedsscans, zoals die in Rotterdam, omdat de werkwijze juridisch niet goed onderbouwd was. Maar het voorstel voor de Wet gegevensverwerking door samenwerkingsverbanden biedt er wel weer de ruimte voor.
Volgens een woordvoerder heeft het OM geen twijfels over de iCOV. ‘Adviezen zijn opgevolgd of worden betrokken in de doorontwikkeling van de iCOV op de lange termijn’.
Dit betekent dat de onzekerheid over de rechtmatigheid zeker deels blijft bestaan.
Dit artikel is gemaakt met steun van Journalismfund Europe
Geen opmerkingen:
Een reactie posten