Ontwerpbesluit houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI), met nota van toelichting.

Bij Kabinetsmissive van 22 april 2014, no.2014000783, heeft Uwe Majesteit, op voordracht van de Minister van Sociale Zaken en Werkgelegenheid, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het ontwerpbesluit houdende regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens (Besluit SyRI), met nota van toelichting.

Het ontwerpbesluit geeft uitvoering aan een wijziging van de Wet structuur uitvoe-ringsorganisatie werk en inkomen (Wet SUWI). Die wetswijziging voorziet erin dat gemeenten en overheidsinstanties op het terrein van sociale zekerheid en belastin-gen samenwerken bij het bestrijden van fraude door het koppelen van gegevens waarover zij beschikken. De koppelingen worden uitgevoerd binnen het Systeem risico-indicatie (SyRI), waarvoor de Minister van Sociale Zaken en Werkgelegenheid verantwoordelijk is.
De Afdeling advisering van de Raad van State maakt opmerkingen over het vast-leggen van waarborgen tegen te vergaande beperkingen van de persoonlijke levenssfeer in het ontwerpbesluit zelf, over de verwerking van strafrechtelijke en andere bijzondere persoonsgegevens en over het register risicomeldingen. Zij is van oordeel dat in verband daarmee aanpassing van het ontwerpbesluit nodig is.

1. Inleiding
De procedure voor het koppelen van gegevens binnen SyRI is als volgt. Twee of meer gemeentebesturen, bestuursorganen of toezichthouders op het terrein van sociale zekerheid of belastingen sluiten een samenwerkingsverband, gericht op het voorkomen en bestrijden van onrechtmatig gebruik van overheidsgelden en -voor-zieningen op het terrein van de sociale zekerheid en inkomensafhankelijke regelin-gen, het voorkomen en bestrijden van belasting- en premiefraude of het niet naleven van arbeidswetten. Zij leveren gegevens aan aan het Inlichtingenbureau, dat als bewerker optreedt.
Het Inlichtingenbureau versleutelt de aangeleverde gegevens, zodat zij niet tot personen herleidbaar zijn, en koppelt de bestanden aan de hand van een van de risicomodellen die door de minister zijn vastgesteld. De gegevens die door de kop-peling zijn ontstaan worden alleen ontsleuteld als zij duiden op een verhoogd risico van niet-naleving van wettelijke verplichtingen. De ontsleutelde gegevens worden verstrekt aan de minister. De minister analyseert de ontvangen gegevens en bepaalt in welke gevallen die leiden tot een risicomelding. De risicomeldingen worden verstrekt aan het bevoegde bestuursorgaan, dat de melding vanuit zijn wettelijke taak nader onderzoekt.
De minister kan risicomeldingen ook verstrekken aan het openbaar ministerie en de politie.

2.Verwerking van persoonsgegevens

a.Categorieën persoonsgegevens
Het ontwerpbesluit somt 17 categorieën van persoonsgegevens op die "uitsluitend" in SyRI kunnen worden verwerkt. Die categorieën zijn: arbeidsgegevens, gegevens inzake bestuursrechtelijke maatregelen en sancties, detentiegegevens, fiscale gegevens, gegevens over roerende en onroerende goederen, handelsgegevens, huisvestingsgegevens, identificerende gegevens, inburgeringsgegevens, nalevingsgegevens, onderwijsgegevens, pensioengegevens, re-integratiegegevens, schuldenlastgegevens, uitkerings- toeslagen- en subsidiegegevens, vergunningen en ontheffingen, en zorgverzekeringsgegevens.
Deze categorieën zijn ruim en veelomvattend en de gegevens die eronder vallen kunnen in een aantal gevallen diep ingrijpen in iemands persoonlijke levenssfeer. De opsomming van gegevens is weliswaar bedoeld om de gegevensverwerking in te perken (beginsel van dataminimalisatie), (zie noot 1) maar is in feite zo ruim dat er nauwelijks een persoonsgegeven te bedenken is dat niet voor verwerking in aanmerking komt. De opsomming lijkt niet bedoeld om in te perken, maar om zoveel mogelijk armslag te hebben.
Weliswaar zal bij elk afzonderlijk project nader worden bepaald welke gegevens voor dat project noodzakelijk zijn, maar - zoals de Afdeling ook opmerkte in haar advies over het wetsvoorstel dat aan het ontwerpbesluit ten grondslag ligt - zo’n toetsing in concrete gevallen ontslaat de wetgever (en nu de besluitgever) niet van de plicht om de toekenning van bestuursbevoegheden en de daarmee gepaard gaande beperking van grondrechten zo concreet mogelijk te omschrijven. (zie noot 2) In de artikelsgewijze toelichting wordt iets concreter omschreven om wat voor gegevens het gaat. De toelichting is echter niet de plaats om nadere regels te stellen. (zie noot 3) Voor zover de toelichting meer concreet houvast biedt, dient naar het oordeel van de Afdeling de omschrijving in de toelichting te worden neergelegd in het artikel zelf.
De omschrijving in de toelichting is echter niet in alle gevallen verhelderend. Zo is niet duidelijk waarom onder "schuldenlastgegevens" onder meer wordt begrepen: fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen (zie verder onder punt 3a).
De Afdeling adviseert de categorieën persoonsgegevens in het ontwerpbesluit kritisch te bezien op noodzaak, subsidiariteit en evenredigheid, en de omschrijving in het ontwerpbesluit toe te spitsen op hetgeen met die eisen in overeenstemming is. In alle gevallen waarin de toelichting concreter is, dient de omschrijving in het artikel daartoe te worden beperkt. De Afdeling geeft in punt 3b twee voorbeelden van categorieën van gegevens die in de voorgestelde wettekst een beperktere omschrijving behoeven.
Het verdient eveneens aanbeveling te bepalen dat gegevens die een bepaald aantal jaren oud zijn, niet worden verwerkt; de termijn kan per categorie verschillend zijn.

b.Risicomodellen
Bij elk SyRI-project wordt aan de hand van een risicomodel vastgesteld of er een verhoogd risico is op onregelmatigheden. De minister stelt een of meer risicomodellen vast. (zie noot 4) Elk risicomodel bestaat uit vooraf bepaalde indicatoren . (zie noot 5) Volgens de toelichting moet in het verzoek om uitvoering van een SyRI-project voldoende helder benoemd zijn wat de indicatoren en het te hanteren risicomodel zijn. Anders zou het koppelen kunnen leiden tot een "fishing expedition" en zelfs tot willekeur. (zie noot 6) De Afdeling merkt op dat ook de risicomodellen aan dit vereiste moeten voldoen. Persoonsgegevens mogen immers alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; verwerking mag voorts niet bovenmatig zijn. (zie noot 7)
De Afdeling adviseert in de toelichting uiteen te zetten hoe het - in de toelichting genoemde - beginsel "select before you collect" zal worden toegepast bij het opstellen van de risicomodellen.

3.Verwerking van bijzondere persoonsgegevens
De wettelijke regeling voor het koppelen van persoonsgegevens in SyRI - neergelegd in de artikelen 64 en 65 Wet SUWI, de grondslagartikelen voor het ontwerpbesluit - spreekt slechts in algemene termen over het "verwerken van gegevens" voor - kort gezegd - het bestrijden van fraude. (zie noot 8) Uit de omschrijving blijkt niet of de verwerking ook betrekking kan hebben op de categorie "bijzondere persoonsgegevens" in de zin van de Wet bescherming persoonsgegevens (Wbp): gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens. (zie noot 9) Bij de parlementaire behandeling is echter ondubbelzinnig uitgesproken dat dat niet mogelijk is: "De voorgestelde artikelen 64 en 65 bieden geen grondslag voor het gebruik van bijzondere gegevens in de SyRI." (zie noot 10)

a.Verwerking van strafrechtelijke gegevens
In SyRI kunnen vier categorieën gegevens worden verwerkt die geheel of gedeeltelijk betrekking hebben op bijzondere persoonsgegevens: (zie noot 11) 
- gegevens inzake bestuursrechtelijke maatregelen en sancties, in de toelichting omschreven als: gegevens waaruit blijkt dat een natuurlijke persoon of een rechtspersoon een bestuursrechtelijke boete opgelegd heeft gekregen dan wel dat een andere bestuursrechtelijke maatregel is getroffen; 
- detentiegegevens, in de toelichting omschreven als: gegevens waaruit blijkt of een persoon rechtens zijn vrijheid is ontnomen of zich onttrekt aan de tenuitvoerlegging van een vrijheidsstraf of vrijheidsbenemende maatregel (de reden van de vrijheidsontneming is irrelevant) (zie noot 12); 
- nalevingsgegevens, omschreven als: gegevens waarmee de nalevingshistorie van wet- en regelgeving van een natuurlijk persoon of rechtspersoon kan worden vastgesteld, zoals fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen en strafrechtelijke informatie; 
- schuldenlastgegevens. Deze term lijkt geen betrekking te hebben op strafrechtelijke gegevens. Echter, volgens de toelichting betreft het gegevens waarmee de eventuele schulden van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld, zoals fraudesignalen, geconstateerde overtredingen en opgelegde boetes en maatregelen.
Bij de parlementaire behandeling van de Wbp merkte de regering op:
"Het begrip ‘strafrechtelijke gegevens’ heeft betrekking zowel op veroordelingen als op min of meer gegronde verdenkingen. Veroordelingen betreffen gegevens waarbij de rechter, al dan niet onherroepelijk, strafrechtelijk gedrag heeft vastgesteld. Bij verdenkingen gaat het om concrete aanwijzingen jegens een bepaalde persoon. Het begrip strafrechtelijke gegevens omvat mede gegevens omtrent de toepassing van het formele strafrecht, bijvoorbeeld het gegeven dat iemand is gearresteerd of dat tegen hem proces-verbaal is opgemaakt wegens een bepaald vergrijp. De bepaling heeft geen betrekking op de verwerking van persoonsgegevens gericht op de vaststelling van mogelijk strafbaar gedrag, bij voorbeeld door het volgen van trends." (zie noot 13)
Gelet hierop voorziet het ontwerpbesluit in verwerking van gegevens die moeten worden aangemerkt als strafrechtelijke gegevens. Dat geldt voor de hele categorie detentiegegevens. (zie noot 14) Datzelfde geldt voor de meeste nalevingsgegevens en schuldenlastgegevens, zoals opgesomd in de toelichting; alleen fraudesignalen vallen daar niet onder, zolang er nog geen concrete verdenking bestaat. Gegevens over bestuursrechtelijke maatregelen zijn niet te rekenen onder strafrechtelijke gegevens. Echter, bestraffende sancties - de bestuurlijke boete - hebben een punitief karakter; (zie noot 15) zij zijn in de jurisprudentie van het Europees Hof van de Rechten van de Mens en het Hof van Justitie van de Europese Unie en in de Nederlandse wetgeving in veel opzichten op één lijn gesteld met strafrechtelijke sancties. (zie noot 16) In dat licht kunnen gegevens over de bestuurlijke boete worden gerekend onder de strafrechtelijke gegevens in de zin van de Wbp. Nu bij de parlementaire behandeling van de wijzigingswet is uitgesproken dat de artikelen 64 en 65 van de Wet SUWI geen grondslag bieden voor verstrekking van bijzondere persoonsgegevens in SyRI, adviseert de Afdeling de verwerking van detentiegegevens en gegevens over bestuurlijke boetes in SyRI nader te bezien. Voorts adviseert zij de categorieën "nalevingsgegevens" en "schuldenlastgegevens" zo te omschrijven dat gegevens over geconstateerde overtredingen, opgelegde boetes en strafrechtelijke informatie daar niet onder vallen.

b.Verwerking van gezondheidsgegevens
Het ontwerpbesluit voorziet voorts in verwerking van zorgverzekeringsgegevens en re-integratiegegevens.
De categorie "zorgverzekeringsgegevens" wordt in de toelichting omschreven als: gegevens waarmee kan worden vastgesteld of een persoon is verzekerd. (zie noot 17)
De Afdeling merkt op dat de term "zorgverzekeringsgegevens" meer omvat dan hetgeen in de toelichting is aangeduid. Het begrip kan, zuiver taalkundig, ook betrekking hebben op de inhoud van de aanvullende verzekering of op ingediende declaraties. Daaruit kunnen onder omstandigheden medische gegevens worden afgeleid. Dat verdraagt zich niet goed met de hiervoor al genoemde verzekering bij de parlementaire behandeling van de wijzigingswet dat die wet geen grondslag biedt voor de verwerking van bijzondere gegevens.
Re-integratiegegevens worden omschreven als: gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en/of deze worden nageleefd. Deze omschrijving houdt in dat het niet gaat om medische gegevens; de term in het artikel zelf laat wel ruimte voor verwerking van medische gegevens, omdat re-integratie een middel is om een herstellende of herstelde werknemer weer aan het werk te krijgen en de aard van de re-integratiemaatregel kan zijn afgestemd op de medische beperkingen van de werknemer.
De Afdeling adviseert in het artikel zelf vast te leggen dat het bij zorgverzekeringsgegevens uitsluitend gaat om het gegeven dat iemand al dan niet is verzekerd, en dat het bij re-integratiegegevens uitsluitend gaat om gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en of deze worden nageleefd.

c.Consistentie van de toelichting
In het ontwerpbesluit wordt nader omschreven welke categorieën gegevens kunnen worden verwerkt binnen SyRI. In de toelichting wordt op drie plaatsen gesteld dat het ontwerpbesluit niet ziet op verwerking van bijzondere persoonsgegevens. (zie noot 18) Op één plaats staat dat dat wel het geval is. (zie noot 19) De Afdeling adviseert de toelichting bij te stellen.

4.Het register risicomeldingen
De wet bepaalt dat de minister risicomeldingen verstrekt aan het bevoegde bestuursorgaan en eventueel aan het openbaar ministerie en de politie. Het ont-werpbesluit bepaalt daarnaast dat de risicomeldingen worden opgenomen in een register risicomeldingen. Dit register komt in de Wet SUWI als zodanig niet voor. Het wordt ingesteld bij het ontwerpbesluit en is daarin summier geregeld. Het register wordt beheerd door de minister. Het doel van het register wordt niet omschreven; evenmin wordt bepaald aan wie gegevens uit het register kunnen worden verstrekt. Regels over de werking, organisatie, beschikbaarheid, beveiliging en vernietiging van gegevens en de bewaartermijnen kunnen worden gesteld bij ministeriële regeling. (zie noot 20) Het register staat kennelijk los van het SyRI. Het register is aangekondigd in de memorie van toelichting bij de wijzigingswet.
Daaruit blijkt dat het bedoeld is om de betrokkene desgevraagd te informeren "inzake hem verstrekte risicomeldingen". (zie noot 21)

a. De Afdeling merkt op dat de essentiële elementen van het register zich niet lenen voor regeling bij ministeriële regeling. Een ministeriële regeling is geschikt voor administratieve voorschriften, uitwerking van details en voorschriften die vaak of met spoed gewijzigd moeten kunnen worden. (zie noot 22) Het register heeft betrekking op de verwerking van persoonsgegevens en overstijgt dat niveau.
De Afdeling adviseert doel, werking en organisatie van het register, de verstrekking van gegevens (uitsluitend aan de persoon op wie de risicomelding betrekking heeft), beveiliging en vernietiging van gegevens en de bewaartermijnen in het ontwerpbesluit zelf te regelen.

b. Het register is, zo werd hiervoor geconstateerd, bedoeld om de betrokkene desgevraagd te informeren over een risicomelding. Dit roept de vraag op of kan worden volstaan met een passieve informatieplicht.
Een risicomelding is niet zonder betekenis: het gaat om een aanwijzing dat wettelijke voorschriften niet zijn nageleefd. Als het onderzoek niet leidt tot straffen of maatregelen, dan zal de betrokkene niet snel op de hoogte raken van het feit dat er een risicomelding is gedaan en dat hij voorwerp van onderzoek is geweest. Hij zal daar meestal ook niet op bedacht zijn en daarom ook niet op het idee komen te informeren of hij in het register staat vermeld.
Het verdient overweging te bepalen dat de personen op wie een risicomelding betrekking heeft, binnen een bepaalde termijn na afloop van het onderzoek daarvan op de hoogte worden gesteld.
De Afdeling adviseert op het voorgaande in de toelichting in te gaan en het ont-werpbesluit zo nodig aan te vullen.

c. Volgens de toelichting op het ontwerpbesluit geldt voor het register risicomel-dingen op grond van artikel 65, vijfde lid, van de wet een bewaartermijn van twee jaar. (zie noot 23) Artikel 65, vijfde lid, stelt echter geen bewaartermijn voor de risicomelding als zodanig, maar alleen voor het gegeven dat een risicomelding heeft plaatsgevonden. Het ontwerpbesluit voorziet er dan ook in dat de bewaartermijnen voor het register worden geregeld bij ministeriële regeling. Dat zou niet nodig zijn als de bewaartermijn al in de wet stond. De Afdeling adviseert de toelichting aan te passen.

5.Afzonderlijke amvb
Het ontwerpbesluit is een nieuwe algemene maatregel van bestuur (amvb), het Besluit SyRI, die strekt tot uitvoering van twee artikelen uit de Wet SUWI. Het is een uitgangspunt van regelgeving dat de uitvoeringsregels die bij een wet behoren zoveel mogelijk in één regeling worden samengebracht. (zie noot 24) Bij de Wet SUWI is dit uitgangspunt grotendeels toegepast: het overgrote deel van de uitvoeringsregels op het niveau van de amvb is neergelegd in het Besluit SUWI. Het Besluit SUWI bevat onder meer regels voor de verwerking van persoonsgegevens en voor het Inlichtingenbureau, dat in het voorliggende ontwerpbesluit een centrale rol vervult. Uit een oogpunt van toegankelijkheid van regelgeving ligt het derhalve in de rede om de regels voor SyRI daaraan toe te voegen.
De Afdeling adviseert de inhoud van het ontwerpbesluit op te nemen in het Besluit SUWI.

6. De Afdeling verwijst naar de bij dit advies behorende redactionele bijlage.

De Afdeling advisering van de Raad van State geeft U in overweging in dezen een besluit te nemen, nadat met het vorenstaande rekening zal zijn gehouden.

De waarnemend vice-president van de Raad van State

---

Redactionele bijlage bij het advies van de Afdeling advisering van de Raad van State betreffende no.W12.14.0102/III

Artikel 1
- De begrippen "risicomelding" en "risicomodel" invoegen vóór het begrip "samenwerkingsverband".
- In de omschrijving van "indicator" "een bepaalde omstandigheid" wijzigen in: een verhoogd risico als bedoeld in artikel 65, tweede lid, van de wet.
- De omschrijving van "samenwerkingsverband" niet beperken tot samenwer-kingsverbanden die gebruik maken van SyRI, nu het ontwerpbesluit (blijkens de considerans) mede strekt tot uitvoering van artikel 64, vijfde lid, van de Wet SUWI en dat artikel betrekking heeft op samenwerkingsverbanden die geen gebruik maken van SyRI. Voorts een actuele vindplaats opnemen bij de Samenwerkingsovereenkomst voor interventieteams.

Artikel 2 
- Het vierde lid, onderdeel a, wijzigen in: met het verzoek instemt;. 
- In het vierde lid, onderdeel c, "hebben" wijzigen in: heeft. 
- In het vierde lid, onderdeel d, gelet op artikel 64, vierde lid, van de wet, "bestanden" wijzigen in: gegevens. 
- In het zesde lid de woorden "en kan deze wijzigen" schrappen, aangezien dit vanzelf spreekt.

Overige artikelen 
- In artikel 3, derde lid, de woorden "ten behoeve van Onze Minister" schrappen. Het vierde lid wijzigen in: "De bewerker vernietigt de in het kader van het SyRI-project aan hem verstrekte bestanden, de door hem bewerkte bestanden en de bestanden, bedoeld in het derde lid, onderdeel c, binnen vier weken nadat het bestand, bedoeld in het derde lid, onderdeel g, aan Onze Minister is verstrekt." 
- In de artikelen 4, eerste lid, en 6, eerste lid, de woorden "(als) bedoeld in arti-kel 65, tweede lid, van de wet", schrappen, nu "risicomelding" gedefinieerd is. 
- In artikel 6, eerste lid, "zijn" wijzigen in: worden. In het tweede en derde lid, ", bedoeld in het eerste lid" telkens schrappen. 
- Artikel 7, tweede lid, schrappen, nu dit vanzelf spreekt. 
- De proces-verbaalplicht in artikel 8, eerste lid, eveneens laten gelden voor de verwijdering van gegevens uit SyRI, bedoeld in artikel 65, zevende lid, van de wet, en voor de vernietiging van gegevens in het register risicomeldingen (ministeriële regeling op basis van artikel 6, derde lid).

Toelichting 
- In het stroomschema in § 2.7 een kolom toevoegen, waarin voor elk van de persoonsgegevens die in de verschillende fasen ontstaan, wordt aangeduid op welk tijdstip zij moeten worden verwijderd of vernietigd. 
- In § 3 (Financiële gevolgen) niet alleen ingaan op de uitvoeringskosten bij het Inlichtingenbureau, maar ook op de kosten bij de andere betrokken bestuursorganen en personen, en op de te verwachten opbrengsten.

---

Nader rapport (reactie op het advies) van 14 augustus 2014

1. Inleiding.
De door de Afdeling advisering van de Raad van State algemene beschrijving van de gegevensverwerking binnen SyRI is accuraat.

2.Verwerking van persoonsgegevens

a.Categorieën persoonsgegevens
De Afdeling is van oordeel dat de categorieën van persoonsgegevens die in SyRI kunnen worden verwerkt ruim en veelomvattend zijn en adviseert de categorieën persoonsgegevens kritisch te bezien op noodzaak, subsidiariteit en evenredigheid, en de omschrijving in het ontwerpbesluit toe te spitsen op hetgeen met die eisen in overeenstemming is.
Voor het aanduiden van de categorieën van gegevens die in SyRI mogen worden verwerkt is aangesloten bij de set gegevens die aan gemeenten moet worden verstrekt op grond van artikel 64 Wet werk en bijstand (WWB) respectievelijk de set gegevens die aan het UWV en de SVB moet worden verstrekt op grond van artikel 54 Wet Structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI). Het uitgangspunt is dat gegevens die voor het vaststellen van de rechtmatigheid van de uitkering worden verzameld op basis van artikel 64 Wet WWB en artikel 54 Wet SUWI ook kunnen worden gebruikt in het SyRI-project. De projecten kunnen zich richten op verschillende thema’s en het is niet wenselijk om op voorhand gegevens uit te sluiten. Ook bij de wijze waarop deze gegevens worden beschreven is aangesloten bij eerdergenoemde wetten. Wel is het advies van de afdeling om de omschrijving in de artikelsgewijze toelichting op te nemen in het artikel overgenomen.
Het principe van dataminimalisatie is gewaarborgd doordat deelnemende partijen voorafgaand aan elk project toetsen welke gegevens noodzakelijk zijn voor het specifieke doel van de samenwerking. In artikel 64 van de Wet SUWI is aangegeven welke deze doelen zijn en die bepalen de begrenzing van de gegevensverwerking bij deze samenwerking. Het gaat er om onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van sociale zekerheid en inkomensafhankelijke regelingen te bestrijden en te voorkomen. Voorts dient belasting- en premiefraude te worden tegengegaan. Tenslotte is het doel niet naleven van arbeidswetten. Deelnemende partijen geven in hun verzoek het gezamenlijke doel van de samenwerking weer evenals de gegevens die daarvoor moeten worden samengebracht. De doelstelling van het samenwerkingsverband moet binnen deze doeleinden passen en de daartoe te verstrekken gegevens door deelnemers dienen welbepaald en uitdrukkelijk te zijn omschreven. De concrete doelstelling van de samenwerking is bepalend voor de vraag welke gegevens moeten worden aangeleverd. In het verzoek dient zoveel mogelijk te worden geconcretiseerd welke persoonsgegevens exact nodig zijn om de doelstelling te behalen.
De Afdeling adviseert op te nemen dat gegevens die een bepaald aantal jaren oud zijn niet worden verwerkt. In het merendeel van de gevallen zal het gaan om de actuele stand van zaken en actuele gegevens. Soms is het noodzakelijk om niet-actuele gegevens in het project te brengen, omdat deelnemers de geschiedenis van een natuurlijk persoon of rechtspersoon in beeld willen brengen. Het past bij het principe van dataminimalisatie dat deelnemers dit dan moeten motiveren. De toelichting is op dit punt aangepast.

b.Risicomodellen
Volgens de Afdeling moeten ook de indicatoren voor de te ontwikkelen risicomodellen voldoende helder worden benoemd, omdat anders het koppelen zou kunnen leiden tot een "fishing expedition" en zelfs tot willekeur. Het beginsel van dataminimalisatie wordt tevens gewaarborgd doordat bij het ontwerp van een nieuw risicomodel op dit moment de Inspectie SZW beschrijft voor welke specifieke fraudevorm het instrument SyRI wordt ingezet en gemotiveerd onderbouwt welke gegevens daartoe bij elkaar worden gebracht. In de toekomst kan dat ook een andere partij dan de Inspectie SZW zijn. De toelichting is op dit punt aangepast. Hetzelfde geldt ten aanzien van het advies van de Afdeling om in de toelichting uiteen te zetten hoe het beginsel van select before you collect zal worden toegepast bij het opstellen van risicomodellen.

3.Verwerking van bijzondere persoonsgegevens
De Afdeling maakt een aantal opmerking over het verwerken van bijzondere persoonsgegevens. De regeling in dit Besluit is gebaseerd op de Wet SUWI. Op grond van die Wet SUWI worden onder persoonsgegevens verstaan alle persoonsgegevens als bedoeld in de Wet bescherming persoonsgegevens. Dit bevat dus ook de bijzondere persoonsgegevens, die zijn genoemd in artikel 16 van de Wet bescherming persoonsgegevens (Wbp). Deze gegevens kunnen op grond van de Wet SUWI worden verwerkt voor zover dat is toegestaan op grond van de bepalingen in de Wbp, in het bijzonder artikel 21 (gegevens betreffende de gezondheid) en artikel 22 (strafrechtelijke gegevens). Tegen deze achtergrond is de uitspraak tijdens de parlementaire behandeling dat artikel 64 en 65 van de Wet SUWI geen grondslag bieden voor het verwerken van bijzondere gegevens, die de Afdeling aanhaalt, niet geheel juist. Bij de bespreking van de onderdelen a en b zal dan ook nader worden aangegeven in hoeverre sprake is van verwerking van dergelijke bijzondere gegevens in SyRI.

a.Verwerking van strafrechtelijke gegevens
De Afdeling is van oordeel dat het ontwerpbesluit voorziet in de verwerking van gegevens die moeten worden aangemerkt als strafrechtelijke gegevens. Dit geldt voor de hele categorie detentiegegevens.
Uit de memorie van toelichting op de Wbp blijkt dat het begrip strafrechtelijke gegevens betrekking heeft op veroordelingen als min of meer gegronde verdenkingen. Echter, met de term detentiegegevens in het besluit is niet gedoeld op dit soort gegevens. In de sociale zekerheidswetten is vastgelegd dat gedetineerden geen recht hebben op een uitkering. Bij detentie wordt de uitkering na een maand beëindigd. Voor de WWB (inclusief de IOAW en de IOAZ) en de Werkloosheidswet (WW) wordt de uitkering vanaf de eerste dag van detentie beëindigd. Om de rechtmatigheid van de verstrekte uitkering te kunnen vaststellen is het noodzakelijk dat de uitvoeringsorganen kunnen beschikken over informatie van personen die gedetineerd zijn, dat wil zeggen rechtens hun vrijheid is ontnomen dan wel de mededeling dat de persoon zich onttrekt aan de tenuitvoerlegging. Deze gegevens worden verstrekt door de Minister van Veiligheid en Justitie zoals is geregeld in de Wet SUWI en de WWB. Voor de uitvoering van deze wetten worden enkel die gegevens verstrekt die van belang zijn voor de genoemde doelen. Dat betekent in dit geval dat alleen de voor identificatie noodzakelijke gegevens worden verstrekt, te weten BSN en geboortedatum. Met de omschrijving "detentiegegevens" in het besluit was beoogd dat tot uitdrukking te laten komen. Om misverstanden te voorkomen wordt de term detentiegegevens vervangen door "uitsluitingsgronden voor bijstand en uitkering". De Afdeling is van oordeel dat gegevens over de bestuurlijke boete gerekend kunnen worden onder de strafrechtelijke gegevens in de zin van de Wbp en deze gegevens uit het Besluit moeten worden geschrapt nu in de memorie van toelichting is bepaald dat in SyRI geen bijzondere persoonsgegevens worden verwerkt. Dit advies wordt niet overgenomen, omdat het wel noodzakelijk is deze gegevens te verwerken.
De Afdeling stelt terecht dat een bestuursrechtelijke sanctie een punitief karakter heeft. Uit de door de Afdeling aangehaalde jurisprudentie en de verwijzing naar de memorie van toelichting bij de Algemene wet bestuursrecht blijkt dat het begrip "criminal charge" een autonoom begrip is. Dat wil zeggen dat voor de toepasselijkheid van de in de artikelen 6 en 7 van het Europees Verdrag tot bescherming van de Rechten van de Mens en de artikelen 14 en 15 van het Internationale Verdrag inzage Burgerrechten en Politieke Rechten (IVBPR) gegarandeerde rechten en waarborgen niet van belang is of een bepaalde sanctie naar nationaal recht als strafrechtelijk of bestuursrechtelijk wordt gekwalificeerd. Met andere woorden ook bij het opleggen van bestuursrechtelijke sancties gelden de waarborgen van het recht op een eerlijk proces, het recht op behandeling binnen een redelijke termijn door een onafhankelijke en onpartijdige instantie, het zwijgrecht e.d. Deze waarborgen worden ook toegepast bij het opleggen van een bestuursrechtelijke sanctie. Dit wil niet zeggen dat een bestuursrechtelijke sanctie daarmee ook een strafrechtelijk gegeven is in de zin van de Wbp. Zoals de Afdeling zelf aangeeft kent de Wbp enkel strafrechtelijke gegevens en niet bestuursrechtelijke gegevens. Uit de door de Afdeling aangehaalde passage uit de memorie van toelichting op de Wbp blijkt dat strafrechtelijke gegevens betrekking hebben op veroordelingen en op min of meer gegronde verdenkingen. Een bestuursrechtelijke sanctie valt niet onder het begrip veroordeling en evenmin onder het begrip gegronde verdenking. Uit de tekst van artikel 22, eerste lid, van de Wbp blijkt dat strafrechtelijke persoonsgegevens verwerkt mogen worden door organen die krachtens de wet zijn belast met de toepassing van het strafrecht. Anders dan bij strafrechtelijke persoonsgegevens het geval is heeft een bestuursrechtelijke sanctie geen gevolgen voor de justitiële documentatie van een persoon (zgn. strafblad). Dat wil zeggen dat een bestuursrechtelijke sanctie geen gevolgen heeft voor bijvoorbeeld de afgifte van een verklaring omtrent het gedrag. Overigens kunnen de in SyRI samenwerkende partijen wel strafrechtelijke persoonsgegevens verwerken, omdat het verbod tot verwerking van die strafrechtelijke gegevens op grond van artikel 22, eerste lid, van de Wbp niet geldt voor het verwerken van deze gegevens, die de verantwoordelijken verkregen hebben op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. De bij SyRI betrokken bestuursorganen en toezichthouders verkrijgen gegevens op grond van deze wetten. De Afdeling stelt terecht dat de begrippen nalevingsgegevens en schuldenlastgegevens niet adequaat zijn omschreven. In de toelichting op deze gegevens staat dat mede aan de hand van fraudesignalen, geconstateerde overtredingen, opgelegde boetes en maatregelen en strafrechtelijke informatie wordt bepaald of van deze gegevens sprake is. Deze gegevens kunnen dus worden verwerkt indien passend bij de doelstellingen. De toelichting wordt hierop aangepast.

b.Verwerking van gezondheidsgegevens
De Afdeling adviseert om in het artikel zelf vast te leggen dat het bij zorgverzekeringsgegevens uitsluitend gaat om het gegeven dat iemand al dan niet is verzekerd en dat het bij re-integratiegegevens uitsluitend gaat om gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en of deze worden nageleefd. Dit advies is overgenomen.

c.Consistentie van de toelichting
De nota van toelichting is voor zover nodig aangepast in verband met de door de Afdeling geconstateerde inconsistentie op het punt van verwerking van bijzondere gegevens.

4.Register risicomeldingen
Het advies van de Afdeling om de uitwerking van het register in dit besluit te regelen is overgenomen. Het besluit is aldus aangepast. Er wordt een register risicomeldingen ingericht waarin de definitieve selectie van risicomeldingen wordt verwerkt met als doel projectdeelnemers en bestuursorganen te informeren over risicomeldingen die zijn verstrekt en om subjecten van risicomeldingen op aanvraag te informeren of zij in het register staan opgenomen. De Minister van Sociale Zaken en Werkgelegenheid is de verantwoordelijke van het register. De Afdeling vraagt voorts of kan worden volstaan met een passieve informatieplicht of dat wordt bepaald dat personen op wie een risicomelding betrekking heeft, binnen een bepaalde termijn na afloop van het onderzoek daarvan op de hoogte worden gesteld. In de memorie van toelichting van de wet is hierover aangegeven dat de individuele burger wiens persoonsgegevens in SyRI worden verwerkt of in een risicomelding worden opgenomen, niet persoonlijk wordt geïnformeerd over die gegevensverwerking. Niet alleen zou dit een onevenredige inspanning vergen van de overheid en bestuursorganen, maar het zou ook de modus operandi kunnen vrijgeven waaraan calculerende burgers hun gedragingen zouden kunnen aanpassen. Om die reden wordt in de bepaling over het register een bijzondere bepaling opgenomen over de informatie aan de betrokken persoon. Indien sprake is van een verzoek tot informatie over de verwerking in het register wordt dit overigens beoordeeld met toepassing van de bepalingen daaromtrent in de Wbp. De bewaartermijnen worden ook in het artikel geregeld, zodat duidelijkheid bestaat over de bewaartermijnen en het vernietigen van de gegevens. Daarmee wordt de duidelijkheid in ieder geval op het niveau van de regeling in dit besluit gegevens.

5. Afzonderlijke amvb
Het advies van de Afdeling om de inhoud van het ontwerpbesluit op te nemen in het Besluit SUWI is overgenomen.

6.Redactionele opmerkingen
De redactionele opmerkingen zijn verwerkt. De redactionele opmerkingen over de omschrijving van "indicator", het opnemen van een (actuele) vindplaats bij de Samenwerkingsovereenkomst voor interventieteams en over de uitbreiding van de proces-verbaalplicht zijn niet overgenomen. De redactionele opmerkingen over de toevoeging in het stroomschema van het moment waarop persoonsgegevens moeten worden vernietigd en verwerkt en het inzicht in de uitvoeringskosten zijn eveneens niet verwerkt.

Ik moge U hierbij, het gewijzigde ontwerpbesluit en de gewijzigde nota van toelichting doen toekomen en U verzoeken overeenkomstig dit ontwerp te besluiten.

De Minister van Sociale Zaken en Werkgelegenheid

---

(1) Kamerstukken II 2012/13, 33 579, nr. 9, blz. 13.
(2) Kamerstukken II 2012/13, 33 579, nr. 4, punt 2.
(3) Aanwijzing 214 van de Aanwijzingen voor de regelgeving.
(4) Voorgesteld artikel 2, zevende lid.
(5) Voorgesteld artikel 1.
(6) Toelichting, § 2.2 (Verzoek inzet SyRI), vijfde tekstblok.
(7) Artikelen 7 en 11, eerste lid, van de Wet bescherming persoonsgegevens (Wbp)
(8) Artikel 64, tweede lid, van de Wet SUWI.
(9) Artikel 16 Wbp.
(10) Kamerstukken II 2012/13, 33 579, nr. 3, blz. 22.
(11) Voorgesteld artikel 2, derde lid, onderdelen b, c en j, alsmede de toelichting op artikel 2.
(12) Dit laatste staat in een voetnoot.
(13) Kamerstukken II 1997/98, 25 892, nr. 3, blz. 118.
(14) Overigens kent de Wet SUWI sinds 2002 een specifieke grondslag voor de verstrekking van gegevens over detentie (artikel 54, derde lid, onderdeel h, van de Wet SUWI). Die regeling houdt verband met het feit dat detentie en voortvluchtigheid in een aantal sociale zekerheidswetten een uitsluitingsgrond voor uitkeringsrechten vormen (bij voorbeeld artikel 43, aanhef en onderdelen d en e, van de Wet werk en inkomen naar arbeidsvermogen; artikel 13, eerste lid, aanhef en onderdelen a en b, van de Wet werk en bijstand). Dit relativeert de noodzaak om opnieuw te voorzien in verstrekking van detentiegegevens.
(15) Artikel 5:2, eerste lid, aanhef en onderdeel c, juncto artikel 5:40 van de Algemene wet bestuursrecht.
(16) Bij voorbeeld Europees Hof van de Rechten van de Mens 21 februari 1984, NJ 1988, 937 (Öztürk); Hof van Justitie van de Europese Unie 23 december 2009, zaak C-45/08 (Spector Photo Group NV, Chris Van Raemdonck tegen Commissie voor het Bank-, Financie en Assurantiewezen), r.o. 42; Kamerstukken II 2003/04, 29 702, nr. 3, blz. 122-123 (regeling van bestuurlijke boete in de Algemene wet bestuursrecht).
(17) Voorgesteld artikel 2, derde lid, onderdeel q, alsmede de toelichting op artikel 2.
(18) Toelichting, § 2.1 (Algemeen), laatste alinea; § 4.3 (Advies Cbp), onder "Bijzondere persoonsgegevens"; toelichting op artikel 2.
(19) Toelichting, § 6 (Privacy Impact Assessment): "In SyRI worden persoonsgegevens verwerkt waaronder bijzondere persoonsgegeven."
(20) Voorgesteld artikel 6.
(21) Kamerstukken II 2012/13, 33 579, nr. 3, blz. 39. Idem toelichting op artikel 6 van het ontwerpbesluit.
(22) Zie ook aanwijzing 26 van de Aanwijzingen voor de regelgeving.
(23) Toelichting, § 2.4.3 (Fase 2: analyse).
(24) Zie ook aanwijzing 104 van de Aanwijzingen voor de regelgeving.

---

Gehele tekst ontwerpregeling met toelichting (pdf, 397 kB)