| Ingediend | 7 oktober 2014 |
|---|---|
| Beantwoord | 3 november 2014 (na 27 dagen) |
| Indieners | Steven van Weyenberg (D66), Gerard Schouw (D66) |
| Beantwoord door | Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA) |
| Onderwerpen | recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2014Z17449.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20142015-429.html |
Zie mijn onderstaande antwoorden.
De databestanden zijn gekoppeld en geanalyseerd binnen de kaders van de Wbp, de WWB en de Wet SUWI.
Voor het koppelen van bestanden met persoonsgegevens is een wettelijke basis noodzakelijk. De belangrijkste regels voor de omgang met persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Op grond van artikel 8 Wbp mogen persoonsgegevens alleen worden verwerkt als hiervoor een in dit artikel genoemde verwerkingsgrond aanwezig is. Artikel 8, sub c respectievelijk e, van de Wbp geeft een grondslag om persoonsgegevens te verwerken ten behoeve van de fraudebestrijding. Persoonsgegevens mogen worden verwerkt indien de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is en indien de gegevensverwerking noodzakelijk is voor de goede vervulling van de publiekrechtelijke taak. De Wet werk en bijstand (WWB) en de Wet Structuur uitvoering werk en inkomen (SUWI) stellen regels voor bestandskoppeling in het sociale zekerheidsdomein. In artikel 64 van de WWB en in artikel 54 van de wet SUWI wordt een aantal bronnen genoemd op grond waarvan gegevensbestanden kunnen worden gekoppeld.
De «Black box» was een systeem waarmee binnen een beveiligde omgeving persoonsgegevens werden versleuteld en gekoppeld om risicoprofielen te ontwikkelen. Op basis hiervan werden signalen gegenereerd over personen of ondernemingen met een hoog risico op fraude. De zogenaamde risicomeldingen werden nader onderzocht. Het aantal fraudegevallen dat hiermee is opgespoord is niet in geaggregeerde vorm beschikbaar.
De op basis van de «Black Box» gegenereerde risicomeldingen hadden als zodanig geen rechtsgevolgen voor burgers. Partijen mochten de risicomeldingen niet zomaar gebruiken. Zij zijn verplicht te onderzoeken of de desbetreffende persoon of bedrijf de regels daadwerkelijk heeft overtreden. Pas nadat dit is geconstateerd, kan een sanctie worden opgelegd. Voor zover mij bekend is er geen onwettig verkregen bewijsmateriaal gebruikt bij het vaststellen van fraude. Zie ook het antwoord op vraag 2.
De Wbp is een wet met open normen. Belangrijk criterium is dat de gegevensuitwisseling expliciet bijdraagt aan en noodzakelijk is voor de uitvoering en handhaafbaarheid van de wettelijke regels, te weten het rechtmatig verstrekken van de uitkering en het bestrijden van fraude. Voorts moet voldaan worden aan de beginselen van proportionaliteit en subsidiariteit.
De Wbp is sinds 1 september 2001 van kracht. Op 8 oktober 2003 heeft een aantal partijen2 zich verenigd in de Landelijke Stuurgroep Interventieteams (LSI) en een convenant gesloten om gezamenlijk interventieteamprojecten op te starten. In deze interventieteams werken partijen samen aan het bestrijden van fraude op het gebied van belastingen en sociale zekerheid, uitbuiting en illegale tewerkstelling. Omdat de LSI zoekende was over de toepassing van de open normen van de Wbp, heeft het CBP de LSI tot 2007 op verzoek geadviseerd. Dit laat onverlet dat de verantwoordelijkheid om de wet- en regelgeving na te leven bij partijen blijft. Het CBP houdt toezicht op de naleving van wet- en regelgeving die ziet op de verwerking van persoonsgegevens en heeft de mogelijkheid ambtshalve onderzoek te doen en sancties op te leggen.
Bij brief van 23 december 20053 heeft Staatssecretaris Van Hoof de Tweede Kamer geïnformeerd over de mogelijkheden tot gegevensuitwisseling in het kader van de ontsluiting van gegevensbronnen in het kader van handhaving en het overleg met het CBP dat hij hierover heeft gehad.
Het CBP heeft in september 2006 de «Notitie fraudebestrijding door bestandskoppeling»vastgesteld. Het CBP geeft aan deze notitie te gebruiken bij de toetsing van nieuwe voorstellen en beschrijft drie niveaus van controle op sociale zekerheidsfraude, te weten:
De interventieteamprojecten vallen onder niveau 2. Het CBP geeft hierover aan dat bestandskoppelingen waarbij een hele populatie op individueel niveau wordt gecontroleerd, met behulp van risicoprofielen moeten worden ingericht. Omdat deze risicoprofielen nog moesten worden ontwikkeld, is met het CBP overeengekomen dat deze zouden worden ontwikkeld met het systeem van de «Black Box». Op deze wijze was het mogelijk om het koppelen van bestanden en de werkwijze van de interventieteams binnen de kaders van de Wbp te laten plaatsvinden. Tot slot ontvangt het CBP van elk interventieteamproject een melding. Deze melding bevat een overzicht van alle gegevens die ten behoeve van de uitvoering van dat project worden samengebracht en gekoppeld.
Bij de vormgeving van de «Black Box» is rekening gehouden met de kaders die in de «Notitie fraudebestrijding door bestandskoppeling» zijngesteld. Het CBP heeft ambtshalve onderzoek uitgevoerd naar de «Black Box». In juni 2010 publiceerde het CBP zijn conclusie dat op onderdelen in strijd met de wet was gehandeld. Er was geen beveiligingplan opgesteld, gegevens werden langer bewaard dan noodzakelijk en personen die onderdeel waren van de bestandskoppeling waren niet geïnformeerd. Het CBP heeft aansluitend een last onder dwangsom gegeven. De Minister van SZW is tegen dit besluit in bezwaar gegaan en het bezwaar is gegrond verklaard omdat inmiddels was gestopt met het maken van risicoprofielen.
De techniek van het pseudoniem koppelen van gegevens is voorts doorontwikkeld door het Inlichtingenbureau (IB). Hierbij is rekening gehouden met de bezwaren van het CBP. Er is een beveiligingsplan opgesteld en de bewaartermijnen zijn aangepast. Voorts worden eventuele betrokkenen bij de start van een interventieteamproject via huis- aan huisbladen op de hoogte gesteld van het feit dat een interventieteamproject wordt gestart in de wijk of stad. De individuele burger wiens persoonsgegevens worden verwerkt of in een risicomelding worden opgenomen, wordt niet persoonlijk geïnformeerd over die gegevensverwerking. Niet alleen zou dit een onevenredige inspanning vergen van de overheid, maar het zou ook de modus operandi vrijgeven waaraan calculerende burgers hun gedragingen zouden kunnen aanpassen.