Het wetsvoorstel tot wijziging van de Wet structuur uitvoeringsorganisatie werk en inkomen en enige andere wetten in verband met fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens, met memorie van toelichting maakt verwerking van persoonsgegevens mogelijk op het terrein van de sociale zekerheid en daarmee verband houdende gebieden, gericht op het bestrijden van fraude en het vereenvoudigen van gegevensverkeer.

Algemeen

De Afdeling advisering van de Raad van State oordeelt dat het Systeem anonieme risico indicatie (SARI), dat in dit voorstel wordt geregeld, ruim is opgezet: het doel is ruim bepaald, het systeem is eenvoudig uit te breiden tot niet nauwkeurig omschreven organen, en er is niet voorzien in het informeren van de burger dat persoonsgegevens die hem betreffen kunnen worden verstrekt.

Voorts heeft de Afdeling aarzeling bij een regeling die erin voorziet dat gegevens over in het buitenland gedetineerde Nederlanders worden verstrekt aan het Uitvoeringsinstituut werknemersverzekeringen (UWV) om vast te stellen of zij gevolgen hebben voor uitkeringsrechten. Zij is van oordeel dat in verband daarmee aanpassing van het voorstel wenselijk is.

Systeem Anonieme Risico Indicatie (SARI)

Het wetsvoorstel beoogt een wettelijke verankering te bieden voor het SARI, een in de praktijk toegepaste werkwijze, die erop gericht is persoonsgegevens uit verschillende bronnen te combineren, zodat aan de hand daarvan verhoogde risico's op misbruik van wettelijke regels kunnen worden onderkend. Het SARI is gericht op het voorkomen en bestrijden van "misbruik op het terrein van de sociale zekerheids- en arbeidswetten, illegale tewerkstelling, belasting- en premieheffing, inkomensafhankelijke regelingen en daarmee samenhangende misstanden".

De Afdeling is van oordeel dat voorzien dient te worden in een nauwkeurige omschrijving van de doeleinden waarvoor de gegevensverwerking kan plaatsvinden. Dat kan eventueel in de vorm van een uitputtende opsomming van wettelijke verplichtingen waarvan de overtreding een strafbaar of beboetbaar feit oplevert. De Afdeling adviseert het voorstel aldus aan te passen.

Het criterium "verhoogd risico op misbruik"

De minister kan een risicomelding doen bij het bestuursorgaan dat om de risico- analyse heeft verzocht of bij het openbaar ministerie en de politie als de risicoanalyse in het SARI een "verhoogd risico op misbruik" bevat. Afgezien van de vaagheid die gelegen is in de term "misbruik" (zie hiervoor, punt 2) merkt de Afdeling op dat de term "verhoogd risico" te ruim is. Ook als iemand twee kenmerken heeft die wijzen op een statistisch verhoogde kans dat hij fraude pleegt, kan de kans dat hij daadwerkelijk fraude pleegt nog steeds klein zijn. De risicomelding zou in dat geval een onevenredig zware inmenging in de persoonlijke levenssfeer van de betrokkene kunnen betekenen en dus niet voldoen aan het vereiste dat een beperking van zijn grondrecht proportioneel is.

De Afdeling adviseert het criterium "verhoogd risico op misbruik" te vervangen door een meer toegespitst criterium, dan wel in de toelichting met concrete voorbeelden dit criterium te verduidelijken.

De regeling is zo geformuleerd dat de minister ieder verzoek van binnen het SARI samenwerkende bestuursorganen of personen om een risicoanalyse uit te voeren dient te honoreren. Ook als de minister van oordeel is dat de risicoanalyse weinig bruikbare resultaten zal opleveren, kan hij het verzoek niet weigeren. Dat is naar het oordeel van de Afdeling weinig doelmatig. Zij adviseert de verplichting van de minister te wijzigen in een discretionaire bevoegdheid.

Betrokken organen

Omvang bevoegdheden

Het voorstel omschrijft welke organen betrokken kunnen zijn bij de verstrekking van "ruwe" gegevens aan en de ontvangst van risicomeldingen uit het SARI. Naast de colleges van burgemeester en wethouders, het UWV en de SVB, betreft het ook:

de personen die bij of krachtens wettelijk voorschrift zijn belast met het houden van toezicht op de naleving dan wel de uitvoering van andere wetgeving op het terrein van de minister dan de sociale zekerheidswetten, andere bestuursorganen en personen voor zover zij zijn belast met een publiekrechtelijke taak en daartoe bij regeling van de minister in overeen- stemming met de Minister van Financiën zijn aangewezen.

De Afdeling is van oordeel dat toekenning van bevoegdheden, die een beperking van het recht op eerbiediging van de persoonlijke levenssfeer met zich kan brengen, concreet en afgebakend moet zijn. De omschrijving van bestuursorganen die betrokken zijn bij het SARI voldoet niet aan deze norm.

Bij de eerstgenoemde categorie adviseert de Afdeling in de wet op te sommen om welke toezichthouders het gaat.

De tweede categorie, zo merkt de Afdeling op, dient in het voorstel nauwkeuriger te worden omschreven dan thans het geval is. Voorts dient de aanwijzing van deze bestuursorganen en personen ten minste plaats te vinden bij algemene maatregel van bestuur, nu het niet gaat om administratieve voorschriften of details, maar – integendeel – om de reikwijdte van de regeling.

Verantwoordelijkheid voor handelingen van de samenwerkingsverbanden

De gegevensverwerking ter bestrijding van misbruik en daarmee samenhangende misstanden kan plaatsvinden binnen een "samenwerkingsverband van twee of meer bestuursorganen en personen".

De Afdeling merkt op dat het wetsvoorstel niet regelt of deze samenwerkingsverbanden kunnen worden vormgegeven als publiekrechtelijke of privaatrechtelijke rechtspersonen, dan wel als samenwerkingsverbanden zonder rechtspersoonlijkheid. Evenmin wordt geregeld welke rol deze verbanden zullen spelen bij de verwerking van persoonsgegevens: of – en zo ja op welke wijze – zij persoonsgegevens zullen combineren, doorgeven, bewaren en vernietigen. Voorts wordt niet geregeld wie verantwoordelijk is voor het handelen van deze samenwerkingsverbanden, in het bijzonder voor de gegevensverwerking (in de zin van artikel 1, onderdeel d, Wbp).

De Afdeling is van oordeel dat de bestuursorganen die een samenwerkingsverband zijn aangegaan tegenover derden volledig verantwoordelijk zijn voor de handelingen van het samenwerkingsverband. Zij zullen voorts moeten bepalen hoe in de onderlinge verhouding de verantwoordelijkheden worden verdeeld. Als het wetsvoorstel op deze punten duidelijkheid verschaft, kan het vervolgens aan de samenwerkende bestuursorganen worden overgelaten de vorm van het samenwerkingsverband te bepalen.

De Afdeling adviseert het voorstel op de genoemde punten aan te passen.

Verstrekking aan politie en justitie

De minister kan risicomeldingen doen aan het openbaar ministerie en de politie voor zover die deze behoeven voor de uitoefening van hun wettelijke taken. In de toelichting wordt niet ingegaan op het rechtsgevolg van deze verwerking.

De Afdeling merkt op dat persoonsgegevens, voor zover het openbaar ministerie of de politie daarover beschikt met het oog op hun wettelijke taken, het karakter hebben van justitiële persoonsgegevens respectievelijk politiegegevens. De verwerking van dergelijke persoonsgegevens wordt in beginsel geregeld door de Wet justitiële en strafvorderlijke gegevens respectievelijk de Wet politiegegevens. Voor zover de verwerking van persoonsgegevens onder een van deze wetten valt is de Wbp niet van toepassing. Uit de toelichting blijkt niet hoe het voorgestelde artikel 65 Wet Suwi zich verhoudt tot de Wbp, de Wet justitiële en strafvorderlijke gegevens, de Wet politiegegevens en de Wet Suwi ten opzichte van deze wetten.

De Afdeling adviseert op het geldende regime in de toelichting in te gaan.

Waarborgen

De toelichting noemt enkele waarborgen voor de gegevensverwerking, die in het wetsvoorstel als zodanig niet zijn geregeld.

Het wetsvoorstel bepaalt dat de minister op verzoek van bestuursorganen persoonsgegevens verwerkt in het SARI. Het begrip "verwerken van per- soonsgegevens" is heel ruim en omvat iedere handeling die met persoons- gegevens kan worden verricht. Uit de toelichting blijkt dat het gaat om het uitvoeren van risicoanalyses; daartoe worden persoonsgegevens uit verschillende bronnen gecombineerd.

Volgens de toelichting worden de gegevens geanonimiseerd voordat de risicoanalyse plaatsvindt; de sleutel is in handen van de bewerker.

De Afdeling onderschrijft de waarde van deze waarborgen, en is dan ook van oordeel dat zij in het wetsvoorstel zelf dienen te worden vastgelegd om een zorgvuldige procedure te garanderen. Zij adviseert het voorstel aan te passen.

Overige waarborgen

De Afdeling is voorts van oordeel dat het wetsvoorstel kan worden versterkt met enkele aanvullende waarborgen.

Kennelijk is de strekking dat persoonsgegevens uit het SARI niet worden gebruikt voor een ander doel dan het doen van risicomeldingen. Dit is in de wettekst niet vastgelegd.
Het bestuursorgaan dat een risicomelding ontvangt is niet verplicht de resultaten van het onderzoek dat wordt verricht op basis van de risicomelding te melden aan het SARI. Dat resultaat is echter van belang voor toekomstige risicoanalyses. Bij een positieve uitkomst is dat belang voor toekomstige onderzoeken duidelijk. Bij een negatieve uitkomst kan het resultaat eveneens van belang zijn: voorkomen moet worden dat de betrokkene op grond van al onderzochte gegevens bij een volgende risicoanalyse opnieuw boven komt drijven. Bovendien moet worden voorkomen dat het bestuursorgaan middelen besteedt aan onderzoek dat al eerder is verricht.

De Afdeling adviseert het voorstel op deze punten aan te vullen.