Alweer geruime tijd geleden moest ik mijn paspoort vernieuwen. Ik maakte online een afspraak. Op de dag zelf stapte ik het stadskantoor binnen en keek in de grote vriendelijke ogen van een witte robot. Deze robot stelde mij een aantal vragen. Had ik een afspraak gemaakt? Waarvoor? Mijn antwoorden kon ik geven aan de hand van een aantal standaardmogelijkheden. Daarmee lukte het me om een nummer te krijgen voor de balie waar ik terecht kon. Nog wel bij een ambtenaar “van vlees en bloed”, die mijn aanvraag behandelde. Onlangs was ik weer op het stadskantoor, dit keer voor een nieuw rijbewijs. Geen robot te zien, wel plexiglazen schermen, looproutes en ontsmettingsmiddel. Eigenlijk best apart dat die robot er nu niet is, dacht ik, nu afstand houden de nieuwe standaard is geworden. Zou de overheid met de uitdagingen van de “anderhalvemetersamenleving” misschien meer inzet van robots overwegen? Daarbij dacht ik al snel aan de niet-bewapende “buitengewone opsporingsambtenaar”. Die boa’s hebben het niet altijd makkelijk. Dat bleek tijdens de corona-lockdown in IJmuiden, waar strandgasten op de vuist gingen met boa’s die het samenscholingsverbod moesten handhaven. Wat nou als de overheid robots laat handhaven? Hebben we straks te maken met een “Bijzondere Opsporingsrobot”, zeg maar de bor?
Het idee van de bor ging met me op de loop. Mensen picknicken in het park met meer personen dan volgens de corona-maatregelen toegestaan. Er komt een bor langs die de situatie bekijkt, foto’s maakt, uitlegt dat-dit-toch-echt-niet-de-bedoeling-is en uit zijn buik een boete print voor alle overtreders. Misschien lijkt het niet relevant of de bor of de boa de boete uitdeelt. Betalen moet je toch. Maar de bor met zijn camera’s, microfoons en sensoren legt allerlei gegevens vast. Waar gaan die gegevens naartoe, wie mag ernaar kijken, met welk doel? Hoe lang blijft dat materiaal bewaard? De echte boa ziet jou natuurlijk ook. Maar die vergeet jouw gezicht weer, terwijl de bor vastlegt met wie, waar en wat je aan het drinken was. En deze data deelt met de centrale post voor verder gebruik.
Die bor bestaat natuurlijk niet en ik zie het ook niet meteen technisch mogelijk worden. Maar problemen met het verzamelen en vastleggen van data zijn er wel, want de overheid slaat heel veel informatie over de burger op. Bovendien kan de overheid die informatie gemakkelijk combineren met andere gegevens en zo de burger flink in de tang nemen. Worden we binnenkort alleen nog door techniek gecontroleerd?
Je bent in beeld
Neem nou de camera’s in flitspalen. Daar is eigenlijk geen sprake meer van menselijke tussenkomst: flitskast neemt foto’s, het bureau in Leeuwarden koppelt jouw kenteken op de foto met jouw naam en adresgegevens en stuurt je een beslissing dat je in overtreding was, met het verzoek een boete te betalen. Alleen als je ertegen ingaat, komt er een mens aan te pas. Het onderwerp dat in de aandacht staat is de kentekenplaat op jouw auto. Misschien ben jij vaag achter een ruit te zien, maar in het algemeen is de impact op je persoonlijke levenssfeer nog te overzien. Ik bedoel: er blijkt misschien wel uit waar jouw auto was, maar daarmee is je doen en laten slechts indirect en beperkt vastgelegd.
Hoe anders was de situatie in Rotterdam tijdens de intelligente lockdown. De gemeente had voor tijdens het Eurovisie Songfestival twee auto’s voor crowd control gehuurd. Dat songfestival ging niet door, maar de wagens leken toch wel heel handig om het samenscholingsverbod in de openbare ruimte te controleren. De auto’s zonden camerabeelden van mensen op straat en in parken naar een centrale post. Ophef in de gemeenteraad, die wist van niets. De Autoriteit Persoonsgegevens, die toezicht houdt op naleving van de privacywetgeving in Nederland, stelde kritische vragen over grondslag, gebruik en de bewaartermijn. De gemeente beloofde een andere aanpak, maar intussen was de aanleiding (het samenscholings-verbod handhaven) voorbij. Maar het roept de vraag op: hebben we als burgers door hoe makkelijk het voor de overheid is om nieuwe technologieën, die de privacy beperken, in te zetten? Vaak niet.
Mag de overheid los met nieuwe techniek?
In veel gevallen heb jij als burger niet in de gaten dat jouw gegevens opnieuw en voor een ander doel worden gebruikt. Daarbij gaat het dan geregeld om gegevens die je zelf aan de overheid hebt gegeven, bijvoorbeeld bij je belastingaangifte of een vergunningaanvraag. Realiseer je dat de overheid die bestanden koppelt en verbanden legt. Hoe dat in zijn werk gaat, wordt door de overheid niet altijd duidelijk gemaakt. En jij wordt als individuele burger er niet van op de hoogte gesteld.
Dit was het pijnpunt voor enkele mensenrechten- en privacy-organisaties, die naar de rechter stapten over de inzet van het “Systeem Risicoindicatie”, kortweg SyRI. Dit werd ontwikkeld om fraude bij het gebruik van sociale zekerheidsvoorzieningen op te sporen. De manier waarop dit mocht gebeuren werd in de wet vastgelegd, dat wel. Bestrijding van fraude is essentieel om de burger, die met premies de kosten draagt, bij het stelsel betrokken te houden. Maar de methode om risico’s voor fraude op te sporen, wordt door de overheid geheim gehouden. Argument van de overheid: als dit bekend is kan dat fraude juist in de hand werken. Vraag voor de rechtbank: mag de overheid zoiets wel doen, als daarmee het recht op eerbiediging van het privéleven op de tocht staat?
De waarde van privacy
Nee, zei de rechtbank, de overheid mag haar werkwijze niet geheim houden. In een uitgebreide beslissing (zie link onderaan) legt de rechtbank aan de hand van wettelijke begrippen als ‘doelbinding’, ‘dataminimalisatie’ en ‘transparantie’ uit waarom. De kern van de beslissing is gebaseerd op het recht op eerbiediging van het privéleven, zoals dit geldt voor elke burger, onder meer beschermd door het Europees Verdrag voor de Rechten van de Mens. De overheid mag dit recht beperken, dus iets doen waardoor de burger in de praktijk een inmenging (beperking) ondervindt. Maar dan moet daar wel een geldige reden voor zijn. Als het erop aankomt, mag de rechter een Nederlandse wet buiten toepassing verklaren, wanneer die in strijd is met die hogere regeling. Daartoe bekeek de rechter de reden waarom het SyRI systeem zo’n inmenging in de privésfeer vormde en of die met voldoende waarborgen voor de burger wordt gedaan. Uitgangspunt voor de rechtbank is dat fraudebestrijding legitiem is en toepassing van nieuwe technologieën daarbij is dat op zichzelf ook.
Zo’n nieuwe technologie zoals SyRI raakt de privacy. De bescherming van die privacy is even belangrijk voor het maatschappelijk draagvlak als de fraudebestrijding zelf. De burger mag verwachten dat de inzet van het systeem voldoet aan de eisen voor bescherming van het privéleven. Maar aan deze eis is niet voldaan. Het ontbreken van duidelijkheid over de werking van SyRI is niet in orde, omdat niet valt te zeggen waarom een burger als frauderisico wordt aangemerkt. Verder noemt de rechtbank de grote hoeveelheid gegevens over de burger waar het systeem uit kan putten (zie kader). Andere bezwaren: het profiel van de burger wordt langere tijd bewaard, kan worden gedeeld met verschillende instanties en de burger wordt niet geïnformeerd.
De categorieën gegevens voor gebruik in SyRI: arbeidsgegevens gegevens bestuursrechtelijke maatregelen/sancties fiscale gegevens gegevens over roerende en onroerende goederen gegevens uitsluitingsgronden bijstand/uitkeringen handelsgegevens huisvestingsgegevens identificerende gegevens inburgeringsgegevens nalevingsgegevens onderwijsgegevens pensioengegevens re-integratiegegevens schuldenlastgegevens uitkerings-, toeslagen- en subsidiegegevens vergunningen en ontheffingen zorgverzekeringsgegevens
Bevoegdheid om regels te maken is niet ongelimiteerd
De bor is een heftig voorbeeld misschien, maar aan de hand van SyRI kun je zien dat de overheid grote impact kan hebben op je privéleven, door beschikbare informatie over jou te bundelen. In veel gevallen heb je als burger geen keuze en moet je allerlei gegevens verstrekken. En net als de picknickende Rotterdammers, verwacht je niet dat jouw foto (met het lokaal gebrouwen biertje in de hand) in een overheids-database terecht zal komen. De inzet van apparaten die ons waarnemen en de mogelijkheid daar gevolgen aan te verbinden, is al realiteit. De mogelijkheden om robots in te zetten nemen toe, waardoor het voor overheidsinstanties verleidelijk wordt dat ook echt te doen. Stap voor stap gaan we al die kant op. Ook als technologie niet direct waarneembaar is, of zich niet in semi-menselijke gedaante bij jouw picknickkleedje meldt, kun je als burger daarvan gevolgen ondervinden.
Wat verwachten we als burger dan van de overheid? Nou, minimaal dat er voor alle overheidshandelen een wettelijke grondslag is, waardoor de impact die de overheid op de burger heeft aan regels is gebonden. Of het een deugdelijke grondslag is, hangt af van de balans die de overheid moet vinden tussen het behartigen van een maatschappelijk belang en rechten en vrijheden van de burger die moeten worden gerespecteerd. In het geval van SyRI werd de wettelijke regeling voor toepassing ervan door de rechtbank onverbindend verklaard en komt er geen hoger beroep, heeft de staatssecretaris van Sociale Zaken en Werkgelegenheid aan de Tweede Kamer gemeld. Het systeem wordt niet meer toegepast en men gaat onderzoeken hoe een systeem voor het vinden van frauderisico’s, in balans met het privacybelang van de burger, kan worden opgezet. Wat de toepassing van nieuwe technologie ook is, de wetgever moet bij het maken van regels aandacht geven aan de impact op de burger.
De uitspraak van de Rechtbank Den Haag over SyRI:
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2020:865