Reactie nominatie Super SyRi

Alle genomineerden voor de SOS Tech Awards hebben een reactie gegeven op hun nominatie. Waar de één een levende mus kreeg, ontving de andere een dode mus. We leggen uit waarom deze personen of organisaties genomineerd zijn, zij vertellen wat ze hiervan vinden.

Nominatie Dode Mussen Award: Super SyRi 

Vorig jaar sprak de rechtbank een verbod uit op Systeem Risico Indicatie (SyRI). Het systeem koppelde duizenden gegevens aan elkaar om te bepalen of jij een “risicoburger” bent die mogelijk fraude gaat plegen. Burgers werden ten onrechte als potentiële criminelen aangemerkt, en het systeem discrimineerde omdat alleen armere wijken gescreend werden.

Toen de rechtbank een verbod op het systeem uitsprak, hoopte iedereen dat dit zou leiden tot handelen op basis van voortschrijdend inzicht. Tamara van Ark beloofde als toenmalig verantwoordelijk minister in een Kamerbrief dat zij “lering wil trekken uit het instrument SyRI”. Maar in plaats daarvan stemde de Tweede Kamer in met een wet waarmee overheden en private partijen op nog grotere schaal data kunnen delen en verwerken. Daarmee worden nu meer ingrijpende risico-indicatie systemen opgetuigd. De wet krijgt daarom de bijnaam Super SyRI. Inmiddels zijn al vier verschillende risico-indicatie systemen opgetuigd waaraan doorlopend nieuwe organisaties toegevoegd kunnen worden. Omdat er geen lessen worden getrokken uit het SyRI debacle, nomineert SETUP het ministerie van Justitie en Veiligheid voor de Dode Mussen Award.

Reactie Ministerie van Justitie en Veiligheid op nominatie

  • Het Ministerie van Justitie en Veiligheid reageerde schriftelijk als volgt op de nominatie:
  • Dankzij het Wetsvoorstel Gegevensverwerking door Samenwerkingsverbanden (WGS) worden gegevensverwerkingen door bestaande samenwerkingsverbanden wettelijk ingekaderd. Juist met het oog op de bescherming van de persoonlijke levenssfeer.
  • Hiermee kan er geen twijfel meer bestaan over de grenzen en grondslagen waaronder de bestaande samenwerkingsverbanden mogen opereren.
  • De WGS beschrijft welke gegevens er mogen worden gedeeld, voor welke doeleinden dat mag plaatsvinden en welke waarborgen daarvoor gelden. Het wetsvoorstel maakt ook duidelijk wanneer welke deelnemers van bepaalde samenwerkingsverbanden gegevens met elkaar mogen delen en verwerken.
  • De WGS is dan ook iets heel anders dan SyRI. De WGS stelt geen systeem zoals SyRI in dat op een geautomatiseerde wijze grote hoeveelheden bestandsgegevens aan elkaar koppelt en analyseert zonder de betrokkene daarover te informeren. Onder de WGS moet geautomatiseerde gegevensanalyse transparant, controleerbaar en niet-discriminerend zijn.
  • De WGS bevat bovendien een reeks aan nieuwe en belangrijke waarborgen voor bescherming van persoonsgegevens, en voor inzicht over de activiteiten van de samenwerkingsverbanden en de resultaten daarvan. Voor de volledigheid som ik de belangrijkste waarborgen in de bijlage op.
  • U stelt de Dode Mussen Award toe te kennen omdat met de WGS geen lering zou zijn getrokken uit het SyRI dossier. Uit het voorgaande blijkt dat het tegendeel het geval is.

Bijlage: belangrijkste waarborgen voor bescherming van persoonsgegevens, en voor inzicht over de activiteiten van de samenwerkingsverbanden en de resultaten daarvan:

  1. De samenwerkingsverbanden moeten uitleg geven over gehanteerde patronen en indicatoren of andere onderliggende logica (artikel 1.9, derde lid). Hierop geldt geen uitzondering. Daarmee is transparantie geborgd.
  2. De categorieën gegevens die mogen worden verwerkt, zijn uitputtend opgesomd in het wetsvoorstel. Persoonsgegevens over nationaliteit, ras of etnische afkomst vallen daar niet onder.
  3. Er geldt een geheimhoudingsplicht (artikel 1.11) en een maximale bewaartermijn (artikel 1.8, zevende lid).
  4. Een samenwerkingsverband moet een rechtmatigheidsadviescommissie hebben (artikel 1.8, zesde lid).
  5. Elk samenwerkingsverband moet een coördinerend functionaris voor de gegevensbescherming hebben (artikel 1.4, tweede lid).
  6. Uitsluitend een beperkt aantal geautoriseerde personen heeft toegang tot het systeem (artikel 1.8, tweede lid).
  7. Menselijke tussenkomst is verplicht bij de verstrekking van een resultaat van een geautomatiseerde gegevensanalyse, waarbij wordt beoordeeld of het resultaat op zorgvuldige wijze tot stand is gekomen (artikel 1.9, tweede lid).
  8. De WGS verbiedt de toepassing van algoritmes waarvan de uitkomsten niet navolgbaar en controleerbaar zijn (artikel 1.9, zesde lid). Algoritmes die te complex zijn om redelijkerwijs te kunnen worden uitgelegd, mogen dus niet worden gebruikt.
  9. In onafhankelijke privacy audits moet periodiek worden onderzocht of wordt voldaan aan de wettelijke eisen voor de bescherming van persoonsgegevens; een kopie van de auditresultaten gaat naar de Autoriteit Persoonsgegevens (artikel 1.10).
  10. Een jaarverslag moet worden gepubliceerd met een terugkoppeling over de bruikbaarheid van de resultaten van de gegevensverwerking (artikel 1.12).