Ruim een jaar voordat de bodemprocedure tegen SyRI werd aangekondigd, heeft ons juridisch team een Wob-verzoek gedaan naar SyRI en haar voorgangers. In dit artikel leest u wat u van het ministerie wel en niet mag weten over hoe SyRI werkt.

Waar hebben we om gevraagd?

1. De documentatie rondom alle uitgevoerde SyRI-projecten sinds de ingebruikname van het systeem, dus zowel voor als na de wettelijke invoering in 2014. Hieronder vallen onder meer:

– de risicomodellen en bijbehorende risico-indicatoren waarmee SyRI burgers doorlicht

– welke overheidsorganisaties er betrokken waren bij de projecten, het doel van de projecten, welke gegevens er voor zijn verwerkt en om hoeveel doorgelichte burgers het gaat

– de verzoeken aan de minister van Sociale Zaken voor de uitvoering van de projecten

– de kosten en opbrengsten van ieder project, het aantal met behulp van het onderzoek opgespoorde gevallen en het aantal keren dat er naar aanleiding van een SyRI risicomelding daadwerkelijk tot handhaven is overgegaan

– het aantal personen dat is opgenomen in het Register Risicomeldingen

2. De bewerkersovereenkomst met de Stichting Inlichtingenbureau, die de datakoppelingen voor SyRI uitvoert

3. Verschillende andere documenten rondom de uitvoering en wetgeving rondom SyRI

Download hier het volledige Wob-verzoek (PDF) aan het ministerie van Sociale Zaken.

Bekijk hier de documenten die het ministerie openbaar heeft gemaakt naar aanleiding van het Wob-verzoek.

Wat mag u niet weten?

U mag niet weten wat u een risico maakt

De risicomodellen waarmee SyRI bepaalt of u in het Register Risicomeldingen wordt opgenomen zijn geheim, zo laat het ministerie ons weten in haar reactie op ons Wob-verzoek. De reden daarvoor is het belang van opsporing en vervolging van strafbare feiten en overtredingen en het belang van inspectie, controle en toezicht door bestuursorganen. Een redenering waaruit blijkt hoe SyRI de grenzen van de rechtsstaat oprekt.

De duizenden burgers die SyRI doorlicht, worden namelijk niet verdacht van een strafbaar feit of overtreding. Er bestaat geen concrete aanleiding om hun doopceel te lichten. Toch eigent de overheid zich met SyRI de bevoegdheid toe om alle informatie die er bij verschillende instanties over burgers bekend is, zonder hun medeweten of toestemming te samen te voegen en op heimelijke wijze tegen hen te gebruiken.

Zelfs wanneer u na opname in het Register Risicomeldingen bij overheidsinstanties te boek staat als risicoburger, betekent dat nog steeds niet dat u officieel verdacht of onderwerp van onderzoek bent en daarmee aanspraak maakt op de daarbij horende rechtsbescherming. Daarvan is eventueel pas sprake als een overheidsinstantie op basis van een risicomelding uit SyRI besluit een onderzoek naar u in te stellen.

In feite behandelt SyRI de duizenden burgers die ze doorlicht als verdachte, enkel om te voorspellen of ze in aanmerking komen om in de toekomst ergens van verdacht te worden. De onschuldpresumptie op zijn kop.

Wanneer de overheid een onderzoek naar een burger instelt omdat deze verdacht wordt van fraude of een ander misdrijf, gelden daar strikte regels voor. Deze regels beschermen burgers tegen overheidsmacht en garanderen dat de overheid niet willekeurig in het privé-leven van haar burgers kan inbreken. Daarvoor dient namelijk altijd een concrete aanleiding te zijn. Van deze zaken is bij SyRI echter geen sprake: iedere burger kan zonder gegronde reden worden doorgelicht door SyRI.

Het ontbreken van die eisen bij het instellen van een SyRI-onderzoek is nog problematischer omdat de wet waarin SyRI is vastgelegd, geen eisen stelt aan de nauwkeurigheid van het onderzoek en daardoor niet voorkomt dat burgers ten onrechte als risico worden bestempeld. Er zijn in Nederland meerdere rechterlijke uitspraken geweest die constateerden dat de risicoprofielen die de overheid hanteert, ten onrechte discrimineren. Dit gebeurde zowel op basis van geslacht als op basis van nationaliteit. Door de risicomodellen die SyRI hanteert geheim te houden, is er geen manier om hier op te controleren of er tegen in verweer te komen.

Voor een burger die door SyRI wordt doorgelicht en aangemerkt als risico, is het onmogelijk om te achterhalen waarom dit zo is, of hij of zij ten onrechte wordt geregistreerd en of dit gebeurt op basis van onrechtmatige gronden zoals geslacht of afkomst.

U mag niets weten over de voorgeschiedenis van SyRI

Het Systeem Risico Indicatie heeft een lange voorgeschiedenis, waarbij in pilots en voorgangers van SyRI zonder wettelijke basis al jarenlang persoonsgegevens van burgers werden gekoppeld volgens de methode van SyRI. De onderzoeken die plaatsvonden vóór de wettelijke vastlegging van SyRI in 2014 zijn, ondanks dat we daar expliciet om vroegen in ons Wob-verzoek, niet in de vrijgegeven documenten opgenomen. Daarmee hebben we slechts inzage gekregen in twee SyRI-projecten, één in Eindhoven en één in Capelle aan den IJssel.

Dat is het topje van de ijsberg. Vóór de wettelijke vastlegging van SyRI zijn in 2008 en 2009 in ieder geval 25 bestandskoppelingsprojecten uitgevoerd, zo meldde NRC in 2014 in een artikel over de vele SyRI-projecten die de overheid zonder wettelijke basis uitvoerde – volgens het ministerie zelf werd er “geoefend”. Tussen 2010 en 2014 vonden nog eens 21 SyRI-projecten plaats, zo weten we uit het WRR-rapport Big Data voor Fraudebestrijding uit 2016.

De geheimhouding van deze tientallen projecten waarbij in totaal tienduizenden Nederlandse burgers moeten zijn doorgelicht, betekent dat we ook niets te weten komen over hoe de werkwijze van SyRI tot stand is gekomen. Op basis van welke kennis voorspelt SyRI bijvoorbeeld of iemand een risicoburger is? Is er tijdens de voorlopers van SyRI jarenlang illegaal geëxperimenteerd met persoonsgegevens van burgers om tot voorspellende algoritmes te komen? Of zijn de risicofactoren die SyRI hanteert gebaseerd op ervaring, bestaande vermoedens en nattevingerwerk bij handhavingsdiensten? Dit alles maakt de titel “Project Black Box” die één van de SyRI-voorgangers draagt wel erg toepasselijk: de informatie over het aanvliegtraject naar SyRI is immers spoorloos.

Kortom, u mag niet weten wat u een risico maakt, maar evenmin mag u weten op basis van welk onderzoek of kennis tot deze manier van profileren is gekomen. Dit maakt SyRI een compleet ondoorzichtig machtsinstrument: van zowel de huidige werking als de totstandkoming van SyRI is nauwelijks iets bekend.

Waar zijn we wel achter gekomen?

De waarborgen voor SyRI-onderzoeken worden in de praktijk niet toegepast

In de wettekst van SyRI staat een lange lijst van categorieën persoonsgegevens die SyRI aan elkaar mag koppelen om te bepalen of een burger een risico vormt om één van de vele wetten die SyRI beslaat, te overtreden. Een enorm kader waarbinnen een bijna oneindig aantal combinaties mogelijk is van verschillende soorten persoonsgegevens.

De Raad van State, het hoogste adviesorgaan van de regering, had forse bezwaren tegen deze groteske insteek. Hij stelde dat de lange lijst met gegevens die SyRI beslaat, niet lijkt “bedoeld om in te perken, maar om zoveel mogelijk armslag te hebben.” Er was nauwelijks een persoonsgegeven te noemen dat niet in aanmerking komt voor SyRI. Met de enorme reikwijdte van SyRI werd het mogelijk om digitaal te grasduinen in nagenoeg alle persoonsgegevens die de Nederlandse overheid ooit van haar burgers heeft ontvangen, zonder dat daarbij vooraf werd vastgesteld waar men precies naar op zoek was.

Toenmalig minister van Sociale Zaken Lodewijk Asscher verdedigde de reikwijdte van SyRI door te stellen dat dit juist de bedoeling was: op voorhand mochten er geen gegevens worden uitgesloten, omdat SyRI-onderzoeken zich op verschillende thema’s kunnen toespitsen en het daardoor niet wenselijk was om al in de wet een afbakening te maken.

Om SyRI toch in te kunnen zetten zonder privacywetgeving te overtreden, was het volgens Asscher aan de partijen die deelnemen aan een SyRI-onderzoek en daarvoor persoonsgegevens leveren, om vooraf te toetsen welke gegevens noodzakelijk zijn voor het specifieke doel van het onderzoek. Bovendien moest ieder SyRI-onderzoek door de minister worden goedgekeurd voordat het mocht worden uitgevoerd. Daarmee waren er volgens de minister genoeg waarborgen voor een rechtmatige inzet van SyRI.

Onbeperkt grasduinen

Bestuderen we de SyRI-projecten uit het WOB-verzoek, dan blijkt dat de door Asscher genoemde waarborgen in de praktijk geen rol van betekenis spelen. Van een specifieke doelomschrijving voor een SyRI-onderzoek is in geen van de gewobte projecten sprake. In beide SyRI-onderzoeken werd hetzelfde risicomodel gebruikt, de zogeheten Wijkgerichte Aanpak (het WGA-model). Dit risicomodel omvat risico-indicatoren voor alle mogelijke doelen van een SyRI-onderzoek die in de wet worden genoemd, zo valt op te maken uit de projectvoorstellen van de SyRI-onderzoeken. Zo luidt het doel van het SyRI-project waarbij twee wijken in Eindhoven werden doorgelicht als volgt:

Integraal overheidsoptreden ter voorkoming en bestrijding van onrecht-matig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de voorkoming en bestrijding van belasting- en premiefraude en het niet naleven van de arbeidswetten.

De doelomschrijving in dit project is vrijwel gelijk aan die in de wettekst van SyRI, waarvan de Raad van State juist had gesteld dat dit een veel te brede insteek was.

Ook in het project uitgevoerd in Capelle aan den IJssel blijkt dat het onderzoeksdoel van SyRI even breed is als de wet mogelijk maakt. Er staan zelfs extra doelen in het projectvoorstel waarvan de wettekst van SyRI geen melding maakt, zoals “het tegengaan van verloedering en het versterken van een gevoel van veiligheid”, “de spontane nalevingsbereidheid van de regelgeving te bevorderen”, “het signaleren van zorgaspecten (armoedebestrijding) en deze signalen doorgeleiden naar de daartoe geëigende instanties” en tot slot “het bevorderen van arbeids- en maatschappelijke participatie”.

De twee SyRI-onderzoeken die in deze Wob-stukken (deels) openbaar zijn geworden, spitsen zich niet toe op specifieke thema’s, maar op alle thema’s die in de wet worden genoemd – en in het project in Capelle aan den IJssel werden daar nog extra doelen aan toegevoegd.

Groteske insteek is standaard werkwijze

Uit de documenten rondom een derde SyRI-project in Rotterdam dat wegens capaciteitsgebrek geen doorgang vond, wordt duidelijk dat deze brede opzet de standaard werkwijze is, en toespitsing op een specifiek thema juist een uitzondering is op de gebruikelijke inzet van SyRI. In het Rotterdamse project was het namelijk de bedoeling om uit het brede WGA-model dat alle risico-indicatoren van SyRI bevat, enkel de indicatoren voor adresfraude te gebruiken. In de toelichting op de projectomschrijving valt te lezen:

“Door alleen deze risico-indicatoren in te zetten, kan het risicomodel teruggebracht worden tot een dat zich adresfraude richt. Daarmee kan ook tot een proportionele inzet van SyRI worden gekomen: in plaats van het nodeloos koppelen van allerhande gegevens die voor een project niet van belang zijn, worden alleen die risico-indicatoren en bijbehorende data gebruikt die het doel van het project ondersteunen.”

In de praktijk, zo blijkt uit de twee geopenbaarde SyRI-onderzoeken, worden de waarborgen die SyRI volgens minister Asscher een doelgericht en proportioneel instrument moeten maken, niet toegepast. Door de zeer ruime doelstellingen waarvoor SyRI kan worden ingezet, krijgt de overheid in de praktijk de mogelijkheid om onbelemmerd persoonsgegevens te verzamelen, koppelen en burgers naar believen te profileren. In de praktijk wordt bij SyRI-onderzoeken niet vooraf bepaald waarop het onderzoek zich specifiek richt, en ook het bijeenbrengen en koppelen van persoonsgegevens wordt op deze wijze niet afgestemd op een specifiek en welbepaald doel.

En hoewel minister Asscher als verdediging op de kritiek van de Raad van State stelde dat ieder SyRI-project vooraf diende te worden goedgekeurd door de minister, had hij in die functie kennelijk geen bezwaar tegen de reikwijdte van deze onderzoeken – hij heeft de projecten tijdens zijn bewindsperiode immers zelf van groen licht voorzien.

SyRI als wijksleepnet

Hoewel we door de geheimhouding van de risicomodellen niet weten of de risico-indicatoren van SyRI discrimineren op basis van bijvoorbeeld geslacht of afkomst, wordt uit de Wob-documenten één ding duidelijk over de focus van SyRI, namelijk dat SyRI vrijwel zonder uitzondering wordt ingezet in wijken en gebieden die zich sociaal-economisch aan de onderkant van de samenleving bevinden.

Hieruit blijkt hoe stigmatiserend een risicoprofileringssysteem als SyRI kan werken: het wordt vooral ingezet op basis van al bestaande ideeën over bevolkingsgroepen, klassen en wijken waar men veel misstanden verwacht te vinden. Bovendien heeft deze werkwijze een zelfbevestigend effect: wanneer SyRI alleen wordt ingezet in wijken waarvan al wordt vermoed dat er veel ‘risicoburgers’ wonen, zullen daar ook meer risicoburgers worden ontdekt – zeker als vooraf niet hoeft te worden vastgesteld wat men precies wil opsporen. Zoekt en gij zult vinden.

In de praktijk wordt SyRI ingezet als een wijksleepnet; in een buurt waarvan al wordt vermoed dat er risicoburgers wonen, wordt de complete doopceel van alle inwoners gelicht en gecheckt op alle wetten die SyRI beslaat. Dit werkt rechtsongelijkheid en klassenjustitie in de hand: wanneer je in een wijk woont die om wat voor reden dan ook bekend staat als ‘slecht’ bij de roergangers van SyRI, heb je een grotere kans om te worden doorgelicht dan wanneer je in een buurt woont met een betere reputatie.

Zie in dit kader ook deze treffende anekdote van mede-eiser Maxim Februari:

Er zijn geen duidelijke afspraken met de partij die persoonsgegevens voor SyRI koppelt en analyseert

Zowel het koppelen van bestanden als het uitvoeren van de risico-analyse wordt bij SyRI-onderzoeken uitbesteed aan een derde partij, de Stichting Inlichtingenbureau. Het is wettelijk verplicht om een zogeheten bewerkersovereenkomst af te sluiten wanneer een derde partij persoonsgegevens verwerkt die onder de verantwoordelijkheid vallen van een andere partij – in dit geval de overheid. In mei 2016 tikte de Autoriteit Persoonsgegevens nog drie ziekenhuizen op de vingers omdat een bewerkersovereenkomst met partijen die medische gegevens voor de ziekenhuizen verwerkte, ontbrak of niet aan de wettelijke eisen voldeed.

Ook bij SyRI is er geen sprake van een bewerkersovereenkomst met Stichting Inlichtingenbureau. De reden die het ministerie daarvoor geeft, is dat Stichting Inlichtingenbureau in de SyRI-wet is vastgelegd als bewerker. Dit is opmerkelijk, omdat deze wet verder niets specifieks vastlegt over hoe Stichting Inlichtingenbureau deze taak zou moeten uitoefenen. Betekent het feit dat Stichting Inlichtingenbureau wettelijk is vastgelegd als bewerker, dat een overeenkomst over hoe deze rol moet worden ingevuld overbodig is?

Los van dit alles is het problematisch dat de overheid er bewust voor heeft gekozen om de profilering van burgers met nagenoeg alle informatie die ze over hen bewaart, uit te laten voeren door een private organisatie. Door dit niet in overheidshanden te leggen, onttrekt het ministerie dit proces aan de controle die normaal gesproken wel bij een overheidspartij mogelijk zou zijn, zoals het doen van een Wob-verzoek.

Tot slot

Wij laten het hier uiteraard niet bij zitten. De weigeringen vanuit het ministerie om openheid van zaken te geven over de wijze waarop Nederlandse burger worden geprofileerd, sterkt onze overtuiging dat SyRI een ondoorzichtig, oncontroleerbaar en daardoor onrechtmatig systeem is. De komende tijd zullen we ons tijdens de procedure dan ook inspannen om de black box die SyRI nu nog is, open te kraken.

Steun ons onderzoek naar SyRI en risicoprofileringspraktijken

U kunt ons juridisch en journalistieke onderzoek naar risicoprofileringspraktijken steunen door middel van een bijdrage. Zie daarvoor de Doneer pagina.