In oktober 2019 stelde ik de vraag of de rechtszaak tegen SyRI klopt. SyRI staat voor Systeem Risico Indicatie – een aanpak voor de opsporing van uitkeringsfraude (‘profiling’) van de rijksoverheid in samenwerking met onder meer gemeenten. Digitale burgerrechtenvoorstanders hadden de rechtszaak aangespannen omdat, naar hun mening, de overheid met SyRI inbreuk pleegde op de privacy van burgers.
Maar kun je dat zo zeggen? Want als SyRI voldoet aan de eisen van de Algemene Verordening Gegevensbescherming, kun je nooit een inbreuk plegen op de privacy; deze respecteer je juist. Het bieden van bescherming aan personen is immers de essentie van de AVG.
Op 5 februari 2020 heeft de Rechtbank Den Haag in de SyRI-zaak een uitspraak gedaan. In een uitstekend opgebouwde analyse, lijkt de rechtbank de privacyvoorvechters weliswaar gelijk te geven. Maar hun betoog wordt op vrijwel alle onderdelen afgewezen.
Verbeterpunten op het gebied van data-analyse
De rechtbank volgt vooral haar eigen redenatie, die erop neerkomt dat SyRI nu nog onvoldoende voldoet aan de kwaliteitseisen van de AVG. Met name de AVG-risicoanalyse moet beter (afzonderlijke methodieken voor data-analyse binnen SyRI verdienen ieder hun eigen dataprotectie impact assessment).
Ook moet beter worden nagedacht over de parameters die de basis vormen voor de SyRI-data-analyse. Dit staat weliswaar niet letterlijk zo in het vonnis, maar de rechtbank stelt wel vast dat er nu nog persoonsgegevens bij elkaar kunnen worden geveegd die voor het onderzoek misschien niet nodig zijn. Zorg bij onderzoek dus voor betere modellering van de data-analysemethode, door SyRI-onderzoek alleen uit te voeren op basis van de gegevenscategorieën die voor het onderzoek wérkelijk relevant zijn.
Als deze aspecten worden gerepareerd, zo oordeelt de rechtbank, vormt SyRI géén inbreuk op de privacy. Althans, niet in algemene zin. Want fraudeonderzoek als zodanig is volstrekt legitiem en van algemeen belang.
Verbeterpunten op het gebied van transparantie en correctie
Wél worden degenen die met behulp van SyRI worden geprofileerd als mogelijke fraudeur in aanmerkelijke mate in hun belangen getroffen. Zij blijven twee jaar lang bekend als ‘nader onderzoeksgeval’ en het ligt voor de hand dat dergelijk nader onderzoek ook werkelijk plaatsvindt.
Dit laatste is uiteraard all-in the game. Maar dan dienen de mensen die dit aangaat op een behoorlijke manier over hun status geïnformeerd te worden. Ook moeten zij in de gelegenheid worden gesteld om hun inzage- en correctierechten uit te oefenen. Overigens bedoelt de rechtbank daarmee waarschijnlijk niet dat criminelen vooraf gewaarschuwd moeten worden zodat ze hun pakkans kunnen verkleinen.
Conclusie
Dus klopt de uitspraak over SyRI? Ja – zonder meer. De Rechtbank Den Haag komt met verfrissend goede kennis van zaken tot een evenwichtig oordeel dat recht doet aan de bedoeling van de AVG. Zij vertrekt niet vanuit de aanname dat SyRI een schending is van de privacy – wat een gekleurde visie geeft – maar komt pas tot die conclusie na SyRI te hebben getoetst aan de kwaliteitseisen van de AVG.
Het vonnis is ook op andere onderdelen interessant. Bijvoorbeeld daar waar de rechtbank uitleg geeft over de vraag hoe de AVG zich precies verhoudt tot het recht op privacybescherming. Of dat de Nederlandse Uitvoeringswet AVG niet mag worden toegepast op de onderdelen die strijdig zijn met de AVG – zie hierover rechterlijke overweging 6.28. Concreet gaat het hier om een wetgevingsfout in artikel 48 UAVG. Zo zijn er nog wel een paar. Vergelijk artikel 15 UAVG bijvoorbeeld maar eens goed met artikel 57 en 39 AVG. Maar meer hierover in een volgende blog.
