Wat is SyRI?

/in

SyRI, is dat niet de spraakherkenning van de iPhone? Nee, dat is ‘Siri’. Híer hebben we het over SyRI (Systeem Risico Indicatie): een systeem van de overheid dat persoonsgegevens van burgers aan elkaar koppelt, bedoeld om verschillende vormen van fraude, misbruik en overtredingen op te sporen.

Met technieken van inlichtingendiensten – zoals datamining en patroonherkenning – wordt de handel en wandel van burgers gevolgd en geanalyseerd, en worden er risicoprofielen van burgers gemaakt. SyRI is vergelijkbaar met het profileren van potentiële criminelen. In principe is iedereen bij voorbaat verdacht.

Waarom mag het, en sinds wanneer?

SyRI is een uitwerking van de wet SUWI (Structuur Uitvoeringsorganisaties Werk en Inkomen). Deze wet werd aangenomen in 2013.

In 2014 werd min of meer geruisloos een besluit over SyRI aan de SUWI-wet toegevoegd. In de wandeling wordt dit wel ‘het SyRI-besluit’ genoemd, maar formeel gezien is het een extra hoofdstuk in het zogenaamde SUWI-besluit. Op 12 september 2014 trad dit SyRI-besluit (zoals we het gemakshalve maar zullen blijven noemen) in werking, ondanks grote bezwaren van het toenmalige College Bescherming Persoonsgegevens en de Raad van State. Minister Asscher legde hun adviezen op belangrijke punten naast zich neer. Ook het verzoek om burgers meer inzicht te geven in wat er met hun gegevens gebeurt, werd niet ingewilligd.

Formeel bestaat SyRI dus sinds 2014. Maar eigenlijk bestaat de SyRI-werkwijze al sinds 2008, toen – bij wijze van proef – de zogenaamde Blackbox-methode geïntroduceerd werd. Daarover straks meer.

Wat wordt er allemaal gekoppeld?

Volgens het officiële Besluit SUWI kan SyRI de volgende soorten gegevens aan elkaar koppelen:

  • arbeidsgegevens
  • boetes en sancties
  • fiscale gegevens
  • gegevens over roerende en onroerende goederen
  • handelsgegevens
  • huisvestingsgegevens
  • identificerende gegevens
  • inburgeringsgegevens
  • nalevingsgegevens
  • onderwijsgegevens
  • pensioengegevens
  • reïntegratiegegevens
  • schuldenlastgegevens
  • gegevens over uitkeringen, toeslagen en subsidies
  • vergunningen en ontheffingen

Een hele waslijst dus. En volgens privacy-juristen kan hij nog gemakkelijk aangevuld worden met nog veel meer gegevens, ook al worden die niet met name genoemd. Omdat ze gemakkelijk onder de wél genoemde items kunnen vallen, zoals  water- en energieverbruik.

Je kunt je afvragen wat er eigenlijk níet gekoppeld wordt. Volgens de Raad van State, die in 2014 een negatief advies uitbracht over SyRI, is er “nauwelijks een persoonsgegeven te bedenken dat niet voor verwerking in aanmerking komt”. Het is een “vergaande beperking van de persoonlijke levenssfeer”. En: “De opsomming lijkt niet bedoeld om in te perken, maar om zo veel mogelijk armslag te hebben,” aldus de Raad van State.

Koppeling volgens de ‘Blackbox-methode’

SyRI maakt gebruik van de zogenaamde ‘Blackbox-methode’. Eerst even de achtergrond daarvan. Daarna de methode zelf, en hoe die werkt.

Gegevensbestanden mogen niet zomaar aan elkaar gekoppeld worden. Omdat daardoor niet alleen ‘verdachte personen’ maar ook ónverdachte personen geanalyseerd en geprofileerd kunnen worden.

Tot 2008 gebeurde dat analyseren en profileren nog wél, onder andere in het project Waterproof, waarbij uitkeringsfraude werd opgespoord op basis van waterverbruik. De Autoriteit Persoonsgegevens (destijds het CBP) maakte daar bezwaar tegen. Daarom werd toen de Blackbox-methode ontwikkeld, om data ‘anoniem’ te kunnen koppelen en analyseren.

‘Anoniem’ tussen aanhalingstekens, omdat de gegevens niet echt geanonimiseerd worden, maar gepseudonimiseerd. Ze worden dus niet helemaal ontdaan van hun naam, maar vervangen door een pseudoniem, bijvoorbeeld een getal. Vervolgens kan dat pseudoniem weer terugvertaald worden naar de bijbehorende naam. De fase waarin gegoocheld wordt met gepseudonimiseerde gegevens, is een zwarte doos (black box).

SyRI maakt gebruik van deze Blackbox-methode. Dat werkt dus ongeveer zo:

  • de bestanden die gekoppeld moeten worden, worden eerst gepseudonimiseerd;
  • vervolgens vindt de koppeling plaats, gevolgd door een analyse;
  • daar rollen dan de mogelijke fraudegevallen uit;
  • die mogelijke fraudegevallen worden weer van hun oorspronkelijke naam voorzien.

In feite bestaat SyRI dus al sinds 2008, alleen heette het systeem toen anders, namelijk ‘Black Box’.

SyRI in de praktijk

SyRI kan officieel gebruikt worden door:

  • gemeenten;
  • het UWV (Uitvoeringsinstituut Werknemersverzekeringen);
  • de Sociale Verzekeringsbank (die o.a. de AOW en de kinderbijslag uitkeert);
  • de Inspectie SZW (voorheen de Sociale Inlichtingen- en Opsporingsdienst);
  • de Belastingdienst.

Het bovenstaande lijstje staat in de wet SUWI (artikel 64). Maar volgens privacy-juristen kan de lijst in werkelijkheid nog uitgebreid worden met meer instanties.

De officiële procedure is als volgt:

  1. twee of meer van de bovengenoemde partijen – die we hierna ‘de vragende organisaties’ zullen noemen – sluiten een ‘samenwerkingsverband’, en verzoeken het ministerie van SZW om een risicoanalyse uit te voeren;
  2. de Stichting Inlichtingenbureau (‘Informatieknooppunt Gemeenten’) verwerkt de aangeleverde gegevensbestanden volgens de Blackbox-methode (zie boven);
  3. de potentiële hits – oftewel de resultaten die op een verhoogd risico duiden – worden teruggeleverd aan de Inspectie SZW. (Officieel worden ze teruggeleverd aan ‘de minister’, maar die houdt zich daar niet persoonlijk mee bezig natuurlijk);
  4. de Inspectie SZW analyseert de potentiële hits, bepaalt welke gegevens voor een risicomelding in aanmerking komen, en verstrekt ze daarna aan de vragende organisaties (of de politie, of het OM). Mogelijk kunnen er ook nog andere organisaties (of ‘bestuursorganen’) de risico-registraties raadplegen, dat is niet duidelijk;
  5. de vragende organisaties (of de politie of het OM) zijn verplicht om nader te onderzoeken of het echt om fraude gaat, voordat ze een sanctie (zoals een boete of een naheffing) kunnen opleggen;
  6. de risicomeldingen worden opgenomen in een register dat burgers op aanvraag kunnen inzien. Burgers worden niet automatisch op de hoogte gesteld van het onderzoek, en weten niet op grond waarvan ze verdacht zijn;
  7. het Inlichtingenbureau vernietigt direct alle resultaten die niet op een verhoogd risico duiden; het ministerie van SZW bewaart risicomeldingen maximaal 2 jaar. (Hoewel er volgens privacy-juristen situaties denkbaar zijn waarin de risicomeldingen langer bewaard kunnen worden dan 2 jaar.)

Wat levert het op?

De opbrengsten van SyRI zijn onduidelijk en oncontroleerbaar. Over de voorganger Black Box meldde het Ministerie van Sociale Zaken dat dat project van 2008 t/m 2014 zo’n € 21 miljoen had opgeleverd (aan naheffingen, boetes, teruggevorderde en beëindigde uitkeringen, en correcties op toeslagen). Dus € 21 miljoen over 6 jaar, oftewel een schamele € 3,5 miljoen per jaar. (Bron: Kamerbrief ‘Rapportage over SyRI-projecten’, 29 juni 2015)

Bronnen

Wet SUWI
http://wetten.overheid.nl/BWBR0013060/

Besluit SUWI (met name Hoofdstuk 5a over SyRI)
http://wetten.overheid.nl/BWBR0013267/

WRR-rapport: ‘Big Data in een vrije en veilige samenleving’ (WRR, 2016, p.56-58)
http://www.wrr.nl/fileadmin/nl/publicaties/PDF-Rapporten/rapport_95_Big_Data_in_een_vrije_en_veilige_samenleving.pdf

Volkskrant-artikel: ‘Burger wordt straks doorgelicht zoals profiel van crimineel wordt opgesteld’ (VK, 1 okt. 2014)
http://www.volkskrant.nl/politiek/burger-wordt-straks-doorgelicht-zoals-profiel-van-crimineel-wordt-opgesteld~a3759563

Peter Olsthoorn: ‘Big Data voor Fraudebestrijding’ (WRR, Working Paper 21, 2016)
http://www.wrr.nl/fileadmin/nl/publicaties/PDF-Working_Papers/WP_21_Big_Data_voor_fraudebestrijdingf.pdf

Kamerbrief ‘Rapportage over SyRI-projecten’ (Ministerie SZW, 29 juni 2015)
https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/kamerstukken/2015/06/29/kamerbrief-met-rapportage-over-syri-projecten/kamerbrief-met-rapportage-over-syri-projecten.pdf