Geautomatiseerde opsporing van fraude moet van de rechter. Maar mag het ook?
Door mr. Michiel Duchateau en mr. Trix Mulder BA, Rijksuniversiteit Groningen.
De laatste jaren wordt er veel gedebatteerd over profiling en geautomatiseerde gegevensverwerking. Dit is begrijpelijk omdat nieuwe technologieën bijvoorbeeld kunnen helpen fraude op te sporen. Inmiddels is echter ook duidelijk dat dergelijke systemen kunnen leiden tot (indirecte) discriminatie en stigmatisering. De recente SyRi-zaak van de Rechtbank Den Haag is alleen al om die reden belangwekkend. De inzet van de zaak was om de rechtmatigheid van een dergelijk systeem principieel ter discussie te stellen. Ongelukkigerwijze is de uitspraak van de rechtbank echter geenszins overtuigend en roept die nogal wat vervolgvragen op.
In de zaak is de rechtbank gevraagd voor recht te verklaren dat de SyRI-wetgeving onverbindend is wegens strijd met het EVRM, het IVBPR, het grondrechtenhandvest van de EU i en de AVG. De Grondwet wordt door de klagers terecht niet genoemd. Het (in)fameuze artikel 120 Grondwet i verbiedt het de Nederlandse rechter namelijk formele wetten te toetsen aan de Grondwet. In plaats daarvan regelt artikel 94 i dat hij in Nederland geldende wettelijke voorschriften moet toetsen aan eenieder verbindend internationaal recht. Verdragsrecht dat individuen concrete rechten en plichten geeft gaat aldus voor op Nederlandse wetgeving.
Het SyRI-systeem en het internationale recht
Het SyRI-syteem beoogt fraudebestrijding op het gebied van sociale zekerheid en bijstand te vergemakkelijken. In het systeem kan een breed scala aan persoonsgegevens gekoppeld worden teneinde concrete gevallen van fraude op te sporen. De vraag was of hiermee niet een ontoelaatbare inbreuk op de privacy van burgers wordt gemaakt. Ingewikkeld voor de rechter was kennelijk dat privacy door veel verschillende regelingen wordt beschermd. Dit probleem lost hij verrassend op, namelijk door de regelingen min of meer op een hoop te gooien. Hij toetst de SyRI-wetgeving niet aan de verschillende genoemde regelen afzonderlijk, maar “legt artikel 8 lid 2 EVRM mede uit aan de hand van die beginselen”, namelijk de algemene beginselen van gegevensbescherming uit het Handvest en de AVG.
Deze aanpak is ook bij nadere studie moeilijk te begrijpen. Nederland moet voldoen aan de AVG, het Handvest en het EVRM. De beoordelingsmaatstaven van de AVG zijn heel andere dan die van het EVRM. De vraag had dus moeten zijn of de wetgeving voldoet aan de AVG, en daarnaast of die ook voldoet aan het EVRM.1 Dat zijn twee verschillende beoordelingskaders. De AVG beschermt privacy aan de hand van een reeks specifieke instructienormen; het EVRM laat veel beoordelingsruimte aan overheden, maar vraagt vooral om een wettelijke grondslag, een legitiem doel en (kort gezegd) een goede belangenafweging. De rechter rechtvaardigt zijn aanpak met de opmerking dat het EVRM niet minder bescherming biedt dan de AVG, maar dat overtuigt niet. Die komt op ons vooral over als de vaststelling dat een appel niet minder gezond is dan een peer en het daarom niet nodig is te kijken waar het recept ook alweer precies om vroeg.
Bijkomend probleem is dat de rechter slechts een klein deel van het beoordelingskader van de AVG gebruikt. De rechter toetst voornamelijk aan de beginselen transparantie, doelbinding en dataminimalisatie van artikel 5 AVG, terwijl de AVG een veel omvangrijker beschermingskader biedt. Alleen al artikel 5 AVG vereist bijvoorbeeld ook een toets op rechtmatigheid, behoorlijkheid en opslagbeperking. Ook artikel 6 AVG, dat voorziet in een invulling van een rechtmatige verwerking van persoonsgegevens laat de rechter links liggen. Hij lijkt te menen dit geen probleem is, omdat hij strikt genomen de SyRI-wetgeving toetst aan het EVRM en niet aan de AVG. Onduidelijk blijft echter waarom hij de rest van de AVG hier kennelijk irrelevant acht.
Er zijn nog twee stappen waar de rechter wel heel makkelijk overheen stapt. Welhaast in een bijzin schrijft hij: “De rechtbank deelt het standpunt van de Staat dat de nieuwe technologische mogelijkheden ter voorkoming en bestrijding van fraude moeten (cursivering auteurs) worden benut.” Die opmerking lijkt hij geen diepere lading mee te willen geven, maar dat heeft ze wel. Een van de principiële vragen achter de zaak is immers precies wat de rol van geautomatiseerde besluitvorming zou moeten zijn bij bijvoorbeeld fraudeopsporing. Ons lijkt niet zonder meer gegeven dat een dergelijk systeem daarvoor gebruikt moet worden.
Iets soortgelijks geldt voor de rechtsgevolgen die de rechtbank verbindt aan de strijdigheid van artikel 65 Wet SUWI met het EVRM. Een detail is dat hij de Wet SUWI gedeeltelijk onverbindend verklaart, terwijl het rechtsgevolg waar artikel 94 Grondwet om vraagt toch echt niet-toepassing is, en dat niet hetzelfde is. Van groter belang is dat onduidelijk blijft waarom de rechtbank de hieraan gekoppelde vordering dat de verzamelde gegevens moeten worden vernietigd afwijst. Kennelijk volgt uit de onrechtmatigheid van de grondslag waarop de gegevens zijn verzameld niet dat het bestaan van de gegevensverzameling zelf ook onrechtmatig is. Dat, terwijl de AVG expliciet een rechtmatige grondslag vereist. Ook hier zou tenminste een nadere motivering op zijn plaats zijn geweest.
Slot
Hoewel de rechtbank het SyRI-systeem met een kritische houding benadert is de uitspraak uiteindelijk teleurstellend. De zaak was een mooie kans om richting te geven aan de wijze waarop de overheid moet omgaan met geautomatiseerde besluitvorming, terwijl we nu vrezen dat de discussie vooral gaat over relatief ondergeschikte punten. De conclusie van de Staat zou wel eens kunnen zijn dat volstaan kan worden met relatief eenvoudige reparatiewetgeving, terwijl het probleem mogelijk groter is. Op basis van deze zaak komen we daar echter niet achter en dat is een gemiste kans.
mr. Michiel Duchateau is universitair docent staatsrecht aan de Rijksuniversiteit Groningen. mr. Trix Mulder BA is PhD Researcher aan de Rijksuniversiteit Groningen.
[1] De relatie tussen het Handvest en het EVRM laten we hier terzijde.