De behandeling van de Wet Gegevensverwerking door Samenwerkingsverbanden (hierna: WGS), die op 17 december 2020 door de Tweede Kamer is aangenomen, heeft nauwelijks tot ophef in het publieke debat geleid.1 Dat de bestrijding van een pandemie de gemoederen meer heeft bewogen dan een wetsvoorstel, behoeft geen betoog. Toch is het wetsvoorstel dat momenteel ter beoordeling bij de Eerste Kamer ligt niet onomstreden. De woorden van een parlementariër van één van de coalitiepartijen vat de afwezigheid van enige vorm van commotie in de volgende woorden goed samen: ‘Nu is het doodstil, maar als het straks misgaat, schreeuwt men weer moord en brand.’2

De WGS: wat is nu precies de bedoeling?
De WGS beoogt een juridische grondslag te bieden voor de verwerking van persoonsgegevens door samenwerkingsverbanden ter bestrijding van fraude en ernstige criminaliteit.3 Onder samenwerkingsverbanden moet worden verstaan ‘het verband van deelnemers die gezamenlijk gegevens verwerken voor een doelstelling van zwaarwegend algemeen belang’.4

Naast deze hoofddoelstelling, heeft dit wetsvoorstel ook nog twee niet onbelangrijke nevendoelstellingen. Zo beoogt de WGS i) de mogelijkheid te bieden om nieuwe samenwerkingsverbanden bij algemene maatregel van bestuur aan te wijzen voor de vervulling van een nader bij AMvB omschreven doel van zwaarwegend belang en mogen op basis van deze wet naast de vier in de wet genoemde overheidsinstanties ook ii) private partijen participeren in het delen van persoonsgegevens.5

Variatie op een thema; stoot de ezel zich aan dezelfde steen?
De WGS is niet de eerste poging om het verwerken van persoonsgegevens ter fraudebestrijding in de publieke sector van een deugdelijke wettelijke grondslag te voorzien. Aan de WGS ging het Systeem Risico Indicatie (hierna: SyRI) vooraf. SyRI was een wettelijk instrument dat de overheid gebruikte om fraude op het gebied van uitkeringen, toeslagen en belastingen tegen te gaan.6 De verleden tijd is hier opzettelijk gebruikt, omdat de rechtbank Den Haag SyRI op 5 februari 2020 onverbindend heeft verklaard.7 Omdat het juist deze eerdere pogingen tot deugdelijke wetgeving zijn die ons een dieper inzicht kunnen bieden over de mogelijke valkuilen van de WGS, zal nu een bespreking van de SyRI-zaak volgen.

In voornoemde zaak werd de SyRI wet- en regelgeving getoetst aan art. 8 lid 2 EVRM. De rechtbank erkende in deze zaak het belang van fraudebestrijding, maar stelde wel de vraag, in hoeverre SyRI op grond van art. 8 lid 2 EVRM gerechtvaardigd kon worden als een noodzakelijke inmenging in het recht van burgers op privacy in een democratische samenleving.8

Het moge geen verrassing zijn, dat deze noodzakelijkheid in deze zaak ontbrak. De rechtbank oordeelde dat de SyRI-wetgeving proportioneel, noch subsidiair was in relatie tot het beoogde doel. Ook oordeelde de rechtbank dat er geen sprake was van een ‘fair balance’ die op grond van het EVRM moet bestaan tussen het maatschappelijke belang dat de wetgeving dient en de inbreuk op het privéleven die de wetgeving oplevert. In het bijzonder neemt de rechtbank bij dit oordeel de fundamentele beginselen die ten grondslag liggen aan de bescherming van gegevens op grond van het Handvest en de AVG in aanmerking. Dit zijn de beginselen van transparantie, doelbinding en dataminimalisatie. Tot besluit oordeelde de rechtbank dat de inzet van SyRI onvoldoende inzichtelijk en controleerbaar was.9

De staat besloot na dit vernietigende oordeel niet in hoger beroep te gaan. En toch volgde op 29 april 2020 nog binnen een week na de uitspraak van de SyRIzaak het wetsvoorstel WGS. In hoeverre kan de WGS nu wél gerechtvaardigd worden als een noodzakelijke inmenging in het recht van burgers op privacy?

Als het aan de Autoriteit Persoonsgegevens (hierna: AP) ligt, is de WGS in zijn huidige vorm niet voor aanname vatbaar. Zo waarschuwt de AP in zijn brief aan de Eerste Kamer, dat verdere aanpassingen nog steeds dringend noodzakelijk zijn, omdat anders de beginselen van de transparantie, doelbinding en dataminimalisatie zullen worden uitgehold.10 Ook het College van de Rechten voor de Mens uit zijn zorgen in zijn brief aan de Eerste Kamer.11 Hierna zal een korte bespreking van beide brieven volgen, alsmede de noodzakelijke aanpassingen die volgens de AP en het College nodig zijn voor aanname van dit wetsvoorstel.

De AP stelt in zijn brief dat het wetsvoorstel, zoals deze nu ter behandeling bij de Eerste Kamer ligt, een substantiële uitholling meebrengt van rechtsstatelijke beginselen. Zo zou de onschuldpresumptie – het beginsel dat verdachten voor onschuldig houdt totdat hun schuld in rechte is komen vast te staan – met voeten worden getreden. De reden hiervan is dat de samenwerkingsverbanden bevoegd zijn om analyses te verrichten aan de hand van gegevens die voor andere doelen zijn verzameld. Dit alles is toegestaan zonder dat er een objectieve verdenkingsvoorwaarde bestaat en zonder dat betrokkene daarvan op de hoogte is gesteld. Zo ontstaat het risico dat de burger zonder goede grond door de mangel van de samenwerkingsverbanden wordt gehaald.12

Verder merkt de AP op dat er ongelooflijk veel soorten gegevens mogen worden gedeeld. Het vereist geen verdere studie om tot een dergelijk inzicht te komen. Art. 1.1 WGS definieert gegevens namelijk als: ‘persoonsgegevens en andere gegevens’. Het laatste deel maakt, dat vrijwel elke denkbare vorm van informatie door de samenwerkingsverbanden kan worden gedeeld. Het College van de Rechten van de Mens wijdt hier extra aandacht aan. Het College benadrukt namelijk dat in het licht van bovenstaande ook veel gevoelige gegevens gedeeld kunnen worden. Zo kunnen de gegevens over gezondheid en zorg binnen de Zorg- en Veiligheidshuizen gedeeld worden en kunnen de deelnemers van een Regionaal Informatie- en Expertisecentrum persoonsgegevens met betrekking tot iemands seksuele geaardheid verwerken.13

Een ander punt dat zowel door de AP als door het College niet onbesproken blijft, zijn de gevolgen die het eindeloos delen van persoonsgegevens voor betrokkenen heeft. Het College uit met name zijn zorgen over de gevolgen die het delen kan hebben voor mensen met een zwakkere sociaaleconomische positie. Daarbij maakt het College gebruik van de volgende redenering. Op basis van dit wetsvoorstel wordt de mogelijkheid geboden om gebruik te maken van geautomatiseerde gegevensanalyse zoals profilering. Dit wordt met name gevaarlijk indien de datasets gekleurd zijn. Gekleurd in de zin dat deze zijn gericht op een eenzijdige samenstelling, zoals arm-rijk, of anderszins eenzijdig zijn opgebouwd doordat zij zich louter focussen op het sociale of etnische aspect. Het zijn voorts juist de burgers die meer afhankelijk zijn van de overheid die de meeste gegevens dienen te verstrekken. Het gevolg daarvan is dus dat juist de mensen die het meest afhankelijk zijn van de overheid de dupe zullen worden van dit wetsvoorstel. Dit zijn de mensen met een zwakkere sociaaleconomische positie.14

Laat de ezel niet tweemaal stoten aan dezelfde steen
Wat kan en moet er dan anders? Als het aan de AP en het College ligt, worden er de volgende aanpassingen gedaan. Volgens de AP dient de mogelijkheid om nieuwe samenwerkingsverbanden bij AMvB aan te wijzen, geschrapt te worden. Art. 10 lid 3 van de Grondwet bepaalt namelijk dat de crux van een regeling die de bescherming van persoonsgegevens beperkt, in de wet zelf wordt opgenomen. Onder de crux verstaat de AP de precieze doelstelling, de deelnemende partijen en de categorieën van bijzondere persoonsgegevens. Door de mogelijkheid van het aanwijzen van nieuwe verbanden middels een AMvB ontbreekt volgens de AP het parlement als medewetgever.15

Het College van de Rechten van de Mens ziet vooral heil in de nog op te richten rechtmatigheidsadviescommissie. Volgens art. 1.8 lid 6 van de WGS heeft deze commissie als taak de rechtmatigheid van de verwerking van persoonsgegevens in het samenwerkingsverband structureel te beoordelen. Het College zou hier graag aan toe willen voegen dat deze commissie niet alleen dient te kijken naar de impact van verwerking van persoonsgegevens op de privacy van burgers, maar tevens als taak krijgt om zelfstandig onderzoek te doen naar eventuele discriminatoire gevolgen van deze verwerking van gegevens. Het College acht het daarom van groot belang dat er ook experts op het gebied van gelijke behandeling zitting nemen in de toekomstige rechtmatigheidsadviescommissie.16

De Toeslagenaffaire heeft ons geleerd dat men de nodige waarborgen in acht moet nemen om ongelijke behandeling, die het gevolg is van het gebruik van een geautomatiseerde gegevensanalyse, zoals profilering, te voorkomen. In dat licht is het plaatsen van een expert op het gebied van gelijke behandeling in de rechtmatigheidsadviescommissie niet genoeg. Ook zou in deze commissie een expert moeten plaatsnemen die – naast zijn of haar expertise op het gebied van gelijke behandeling – ook kennis heeft van de algoritmes die aan de geautomatiseerde gegevensanalyse ten grondslag worden gelegd. Het is een algemeen feit dat juristen en digitalisering – laat staan computer sciences – bepaald geen match made in heaven zijn.17 Juist daarom is het zo belangrijk dat deze commissie gevuld wordt met leden die weet hebben van een algoritme. Hiermee wordt voorkomen dat er achteraf een toets dient plaats te vinden die moet beoordelen of dergelijke algoritmes non-discriminerend waren, terwijl op datzelfde moment nietsvermoedende burgers reeds de dupe zijn geworden van een overheid die zich voor de tweede maal gestoten heeft aan een en dezelfde steen

1. Handelingen II 2020/2021, nr. 39, item 25.
2. Tweet van Kees Verhoeven (D66), https://twitter.com/KeesVee/ status/1336010839741042689.
3. V. Gantchev, ‘SyRI en zijn rechtsopvolger de WGS: Oude wijn in nieuwe zakken’, TRA 2021/32, afl. 4, p. 8.
4. Art. 1.1 WGS.
5. AP: neem Wet gegevensverwerking door samenwerkingsverbanden niet aan!, NJB 2021/3013.
6. SyRI-wetgeving in strijd met EVRM, NJB 2020/418.
7. Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865, r.o. 6.7.
8. Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865, r.o. 6.2, 6.3.
9. Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865, r.o. 6.7.
10. Kamerstukken I 2021-2022, 35447, nr. G (Brief van de voorzitter van de Autoriteit Persoonsgegevens).
11. Kamerstukken I 2020-2021, 35447, nr. D (Brief van de voorzitter van het College van de Rechten van de Mens).
12. Kamerstukken I 2021-2022, 35447, nr. G (Brief van de voorzitter van de Autoriteit Persoonsgegevens), p. 4-5.
13. Kamerstukken I 2020-2021, 35447, nr. D (Brief van de voorzitter van het College van de Rechten van de Mens), p. 2.
14. Kamerstukken I 2020-2021, 35447, nr. D (Brief van de voorzitter van het College van de Rechten van de Mens), p.3.
15. Kamerstukken I 2021-2022, 35447, nr. G (Brief van de voorzitter van de Autoriteit Persoonsgegevens), p. 25.
16. Kamerstukken I 2020-2021, 35447, nr. D (Brief van de voorzitter van het College van de Rechten van de Mens), p. 3.
17. Juristen die graag het tegendeel wensen te bewijzen, daag ik uit een klein algoritme te schrijven om de volgende getallen van groot naar klein te sorteren: 8, 68, 9, 101 en 41.