Rechtbank zet een streep door SyRI en trekt grens voor de toekomstige inzet van algoritmes door de overheid

10-02-2020

ECLI:NL:RBDHA:2020:865

Dennis van Tilborg

Het gebruik van (voorspellende) algoritmes staat in het middelpunt van de (politieke) belangstelling. Enerzijds zijn er hooggespannen verwachtingen van de toegevoegde waarde die het gebruik van dergelijke algoritmes kan hebben voor effectiviteit, de efficiëntie en de betrouwbaarheid van het handelen van de overheid. Daar staan echter ook zorgen tegenover, onder andere over de mogelijke negatieve gevolgen die de (grootschalige) inzet van algoritmes voor de grondrechten van burgers kunnen hebben.

Een aantal maatschappelijke organisaties, zoals de FNV en het Nederlands Juristen Comité voor Mensenrechten heeft een proces gevoerd tegen de Staat over het Systeem Risico Inventarisatie (SyRI). Kortom, een systeem waarbij overheidsinstanties gegevens kunnen delen en analyseren om bijvoorbeeld te bepalen bij welke personen een verhoogd risico op uitkeringsfraude bestaat. De inzet van het proces betrof niet alleen SyRI, maar ook het uitlokken van een principiële uitspraak van de rechter over de toelaatbaarheid van dergelijke systemen in het algemeen. De rechtbank Den Haag heeft vorige week uitspraak gedaan in dat proces en een streep gezet door de SyRI-wetgeving.(1) In deze blog probeer ik de kern van uitspraak te schetsen en kort de bredere consequenties van de uitspraak te bespreken.

Wat is SyRI (ook alweer)?

SyRI is een wettelijk systeem met als doel het voorkomen en bestrijden van oneigenlijk gebruik, fraude en de niet-naleving van wetgeving op het terrein van onder andere sociale zekerheid, belastingen en arbeidswetgeving. Met dit systeem kunnen verschillende (overheids)instanties (zoals de gemeente, het UWV en de Belastingdienst) gegevens delen met het doel die gegevens te koppelen en vervolgens te analyseren. Welke gegevens dat kunnen zijn staat in de wet. Het gaat daarbij om een hele waslijst aan gegevens, zoals schuldenlastgegevens, uitkeringsgegevens, arbeidsgegevens, zorgverzekeringsgegevens etc. De aangeleverde gegevensbestanden (de input) worden vervolgens gekoppeld en aan de hand van risico-indicatoren en een risicomodel geanalyseerd. De output van SyRI bestaat uit risicomeldingen. Een risico-melding betekent dat een bepaalde persoon ‘onderzoekswaardig’ is in verband met mogelijke fraude, onrechtmatig gebruik of niet-naleving van wetgeving. In de SyRI-wetgeving zijn verschillende waarborgen opgenomen om aantasting van de persoonlijke levenssfeer van betrokkenen zoveel mogelijk te voorkomen. Een SyRI-project mag bijvoorbeeld pas starten als de minister dat project heeft goedgekeurd. Om die goedkeuring te krijgen moet het verzoek aan verschillende eisen voldoen. Een van die eisen is dat moet worden aangetoond dat iedere deelnemende overheidsinstantie heeft getoetst welke gegevens noodzakelijk zijn in het licht van het doel van het project. Verder moet er aangetoond kunnen worden dat er in redelijkheid geen minder ingrijpende wijze gehanteerd kan worden om het doel te bereiken.

Wat is het oordeel van de rechtbank?

SyRI raakt aan het recht op respect voor het privéleven
NJCM vindt dat de SyRI-wetgeving een ontoelaatbare inbreuk maakt op de persoonlijke levenssfeer. De rechtbank beoordeelt daarom of de SyRI-wetgeving voldoet aan artikel 8 van het EVRM (Europees Verdrag voor de Rechten van de Mens). Dit artikel bepaalt dat iedereen recht heeft op respect voor zijn privéleven. De overheid mag alleen een inbreuk op dat privéleven (waar ook het recht op een persoonlijke identiteit onder valt) maken als de inbreuk i) bij wet is voorzien en ii) noodzakelijk is in een democratische samenleving. Die tweede eis (noodzakelijk in een democratische samenleving) betekent onder andere dat er een ‘fair balance’ moet bestaan tussen de doelen van de SyRI-wetgeving en de inbreuk op het privéleven die de wetgeving oplevert.

De betekenis van de AVG voor deze zaak?
De rechtbank constateert dat de AVG in werking is getreden en dat daarin een aantal beginselen voor de verwerking van persoonsgegevens is vastgelegd: het transparantiebeginsel, het doelbindingsbeginsel, het beginsel van dataminimalisatie, het juistheidsbeginsel en het beginsel van integriteit en vertrouwelijkheid en het verantwoordingsbeginsel. Volgens de rechtbank is het recht op respect voor het privéleven zo nauw verbonden met de bescherming van iemands persoonsgegevens dat aan de beginselen uit de AVG een belangrijke rol spelen om te bepalen of de SyRI-wetgeving een ontoelaatbare inbreuk op het privéleven van de betrokkenen maakt.

Hoe ernstig is de inbreuk die op het privéleven van de betrokkenen wordt gemaakt?
Om te kunnen bepalen of de inbreuk die SyRI op het privéleven maakt door de beugel kan moet eerst worden vastgesteld hoe ernstig die inbreuk is. Hoewel de rechtbank het niet met zoveel woorden zegt, lijkt de rechtbank SyRI als een behoorlijk ernstige inbreuk op het privéleven te zien. De rechtbank wijst namelijk op de volgende kenmerken van SyRI:

  1. Er kan sprake zijn van het verwerken van grote hoeveelheden gegevens afkomstig uit veel verschillende bronnen;
  2. Er bestaan weliswaar geen aanwijzingen dat er op dit moment sprake is van ‘deep learning' (2) of dat er risicoprofielen worden ontwikkeld, maar de wetgeving laat wel de ruimte om een risicomodel te ontwikkelen waarbij dat wel het geval is;
  3. Het risicomodel, de risico-indicatoren en de in een project gebruikte gegevens zijn geheim;
  4. Betrokkenen worden er niet over geïnformeerd dat hun gegevens worden verwerkt of dat er een risicomelding is gedaan en
  5. Een risicomelding kan voor de betrokkene een aanmerkelijk effect op zijn of haar privéleven hebben.

Voldoet de SyRI-wetgeving aan de eisen die het EVRM stelt?
Vervolgens gaat de rechtbank na of de SyRI-wetgeving een ontoelaatbare inbreuk maakt op het recht op respect voor het privéleven. De rechtbank toetst daarom aan de twee eisen die het EVRM stelt, namelijk of SyRI ‘bij wet is voorzien’ en of SyRI ‘noodzakelijk is in een democratische samenleving’. De rechtbank laat in het midden of aan de eerste eis (‘voorzien bij wet’) wordt voldaan en stoot direct door naar de eis dat de SyRI-wetgeving noodzakelijk moet zijn in een democratische samenleving. Volgens de rechtbank wordt niet aan deze eis voldaan.

De rechtbank vindt dat de overheid door de ontwikkeling van nieuwe technologieën meer digitale mogelijkheden heeft gekregen om bestanden te koppelen en daar met toepassing van algoritmen verbanden tussen te zoeken. Het gebruik van dergelijke technieken kan diep ingrijpen in de persoonlijke levenssfeer van de betrokkenen, waarbij het voor de betrokkenen moeilijk te overzien is wat dat effect precies in. Daarom heeft volgens de rechtbank de overheid een bijzondere verantwoordelijkheid bij de introductie van systemen zoals SyRI. Die bijzondere verantwoordelijkheid betekent concreet dat de overheid in de wetgeving voldoende waarborgen moet opnemen om misbruik en willekeur tegen te gaan. De rechtbank vindt dat de wetgever in de SyRI-wetgeving onvoldoende van die waarborgen heeft opgenomen en daarom haar bijzondere verantwoordelijkheid onvoldoende waar heeft gemaakt. De rechtbank mist meer specifiek:

  1. Informatie over de objectieve feitelijke gegevens die tot de conclusie kunnen leiden dat er sprake is van een verhoogd risico;
  2. Informatie die betrekking heeft op de werking van het risicomodel (zoals de gebruikte algoritmes) en de risico-indicatoren. Niet duidelijk is daarom hoe een betrokkene zich kan verzetten tegen het feit dat er een risicomelding is gedaan of kan controleren of zijn of haar gegevens op juiste gronden zijn verwerkt. Er is ook niet voorzien in andere waarborgen die het gebrek aan transparantie kunnen compenseren en
  3. Een integrale toetsing vooraf door een onafhankelijke derde met als doel te beoordelen of de inmenging in het privéleven vanwege alle bestanden die in dat project gekoppeld worden noodzakelijk, evenredig en subsidiair is gelet op de specifieke doelstelling van dat project.

Hoe valt de uitspraak te waarderen?

Het is nog te vroeg om definitieve conclusies te trekken over de uitspraak van de rechter. Een van de belangrijkste taken van een rechter in onze rechtsstaat is het bieden van rechtsbescherming tegen de overheid en het is duidelijk dat de rechtbank die taak in dit geval zeer serieus heeft genomen. Bijvoorbeeld door aan te nemen dat er voor de overheid bij het introduceren van systemen zoals SyRI een bijzondere verantwoordelijkheid bestaat. Bovendien heeft de rechtbank vrij indringend getoetst wat de wetgever allemaal wel en niet heeft gedaan om aan die verantwoordelijkheid te voldoen. Daarbij heeft de rechtbank zich niet beperkt tot de manier waarop SyRI op dit moment functioneert. De rechtbank heeft ook laten meewegen dat de SyRI-wetgeving de overheid de ruimte laat om nog een verdere inbreuk op de privacy van de betrokkenen te maken. De uitspraak van de rechter moet vanuit het perspectief van de rechtsbescherming van de burger dan ook positief worden gewaardeerd. Omdat de rechter de verantwoordelijkheid van de overheid in deze zaak behoorlijk principieel insteekt en vrij indringend het handelen van de overheid heeft getoetst sluit ik overigens hoger beroep van de Staat niet uit. Al was het maar om aan de hogere rechter de vraag voor te leggen of de verantwoordelijkheid van de Staat inderdaad zo ver gaat als de rechtbank heeft aangenomen.

Wat zijn de gevolgen van de uitspraak?

Bijzondere verantwoordelijkheid overheid
De rechtbank heeft de SyRI-wetgeving onverbindend verklaard. Dat betekent dat de wettelijke basis voor SyRI is komen te vervallen en dat SyRI niet meer kan worden toegepast. De gevolgen van de uitspraak lijken echter ook breder te zijn. De rechtbank heeft namelijk geoordeeld dat er op de overheid een bijzondere verantwoordelijkheid rust als er met behulp van nieuwe technologieën gegevens worden verzameld en geanalyseerd. Die bijzondere verantwoordelijkheid houdt in dat dergelijke vormen van ‘datagedreven’ werken alleen zijn toegestaan als er wordt voorzien in voldoende waarborgen om aantasting van de persoonlijke levenssfeer van de betrokkenen en discriminatie te voorkomen. De rechtbank lijkt als waarborgen in ieder geval voldoende transparantie en onafhankelijke toetsing vooraf te beschouwen.

Richtlijnen toepassen van algoritmes door overheden
De door de rechtbank genoemde waarborgen stemmen niet zonder meer overeen met de waarborgen die het kabinet in de recent gepubliceerde ‘Richtlijnen voor het toepassen van algoritmes door overheden’ heeft gepresenteerd. In de richtlijnen wordt weliswaar het belang van transparantie ook benadrukt, maar het lijkt hier vooral te gaan over uitlegbaarheid in begrijpelijke taal van de procedures die door het algoritme gevolgd worden en (achteraf) van de specifieke beslissingen die zijn genomen. Het kabinet lijkt er op grond van de richtlijnen geen voorstander van om ook transparant te zijn over het risicomodel en de risico-indicatoren. In de richtlijnen wordt er meerdere keren op gewezen dat er juist belang kan bestaan bij het niet (vooraf) verstrekken van informatie over deze onderwerpen omdat personen dan hun gedrag daarop zouden kunnen aanpassen om onder de radar te blijven (‘gaming the system’). Op dat risico heeft de Staat in de SyRI-procedure ook gewezen, maar de rechtbank was van dat argument niet van onder de indruk.

Gebrek aan wettelijke waarborging
Hier doemt de – in ieder geval voor bestuursrechtjuristen – bekende tegenstelling tussen het recht als waarborg en het recht als instrument op. Het waarborgkarakter van het recht vraagt (in ieder geval volgens de rechtbank) in beginsel om de nodige transparantie vooraf, terwijl het instrumentele karakter juist aan bepaalde transparantie (vooraf) in de weg kan staan.

Is er een uitweg uit deze impasse denkbaar? Wellicht dat (de weg naar) die uitkomst al in de uitspraak van de rechtbank kan worden gevonden. De rechtbank oordeelt namelijk dat inzicht ontbreekt in de risico-indicatoren en het risicomodel en er ook geen sprake is van wettelijke waarborgen die dit gebrek aan inzicht compenseren. In gevallen waarin de overheid het risico van gaming the system zou willen voorkomen moet derhalve worden gezocht naar ‘compenserende maatregelen’. Wat die compenserende maatregelen zouden moeten zijn daar laat de rechtbank zich – begrijpelijkerwijs – niet over uit. Zelf denk ik dat een compenserende maatregel bijvoorbeeld zou kunnen zijn een verplichte toetsing door de onafhankelijke rechter of een toezichthouder (bijvoorbeeld de Autoriteit Persoonsgegevens) voordat met een specifiek project kan worden gestart. De rechter of de toezichthouder zouden daarbij uiteraard wel inzicht dienen te hebben in zaken zoals het te hanteren risicomodel en de risico-indicatoren. Een andere compenserende maatregel zou technisch van aard kunnen zijn en eruit kunnen bestaan dat algoritmes zodanig worden vormgegeven en gebruikt dat verzekerd is dat achteraf kan worden nagegaan welk analyseproces is doorlopen, welke algoritmes zijn gebruikt en welke datasets zijn gebruikt. In de door mij voorgestelde toetsing vooraf zou ook kunnen worden nagegaan of er daadwerkelijk is voorzien in voldoende technische waarborgen om achteraf de gebruikte gegevens en de analyses effectief te kunnen controleren.

Voetnoten

(1) https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBDHA:2020:865

(2) Opmerkelijk is dat de rechtbank dit begrip kennelijk wel van belang vindt voor de beoordeling maar niet uitlegt wat zij daaronder verstaat. Algoritmes kunnen zelflerend zijn wat zoveel wil zeggen als dat de algoritmes leren van eerdere ervaringen waardoor hun voorspellende kracht groter wordt. Er wordt ook wel van (een vorm van) machine learning gesproken. De zelflerende algoritmes kunnen weer onderverdeeld worden in supervised learning (er is sprake van bestaande data en bestaande antwoorden en het gaat erom daartussen een verband te zoeken) en unsupervised learning (waar de antwoorden niet op voorhand gegeven worden). Binnen het gebied van supervised learning zijn er verschillende soorten technieken om de verbanden tussen de data en de antwoorden te vinden. Een meer complexe techniek betreft deep learning, waarbij het ‘diepe’ erop ziet dat er tussen de data en de antwoorden meerdere lagen worden aangebracht die met knooppunten met elkaar zijn verbonden en het algoritme tussen die knopen heen en weer beweegt. Zie hierover uitgebreid: J. Wolswinkel, Willekeur of algoritme, laveren tussen analoog en digitaal bestuursrecht (inaugurele rede), Tilburg 2020, p. 15-26.


Meer artikelen van AKD

bron: AKD

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer