Achtergrond en werkwijze van SyR

4.2.1 Het Waterproof project en het Black box project

In 2003 is de landelijke stuurgroep interventieteams (hierna: ‘LSI’) opgericht voor het bestrijden van fraude.130 _{De LSI bestaat onder andere uit de Inspectie SZW (voorheen de} Sociale Inlichtingen en Opsporingsdienst, afgekort ‘SIOD’), de Belastingdienst, het UWV, gemeentebesturen en het Openbaar Ministerie (hierna: ‘OM’).131 _{Onder leiding van het LSI is} het Waterproof project en later het Black box project tot stand gekomen. Bij het Waterproof project werden adresgegevens van personen met een Wet werk en bijstand (hierna: ‘WWB’) uitkering gekoppeld met gegevens over waterverbruik. Uit deze koppeling kon worden achterhaald bij welk deel van de adressen met een laag waterverbruik sprake was van één of meer bewoners met een WWB-uitkering.132 _{Het doel was om hiermee adres- en}

samenlevingsfraude op te sporen.133 _{De AP heeft naar aanleiding van een ambtshalve} onderzoek een negatief advies gegeven over dit project.134 _{Volgens de AP was de}

bestandskoppeling niet noodzakelijk, omdat er geen vermoeden van fraude of risicoanalyse

130 _{Olsthoorn 2016, p. 99; ‘Landelijke Stuurgroep Interventieteams (LSI)’, vng.nl.} 131 _{Artikel 3 Samenwerkingsovereenkomst voor Interventieteams 2017.}

132 _{Inspectie SZW 2012, p. 21, 22.} 133 _{Inspectie SZW 2012, p. 21, 22.}

aan ten grondslag lag.135 _{Daarnaast was er sprake van strijdigheid met het}

doelbindingsprincipe en werden burgers niet geïnformeerd.136 _{Naar aanleiding van het} onderzoek werd vastgesteld dat de bestandskoppelingen moesten worden gebaseerd op risicoprofielen, zodat data anoniem kon worden gekoppeld en geanalyseerd. De SIOD is daarom in 2008 risicoprofielen gaan ontwikkelen; een project dat wordt aangeduid als ‘Black box’.137 _{Overigens heeft de Centrale Raad van Beroep (hierna: ‘CRvB’) in een zaak waar het} Waterproof project was toegepast, geoordeeld dat geen sprake was van een onrechtmatige inbreuk op artikel 8 EVRM.138 _{Volgens de CRvB vormde de gegevensuitwisseling een} inmenging, maar was de inmenging proportioneel en bestond er geen minder ingrijpend alternatief.139 _{In tegenstelling tot de AP oordeelde de CRvB dus dat wél was voldaan aan het} noodzakelijkheidsvereiste. Het CRvB nam bij de beoordeling mee dat het opvragen van de verbruiksgegevens werd beperkt tot gegevens van adressen van bijstandsgerechtigden met een extreem hoog of laag watergebruik.140

Het Black box project functioneerde als volgt. Er werd een risicoprofiel opgesteld op basis van specifieke factoren die werden vastgesteld door een interventieteam, bestaande uit verschillende overheidsorganisaties.141 _{De SIOD vroeg aan de hand van het risicoprofiel de} benodigde gegevens op en maakte een bestandskoppeling, met als resultaat een groep personen met een verhoogd risico op fraude.142 _{De adressen van deze groep werden} doorgegeven aan de interventieteams en naar aanleiding daarvan konden controles worden uitgevoerd.143 _{Door het terugkoppelen van de resultaten van de controles kon het risicoprofiel} worden aangescherpt.144 _{De AP heeft ook over deze werkwijze van de SIOD geoordeeld dat} er sprake is van strijd met de Wbp, wegens onvoldoende beveiliging, te ruime

bewaartermijnen en het niet voldoen aan de informatieplicht.145 _{Volgens de AP vormt de} informatieplicht een uitwerking van het transparantiebeginsel en van het beginsel van

behoorlijke verwerking.146 _{Het SIOD voldeed niet aan de informatieplicht van artikel 34 Wbp}

135 _{Brief Cbp 2007, p. 2.} 136 _{Brief Cbp 2007, p. 2.} 137 _{Rapport Cbp 2010, p. 4, 5.}

138 _{CRvB 27 april 2010, ECLI:NL:CRVB:2010:BM3881.}

139 _{CRvB 27 april 2010, ECLI:NL:CRVB:2010:BM3881, r.o. 4.1.5.} 140 _{CRvB 27 april 2010, ECLI:NL:CRVB:2010:BM3881, r.o. 4.1.5.} 141 _{Rapport Cbp 2010, p. 4.} 142 _{Rapport Cbp 2010, p. 6.} 143 _{Rapport Cbp 2010, p. 6.} 144 _{Rapport Cbp 2010, p. 6.} 145 _{Rapport Cbp 2010, p. 15.} 146 _{Rapport Cbp 2010, p. 10.}

(artikel 14 AVG), omdat het betrokkenen niet informeerde over de verwerking en het eveneens niet kon bewijzen dat betrokkenen al beschikten over de informatie.147

Het Black box project is in 2010 geëindigd.148 _{In 2013 is een nieuw wetsvoorstel} aangenomen over fraudeaanpak door bestandskoppelingen.149 _{Dit wetsvoorstel zorgde ervoor} dat de reeds bestaande Wet structuur uitvoeringsorganisaties werk en inkomen (hierna: ‘Wet SUWI’) werd gewijzigd.150 _{Deze wet en het Besluit SyRI, hoofdstuk 5a van het Besluit SUWI} dat in 2014 in werking is getreden, vorm(d)en de wettelijke basis van SyRI.151

4.2.2 Werkwijze van SyRI

Volgens de Wet SUWI was het doel van de risicoanalyses van SyRI het voorkomen en bestrijden van onrechtmatig gebruik van overheidsgelden en –voorzieningen op het terrein van sociale zekerheid en inkomensafhankelijke regelingen, van belasting- en premiefraude en van het niet naleven van arbeidswetten.152 _{SyRI was niet één systeem, maar een geheel aan} systemen en procedures dat kon worden ingezet als opsporingsinstrument. Een verzoek tot de inzet ervan kon worden gedaan door twee of meer partijen van het samenwerkingsverband, bestaande uit in ieder geval gemeentebesturen, het UWV, de Inspectie SZW en de

Belastingdienst.153 _{Uit het verzoek moest blijken met welke partijen werd samengewerkt, wat} het doel was van de samenwerking en hoe deze werd vormgegeven, wat de aanvangsdatum en de duur was, wat de beoogde wijze van terugkoppeling van de risicomeldingen was en wat de indicatoren waren.154 _{De indicatoren vormden het risicomodel. Uit het verzoek moest ook} blijken dat de verwerking proportioneel was en dat er geen minder ingrijpende mogelijkheid bestond om het doel te bereiken.155 _{Na goedkeuring door de minister werd mededeling gedaan} in de Staatscourant.156 _{De partijen leverden gegevensbestanden uit de eigen administratie aan,} die vervolgens in de systemen van SyRI werden ingevoerd door Stichting

Inlichtingenbureau.157 _{Voorafgaand aan de invoering werden de gegevens gepseudonimiseerd} door onder andere namen, adressen en Burgerservicenummers te veranderen naar een code.158

147 _{Rapport Cbp 2010, p. 11.}

148 _{Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI), r.o. 3.8.} 149 _{Olsthoorn 2016, p. 99.}

150 _{Kamerstukken II 2012/13, 33579, nr. 3.} 151 _{WRR 2016, p. 56.}

152 _{Artikel 64 lid 1 juncto artikel 65 lid 1 Wet SUWI.}

153 _{Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI), m.nt. Jansen & Reijneveld, §5.} 154 _{Artikel 5a.1. lid 2 Besluit SUWI.}

155 _{Artikel 5a.1. lid 4 Besluit SUWI.} 156 _{Artikel 5a.4. lid 1 Besluit SUWI.} 157 _{WRR 2016, p. 57.}

Welke gegevens konden worden ingevoerd in SyRI, was opgesomd in het Besluit SUWI. Volgens het Besluit SUWI waren dat namelijk bepaalde arbeidsgegevens, gegevens over bestuurlijke maatregelen en sancties, fiscale gegevens, gegevens over (on)roerende goederen, gegevens over uitsluitingsgronden van bijstand of uitkeringen, handelsgegevens,

huisvestingsgegevens, identificerende gegevens (waaronder NAW-gegevens, geboortedatum en geslacht), inburgeringsgegevens, nalevingsgegevens van wet- en regelgeving,

onderwijsgegevens, pensioengegevens, re-integratiegegevens, schuldenlastgegevens, uitkerings-, toeslagen en subsidiegegevens, vergunningen en ontheffingen en

zorgverzekeringsgegevens.159 _{Kortom: een zeer uitgebreide lijst.}

De resultaten die volgens het risicomodel een verhoogd risico hadden, werden ontsleuteld en aan de Inspectie SZW verstrekt. De Inspectie SZW bepaalde welke resultaten voor een risicomelding in aanmerking kwamen.160 _{Een risicomelding houdt in dat bij een verhoogd} risico de naam wordt verstrekt.161 _{De resultaten werden geleverd aan de partijen die de} analyse hadden aangevraagd, die hiermee konden nagaan of er inderdaad sprake was van fraude en vervolgens een eventuele sanctie konden opleggen.162 _{In sommige gevallen kon de} Inspectie SZW ook risicomeldingen verstrekken aan het OM en de politie op hun verzoek.163 Volgens het Besluit SUWI konden risicomeldingen worden bewaard in een register, tot maximaal twee jaar na de risicomelding.164 _{Ook de gegevens die in SyRI werden verwerkt} moesten maximaal na twee jaar worden verwijderd.165 _{Als een persoon met een verhoogd} risico toch niet in aanmerking kwam voor een risicomelding, werden zijn of haar gegevens binnen vier weken na afronding van de analyse vernietigd.166 _{De laatste fase was een} terugkoppeling van de partijen aan de Inspectie SWZ, om zo de effectiviteit van het

risicomodel te vergroten.167 _{Tot zover bekend zijn er volgens de eisers in de SyRI-procedure} vijf SyRI-projecten geweest.168

159 _{Artikel 5a.1 lid 3 Besluit SUWI.} 160 _{WRR 2016, p. 57.}

161 _{Artikel 65 lid 2 Wet SUWI.}

162 _{Artikel 65 lid 3 Wet SUWI; WRR 2016, p. 57.} 163 _{Artikel 65 lid 3 Wet SUWI.}

164 _{Artikel 65 lid 5 juncto artikel 5a.5 lid 5 Besluit SUWI.} 165 _{Artikel 65 lid 7 Wet SUWI.}

166 _{Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI), r.o. 4.31.} 167 _{Olsthoorn 2016, p. 104; Kamerstukken II 2012/13, 33579, nr. 3, p. 19.}

168 _{Naast deze vijf projecten zijn er een aantal andere projecten geweest, waarbij gebruik werd gemaakt van SyRI of de}

voorlopers daarvan. Deze projecten zijn echter niet gebaseerd op de SyRI-wetgeving en worden daarom buiten toepassing gelaten. Zie Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI), r.o. 3.9, 3.10; Olsthoorn 2016, p. 107, 108.