Nooit meer een systeem als SyRI

Het vonnis in de SyRI-rechtszaak legt de inzet van digitale surveillance op burgers fundamenteel aan banden. Als er een opvolger van SyRI komt, moet dit systeem aan zulke strenge eisen voldoen dat het een wezenlijk ander karakter zou krijgen. Lees hier waarom we positief zijn over het vonnis.   

In hoeverre zijn onze doelen bereikt?

Het hoofddoel van de procedure was een verbod op SyRI. We wilden naast een verbod ook een juridisch precedent scheppen, door middel van een uitspraak waarin de rechtbank zou verklaren dat systemen als SyRI onverenigbaar zijn met het recht op privacy. Die laatste ambitie was een hoge. En hoewel de rechter niet al onze vorderingen heeft toegewezen, is ook ons tweede doel grotendeels geslaagd. Dit vonnis maakt helder dat een systeem met een insteek als SyRI onacceptabel is in een democratische rechtsstaat en niet meer kan worden ingevoerd.

De rechter haalde een streep door onze twee grootste pijnpunten: SyRI is een carte blanche in een black box. De carte blanche is de nauwelijks begrensde hoeveelheid data die SyRI kan gebruiken voor haar risico-analyses. Dit maakt het mogelijk om naar willekeur door het privéleven van burgers te grasduinen. SyRI is daarnaast een black box vanwege de volstrekte geheimhouding en oncontroleerbaarheid van wat binnen SyRI gebeurt. Ook de rechtbank had na de zitting op 29 oktober geen helder beeld van SyRI’s inhoudelijke werkwijze.

Het vonnis is gestoeld op fundamentele aspecten van het privacy- en gegevensbeschermingsrecht waarover de overheid erg gemakkelijk is heengestapt. Enerzijds miskent de SyRI-wetgeving het fundamentele recht van burgers om inzage te krijgen in wat de overheid met hun gegevens doet en hiertegen in verweer te komen. Daarnaast bevat de uitspraak belangrijke punten over dataminimalisatie waardoor de reikwijdte en verregaandheid van een eventuele SyRI-opvolger fors zal moeten worden ingeperkt.

Biedt dit vonnis ruimte voor SyRI-achtige systemen?

De rechter heeft SyRI onverbindend verklaard met hoger recht, waarmee de wetgeving moet worden geschrapt en de overheid terug moet naar de tekentafel. In de uitspraak is enige ruimte gelaten om in een toekomstig systeem elementen uit SyRI te behouden. Deze kunnen volgens de rechter blijven bestaan door transparantie te bieden over de werkwijze, door het gegevensgebruik af te bakenen en door onafhankelijk toezicht te organiseren. Er is dus wel degelijk sprake van reparatiemogelijkheden voor de overheid.

Zetten we alle eisen die de rechtbank stelt aan een opvolger van SyRI echter op een rijtje, zoals we hieronder zullen doen, dan blijft er na ‘reparatie’ weinig over van de oorspronkelijke opzet en werkwijze van SyRI. De eigenschappen die het systeem in de ogen van onze coalitie karakteriseerden als fundamenteel onrechtmatig, hebben de mensenrechtentoets niet doorstaan. Ze kunnen daarmee geen onderdeel zijn van toekomstige systemen. Daarmee kunnen we ook concluderen dat ons tweede doel van de rechtszaak is bereikt, namelijk het voor de overheid onmogelijk maken om ooit nog een systeem als SyRI in te voeren.

Wat zijn de belangrijkste winstpunten in dit vonnis?

Herstel van het transparantiebeginsel

Het SyRI-vonnis is een principiële uitspraak tegen geheime uitoefening van macht. Het gebrek aan inzichtelijkheid en controleerbaarheid loopt als een rode draad door het vonnis en ligt aan de basis van meerdere overwegingen om SyRI onverbindend te verklaren. Uit de passages rondom het transparantiebeginsel, dat de rechtbank “het leidende hoofdbeginsel van gegevensbescherming” noemt, blijkt dat de geheimhouding van SyRI’s werkwijze onhoudbaar is.

Voor een burger die door SyRI wordt doorgelicht, is volstrekt onduidelijk welke gegevens SyRI gebruikt voor haar analyse, welke combinaties daarbij worden gemaakt, hoe ver deze kunnen gaan en welke logica wordt gehanteerd bij het aanmerken van burgers als mogelijke fraudeurs. Door het gebrek aan deze informatie is het ook niet mogelijk om je als burger tegen een risicomelding te verweren.

Waar SyRI’s werking door het Ministerie van begin tot eind geheim is verklaard, stelt het vonnis juist dat de transparantieverplichting van de overheid zich uitstrekt tot alle burgers die SyRI doorlicht. Ook wanneer ze niet als ‘risico’ worden bestempeld , hebben burgers het recht te weten op welke gronden, op welke wijze en met welke gegevens zij zijn doorgelicht. Risicoprofilering moet net als iedere andere onderzoeksbevoegdheid die de overheid ter beschikking heeft, kunnen worden gecontroleerd. Een risicomelding is geen vrijblijvende voorselectie, maar heeft volgens de rechtbank een “aanmerkelijk effect op het privé-leven”.

Niet alleen stelt de rechter dat er transprantie moet zijn zodat de praktijken onder de motorkap inzichtelijk en controleerbaar zijn – een cruciaal vereiste in een democratische rechtsstaat – ook geeft het vonnis een aantal belangrijke ondergrenzen aan indien de overheid toch besluit om met data-analyses burgers te profileren.

Geen gegrasduin, maar dataminimalisatie

Het SyRI-vonnis bevestigt dat we er als burger vanuit moeten kunnen gaan dat de overheid niet naar willekeur kan grasduinen in persoonsgegevens die wij eerder voor een specifiek doel hebben afgestaan. Er mogen geen bulkcategorieën data ter beschikking worden gesteld om door te struinen, op zoek naar een mogelijke aanleiding om iemand nader te onderzoeken.

Van alle persoonsgegevens die de overheid wil koppelen, zal de noodzaak en reikwijdte voorafgaand moeten worden aangetoond. Daarvan is geen sprake bij de SyRI-wetgeving , die het karakter heeft van een blanco cheque. De 17 open geformuleerde datacategorieën die SyRI mag doorstruinen, bieden zo’n grote reikwijdte “dat er nauwelijks een persoonsgegeven te bedenken valt dat niet in aanmerking komt voor verwerking in SyRI”, een constatering die de rechtbank veelzeggend herhaalde uit het negatieve advies dat de Raad van State in 2013 gaf over de SyRI-wetgeving.

De bevoegdheid om ongecontroleerd data uit uiteenlopende bronnen samen te voegen, te analyseren en tegen burgers te gebruiken, zorgt ervoor dat de machtsbalans tussen burger en overheid scheef komt te liggen. Waar de overheid, bewapend met persoonsgegevens, risicomodellen en data-analyses een vrijwel onbeperkte bevoegheid heeft om het privéleven van burgers door te spitten, tast de burger als onderwerp van deze praktijken volledig in het duister over wat er kan gebeuren met data die op allerlei plekken over hem of haar worden bewaard en welke gevolgen dit kan hebben.

Als er een opvolger van SyRI komt, zal de wetgeving veel meer informatie moeten bevatten over welke persoonsgegevens de overheid met welk doel van plan is te koppelen. Dat dwingt de overheid haar bevoegdheden restrictief en gericht vorm te geven en maakt de impact ervan voorzienbaar en inhoudelijk aanvechtbaar voor burgers. Dat is een grote winst voor het vertrouwen dat burgers kunnen hebben in de rechtsstaat, omdat dit concrete mogelijkheden biedt om je te verweren tegen deze digitale vorm van overheidsmacht.

Privacy is essentieel voor het vertrouwen in de overheid

Om dat laatste thema is het ons in de eerste plaats te doen geweest: het vertrouwen dat burgers kunnen hebben in een rechtmatige omgang met hun persoonsgegevens. Dit vormde het uitgangspunt van onze procedure  en de publiciteitscampagne Bij Voorbaat Verdacht. We achten het van groot belang dat de rechtbank ook dit bezwaar van onze zijde heeft erkend. Met wetgeving als SyRI ontstaat de indruk dat alle persoonsgegevens die je als burger ergens achterlaat, zonder aanleiding op heimelijke wijze tegen je kan worden gebruikt. Een recept voor wantrouwen.

De rechtbank bevestigt in het vonnis het belang van fraudebestrijding: burgers moeten erop kunnen vertrouwen dat sociale voorzieningen bij burgers terechtkomen die daar werkelijk recht op hebben. Daartegenover stelt het vonnis echter: “Het bestaan van adequate wettelijke privacybescherming bij de uitwisseling van persoonsgegevens door (overheids)instanties draagt bij aan het vertrouwen van de burger in de overheid, net zo zeer als het voorkomen en bestrijden van fraude dat doet.”

Door deze twee zaken zo nadrukkelijk tegenover elkaar te stellen, wordt temeer duidelijk dat in het geval van SyRI de balans is doorgeslagen richting het belang van fraudebestrijding, en dat het belang van rechtsbescherming in de vorm van een controleerbare en verantwoorde omgang met persoonsgegevens is miskend. De rechtbank stelde ons in het gelijk in het standpunt dat hierdoor een chilling effect optreedt: “Zonder vertrouwen in voldoende privacybescherming zullen burgers minder snel gegevens willen verstrekken of zal daarvoor minder draagvlak bestaan.”

Ter conclusie

Het valt moeilijk in te zien hoe met dit vonnis nog een SyRI-achtig systeem kan worden opgetuigd. Het invoeren van een systeem dat op bovenstaande punten wezenlijke overeenkomsten met SyRI kent, zou een miskenning zijn van alle fundamentele overwegingen die de rechtbank in haar uitspraak maakt. Het is simpelweg niet geoorloofd om over fundamentele eisen als transparantie, controleerbaarheid van de macht en dataminimalisatie heen te stappen.

Mocht er echter onverhoopt wel een opvolger van SyRI worden opgetuigd, dan kunnen we dit systeem toetsen aan de eisen van inzichtelijkheid en controleerbaarheid die dit vonnis stelt. De SyRI-uitspraak is een pleidooi voor transparantie en controleerbaarheid van de macht. Het SyRI-vonnis maakt het mogelijk om de rechtmatigheid, noodzaak en reikwijdte van data-analyses inhoudelijk te beoordelen. Mochten we constateren dat de werking van een nieuw systeem nog steeds de privacy van burgers schendt, dan kunnen we ons daar inhoudelijk tegen verweren.

Links:
Raadpleeg hier het volledige vonnis van de rechtbank Den Haag.