Een gedetailleerd profiel op basis van gegevens over onder andere je werkverleden, boetes, bezittingen, opleiding, schulden, zorgverzekering en woonsituatie om op die manier van elke Nederlander een inschatting te maken van het risico op (belasting)fraude. Dat lijkt niet alleen kafkaësk, dat is het ook. Toch is dit wat de overheid graag wil, zo blijkt uit een op 1 september jl besluit van het kabinet.
Het besluit is een uitwerking van een wijziging van de Wet structuur uitvoeringsorganisatie werk en inkomen, waarbij het Systeem Risico Indicatie is ingesteld. Het doel van dit systeem is “de voorkoming en bestrijding van onrechtmatig gebruik van overheidsgelden”. Fraude, dus, en dan in het bijzonder uitkeringsfraude.
Het besluit regelt onder meer de soorten gegevens die in het Systeem Risico Indicatie kunnen worden opgenomen. Het gaat dan om de volgende gegevens:
1. arbeidsgegevens,
2. boete en sanctiegegevens,
3. belastinggegevens,
4. gegevens over bezittingen,
5. gegevens waaruit blijkt dat een persoon niet in aanmerking komt voor een uitkering,
6. eventuele bedrijfsgegevens uit het handelsregister,
7. woon- en verblijfgegevens
8. identificerende gegevens, waaronder naam, adres, woonplaats, postadres, geboortedatum, geslacht en administratieve kenmerken,
9. gegevens over eventuele inburgering en inburgeringsverplichtingen,
10. nalevingsgegevens (of je je aan de wet hebt gehouden),
11. onderwijsgegevens,
12. pensioengegevens,
13. gegevens of een persoon na een periode van ziekte zich aan de re-integratieverplichtingen houdt of heeft gehouden,
14. gegevens over schulden,
15. uitkerings-, toeslagen- en subsidiegegevens,
16. gegevens over vergunningen en ontheffingen,
17. zorgverzekeringsgegevens
Op basis van al deze gegevens kan een frauderisicoanalyse gemaakt, door een partij met de onheilspellende naam “Stichting Inlichtingenbureau”. Uit deze analyse kan een zogenaamde risicomelding voortvloeien. Die meldingen worden vervolgens verstrekt aan de relevante bestuursorganen, zoals het college van burgemeesters en wethouders van de plaats waar iemand woont, het UWV, de SVB en de Belastingdienst, blijkbaar zodat zij doelgerichter hun fraudeopsporingstaak kunnen vervullen.
De Raad van State heeft zich in mei reeds bijzonder kritisch uitgelaten over het concept besluit. De RvS stelt: “Deze categorieën [gegevens] zijn ruim en veelomvattend en de gegevens die eronder vallen kunnen in een aantal gevallen diep ingrijpen in iemands persoonlijke levenssfeer. De opsomming van gegevens is weliswaar bedoeld om de gegevensverwerking in te perken (beginsel van dataminimalisatie), […] maar is in feite zo ruim dat er nauwelijks een persoonsgegeven te bedenken is dat niet voor verwerking in aanmerking komt. De opsomming lijkt niet bedoeld om in te perken, maar om zoveel mogelijk armslag te hebben.”
Bizar is daarnaast dat wanneer er geen risicomelding gedaan wordt over een bepaald persoon, de gegevens over hem die zich in de database bevinden pas na vier weken dienen te worden vernietigd. Want hé, je weet maar nooit of je je nog bedenkt in die tijd.
Zeggen dat er privacyrechtelijk behoorlijk wat aan te merken valt op deze regeling, is een understatement van jewelste. De grondslag voor deze gegevensverwerking lijkt te zijn dat deze noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak. Het is immers (mede) de taak van de genoemde bestuursorganen om fraude op te sporen. Echter, kleeft aan het noodzakelijkheidscriterium wel het vereiste dat de verwerking proportioneel is in relatie tot het te bereiken doel. Hoe groot is bijvoorbeeld het fraudeprobleem dat de overheid hiermee probeert te bestrijden? Bij een pilot met deze brede gegevensuitwisseling werd 12 mln euro aan uitkeringsfraude ontdekt, tegen een kostenpost van 2,5 mln euro. Is dat voldoende om deze enorme inbreuk op de persoonlijke levenssfeer van alle Nederlanders te rechtvaardigen?
Ik vraag het me oprecht af.