In deze blog (longread) geeft Sergej Katus een beschouwing van de toeslagenaffaire bekeken vanuit de AVG. Wat hem opvalt aan het rapport ‘Ongekend onrecht’ van de parlementaire ondervragingscommissie, is dat er ook sprake is van ongekend recht. Want waarom is de ondervragingscommissie vrijwel volledig voorbijgegaan aan de AVG? En dat terwijl de AVG juist de rechtsbescherming biedt waarmee we de toeslagenaffaire hadden kunnen voorkomen.
Ongekend recht
De parlementaire ondervragingscommissie Kinderopvangtoeslag legt in het rapport Ongekend onrecht bloot hoe ouders zo de dupe konden worden van de fraudeaanpak van de Belastingdienst. De commissie concludeert dat bij de uitvoering van de kinderopvangtoeslagen de grondbeginselen van de rechtsstaat zijn geschonden en ook de rechtsbescherming is veronachtzaamd. We kennen de discussie ondertussen maar al te goed als de toeslagenaffaire, die leidde tot het aftreden van het voltallige kabinet.
Wat opvalt is dat niemand het had over het recht op bescherming van persoonsgegevens als grondbeginsel van de rechtsstaat. De Autoriteit Persoonsgegevens wees op discriminatie, risicoselectie en het gebruik van gegevens over dubbele nationaliteit, maar in de toeslagenaffaire is dat niet de kern van de zaak. De Autoriteit Persoonsgegeven slaat hier de plank mis. Want op zich is er niets mis mee dat de Belastingdienst fraude-onderzoek doet – dat is één van hun kerntaken.
Dat de Belastingdienst hierbij gebruik maakt van slimme technologie is heel verstandig. Hoe kun je als Belastingdienst vandaag de dag anders je taken uitoefenen? Als dubbele nationaliteit een zinvolle parameter is (en dankzij de Bulgarenfraude was daar aanleiding voor), is de hantering ervan niet onredelijk. Laten we niet meteen vervallen in retoriek over discriminatie. Tot zover is er nog niets aan de hand.
Maar wat er wél aan de hand was, was het gebrek aan de waarborgen om te voorkomen dat mensen onterecht werden geoormerkt als fraudeur. Om vervolgens klakkeloos over te gaan tot terugvordering van toeslagen. We weten inmiddels hoe heftig de impact hiervan vaak jarenlang was voor de slachtoffers.
Zijn we het recht op vergetelheid vergeten?
En er was nog iets aan de hand. De gedupeerden hadden niet in de gaten (en kennelijk lichtte niemand hen hierover in) dat er een veel directer rechtsmiddel ingezet kon worden om aan de kafkaëske fuik te ontsnappen. Want waarom al die stroperigheid en moeite rond bezwaarschriften, de afwijzingen ervan en in bepaalde gevallen niet eens fatsoenlijke antwoord?
Juist om iedereen dat soort bureaucratie te besparen, kennen we in de Algemene Verordening Gegevensbescherming het recht op inzage, correctie en verwijdering van onjuiste informatie. Binnen een maand of wat hadden onterechte fraudedossiers moeten zijn gewist, en daarmee ook de informatie op basis waarvan de Belastingdienst kon terugvorderen. Het recht op vergetelheid (right to be forgotten) in optima forma.
Zeker, nog steeds had de Rijksoverheid afwerend kunnen reageren. Maar zoiets had de toezichtmechanismes van de AVG moeten triggeren. Eerst via de ombudsfunctie van de functionaris voor gegevensbescherming van de Belastingdienst. Daarna via het recht van iedere gedupeerde om een klacht in te dienen bij de AP. Waarom traden die niet eerder op? Al bij de eerste signalen dat er zaken ernstig mis waren, hadden deze in actie moeten komen, ook los van klachten. Daar zijn ze voor.
De AVG zet de mens wél centraal
Het punt is dat de AVG (en ook haar voorganger, de Wet bescherming persoonsgegevens) de mens wél centraal stelt, op de manier waarop de parlementaire ondervragingscommissie dat aangeeft. Dat aan dit aspect in het rapport Ongekend onrecht volledig voorbij wordt gegaan, is illustratief voor hoe slecht we de AVG in Nederland begrijpen. Wat dat betreft gaat het onderzoeksrapport net zo goed over ongekend recht.
Vergeet dat de AVG gaat over ‘privacy’ – dat woord kom je in de wettekst nergens tegen. Laat ook los dat de AVG de ‘kan niet/mag niet-wet’ is die velen ervan maken, maar lees de AVG beter. Te beginnen bij de échte titel (‘AVG’ is slechts de korte citeertitel), die vrijwel letterlijk luidt: ‘Dit is de verordening betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens én het vrije verkeer van die gegevens.’
Ich habe es nicht gewußt
De AVG gaat dus primair over persoonsbescherming. Dé kernplicht van de AVG is dat bestuurders in de publieke en private sector tot taak wordt gesteld om te voorkomen dat mensen het slachtoffer worden van maatschappelijk onverantwoorde vormen van gegevensverwerking. Dat geldt dus ook voor de bewindslieden die de Belastingdienst ‘runnen’ en de directie van de Belastingdienst.
De ich habe es nicht gewußt-houding of de buikpijn die werd gevoeld zonder in te grijpen, is de ernstigste zonde die je kunt begaan in de AVG. Op straffe van maximaal 10 miljoen euro boete. En een verdubbeling van dat bedrag als hierdoor typische basisbeginselen worden geschonden, zoals het – in de toeslagenaffaire met name relevante – beginsel dat informatie accuraat moet zijn (juistheidsbeginsel).
Menselijke tussenkomst als verplichting
De informatie waar de Belastingdienst mee werkte wás immers niet accuraat en daarmee niet betrouwbaar. Dat is de voorspelbare uitkomst van vrijwel iedere vorm van data-analyse, zeker als dat geautomatiseerd gebeurt en als gebruik wordt gemaakt van grote hoeveelheden data. Nog steeds is dat niet meteen het probleem. In die zin verbiedt de AVG de data-analyse niet. Maar de bestuurders hadden erop moeten toezien dat was voorzien in passende maatregelen, om te voorkomen dat te rauw op de uitkomsten van de data-analyse werd afgegaan.
De AVG stelt met name één oplossing verplicht om dat te voorkomen: menselijke tussenkomst. Op z’n minst had de Belastingdienst het waarheidsgehalte van de fraude-indicaties moeten onderzoeken. Dat kon vooraf, via de gebruikelijke procedures voor zorgvuldig fraudeonderzoek én achteraf, op basis van de correctie- en verwijderingsverzoeken die hiervoor werden genoemd. Want waar mensen werken, worden fouten gemaakt. Correcties achteraf helpen om dat te repareren.
Waar is de DPIA gebleven?
Hét instrument om tot de juiste oplossingen te komen is de data protection impact assessment (DPIA). In het regeerakkoord ‘Bruggen Slaan’ van het kabinet Rutte II uit 2012 (p. 28) wordt nog gesproken van ‘privacy impact assessments’, maar daarmee wordt hetzelfde bedoeld. In z’n meest snelle vorm laat een DPIA al binnen enkele minuten zien hoeveel ellende gegevensverwerking teweeg kan brengen als niet of onvoldoende in passende waarborgen wordt voorzien.
Dus waar is de DPIA van de Belastingdienst op het fraudeonderzoek naar kinderopvangtoeslagen gebleven? Is die wel uitgevoerd? En is die wel van goede kwaliteit? Welke beschermende maatregelen bleken cruciaal en randvoorwaardelijk? Hoe is het management van het fraudeteam hiermee omgegaan en hoe is hierover gerapporteerd aan de directie van de Belastingdienst en de verantwoordelijke ministers?
Dit alles ligt besloten in de AVG, maar niets van dit alles is tot nu toe in de discussie aan bod gekomen. Zo op afstand wekken de ministeries van Financiën en Sociale Zaken én de Belastingdienst de indruk dat ze niet AVG-conform te werk zijn gegaan. Dat betekent inderdaad dat de rechtsbescherming is weggevallen, in de zin van artikel 10 Grondwet. Naast de boete die de AP behoort op te leggen voor gebrekkig AVG-management, is artikel 82 AVG verder zo klaar als een klontje: eenieder die schade heeft geleden als gevolg van de fraudeaanpak, heeft nu recht op het ontvangen van volledige schadevergoeding. Zie in dit verband ook overweging 146 AVG.
De oud-directeur van de Belastingdienst sprak profetische woorden
Extra bizar aan het hele gebeuren is dat de oud-directeur van de Belastingdienst (die buikpijn had), in 2015 profetische woorden sprak. Zorgvuldig handelen beschouwde hij terecht (en AVG-conform) als een Chefsache. ‘[Want onze] maatschappij draait op belastingopbrengsten en op het basale vertrouwen dat de dienst netjes handelt. Als er geen maatschappelijk draagvlak is voor de instrumenten die wij inzetten, dan hebben wij een ernstig en waarschijnlijk onherstelbaar probleem.’
Uit de toeslagenaffaire zijn verschillende lessen te trekken, maar een van de belangrijkste lessen is dat we met andere ogen naar de AVG moeten kijken. Van ongekend onrecht en ongekend recht, naar duurzaam databeleid volgens de AVG, waarin de menselijke maat is hervonden. En dat niet alleen landelijk, maar ook lokaal. Denk in het kader van de toeslagenaffaire met name aan problemen door ondoordacht gemeentelijk terugvorderingsbeleid.
Bij PMP zetten we ons sinds 2015 steevast in voor betere hantering van de AVG en de menselijke maat.
