Oktober is de maand van de rechtszaak die digitale burgerrechten-voorstanders hebben aangespannen tegen het Systeem Risico Indicatie (SyRI) van de rijksoverheid in samenwerking met onder meer gemeenten. De kritiek doet denken aan de discussie over de Sleepwet. In dit geval gaat het om de inzet van data analyse-methodieken voor opsporing van uitkeringsfraude (‘profiling’).
De burgerrechten-voorstanders maken terecht bezwaar als SyRI met onvoldoende passende waarborgen is omkleed naar de maatstaven van de Algemene Verordening Gegevensbescherming (AVG). Maar mocht het zo zijn dat op SyRI een goede AVG-risicoanalyse is gedaan (DPIA), en op basis hiervan aantoonbaar is voorzien in robuuste Privacy by Design, is de kritiek onredelijk. Want dan is SyRI AVG-conform.
AVG-conforme fraudebestrijding is per definitie geen inbreuk op de privacy, maar gebeurt juist met respect voor de privacy – ook al gebeurt dat met behulp van profiling. Dat is de crux van de AVG.
Hoe moet je SyRI beoordelen?
De AVG is de directe uitwerking van artikel 8 EU Handvest Grondrechten waarin het recht op privacy wordt gedefinieerd. Althans; het recht op bescherming van persoonsgegevens – en daar gaat het hier om. Of SyRI privacyvriendelijk is of een schending van mensenrechten, zal dus aan de hand van de AVG moeten worden bepaald.
Daarvoor heb je een AVG-audit nodig. Dat is specialistenwerk en typisch iets waar de toezichthouder in de zin van artikel 37 AVG, de functionaris gegevensbescherming (FG) van SyRI, goed in betrokken behoort te zijn. Als het goed is, heeft de FG ook al op eigen titel getoetst, want dat is zijn taak. De rechter die zich over SyRI buigt, zal dit alles moeten onderzoeken om zorgvuldig tot een oordeel te kunnen komen.
Een belangrijk punt van aandacht hierbij is het recente rapport van VN-rapporteur Philip Alston, die wijst op het probleem dat profiling gemakkelijk leidt tot what you see is what you get. Als SyRI werkt op basis van data-analyses van eerdere fraudegevallen, breng je waarschijnlijk steeds dezelfde fraudeurs in beeld, of fraudeurs in vergelijkbare bevolkingsgroepen – wat gemakkelijk leidt tot discriminatie.
Niet overgeleverd aan algoritmes
In de DPIA op SyRI behoort dat risico al lang te zijn gesignaleerd en, op basis hiervan, passende oplossingen te zijn geformuleerd. Conform artikel 22 AVG over profiling, zou het daarnaast zo moeten zijn dat niemand zomaar door SyRI van fraude kan worden beticht. Daarvoor is eerst nog altijd zorgvuldig menselijk fraudeonderzoek nodig. SyRI is dan enkel een signaleringssysteem, als hulpmiddel voor de fraudeonderzoekers.
Fraudebestrijding is maatschappelijk gezien een volstrekt legitiem doel, en de privacyrechten van fraudeurs prevaleren niet – zo geeft de AVG met zoveel woorden aan. Daarmee erkent de wetgever dat ‘verdere verwerking van gegevens’, voor fraudebestrijdingsdoelen eveneens legitiem is. Een met passende waarborgen omklede SyRI is geen schending van mensenrechten, en het is ook niet zo we op die manier zijn overgeleverd aan algoritmes.