Tijdens mijn eerste studie, ICT, kwam ik in aanraking met de tak "Strafrecht, Data-onderzoek en ICT". Omdat dit een boeiende discipline is die niet alleen in het heden, maar ook in de toekomst van waarde is, heb ik mijn Masters Privaatrecht en Ondernemingsrecht gecombineerd met "Big Data, ICT en Strafrecht". Ik heb mijn onderzoeksproject over Predictive Policing, SyRI's en andere vormen van Big Data-analyse geschreven.
Frappant is dat de opvattingen over fraude en het verdenkingsbegrip binnen het strafrecht en bestuursrecht mijlenver uiteenlopen. Voor het bestuursrecht worden burgers al gemonitord en tot onderwerp van de Systemen Risico Indicatie (SyRI's) genomen zonder dat ook maar sprake is van de contouren van een mogelijke verdenking van fraude. In het strafrecht mogen in de regel pas strafvorderlijke handelingen worden ingezet als een redelijk vermoeden van strafbare feiten bestaat. De extra veiligheidsklep in het strafrecht is bovendien dat de toestemming en supervisie van de Officier van Justitie vereist is. In het bestuursrecht worden persoonsgegevens van niet-verdachte burgers overgeleverd aan private bedrijfjes en ontbreekt het inzicht in de overschrijding van bevoegdheden én de overschrijding van de doelen van de data-analyse.
Er is bijvoorbeeld het gevaar van de function creep. Deze datacreep houdt in dat een wettelijke bevoegdheid oorspronkelijk voor een ander doel werd gegeven. Dat ligt heel genuanceerd. Als bijvoorbeeld een strafbaar feit wordt ontdekt tijdens een bestuursrechtelijk onderzoek, is dat een "welkome bijvangst". Het strafbare feit zal op zichzelf bewezen kunnen worden door nader onderzoek in te stellen. Een function creep ligt op de loer als een onderzoeksdoel niet wordt bereikt, maar de dataveillance zonder doel wordt voortgezet, waarbij zelfs de gegevens van derden hierin kunnen worden betrokken. Het risico op een échte function creep (het doelbindingscriterium loslaten er erop los datasurveilleren en dataminen) wordt praktijk als er geen menselijke interventie is en volledig geautomatiseerd wordt ingezet op het opsporen van mogelijke toekomstige fraude.
Er is géén goede reden voor het verschil in rechtsbescherming onder het bestuursrecht en het strafrecht te geven, anders dan dat de wetgever (het kabinet en de Tweede Kamer) deze niet te verantwoorden discrepantie in stand willen laten. De gevolgen daarvan zijn merkbaar. Het komt frequent voor dat kwesties over het gebrek aan veiligheidswaarborgen en overschrijding van de bevoegdheden door gemeenten in grote mediazaken aan het licht worden gebracht.
Schending van de privacy van burgers door gemeenten, re-integratiebedrijven, leerwerkbedrijven en andere gegevenswerkers
Regelmatig bereikt een bericht de nieuwsmedia dat de servers van gemeenten/re-integratiebedrijven/leerwerkbedrijven van de gemeente zijn gehackt, dat een voormalig werknemer van een overheidsinstantie persoonsgegevens van burgers heeft verkocht aan oplichters, of dat gemeenten persoonsgegevens blijven verwerken op onrechtmatige gronden.
Het kan gaan om:
- De verwerking van privacygevoelige gegevens van burgers voor de doeleinden van de SyRI's en profielonderzoek/predictive policing door private Data Labs (een inschatting maken hoe groot de kans is dat iemand in de toekomst gaat frauderen, zonder dat sprake is van een verdenking);
- Een verwerking van persoonsgegevens van burgers die evident in strijd is met de het doelmatigheidscriterium en de proportionaliteits- en subsidiariteitscriteria;
- Het Privacy Impact Assessment (PIA) wordt niet naar behoren uitgevoerd.
Het geheime karakter van gegevensverwerking door overheden staat niet in de weg aan uw recht op informatie en inzage en de plicht van overheden om persoonsgegevens te beschermen
Het heimelijke karakter ("black box") van predictive policing/onderzoeken door private Data Labs/methoden voor datamining/SyRI's (Systemen voor Risico Indicatie) staat er niet aan in de weg dat de instantie die persoonsgegevens van burgers verwerkt, informatieplichten en transparantieplichten heeft. De belangrijkste verplichting voor overheidsorganisaties en bedrijfjes die persoonsgegevens van burgers verzamelen en verwerken ("dataveillance uitvoeren") is de plicht om de veiligheid van persoonsgegevens te waarborgen. Die plicht is duidelijk verzaakt als gegevens van een leerwerkbedrijf of van de gemeente naar kwaadwillenden lekken.
De essentie
In het kader van heimelijk onderzoek van persoonsgegevens van burgers om het risico op mogelijke fraude in te schatten is er geen sprake van een concreet verdenkingsbegrip, of zelfs maar van een verdenkingsbegrip met contouren. Als een gemeente of ander overheidsorgaan een Data Lab inschakelt om te taxeren hoe groot de kans is dat de ingezetenen in de toekomst wellicht gaan frauderen, dan is een indringende verantwoording van de noodzakelijkheid (proportionaliteit en subsidiariteit) nodig. Dergelijke systemen (SyRI's) zijn systemen voor stelselmatige vergaring en verwerking van persoonsgegevens op grote schaal (dataveillance) en daarvoor moet een rechtmatige grondslag bestaan voor de overheid en verwerkende instanties.
Burgers die er geen weet van hebben dat hun persoonsgegevens door een of ander bedrijf worden verzameld en geanalyseerd, kunnen ook niet opkomen voor hun recht op bescherming van hun persoonsgegevens.
Daarbij is het van belang om de kanttekening te plaatsen dat iedereen die een voorziening aanvraagt of een belastingvoorziening krijgt, onderwerp van onderzoek in een Systeem Risico Indicatie (SyRI) kan worden. Het gaat dus om een grote groep burgers die in het recht op eerbiediging van de privacy wordt geraakt.
De essentie van de uitvoering van een Privacy Impact Assessment (PIA) is erin gelegen dat de verwerkingsverantwoordelijke (een opdrachtgever) en de verwerker precies moeten aangeven waarom de verzameling en verwerking van gegevens van burgers strikt noodzakelijk is en niet op andere, minder ingrijpende wijze kan gebeuren. Er moet ook een proportioneel en wettig doelcriterium zijn. Die wettelijke grondslag is dat de bescherming van de democratische rechtsstaat niet op enige andere wijze kan worden bereikt dan door de gegevens van burgers aan dataveillance en -verwerking te onderwerpen. Juist bij geheime dataveillance vormt het PIA de "veiligheidsklep", omdat burgers niet zelf kunnen controleren wat er met hun gegevens wordt gedaan.
Onvoldoende en daarmee onrechtmatige grondslagen voor het verwerken van persoonsgegevens zijn:
1. Het enkele gegeven dat een burger een voorziening of uitkering heeft aangevraagd. De wettelijke bepaling voor het toekennen van de voorziening is een algemene bepaling en kan niet als grondslag worden misbruikt. Dit gebeurt regelmatig: zelfs bureautjes voor data-analyse presenteren soms met trots de boodschap dat "een uitkering de grondslag is voor het uitvoeren van fraude-onderzoek". Dit maakt de dataverwerking illegaal en is een goede reden om de stekker uit het dataproject te trekken.
2. De grondslag dat een SyRI inzetten nu eenmaal de efficiëntste (makkelijkste) manier is om zoveel mogelijk fraudeverdenkingen aan te maken.
Grote stappen, snel thuis?!! Sommige gemeenten zetten SyRI's in om zoveel mogelijk burgers binnen zo weinig mogelijk handelingen en met zo weinig mogelijk middelen te onderzoeken. Dat is evident in strijd met de subsidiariteit: de gemeente en verwerker moeten namelijk aantonen waarom de beveiliging van de democratische rechtsstaat niet op een andere, minder ingrijpende wijze kan worden bereikt.
Praktisch: het verzoek tot inzage, informatie, verwerkingsbeperking en rectificatie