Feedback

Zoekresultaat - inzien document

ECLI:NL:RBDHA:2020:865

Instantie
Rechtbank Den Haag
Datum uitspraak
05-02-2020
Datum publicatie
05-02-2020
Zaaknummer
C-09-550982-HA ZA 18-388
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Bodemzaak
Eerste aanleg - meervoudig
Inhoudsindicatie

In English: ECLI:NL:RBDHA:2020:1878.

SyRI-wetgeving in strijd met het Europees Verdrag voor de Rechten voor de Mens

De rechtbank heeft vandaag uitspraak gedaan in een zaak over het Systeem Risico Indicatie (SyRI). SyRI is een wettelijk instrument dat de overheid gebruikt voor de bestrijding van fraude op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen. De rechtbank is van oordeel dat de wetgeving die de inzet van SyRI regelt in strijd is met hoger recht. De wetgeving voldoet volgens de rechtbank niet aan artikel 8 van het Europees Verdrag voor de Rechten voor de Mens (EVRM). Dit artikel beschermt het recht op respect voor het privéleven.

Toets

De rechtbank moest toetsen of de SyRI-wetgeving in strijd is met eenieder verbindende bepalingen van internationaal of Europees recht. De rechtbank heeft beoordeeld of de SyRI-wetgeving voldoet aan artikel 8 lid 2 EVRM. Die bepaling vereist een ‘fair balance’ (een redelijke verhouding) tussen het maatschappelijk belang dat de wetgeving dient en de inbreuk op het privéleven die de wetgeving maakt.

Bijzondere verantwoordelijkheid bij nieuwe technologieën

Op grond van artikel 8 EVRM rust op Nederland als lidstaat bij de toepassing van nieuwe technologieën een bijzondere verantwoordelijkheid. Daarbij gaat het om de juiste balans in de weging van enerzijds de voordelen die aan het gebruik van die technologieën verbonden zijn tegenover anderzijds de inmenging die dat gebruik op het recht op respect voor het privéleven kan maken. Dit geldt ook in het geval van de inzet van SyRI.

Inzet SyRI onvoldoende inzichtelijk en controleerbaar

De rechtbank komt tot het oordeel dat de SyRI-wetgeving in haar huidige vorm de toets van artikel 8 lid 2 EVRM niet doorstaat. De rechtbank heeft de doelen van de SyRI-wetgeving, namelijk het voorkomen en bestrijden van fraude in het belang van het economisch welzijn, afgezet tegen de inbreuk op het privéleven die de wetgeving maakt. Volgens de rechtbank voldoet de wetgeving niet aan de ‘fair balance’ die het EVRM vereist om te kunnen spreken over een voldoende gerechtvaardigde inbreuk op het privéleven. De wetgeving is wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar. De wetgeving is onrechtmatig want in strijd met hoger recht en dus onverbindend.

Achtergrond

Een aantal maatschappelijke organisaties, waaronder het Nederlands Juristen Comité voor de Mensenrechten, en twee burgers hebben deze procedure tegen de Staat aangespannen. De FNV heeft zich aan de zijde van eisers gevoegd. Eisers willen een ‘halt’ toeroepen aan het gebruik van SyRI. Zij vinden dat de overheid met de inzet van SyRI een ontoelaatbare inbreuk maakt op mensenrechten. De Staat is het niet eens met dit standpunt. De Staat heeft naar voren gebracht dat de SyRI-wetgeving voldoende waarborgen bevat om de privacy van eenieder te beschermen.

zie ook ECLI:NL:RBDHA:2020:1878.

Vindplaatsen
Rechtspraak.nl
PS-Updates.nl 2020-0176
JB 2020/63 met annotatie van Jansen, R.H.T., Reijneveld, M.D.
RAV 2020/35
TRA 2020/49 met annotatie van W.L. Roozendaal
JBP 2020/41
AB 2020/236 met annotatie van H.B. van Kolfschooten
Computerrecht 2020/87 met annotatie van S. van Schendel
O&A 2020/28 met annotatie van T. Barkhuysen, N. Jak, S.R.P. Bastiaans
Verrijkte uitspraak

Uitspraak

vonnis

RECHTBANK DEN HAAG

Team handel

zaaknummer / rolnummer: C/09/550982 / HA ZA 18-388

Vonnis van 5 februari 2020

in de zaak van

1 NEDERLANDS JURISTEN COMITÉ VOOR DE MENSENRECHTEN

te Leiden,

2. STICHTING PLATFORM BESCHERMING BURGERRECHTEN
te Amsterdam,

3. STICHTING PRIVACY FIRST te Amsterdam,

4. STICHTING KOEPEL VAN DBC-VRIJE PRAKTIJKEN te Amsterdam,

5. LANDELIJKE CLIËNTENRAAD te Den Haag,

6. [eisende partij sub 6] te [plaats 1] ,

7. [eisende partij sub 7] te [plaats 2] ,

eisers,

advocaat mr. A.H. Ekker te Amsterdam,

en

FEDERATIE NEDERLANDSE VAKBEWEGING te Utrecht,

interveniënte aan de zijde van eisers,

advocaat mr. A.H. Ekker te Amsterdam,

tegen

STAAT DER NEDERLANDEN zetelende te Den Haag,

gedaagde,

advocaat mr. C.M. Bitter te Den Haag.

Eisers worden hierna gezamenlijk ook NJCM c.s. genoemd en afzonderlijk respectievelijk het NJCM, het Platform Bescherming Burgerrechten, Privacy First, de Koepel van DBC-Vrije Praktijken, de Landelijke Cliëntenraad, [eisende partij sub 6] , [eisende partij sub 7] . Interveniënte wordt FNV genoemd. Gedaagde wordt de Staat genoemd.

De indeling van dit vonnis is als volgt:

1 Het procesverloop

1.1-1.3

2 NJCM c.s. en FNV

2.1-2.5

3 De feiten

3.1-3.10

4 De SyRI-wetgeving

4.1-4.3 Algemeen

4.4-4.7 Gegevensverstrekking ten behoeve van een

samenwerkingsverband

4.8-4.10 Wettelijke grondslag SyRI
4.11-4.16 Risicomeldingen, bewaarplicht, verwijdering uit SyRI en

geheimhouding

4.17

Gegevens die in SyRI mogen worden verwerkt
4.18 Stroomschema inzet SyRI
4.19-4.26 Het verzoek om de inzet SyRI, advies LSI en duur SyRI-project

4.27-4.31 Gegevensverwerking

4.32

Terugkoppeling resultaten risicomeldingen
4.33 Toezicht

5 Het geschil

5.1-5.4

6 De beoordeling

6.1

Inleidend

6.9-6.18 Ontvankelijkheid

6.19

Algemeen toetsingskader

6.20-6.26 Mensenrechtelijke bescherming
6.27-6.36 Unierechtelijke bescherming
6.37-6.41 Onderlinge verhouding EVRM en Unierecht en partijdebat

6.42-6.44 De gestelde schending van artikel 8 EVRM

6.45-6.54 Mate en ernst van de inmenging; wat is SyRI? Ongerichte sleepnetacties, datamining,‘deep learning’, ‘big data’

6.55-6.60 Mate en ernst van de inmenging; profilering en geautomatiseerde individuele besluitvorming?

6.61-6.65 Resumé

6.66-6.72 Bij wet voorzien
6.73-6.79 Noodzakelijk in een democratische samenleving; algemeen
6.80-6.107 Noodzakelijk in een democratische samenleving;

proportionaliteit subsidiariteit

6.108-6.117 De vorderingen

6.118 Proceskosten

7 De beslissing

1 Het procesverloop

1.1.

Het verloop van de procedure blijkt uit:

  • -

    de dagvaarding van 27 maart 2018 met producties,

  • -

    de conclusie van antwoord met producties,

  • -

    het vonnis in het incident tot voeging van 26 september 2018 met de daarin genoemde stukken,

  • -

    de akte uitlating aan de zijde van FNV van 14 november 2018,

  • -

    de antwoordakte aan de zijde van de Staat van 14 november 2018,

  • -

    het vonnis van 2 januari 2019, waarbij een comparitie van partijen is bevolen,

  • -

    het buiten aanwezigheid van partijen opgemaakte proces-verbaal van comparitie van

29 oktober 2019 en de op de zitting ingediende akte houdende producties aan de zijde van NJCM c.s. met producties.

1.2.

Partijen zijn in de gelegenheid gesteld opmerkingen van feitelijke aard op het proces-verbaal te maken. De Staat heeft daarvan gebruik gemaakt bij brief van 29 november 2019 en NJCM c.s. bij brief van 3 december 2019. De rechtbank leest het proces-verbaal met inachtneming van de opmerkingen van partijen.

1.3.

Ten slotte is een datum voor vonnis bepaald.

2 NJCM c.s. en FNV

2.1.

NJCM c.s. is een coalitie van maatschappelijke organisaties en twee natuurlijke personen.

2.2.

Het NJCM is een organisatie die zich bezighoudt met de bescherming en versterking van de fundamentele rechten en vrijheden van de mens. Het Platform Bescherming Burgerrechten richt zich op de bescherming van klassieke burgerrechten. Privacy First zet zich in voor het behoud en de bevordering van het recht op privacy. De koepel van DBC-vrije praktijken maakt zich sterk voor de bescherming van de privacy van cliënten van psychotherapeuten.

2.3.

De Landelijke Cliëntenraad is ingesteld op grond van de Wet structuur uitvoeringsorganisatie en inkomen (hierna: Wet SUWI of de wet). Hij is een orgaan dat bestaat uit vertegenwoordigers van landelijke cliëntenorganisaties, organisaties van gemeentelijke cliëntenparticipatie en de centrale cliëntenraden van het Uitvoeringsinstituut werknemersverzekeringen (hierna: UWV) en de Sociale verzekeringsbank (hierna: SVB). De Landelijke Cliëntenraad heeft de taak periodiek te overleggen met het UWV, de SVB, de gemeenten en de minister van Sociale Zaken en Werkgelegenheid (hierna: de Minister) over de vormgeving en realisatie van cliëntenparticipatie bij de desbetreffende organen en met de Minister over voorstellen van de Landelijke Cliëntenraad inzake beleidsvragen op het gebied van werk en inkomen.1 De Landelijke Cliëntenraad stelt zich volgens zijn huishoudelijk reglement ten doel een belangrijke rol te vervullen met betrekking tot de inbreng van cliënten op onder meer de beleidsterreinen werk en inkomen.

2.4. [eisende partij sub 6] is filosoof, jurist, schrijver en columnist. [eisende partij sub 7] is auteur, columnist en presentator.

2.5.

De FNV is een vakbond. Zij komt op voor de belangen van haar leden. Zij laat zich daarbij mede leiden door de fundamentele waarden van gelijkwaardigheid van alle mensen, van vrijheid, rechtvaardigheid en solidariteit.

3 De feiten

3.1.

Het Systeem Risicoindicatie (hierna: SyRI) is een wettelijk instrument dat de overheid gebruikt ter voorkoming en bestrijding van fraude op het terrein van de sociale zekerheid en inkomensafhankelijke regelingen, de belasting- en premieheffing en de arbeidswetten. Het gaat volgens de wetgever om technische infrastructuur en de bijbehorende procedures waarmee in een beveiligde omgeving anoniem data kunnen worden gekoppeld en geanalyseerd, zodat risicomeldingen kunnen worden gegenereerd.2

3.2.

Een risicomelding betekent dat een rechtspersoon of natuurlijke persoon onderzoekswaardig wordt geacht in verband met mogelijke fraude, onrechtmatig gebruik en niet-naleving van wetgeving.

3.3.

Het instrument wordt ingezet door de Minister op verzoek van bepaalde overheidsinstanties of andere instanties met een publieke taak. Dit zijn op dit moment de colleges van burgemeester en wethouders (hierna: de gemeenten), het UWV, de SVB, de rijksbelastingdienst (hierna: de Belastingdienst), de Immigratie- en Naturalisatiedienst (hierna: de IND) en toezichthouders, zoals de Inspectie SZW. Die instanties kunnen een samenwerkingsverband aangaan waarin zij gegevens uitwisselen. Met de inzet van SyRI worden bestanden waarover die (overheids)instanties beschikken gestructureerd gekoppeld om samenhangende misstanden op de genoemde terreinen te kunnen onderkennen en om de pakkans te verhogen.

3.4.

Volgens de wetgever leidt deze werkwijze tot een efficiënte en effectieve inzet van het controleapparaat.

3.5.

De techniek waarvan bij de inzet van SyRI gebruik wordt gemaakt, is gebaseerd op een praktijk die bestond voordat sprake was van een wettelijke grondslag voor de inzet van SyRI. Met het oog op de gezamenlijke aanpak van belasting- en premiefraude, uitkeringsfraude, illegale tewerkstelling en daarmee samenhangende misstanden is een landelijke dekkende structuur van interventieteams opgezet.

3.6.

In 2003 hebben de bij deze structuur betrokken instanties een Samenwerkingsovereenkomst voor Interventieteams gesloten. Er werd voorzien in een structuur op twee niveaus: een Landelijke Stuurgroep Interventieteams (hierna: LSI) en projecten die regionaal werden uitgevoerd door Regionale Platforms fraudebestrijding. In 2017 is de Samenwerkingsovereenkomst voor Interventieteams geactualiseerd.3

3.7.

De LSI wordt voorgezeten door een vertegenwoordiger van het ministerie van SZW en bestaat uit vertegenwoordigers van de Inspectie SZW, de Belastingdienst, het UWV, de politie, de gemeenten (vertegenwoordigd door de Vereniging van Nederlandse Gemeenten), de SVB, het Openbaar Ministerie (OM) en de IND.

3.8.

Sinds 2004 is er op grond van de Wet werk en bijstand (hierna: WWB) een wettelijke regeling voor bestandskoppeling.4 Artikel 64 WWB (sinds 1 januari 2015 Participatiewet) verplicht bepaalde instanties opgaven en inlichtingen te verstrekken aan het UWV die voor de uitvoering van die wet noodzakelijk zijn. In 2005 heeft de toenmalig staatssecretaris van SZW een raamwerk vastgesteld voor de ontsluiting van gegevensbronnen voor de koppeling van bestanden. In 2005 is een project, Waterproof geheten, gestart. In dit project was sprake van een bestandskoppeling waarbij in vijfenzestig gemeenten aan de hand van verbruikcijfers van waterbedrijven en de woongegevens en vervuilingseenheden van de waterschappen de woonsituatie van ontvangers van een uitkering op grond van de WWB werd gecontroleerd. Naar aanleiding van kritiek van het College voor bescherming van persoonsgegevens (hierna: Cpb) op de bestandskoppeling in dit project, heeft de voormalige Sociale Inlichtingen en Opsporingsdienst (SIOD, nu Inspectie SZW, afdeling opsporing) een omgeving ingericht die werd aangeduid als de ‘black box’. Daarin voerde de SIOD in opdracht en ten behoeve van de regionale interventieteams bestandskoppelingen uit en ontwikkelde zij risicoprofielen met behulp van deze bestandkoppelingen. Het ‘black box’-project is in 2010 geëindigd.

3.9.

Tussen 2008 en 2014 is sprake geweest van honderdzestig interventieteamprojecten die onder regie van de LSI werden uitgevoerd. Bij tweeëntwintig van die projecten is gebruik gemaakt van SyRI of haar voorlopers. Bij negentien van de eenentwintig afgeronde interventieteamprojecten is daarbij een zogenoemde wijkgerichte aanpak gevolgd. Die aanpak heeft de Minister als volgt toegelicht:

“Dat wil zeggen dat een aantal adressen in een bepaalde wijk in een gemeente door het interventieteam is onderzocht op het plegen van uitkeringsfraude, fraude met toeslagen of belastingfraude. Het doel van deze projecten is het leveren van een bijdrage aan de verbetering van het leefklimaat in zo’n wijk. Daarom wordt in deze projecten nadrukkelijk ook aandacht besteed aan het bieden van zorg en ondersteuning aan personen die zorgmijdend gedrag vertonen.”5

3.10.

Sinds 2015, nadat de inzet van SyRI in wetgeving is geregeld, zijn de volgende SyRI-projecten begonnen: ‘G.A.L.O.P. II’, ‘Adresfraude Afrikaanderwijk te Rotterdam’ , ‘WGA Kwetsbare buurten Capelle aan den IJssel’, ‘WGA Rotterdam Bloemhof & Hillesluis’ en ‘WGA Haarlem Schalkwijk’.6

4 De SyRI-wetgeving

Algemeen

4.1.

De Wet SUWI is met ingang van 1 januari 2014 gewijzigd om de inzet van SyRI wettelijk te verankeren.7 De voorwaarden voor die inzet zijn nader bepaald in het Besluit Wet SUWI.8SyRI heeft nu een wettelijke basis in de artikel 65 Wet SUWI in samenhang bezien met artikel 64 Wet SUWI en hoofdstuk 5a van het Besluit SUWI. De toen gewijzigde wet SUWI en het Besluit SUWI worden hierna gezamenlijk aangeduid als de SyRI-wetgeving. De rechtbank licht de SyRI-wetgeving hierna nader toe.

4.2.

In artikel 1 lid 2 van de Wet SUWI is het begrip gegevens gedefinieerd. Onder gegevens wordt mede verstaan persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG).9 Tot de inwerkingtreding van de AVG vanaf 25 mei 2018 werd verwezen naar de Wet bescherming persoonsgegevens (hierna: Wet Wbp)).

4.3.

Ook voor de begrippen verwerking, verwerkingsverantwoordelijke en verwerker sluit artikel 1 lid 2 van de Wet SUWI aan bij de AVG (artikel 4, onderdelen 2, 7 en 8) en was dit vóór 25 mei 2018 de Wbp.

Gegevensverstrekking ten behoeve van een samenwerkingsverband

4.4.

Artikel 64 lid 1 Wet SUWI voorziet in de samenwerking van een aantal bestuursorganen en personen die daartoe bij of krachtens de wet zijn aangewezen. Met personen worden geen natuurlijke personen bedoeld, maar diegenen die belast zijn met het toezicht op de naleving of uitvoering van regelgeving die onder de verantwoordelijkheid van de Minister valt. Deze bestuursorganen en personen zijn uitdrukkelijk in artikel 64 lid 1 Wet SUWI genoemd of kunnen bij ministeriële regeling worden aangewezen (hierna: de aangewezen overheidsinstanties). Op dit moment zijn de eerder in 3.3 genoemde instanties aangewezen (hierna: (overheids)instanties). Volgens de wettekst is het doel van de samenwerking gelegen in:

“een integraal overheidsoptreden ten aanzien van het voorkomen en bestrijden van onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, de voorkoming en bestrijding van belasting- en premiefraude en het niet naleven van de arbeidswetten.”

4.5.

Twee of meer van de aangewezen (overheids)instanties kunnen een samenwerkingsverband aangaan waarin gegevens worden verwerkt die noodzakelijk zijn ten behoeve van het eerdergenoemde doel voor dat samenwerkingsverband (artikel 64 lid 2 Wet SUWI).

4.6.

Uitgangspunt is dat de aangewezen (overheids)instanties die deelnemen aan een samenwerkingsverband verplicht zijn die noodzakelijke gegevens aan elkaar te verstrekken. Zij zijn dan gezamenlijk verwerkingsverantwoordelijk in de zin van artikel 26 van de AVG (artikel 64 lid 3 Wet SUWI).

4.7.

Als sprake is van een samenwerkingsverband waarin de deelnemende (overheids)instanties (ook) SyRI willen inzetten, doen zij de Minister een daartoe strekkend verzoek. Dan geldt, in afwijking van het hiervoor genoemde uitgangspunt, dat de noodzakelijke gegevens aan de Minister moeten worden verstrekt. In dat geval is de Minister verwerkingsverantwoordelijke in de zin van de AVG (artikel 64 lid 4 Wet SUWI in verbinding met artikel 65 lid 1 Wet SUWI).

Wettelijke grondslag SyRI

4.8.

Artikel 65 Wet SUWI biedt vervolgens de wettelijke grondslag voor de verwerking van de genoemde noodzakelijke gegevens in SyRI door de Minister voor het uitvoeren van risicoanalyses. Dit artikel bevat ook bepalingen over het doen van een risicomelding, geheimhouding, bewaring van het gegeven dat een risicomelding heeft plaatsgevonden, gebruikmaking van een risicomelding, terugkoppeling en verwijdering. Ten slotte is bepaald welke nadere regels bij algemene maatregel van bestuur in ieder geval worden gesteld. Aan dit laatste is uitvoering gegeven met het Besluit SUWI, in het bijzonder met hoofdstuk 5a van dat besluit.

4.9.

Een verzoek aan de Minister om de verwerking van gegevens in SyRI kan alleen worden gedaan door een samenwerkingsverband van aangewezen (overheids)instanties met het oogmerk SyRI in te zetten. Ieder van de samenwerkende instanties moet ook partij zijn bij de Samenwerkingsovereenkomst voor Interventieteams (artikel 65 lid 1 Wet SUWI in verbinding met artikel 1.1 bb en artikel 5.a.1 lid 1 van het Besluit SUWI).

4.10.

Het OM en de politie zijn partij bij de Samenwerkingsovereenkomst voor Interventieteams en vertegenwoordigd in de LSI. Zij zijn echter geen aangewezen (overheids)instantie in de zin van artikel 64 Wet SUWI. Zij kunnen dus geen samenwerkingsverband in de zin van artikel 64 Wet SUWI en het Besluit SUWI aangaan. Zij kunnen daarom ook niet verzoeken om de inzet van SyRI, noch met dat doel gegevens verstrekken aan de Minister op grond van de artikelen 65 lid 1 en 64 lid 4 Wet SUWI. Wel kunnen zij op hun verzoek risicomeldingen ontvangen voor zover dat noodzakelijk is voor de uitvoering van hun wettelijke taak (zie artikel 65 lid 3 van de Wet SUWI en verder hierna 4.13).

Risicomeldingen, bewaarplicht, verwijdering uit SyRI en geheimhouding

4.11.

Als de Minister gegevens verwerkt in SyRI, kunnen deze gegevens uitsluitend worden gebruikt voor het doen van een risicomelding over een natuurlijke persoon of rechtspersoon ten behoeve van het doel genoemd in artikel 64 lid 1 Wet SUWI (artikel 65 lid 1 Wet SUWI).

4.12.

Artikel 65 lid 2 Wet SUWI verstaat onder een risicomelding:

“de verstrekking op naam uit het systeem risico indicatie die een constatering van een verhoogd risico op onrechtmatig gebruik van overheidsgelden of overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, belasting- en premiefraude dan wel het niet naleven van de arbeidswetten door een natuurlijk persoon of rechtspersoon bevat en waarvan de risicoanalyse, die bestaat uit gegevens uit het systeem risico indicatie die in samenhang wordt gepresenteerd, onderdeel is.”

4.13.

De Minister doet in individuele gevallen risicomeldingen aan de aangewezen (overheids)instanties die het verzoek om de inzet van SyRI hebben gedaan en voor zover dat noodzakelijk is voor een goede uitvoering van hun wettelijke taak. De Minister kan daarnaast risicomeldingen doen aan het OM en de politie op hun verzoek en voor zover dat noodzakelijk is voor de uitoefening van hun wettelijke taak (artikel 65 lid 3 Wet SUWI).

4.14.

Er is een register risicomeldingen met het oog op deze informatieverschaffing aan de deelnemende (overheids)instanties en het OM en de politie en om degene op wie een risicomelding betrekking heeft op aanvraag te informeren. Betrokkenen worden niet na afloop van een onderzoek afzonderlijk geïnformeerd over de risicomeldingen die in het register worden verwerkt (artikel 5a.5 Besluit SUWI).

4.15.

Een risicomelding wordt door de Minister bewaard, niet langer dan dat noodzakelijk wordt geacht voor het doel van het verwerken van risicomeldingen en gedurende een periode van maximaal twee jaar. De aangewezen (overheids)instantie die de risicomelding ontvangt, kan gedurende twee jaren gebruik maken van de risicomelding en moet de resultaten van de risicomelding aan de Minister terugkoppelen. Die terugkoppeling moet binnen twintig maanden na aanvang van het SyRI-project plaatsvinden. Afgezien hiervan geldt dat de gegevens die in SyRI zijn verwerkt in ieder geval uiterlijk twee jaar na opneming in SyRI daaruit worden verwijderd (artikel 65 leden 5, 6 en 7 Wet SUWI en artikelen 5a.3 en 5.a.5 Besluit SUWI).

4.16.

De wet voorziet verder in een geheimhoudingsplicht voor een ieder die op grond van artikel 65 Wet SUWI de beschikking krijgt over gegevens met betrekking tot een natuurlijke of rechtspersoon die zijn neergelegd in een risicomelding. Dit met overeenkomstige toepassing van de ten aanzien van de gegevens geldende geheimhoudingsplicht (artikel 65, leden 3 tot en met 7 Wet SUWI en artikelen 5a.5 tot en met 5a.7 Besluit SUWI).

Gegevens die in SyRI mogen worden verwerkt

4.17.

Voor de verwerking in SyRI komen een of meer van de volgende categorieën gegevens in aanmerking (artikel 5a.1 lid 3 van het Besluit SUWI):

  1. arbeidsgegevens, zijnde gegevens waarmee een door een persoon verrichte werkzaamheden vastgesteld kunnen worden;

  2. gegevens inzake bestuursrechtelijke maatregelen en sancties, zijnde gegevens waaruit blijkt dat een natuurlijke persoon of een rechtspersoon een bestuursrechtelijke boete opgelegd heeft gekregen dan wel dat een andere bestuursrechtelijke maatregel is getroffen;

  3. fiscale gegevens, zijnde gegevens waarmee de fiscale verplichtingen van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld;

  4. gegevens roerende en onroerende goederen, zijnde gegevens waarmee het bezit en het gebruik van bepaalde goederen door een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld;

  5. gegevens over uitsluitingsgronden van bijstand of uitkeringen, zijnde gegevens waaruit blijkt dat een persoon niet in aanmerking komt voor een uitkering;

  6. handelsgegevens, zijnde gegevens waarmee de aard en werkzaamheden van een rechtspersoon kunnen worden vastgesteld;

  7. huisvestingsgegevens, zijnde gegevens waarmee de (daadwerkelijke) verblijfs- of vestigingsplaats van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld;

  8. identificerende gegevens, zijnde bij een natuurlijk persoon: naam, adres, woonplaats, postadres, geboortedatum, geslacht en administratieve kenmerken en bij een rechtspersoon: naam, adres, postadres, rechtsvorm, vestigingsplaats en administratieve kenmerken;

  9. inburgeringsgegevens, zijnde gegevens waarmee kan worden vastgesteld of aan een persoon inburgeringsverplichtingen zijn opgelegd;

  10. nalevingsgegevens, zijnde gegevens waarmee de nalevingshistorie van wet- en regelgeving van een natuurlijk persoon of rechtspersoon kan worden vastgelegd;

  11. onderwijsgegevens, zijnde gegevens waarmee de financiële ondersteuning ten behoeve van de bekostiging van onderwijs kan worden vastgesteld;

  12. pensioengegevens, zijnde gegevens waarmee de pensioenrechten kunnen worden vastgesteld;

  13. re-integratiegegevens, zijnde uitsluitend de gegevens waarmee kan worden vastgesteld of aan een persoon re-integratieverplichtingen zijn opgelegd en of deze worden nageleefd;

  14. schuldenlastgegevens, zijnde gegevens waarmee de eventuele schulden van een natuurlijk persoon of rechtspersoon kunnen worden vastgesteld;

  15. uitkerings-, toeslagen- en subsidiegegevens, zijnde gegevens waarmee de financiële ondersteuning van een natuurlijk persoon of rechtspersoon kan worden vastgesteld;

  16. vergunningen en ontheffingen, zijnde gegevens waarmee kan worden bepaald voor welke activiteiten een natuurlijk persoon of rechtspersoon toestemming heeft gevraagd of verkregen;

  17. zorgverzekeringsgegevens, zijnde uitsluitend de gegevens waarmee kan worden vastgesteld of een persoon is verzekerd voor de Zorgverzekeringswet.

Stroomschema inzet van SyRI

4.18.

De procedurele stappen bij de inzet van SyRI zijn in de nota van toelichting op het Besluit SUWI in een stroomschema met verwijzingen naar de relevante bepalingen naar de SyRI-wetgeving weergegeven. Dit stroomschema is hieronder weergegeven:

Het verzoek om de inzet SyRI, advies LSI en duur SyRI-project

4.19.

De Minister verwerkt de gegevens, bedoeld in artikel 64 lid 2 van de Wet SUWI, wanneer i) het verzoek van het samenwerkingsverband in de zin van het Besluit SUWI voldoet aan de voorwaarden in het Besluit SUWI en ii) uit de prioritering blijkt dat er voldoende capaciteit beschikbaar is voor de koppeling van de bestanden in SyRI en de analyse van de resultaten daarvan (artikel 5a.1 lid 1 in verbinding met de artikelen 5a.2 en 5a.3 van het Besluit SUWI).

4.20.

Een verzoek om SyRI in te zetten moet aan de volgende voorwaarden voldoen. Uit het verzoek moet in ieder geval blijken welke aangewezen (overheids)instanties ten behoeve van een concreet project (het SyRI-project) samenwerken, wat de concrete doelstelling van de samenwerking is, en hoe de samenwerking is georganiseerd en vormgegeven. Ook moeten daarin de beoogde aanvangsdatum en de duur van het SyRI-project worden aangegeven (artikel 5a.1 lid 2 sub a Besluit SUWI).

4.21.

Een SyRI-project is volgens het Besluit SUWI een project dat met gebruikmaking van SyRI informatie vergaart voor de doelstelling van dat project en past binnen de doelstelling bedoeld in artikel 64 lid 1 Wet SUWI (artikel 1.1 sub dd Besluit SUWI).

4.22.

Daarnaast dient het verzoek te bepalen welke concrete gegevens door de deelnemende (overheids)instanties zullen worden aangeleverd, de beoogde wijze van terugkoppeling van de risicomeldingen door de Minister en op welke indicatoren en welk risicomodel het verzoek betrekking heeft (artikel 5a.1 lid 2 sub b-d Besluit SUWI).

4.23.

Volgens de nota van toelichting bij het Besluit SUWI dienen de indicatoren en het te hanteren risicomodel helder benoemd te zijn en zou zonder deze bepaling het koppelen van de gegevensbestanden kunnen leiden tot een “fishing expedition” en zelfs tot willekeur. Volgens de Minister wordt op deze manier recht gedaan aan het principe “select before you collect”. Volgens het Besluit SUWI is een indicator een gegeven dat de aanwezigheid van een bepaalde omstandigheid aannemelijk maakt. Onder risicomodel wordt een model verstaan dat bestaat uit vooraf bepaalde indicatoren en dat aangeeft of sprake is van een verhoogd risico op onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van de sociale zekerheid en de inkomensafhankelijke regelingen, belasting- en premiefraude of het niet naleven van arbeidswetten (artikel 1.1. sub y, respectievelijk artikel 1.1. sub aa Besluit SUWI).

4.24.

Tot op heden beschikt de Inspectie SZW over één door haar gevalideerd risicomodel, het model Wijkgerichte aanpak (WGA).10 De Staat heeft op de zitting toegelicht dat wordt gewerkt aan de ontwikkeling van risicomodel voor bepaalde ondernemingen en een adresgerelateerd risicomodel. Op termijn is het, aldus de nota van toelichting bij het Besluit SUWI, de bedoeling dat de mogelijkheid wordt gecreëerd om voor een SyRI-project een speciaal op dat project toegesneden risicomodel te hanteren.

4.25.

De (overheids)instanties die deelnemen aan het samenwerkingsverband gaan ieder na of er een noodzaak tot gegevensverstrekking is. Hiertoe moeten de deelnemers aan het samenwerkingsverband aantonen dat binnen de eigen organisatie goedkeuring is verkregen voor deelname aan het SyRI-project. Voor zover een deelnemer aan het samenwerkingsverband beschikt over de noodzakelijke gegevens, bedoeld in artikel 64 lid 2 Wet SUWI, dient ook te worden aangetoond dat vooraf getoetst is welke gegevens noodzakelijk zijn voor de risicoanalyses in relatie tot het specifieke doel van het SyRI-project. Verder moeten deze deelnemers afzonderlijk hebben onderbouwd dat een mogelijke aantasting van de belangen van de natuurlijke of rechtspersonen op wie de verwerking van gegevens betrekking heeft niet onevenredig is en in verhouding tot het doel dat met de inzet van SyRI wordt beoogd. Alleen die gegevens mogen worden verstrekt die nodig zijn voor de uitvoering van de risicoanalyses, waarbij in redelijkheid geen minder ingrijpende wijze gehanteerd kan worden om het doel te bereiken dat met de inzet van SyRI wordt beoogd. Dit alles moet eveneens uit het verzoek blijken (artikel 5a.1 lid 4 Besluit SUWI).

4.26.

De Minister wordt geadviseerd door de LSI over de toepassing van SyRI in het desbetreffende SyRI-project. Hij bepaalt de aanvangsdatum van het SyRI-project als het verzoek aan de voorwaarden voldoet. Daarvan doet hij mededeling in de Staatscourant (artikel 5a.4 lid 1 Besluit SUWI). Er is een modelinformatiebrief opgesteld die gemeenten kunnen gebruiken om bewoners in een wijk vooraf te informeren. Volgens dit model wordt bewoners meegedeeld welke instanties meewerken aan het onderzoek en dat alleen die instanties de gegevens van bewoners te zien krijgen. Ook bevat het model de mededeling dat het team gegevens vergelijkt die al bij diverse instanties bekend zijn. Verder is vermeld hoe de controle met de toepassing van SyRI wordt uitgevoerd en wat er met een risicomelding gebeurt. Het SyRI-project eindigt zodra de terugkoppelingen van de (overheids)instanties die deelnemen aan het samenwerkingsverband zijn ingediend of wanneer de Minister besluit tot beëindiging van het project (artikel 5a.4 van het Besluit SUWI).

Gegevensverwerking

4.27.

Na de vaststelling van de Minister dat het verzoek tot de inzet van SyRI aan de voorwaarden voldoet en voor de aanvang van het SyRI-project vindt een zogenoemde kick-offmeeting met het samenwerkingsverband en de bewerker plaats. Tijdens die bijeenkomst ontvangt het samenwerkingsverband onder meer informatie en instructies over de wijze waarop de bestanden moeten worden aangeleverd en het te hanteren beveiligingsniveau.

4.28.

De Stichting Inlichtingenbureau (hierna: het IB) is aangewezen als bewerker en verwerker voor de koppeling van bestanden in SyRI (artikel 5a.2 Besluit SUWI in verbinding met artikel 5.24 Besluit SUWI). Het IB is op grond van artikel 63 van de Wet SUWI aangewezen als het orgaan ten behoeve van coördinatie en dienstverlening voor gemeenten voor de gegevensuitwisseling tussen UWV, CWI en gemeenten en het gebruik, de inrichting en instandhouding van de daarvoor benodigde elektronische infrastructuur (Suwinet).11 Het IB is als verwerker verantwoordelijk voor, onder meer, het samenbrengen, de pseudonimisering (dat wil zeggen: de versleuteling van de gegevens in een dataset op een wijze waarmee die gegevens niet meer direct herleidbaar zijn tot een persoon), de toetsing van de versleutelde bestanden aan het risicomodel en de ontsleuteling ervan na toetsing.

4.29.

De gegevensverwerking bestaat uit twee fasen: de bewerking (fase 1) en de analyse (fase 2). In de eerste fase brengt het IB de bestanden samen en pseudonimiseert deze. Hierbij worden onder meer persoons- en bedrijfsnamen, burgerservicenummers en adressen vervangen door een code (een pseudoniem). Hierna wordt door de bewerker de eerste stap in de risicoselectie toegepast op deze versleutelde gegevens: het bronbestand wordt geautomatiseerd getoetst aan het risicomodel met alle indicatoren. Dit genereert potentiële treffers. Onder een potentiële treffer wordt een treffer verstaan die een verhoogd risico op fraude aanduidt. Daarnaast creëert het IB een sleutelbestand waarin is aangegeven welke persoons- of bedrijfsnaam, burgerservicenummer of adres bij een bepaald pseudoniem hoort. Wanneer bepaalde natuurlijke personen, rechtspersonen of adressen aan de hand van het risicomodel als verhoogd risico worden aangemerkt, worden deze weer ontsleuteld aan de hand van het sleutelbestand. Alle gegevens die met deze verhoogde risico’s samenhangen (met uitzondering van het sleutelbestand) worden daarna doorgeleid aan de Minister ten behoeve van de tweede fase van de risicoanalyse door de analyse-eenheid van de Inspectie SZW. Het IB vernietigt binnen vier weken na doorgeleiding de bij hem nog aanwezige bestanden van het SyRI-project. De vernietiging wordt vastgelegd in een proces-verbaal.

4.30.

In de tweede fase worden de ontsleutelde gegevens nader geanalyseerd door de analyse-eenheid van de Inspectie SZW. Deze worden beoordeeld op onderzoekswaardigheid. Daaruit volgt een definitieve risicoselectie. Op basis van de definitieve risicoselectie doet de Minister de risicomeldingen.

4.31.

Als een natuurlijk persoon of rechtspersoon met een verhoogd risico geen onderwerp is van een risicomelding, worden zijn of haar gegevens binnen vier weken na afronding van de analyse vernietigd. De Minister vernietigt eventueel resterende gegevens na terugkoppeling door de deelnemers aan het samenwerkingsverband uiterlijk twee jaar na aanvang van het SyRI-project. De vernietiging wordt vastgelegd in een proces-verbaal. Deze opdracht tot vernietiging strekt zich niet uit tot de gegevens in het register risicomeldingen. Hiervoor geldt een bewaartermijn van twee jaar na de registratie van de risicomelding (artikel 65 lid 5 Wet SUWI).

Terugkoppeling resultaten risicomeldingen

4.32.

Het gebruik van de risicomeldingen moet worden teruggekoppeld aan de Minister. Daarmee is beoogd de effectiviteit van het risicomodel te verhogen. De terugkoppeling dient in ieder geval te bestaan uit de resultaten van de risicomeldingen, een onderbouwing als risicomeldingen niet zijn opgevolgd en een terugkoppeling over de bruikbaarheid van de risicomeldingen. Op grond van artikel 5a.6 van het Besluit SUWI is de Minister verplicht het risicomodel te evalueren aan de hand van de ontvangen terugkoppelingen. Aan de hand van de terugkoppeling kan het risicomodel dat wordt toegepast op de bestandskoppeling en de analysefase daarna zo nodig door de analyse-eenheid van de Inspectie SZW worden aangepast.
Toezicht

4.33.

De Autoriteit Persoonsgegevens (hierna: AP, voorheen het Cbp) is aangewezen als toezichthoudende autoriteit in Nederland in de zin van de AVG en houdt als externe privacytoezichthouder onder meer toezicht op de naleving van de SyRI-wetgeving.12

5 Het geschil

5.1.

NJCM c.s. vordert bij voor zover mogelijk uitvoerbaar bij voorraad te verklaren vonnis:

I. te verklaren voor recht dat toepassing van de artikelen 64 en 65 Wet SUWI en

hoofdstuk 5a van het Besluit SUWI onverenigbaar is met hoger recht, in het bijzonder met artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en fundamentele vrijheden (hierna: EVRM), artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: Handvest) en/of artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke Rechten (hierna: IVBPR); en/of artikel 6 en/of artikel 13 van het EVRM; en/of artikel 5, 6, 13, 14, 22 en/of 28 van de AVG, althans met de daarmee corresponderende artikelen uit de Wbp, althans,

II. te verklaren voor recht dat toepassing van de volgende onderdelen van de Wet SUWI en het Besluit SUWI onverenigbaar is met hoger recht, in het bijzonder met artikel 8 EVRM, artikel 7 en 8 Handvest en/of artikel 17 IVBPR; en/of artikel 6 en/of artikel 13 EVRM; en/of artikel 5, 6, 13, 14, 22 en/of 28 AVG, althans met de daarmee corresponderende artikelen uit de Wbp:

a. a) de doelomschrijving zoals opgenomen in artikel 64 lid 1 Wet SUWI; en/of

b) de formulering van bevoegdheden tot gegevensverwerking en tot het inzet ten van SyRl zoals opgenomen in artikel 64 lid 3 en 64 lid 4 Wet SUWI; en/of

c) de opsomming van categorieën van persoonsgegevens zoals opgenomen in artikel 5a.1. lid 3 Besluit SUWI; en/of

d) de praktijk van geheimhouding van risicomodellen die worden gebruikt bij de inzet van SyRI; en/of

e) de regeling ten aanzien van het register risicomeldingen zoals opgenomen in artikel 5a.5 Besluit SUWI); en/of

f) de onderbouwing door de Staat van de noodzakelijkheid van SyRI; en/of

g) de regeling waarbij aan de individuele bestuursorganen wordt opgedragen te onderbouwen dat de gegevensverstrekking in het kader van een SyRI project proportioneel en evenredig is, zoals opgenomen in artikel 5a.1 lid 4 Besluit SUWI, en waarbij aldus is nagelaten te waarborgen dat een afdoende, overkoepelende toetsing van die vereisten plaatsvindt; en/of

h) de regeling waarbij betrokkenen uitsluitend worden geïnformeerd over de verwerking van hun persoonsgegevens in SyRI indien zij onderwerp zijn van een risicomelding en dan slechts op verzoek, zoals opgenomen in artikel 5a.5 Besluit SUWI; en/of

i. i) de regeling van het toezicht op de inzet van SyRI, in het bijzonder het feit dat de Minister de enige partij is die toezicht houdt op de inzet van SyRI;

III. te verklaren voor recht dat de verwerking van persoonsgegevens die plaatsvindt in het kader van, door middel van en/of ten behoeve van de inzet van, SyRI, in het bijzonder de onderlinge uitwisseling van persoonsgegevens door bestuursorganen (waaronder de Belastingdienst), de verstrekking van persoonsgegevens aan de Minister (waaronder door de Belastingdienst), de verstrekking van persoonsgegevens aan het IB, de verwerking van persoonsgegevens door het IB, waaronder profilering, de verstrekking van persoonsgegevens door het IB aan de Minister, het doen van risicomeldingen en/of het opnemen van (informatie over) meldingen in het meldingenregister, onrechtmatig is wegens strijd met artikel 8 EVRM, artikel 7 en 8 Handvest en/of artikel 17 IVBPR; en/of artikel 6 en/of artikel 13 EVRM; en/of artikel 5, 6, 13, 14, 22 en/of 28 AVG en/of de daar

mee corresponderende artikelen uit de Wbp;


IV. de artikelen 64 en 65 Wet SUWI en hoofdstuk 5a Besluit SUWI, althans de onderdelen daarvan zoals door de rechtbank onverenigbaar geacht met hoger recht op grond van vordering I en/of II, althans de onderdelen zoals door de rechtbank in goede justitie onverenigbaar geacht met hoger recht, buiten werking te stellen althans onverbindend te verklaren, althans te bepalen dat deze buiten toepassing dienen te worden gelaten, eventueel onder oplegging van een voorwaarde;


V. te verklaren voor recht dat de Staat in strijd handelt met de op de Belastingdienst rustende geheimhoudingsverplichtingen doordat de Belastingdienst aan andere partijen in samenwerkingsverbanden op grond van artikel 64 Wet SUWI en aan de Minister in het kader van SyRI persoonsgegevens verstrekt;


VI. de Staat te gebieden de risicomodellen en -indicatoren die zijn gebruikt in de projecten G.A.LO.P. II en Capelle openbaar te maken;

VII. te verklaren voor recht dat de verwerking van persoonsgegevens door het IB onrechtmatig is wegens het ontbreken van een verwerkersovereenkomst als bedoeld in artikel 28 lid 3 AVG en/of artikel 14 lid 2 Wbp;

VIII. de Staat te verbieden persoonsgegevens, althans persoonsgegevens van [eisende partij sub 6] en [eisende partij sub 7] te verwerken in het kader van, door middel van en/of ten behoeve van de inzet van, SyRI;


IX. de Staat te gebieden alle persoonsgegevens die zijn verzameld in het kader van, door middel van en/of ten behoeve van de inzet van, SyRI, onomkeerbaar te vernietigen en bewijs van die vernietiging te verstrekken aan NJCM c.s.;

met veroordeling van de Staat in de kosten van deze procedure, te vermeerderen met wettelijke rente daarover vanaf veertien dagen na de datum van het vonnis.

5.2.

NJCM c.s. legt aan haar vorderingen onrechtmatig handelen van de Staat ten grondslag. De artikelen 64 en 65 van de Wet SUWI en hoofdstuk 5a van het Besluit SUWI, althans de toepassing ervan, zijn volgens haar in strijd met eenieder verbindende bepalingen van internationale verdragen. Daarnaast handelt de Staat (de Belastingdienst) in strijd met zijn wettelijke geheimhoudingsverplichtingen op grond van nationaal recht door de verstrekking van persoonsgegevens op grond van de SyRI-wetgeving aan de door NJCM c.s. genoemde derden en in strijd met de AVG doordat het IB zonder verwerkersovereenkomst gegevens in SyRI verwerkt.

5.3.

De Staat voert verweer.

5.4.

Op de stellingen van partijen wordt hierna voor zover van belang nader ingegaan.

6 De beoordeling

Inleidend

6.1.

NJCM c.s. beoogt met deze procedure een ‘halt’ toe te roepen aan het gebruik van SyRI. Zij meent dat met SyRI inbreuk wordt gemaakt op mensenrechten. NJCM c.s. heeft ter zitting toegelicht dat zij vooral voor ogen heeft dat de SyRI-wetgeving onverbindend wordt verklaard. De SyRI-wetgeving maakt volgens NJCM c.s. een ongeoorloofde inbreuk op de persoonlijke levenssfeer, in het bijzonder het recht op respect voor het privéleven. Zij acht de SyRI-wetgeving niet met voldoende waarborgen omgeven.

De Staat bestrijdt dit. Hij voert aan dat de SyRI-wetgeving uitgaat van objectieve criteria en procedurele en materiële waarborgen bevat. Daarmee wordt, aldus de Staat, misbruik voorkomen en wordt de inbreuk die de inzet van SyRI maakt op het privéleven beperkt tot het strikt noodzakelijke.

6.2.

De rechtbank moet toetsen of de SyRI-wetgeving in strijd is met eenieder verbindende bepalingen van internationaal en Europees recht. NJCM c.s. heeft zich in dit verband in de eerste plaats beroepen op schending van artikel 8 EVRM, de artikelen 7 en 8 van het Handvest en artikel 17 IVBPR en daarnaast op schending van de artikelen 5, 6, 13, 14, 22 en/of 28 van de AVG.

6.3.

Uitgangspunt is dat de sociale zekerheid één van de pijlers van de Nederlandse maatschappij is en in belangrijke mate bijdraagt aan de welvaart in Nederland. Dit onderschrijft ook NJCM c.s.. Het stelsel van sociale zekerheid kan alleen functioneren als burgers in Nederland die geen aanspraak hebben op voorzieningen, daar ook geen gebruik van maken. Het stelsel wordt bekostigd met gemeenschapsgeld en fraude tast de solidariteit aan die aan het stelsel ten grondslag ligt. De bestrijding van fraude is dan ook cruciaal om het draagvlak bij de burger voor het stelsel te behouden, zoals de Staat heeft betoogd en de SyRI-wetgeving tot doelstelling heeft.

6.4.

Nieuwe technologieën - waaronder digitale mogelijkheden om bestanden te koppelen en met behulp van algoritmen data te analyseren - bieden de overheid (meer) mogelijkheden om onderling gegevens uit te wisselen in het kader van hun wettelijke taak om fraude te voorkomen en te bestrijden. De rechtbank deelt het standpunt van de Staat dat die nieuwe technologische mogelijkheden ter voorkoming en bestrijding van fraude moeten worden benut. Zij is van oordeel dat de SyRI-wetgeving in het belang van het economisch welzijn is en daarmee een legitiem doel dient. Een adequate controle op de juistheid en de volledigheid van gegevens op basis waarvan aan burgers aanspraken worden verleend is immers van groot belang.

6.5.

De ontwikkeling van nieuwe technologieën betekent echter óók dat in toenemende mate betekenis toekomt aan het recht op bescherming van persoonsgegevens. Het bestaan van adequate wettelijke privacybescherming bij de uitwisseling van persoonsgegevens door (overheids)instanties draagt bij aan het vertrouwen van de burger in de overheid, net zo zeer als het voorkomen en bestrijden van fraude dat doet. Zoals NJCM c.s. terecht stelt, is het aannemelijk dat bij het ontbreken van voldoende en transparante bescherming van het recht op respect voor het privéleven een ‘chilling effect’ optreedt. Zonder vertrouwen in voldoende privacybescherming zullen burgers minder snel gegevens willen verstrekken of zal daarvoor minder draagvlak bestaan.

6.6.

Op grond van artikel 8 EVRM rust op Nederland als lidstaat bij de toepassing van nieuwe technologieën een bijzondere verantwoordelijkheid om de juiste balans te vinden in de weging van enerzijds de voordelen die aan het gebruik van die technologieën verbonden zijn in het kader van de voorkoming en bestrijding van fraude en anderzijds de inmenging die dat in de uitoefening van het recht op respect voor het privéleven kan opleveren. De wetgeving moet uit het oogpunt van bescherming van het recht op respect voor het privéleven, waaronder het recht op bescherming van persoonsgegevens valt, een voldoende effectief kader bieden waarmee alle in het geding zijnde belangen inzichtelijk en controleerbaar tegen elkaar kunnen worden afgewogen. Eenieder moet op grond van de wetgeving de redelijke verwachting kunnen hebben dat in het geval van de inzet van SyRI zijn privéleven voldoende wordt gerespecteerd. Hieraan voldoet de SyRI-wetgeving naar het oordeel van de rechtbank niet.

6.7.

De SyRI-wetgeving voldoet niet aan de in artikel 8 lid 2 EVRM gestelde eis dat de inmenging in de uitoefening van het recht op respect voor het privéleven noodzakelijk is in een democratische samenleving, dat wil zeggen noodzakelijk, evenredig (proportioneel) en subsidiair in relatie tot het beoogde doel. De rechtbank zet de inhoud van de SyRI-wetgeving in het licht van de doelen die deze wetgeving dient af tegen de inbreuk op het privéleven die de SyRI-wetgeving maakt. Zij is van oordeel dat de wetgeving niet voldoet aan de ‘fair balance’ (de redelijke verhouding) die op grond van het EVRM moet bestaan tussen het maatschappelijke belang dat de wetgeving dient en de inbreuk op het privéleven die de wetgeving oplevert om te kunnen spreken over een voldoende gerechtvaardigde inbreuk op het privéleven. Daarbij neemt de rechtbank de fundamentele beginselen die ten grondslag liggen aan de bescherming van gegevens op grond van het Unierecht (het Handvest en de AVG) in aanmerking, in het bijzonder de beginselen van transparantie, het doelbindingsbeginsel en het beginsel van dataminimalisatie. Zij oordeelt dat de wetgeving wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar is. Het is om die reden dat de rechtbank artikel 65 Wet SUWI en hoofdstuk 5a Besluit SUWI bij dit vonnis wegens strijdigheid met artikel 8 lid 2 EVRM onverbindend zal verklaren.

6.8.

De rechtbank zet hierna uiteen op welke gronden zij tot haar oordeel komt.

Ontvankelijkheid en procespositie FNV

6.9.

Eerst moet de rechtbank ambtshalve toetsen of ieder van eisers kan worden ontvangen in zijn of haar vorderingen. De Staat heeft zich op het standpunt gesteld dat de

Koepel van DBC-Vrije Praktijken, [eisende partij sub 6] en [eisende partij sub 7] niet-ontvankelijk zijn.

6.10.

Niet is in geschil dat het NJCM, het Platform Bescherming Burgerrechten, Privacy

First en de Koepel van DBC-Vrije Praktijken collectieve belangenorganisaties zijn in de zin van artikel 3:305a BW. Deze procespartijen zijn blijkens hun statuten bevoegd om in rechte de belangen van hun achterban te vertegenwoordigen. Die achterban bestaat in het geval van het NJCM uit personen of groepen van wie de fundamentele rechten van de mens zijn geschonden. In het geval van het Platform Bescherming Burgerrechten bestaat de achterban uit een netwerk van organisaties, groepen en personen die elkaar vinden in, onder meer, het streven naar een betere waarborging en versterking van de burgerrechten in Nederland, in het bijzonder het recht op de persoonlijke levenssfeer en in het geval van Privacy First uit alle burgers in Nederland. De achterban van de Koepel van DBC-vrije praktijken bestaat uit de psychotherapeuten en psychiaters van DBC-vrije praktijken en hun patiënten/cliënten. Deze eisers behartigen ook feitelijk de belangen van die achterban.

6.11.

De rechtbank is ook van oordeel dat de rechtsvorderingen in deze procedure strekken tot bescherming van de belangen van de achterban van deze vier eisers. Alle genoemde belangenorganisaties komen onder meer op voor de bescherming van de fundamentele rechten van de mens in het algemeen, dan wel het recht op privacy in het bijzonder.

6.12.

Nu NJCM, het Platform Bescherming Burgerrechten en Privacy First opkomen voor het algemeen belang, acht de rechtbank deze organisaties ontvankelijk in hun vorderingen.

6.13.

De Koepel van DBC-Vrije Praktijken komt op voor een groep van personen van wie de belangen te individualiseren zijn, namelijk het belang van patiënten/cliënten van psychotherapeuten, psychiaters en psychologen. De rechtbank verwerpt het verweer van de Staat dat de Koepel van DBC-Vrije Praktijken niet-ontvankelijk is in haar vorderingen. Zij acht het concrete belang van de Koepel van DBC-Vrije Praktijken bij haar vorderingen voldoende feitelijk toegelicht. De gegevens die onderdeel kunnen zijn van verwerking in SyRI, zoals bijvoorbeeld re-integratiegegevens met het oog op het vaststellen van een aanspraak, kunnen betrekking hebben op de groep patiënten/cliënten waarvoor zij opkomt. De rechtbank acht in het kader van de ontvankelijkheid niet van doorslaggevend belang, zoals de Staat aanvoert, dat in SyRI geen gezondheidsgegevens mogen worden verwerkt. Een dermate concreet belang is voor ontvankelijkheid in dit geval niet vereist. De Koepel van DBC-Vrije Praktijken kan derhalve eveneens worden ontvangen in haar vorderingen.

6.14.

De Staat heeft geen verweer gevoerd tegen de ontvankelijkheid van de Landelijke Cliëntenraad. De rechtbank onderkent dat de Landelijke Cliëntenraad gezien de belangen die hij blijkens de Wet SUWI en zijn huishoudelijk reglement behartigt zonder meer belang heeft bij de uitkomst van deze procedure. De Landelijke Cliëntenraad is echter een overlegorgaan. Hij heeft geen rechtspersoonlijkheid. Ook treden in deze procedure geen natuurlijke personen voor hem op die daartoe gemachtigd zijn. Evenmin blijkt dat er anderszins een wettelijke grondslag is waarbij aan de Landelijke Cliëntenraad procesbevoegdheid is toegekend. Uit de Wet SUWI of daarop gebaseerde regelgeving blijkt niet dat hij een met medezeggenschapsorganen zoals een ondernemingsraad op grond van de Wet op de ondernemingsraden of een cliëntenraad op grond van de Wet medezeggenschap cliënten zorginstellingen vergelijkbare juridische status heeft. Dit zijn organen die op specifieke wettelijke gronden, gegeven hun taken, de bevoegdheid hebben om te procederen. Uit het huishoudelijk reglement blijkt dit evenmin. Voor analoge toepassing van die wetgeving ziet de rechtbank daarom, anders dan NJCM c.s. bepleit, geen grondslag. Gelet hierop zal de rechtbank de Landelijke Cliëntenraad niet-ontvankelijk verklaren in zijn vorderingen.

6.15.

Ook [eisende partij sub 6] en [eisende partij sub 7] acht de rechtbank niet-ontvankelijk in hun vorderingen. NJCM c.s. heeft niet feitelijk toegelicht dat er in het geval van deze eisers concrete aanknopingspunten zijn waaruit kan volgen dat gegevens die op hen betrekking hebben onderdeel zijn van de verwerking in SyRI. [eisende partij sub 6] en [eisende partij sub 7] zijn onder meer schrijver en columnist en burgers in Nederland. Zij zijn ernstig bezorgd over de inzet van SyRI door de overheid. In deze procedure hebben zij geen feiten gesteld waaruit een mogelijk concreet verband tussen hun eigen privéleven, waaronder ook hun beroepsmatige werkzaamheden kunnen vallen, en gegevensverwerking in SyRI blijkt of aannemelijk is. De enkele mogelijkheid van een abstracte toetsing of met de SyRI-wetgeving sprake is van de schending van artikel 8 EVRM en de omstandigheid dat op grond van de SyRI-wetgeving in beginsel de persoonsgegevens van ‘eenieder’ voor zover deze behoren tot één van de categorieën van artikel 5a.1 lid 3 Besluit SUWI mogelijk deel kunnen uitmaken van een SyRI-project, acht de rechtbank onvoldoende voor een voldoende concreet en eigen belang in de zin van artikel 3:303 BW.

6.16.

Het vorenstaande betekent dat de Landelijke Cliëntenraad, [eisende partij sub 6] en [eisende partij sub 7] niet-ontvankelijk zullen worden verklaard in hun vorderingen. De overige eisers, het NJCM, het Platform Bescherming Burgerrechten, Privacy First en de Koepel van DBC-Vrije Praktijken zijn wel ontvankelijk in hun vorderingen.

6.17.

Wat betreft de procespositie van de FNV merkt de rechtbank op dat de FNV zich heeft gevoegd aan de zijde van eisers. Zij heeft niet zelfstandig een vordering tegen de Staat ingesteld. De beslissingen van de rechtbank in het dictum gaan dan ook niet over enige vordering van FNV.

6.18.

Voor zover de rechtbank hierna spreekt over NJCM c.s. doelt zij gelet op het vorenstaande alleen op die genoemde vier ontvankelijke eisers en de FNV.

Algemeen toetsingskader

6.19.

Aan de orde is of de SyRI-wetgeving een ongeoorloofde inbreuk maakt op het

recht dat de persoonlijke levenssfeer beschermt. De rechtbank bespreekt in dit verband eerst

het algemene toetsingskader dat zij hanteert. Zij gaat achtereenvolgens in op de mensenrechtelijke bescherming van het EVRM, de Unierechtelijke bescherming van onder meer het Handvest en de AVG en ten slotte op de onderlinge verhouding tussen het EVRM en het Unierecht en het partijdebat.


Mensenrechtelijke bescherming

6.20.

Het recht op eerbiediging van de persoonlijke levenssfeer is een fundamenteel mensenrecht dat in het internationale recht in de artikelen 8 EVRM en 17 IVBPR wordt beschermd. Dit zijn eenieder verbindende bepalingen die de rechtbank op grond van de artikelen 93 en 94 Grondwet dient toe te passen.

6.21.

Artikel 8 lid 1 EVRM bepaalt dat een ieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en correspondentie. Inmenging van de overheid in de uitoefening van dit recht is volgens lid 2 van artikel 8 EVRM alleen dan toegestaan voor zover bij wet voorzien en in een democratische samenleving noodzakelijk in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Aan artikel 17 IVBPR, dat eenzelfde bescherming van het privéleven als artikel 8 EVRM biedt, komt in dit geval geen zelfstandige betekenis toe, zodat de rechtbank daarop verder niet zal ingaan.

6.22.

Omdat Nederland met het EVRM ook gebonden is aan de rechtsmacht van het Europees Hof voor de Rechten van de Mens (hierna: EHRM; zie artikel 32 EVRM), dient de rechtbank uit te gaan van de uitleg die het EHRM aan artikel 8 EVRM heeft gegeven, dan wel zelf deze bepaling uit te leggen met toepassing van de uitlegmaatstaven van het EHRM.

6.23.

Het EHRM heeft in de loop van de tijd diverse belangen onder de notie privéleven geschaard en daarmee onder de bescherming van artikel 8 EVRM gebracht. Het recht op respect voor privéleven beschermt mede een recht op persoonlijke autonomie, op persoonlijke ontwikkeling en zelfontplooiing en het recht om relaties aan te gaan met anderen en de buitenwereld. De beginselen van menselijke waardigheid en menselijke vrijheid behoren volgens het EHRM tot ‘the very essence of the Convention’.13 Samen met de notie van persoonlijke autonomie spelen zij een belangrijke rol bij het bepalen van de reikwijdte van het recht op respect voor privéleven.

6.24.

Ook het recht op persoonlijke identiteit en het recht op persoonlijke ontwikkeling zijn door het EHRM benoemd als deelaspecten van het recht op respect voor het privéleven. Het recht op persoonlijke identiteit hangt bovendien nauw samen met het recht op bescherming van persoonsgegevens. Ten slotte raakt het recht op respect voor het privéleven in het geval van gegevensverwerking ook het recht op gelijke behandeling in gelijke gevallen en het recht op bescherming tegen discriminatie, stereotypering en stigmatisering.

6.25.

Het recht op bescherming van persoonsgegevens is niet als zelfstandig recht vastgelegd in het EVRM. Het recht op bescherming van persoonsgegevens is volgens de rechtspraak van het EHRM wel in algemene zin van fundamentele betekenis voor het recht op eerbiediging van de persoonlijke levenssfeer.14

6.26.

In navolging van partijen neemt de rechtbank hierna tot uitgangspunt dat de SyRI-wetgeving het privéleven raakt en daarmee onder de reikwijdte van de bescherming van artikel 8 EVRM valt. Ook de wetgever neemt tot uitgangspunt dat gegevensverstrekking ten behoeve van een samenwerkingsverband en de inzet van SyRI zoals bepaald in de artikelen 64 en 65 Wet SUWI een inmenging in de uitoefening van het recht op respect voor het privéleven opleveren. De wetgever heeft het wetsvoorstel uitdrukkelijk getoetst aan de eisen van artikel 8 EVRM, artikel 10 Grondwet en de, toen nog geldende, Wbp, en het daarmee niet in strijd geacht.


Unierechtelijke bescherming

6.27.

Unierechtelijk wordt het recht op bescherming van persoonsgegevens als afzonderlijk recht in de eerste plaats beschermd door het Handvest en het Verdrag betreffende de werking van de Europese Unie (VWEU). Op grond van artikel 7 Handvest heeft eenieder recht op eerbiediging van zijn privé-, familie- en gezinsleven, zijn woning en zijn communicatie. In de artikelen 8 Handvest en 16 VWEU is opgenomen dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Artikel 8 Handvest bevat ook een nadere uitwerking van dit recht, te weten dat persoonsgegevens eerlijk, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet, worden verwerkt. Verder is daarin bepaald dat eenieder recht heeft op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan en dat een onafhankelijke autoriteit toeziet op de naleving van deze regels.

6.28.

Vóór 25 mei 2018 was de bescherming van gegevens in Europese secundaire wetgeving in algemene zin geregeld in richtlijn 95/4615, die op nationaal niveau was geïmplementeerd in de Wbp. Met ingang van 25 mei 2018, nadat de dagvaarding is uitgebracht, geldt de AVG. Als EU-verordening is de AVG verbindend in al haar onderdelen en rechtstreeks toepasselijk. De Europese wetgever heeft in de AVG geen overgangsrecht bepaald. De rechtbank dient de vorderingen van NJCM c.s. te beoordelen naar huidig recht. Gelet op het karakter van de AVG (als EU-verordening met voorrang en directe werking) en de door de rechtbank uit te voeren beoordeling kan daaraan niet afdoen dat de Nederlandse wetgever in artikel 48 lid 10 Uitvoeringswet AVG (hierna: UAVG) heeft bepaald dat op vorderingen die op het moment van inwerkingtreding van de UAVG reeds aanhangig zijn bij de rechtbank, het recht van toepassing is zoals dit gold voorafgaand aan de inwerkingtreding van die wet. Deze bepaling dient in dit geval buiten toepassing te blijven.

6.29.

Met de keuze van het rechtsinstrument van de Verordening heeft de Europese wetgever het belang onderstreept dat op Europees niveau wordt gehecht aan een zorgvuldige omgang met (persoons)gegevens. De AVG regelt de bescherming van gegevens in Nederland aldus in beginsel uitputtend. Tegelijkertijd laat de AVG op onderdelen ruimte voor de nationale wetgeving. Voor zover dat het geval is, geldt de UAVG. Met de AVG zijn bestaande rechten van degene van wie gegevens worden verwerkt (hierna ook: de betrokkene) versterkt, zoals de eisen voor toestemming van de betrokkene als grondslag voor de verwerking (artikelen 6, 7 en 8 AVG). Nieuwe rechten zijn wettelijk vastgelegd, zoals het recht om te worden vergeten, het recht op overdraagbaarheid van gegevens en het recht om niet aan profilering te worden onderworpen (artikelen 17, 20 en 22 AVG). Anders dan richtlijn 95/45, bevat de AVG bovendien de verplichting voor de verwerkingsverantwoordelijke om bij de verwerking van gegevens rekening te houden met de waarschijnlijkheid en ernst van risico’s voor de rechten en vrijheden van natuurlijke personen (artikel 24 AVG). Aan de hand van een gegevensbeschermingseffectbeoordeling moet worden aangetoond dat aan de verordening is voldaan door het treffen van maatregelen, waarborgen en mechanismen om dat risico te beperken (artikel 35 AVG).

6.30.

In de AVG is een aantal beginselen inzake de verwerking van persoonsgegevens bepaald (zie de considerans in verbinding met artikel 5 AVG). Het gaat om het transparantiebeginsel, het doelbindingsbeginsel, het beginsel van dataminimalisatie, het juistheidsbeginsel en het beginsel van integriteit en vertrouwelijkheid en ten slotte, als uitvloeisel van de vorige beginselen, het verantwoordingsbeginsel. De genoemde beginselen zijn verder uitgewerkt in de overige bepalingen van de AVG.

6.31.

Het transparantiebeginsel vergt toegankelijke en begrijpelijke informatie, communicatie en eenvoudig taalgebruik, en informatieverstrekking aan betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking. Los daarvan moet op grond van dit beginsel actief verdere informatie worden verschaft om te zorgen voor een behoorlijke en transparante verwerking van gegevens en moeten natuurlijke personen bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens en de wijze waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen.

6.32.

Het doelbindingsbeginsel houdt in dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en dat zij vervolgens niet verder op een met die doeleinden onverenigbare wijze mogen worden verwerkt.

6.33.

Het beginsel van minimale gegevensverwerking vereist dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Er mogen, zoals ook volgt uit het beginsel van opslagbeperking dat de AVG daarnaast kent, niet meer gegevens worden verwerkt dan noodzakelijk is voor het doel van de verwerking.

6.34.

Op grond van het juistheidsbeginsel moet de verwerkingsverantwoordelijke alle redelijke maatregelen nemen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. Het beginsel van integriteit en vertrouwelijkheid houdt in dat persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging is gewaarborgd. De AVG verplicht ten slotte de verwerkingsverantwoordelijke tot naleving van de voorgaande beginselen, ook wel het verantwoordingsbeginsel genoemd.

6.35.

De AVG bevat ook bepalingen met betrekking tot profilering en een verbod op geautomatiseerde individuele besluitvorming, waaronder profilering. In artikel 4 onderdeel 4 AVG is profilering gedefinieerd als iedere vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijk persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Op grond van artikel 22 AVG geldt een algemeen verbod op volledig geautomatiseerde individuele besluitvorming, met inbegrip van profilering, waaraan voor de betrokkene juridische of anderszins aanmerkelijke gevolgen zijn verbonden. Er zijn uitzonderingen mogelijk. Wanneer een van deze uitzonderingen van toepassing is, moeten maatregelen worden genomen om de rechten en vrijheden en het gerechtvaardigde belang van de betrokkene te waarborgen.

6.36.

In de richtsnoeren van de artikel 29 Data Protection Working Party16 is vermeld dat de drempel voor “aanmerkelijke mate” vergelijkbaar moet zijn met de mate waarin de betrokkene wordt getroffen bij een besluit waaraan een rechtsgevolg verbonden is. Gegevensverwerking treft iemand volgens de richtsnoeren in aanmerkelijke mate wanneer de effecten van de verwerking groot of belangrijk genoeg zijn om aandacht te verdienen. Het besluit moet het potentieel hebben om de omstandigheden, het gedrag of de keuzen van de betrokken personen in aanmerkelijke mate te treffen; een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste geval, tot uitsluiting of discriminatie van personen te leiden.

Onderlinge verhouding EVRM en Unierecht en het partijdebat

6.37.

Het EVRM voorziet in minimumbescherming van het fundamentele recht op eerbiediging van de persoonlijke levenssfeer. De inhoud en de reikwijdte van de EU-grondrechten in het Handvest zijn dezelfde als die van de EVRM-rechten voor zover het Handvest rechten bevat die corresponderen met het EVRM (artikel 52 lid 3 Handvest). De door het EVRM gewaarborgde rechten maken ook als algemene beginselen deel uit van het Unierecht (artikel 6 lid 3 EU-Verdrag). Unierechtelijk is derhalve ten minste sprake van eenzelfde minimumbeschermingsniveau als dat van het EVRM. Het Unierecht kan evenwel een ruimere bescherming bieden (artikel 52 lid 3 Handvest). De bescherming van de EU-burger van het recht op bescherming van persoonsgegevens is volgens het Handvest en de AVG meer gedetailleerd bepaald en gaat op onderdelen verder dan die op grond van het EVRM.

6.38.

Het zwaartepunt van de stellingen van NJCM c.s. ligt op de gestelde schending van artikel 8 EVRM, zoals NJCM c.s. ter zitting heeft bevestigd en de Staat ook zo heeft begrepen. Het debat tussen partijen heeft zich daarmee geconcentreerd op de vragen of de SyRI-wetgeving voldoet aan de voorwaarden die artikel 8 lid 2 EVRM stelt aan beperking van het recht op eerbiediging van de persoonlijke levenssfeer.

6.39.

NJCM c.s. neemt blijkens haar stellingen, en de Staat in navolging daarvan in zijn verweer, dat de artikelen 7 en 8 van het Handvest qua inhoud en reikwijdte eenzelfde minimumbescherming bieden als artikel 8 EVRM.

6.40.

In de stellingen van NJCM c.s. en de verweren van de Staat ligt ook besloten, omgekeerd, dat de minimumbescherming van artikel 8 EVRM mede inhoudt dat de SyRI-wetgeving moet voldoen aan de hiervoor genoemde algemene beginselen van gegevensbescherming die Unierechtelijk zijn vastgelegd in het Handvest en de AVG, zoals het transparantiebeginsel, het doelbindingsbeginsel en het gegevensminimalisatiebeginsel. De Staat heeft zich - naar het oordeel van de rechtbank terecht - niet op het standpunt gesteld dat de rechtbank pas toekomt aan toetsing van de SyRI-wetgeving aan deze beginselen indien en voor zover die wetgeving voldoet aan de voorwaarden die het EVRM stelt aan beperking van het recht op eerbiediging van de persoonlijke levenssfeer.

6.41.

De rechtbank zal bij haar beoordeling of de SyRI-wetgeving voldoet aan artikel 8 EVRM de genoemde algemene beginselen van gegevensbescherming uit het Handvest en de AVG betrekken. Oftewel: de rechtbank legt artikel 8 lid 2 EVRM mede uit aan de hand van die beginselen. Er zijn geen aanknopingspunten dat de minimumbescherming van het recht op respect voor het privéleven, waaronder de bescherming van persoonsgegevens valt, op grond van het EVRM minder ver gaat dan de gegevensbescherming die het Handvest en de AVG bieden op grond van de algemene beginselen die daarin zijn bepaald.

De gestelde schending van artikel 8 EVRM

6.42.

Zoals gezegd, is niet in geschil dat de samenwerking ten behoeve van gegevensuitwisseling en de inzet van SyRI zoals in de SyRI-wetgeving geregeld een inmenging in de uitoefening van het recht op respect voor het privéleven vormen. De rechtbank moet toetsen, gelet op het debat tussen partijen, of de SyRI-wetgeving voldoet aan de eisen van artikel 8 lid 2 EVRM om die inmenging te rechtvaardigen.

6.43.

Vooraf merkt de rechtbank met het oog op deze toets op dat zij niet de taak heeft om de waarde of het maatschappelijk gewicht dat aan de betrokken belangen moet worden toegekend, naar eigen inzicht vast te stellen. Ook overigens moet zij gelet op de aard van de wetgevende functie en de positie van de rechter bij deze toetsing terughoudendheid betrachten.17 Dat betekent echter niet dat de SyRI-wetgeving marginaal dient te worden getoetst. Zoals NCJM c.s. ook heeft betoogd, zal de rechtbank de gewijzigde wetgeving niet marginaal, maar volg aan artikel 8 lid 2 EVRM toetsen.

6.44.

De rechtbank gaat hierna eerst in op de mate en ernst van de inmenging in de uitoefening van het recht op respect voor het privéleven waarvan sprake is, of kan zijn in het geval SyRI wordt ingezet. Die inmenging wordt gekleurd door het antwoord op de vraag wat SyRI precies is. De standpunten van partijen hierover lopen sterk uiteen. Tussen partijen is ook in geschil hoe het doen van een risicomelding juridisch moet worden geduid, namelijk of sprake is van profilering en geautomatiseerde individuele besluitvorming in de zin van de AVG. Ook het antwoord op deze vraag bepaalt mede de mate en ernst van de inmenging in het privéleven in het geval SyRI wordt ingezet. De rechtbank komt, resumerend, tot een aantal uitgangspunten voor haar verdere beoordeling. De rechtbank bespreekt vervolgens of de SyRI-wetgeving voldoet aan het vereiste dat een inmenging ‘bij wet’ moet zijn voorzien en noodzakelijk moet zijn in een democratische samenleving in het licht van de doelen die de wetgeving dient.

Mate en ernst van de inmenging; wat is SyRI? Ongerichte sleepnetacties, datamining, ‘deep learning’, ‘big data’?

6.45.

Volgens NJCM c.s. is bij de inzet van SyRI sprake van ongerichte sleepnetacties waarbij persoonsgegevens worden verzameld voor opsporingsdoeleinden. Zij stelt dat sprake is van een digitaal opsporingssysteem op basis waarvan burgers worden ingedeeld in een risicoprofiel en waarbij de Staat gebruik maakt van ‘deep learning’ en datamining. Volgens NJCM c.s. is sprake van grootschalige, ongestructureerde en ongerichte geautomatiseerde koppeling van bestanden van grote groepen burgers, de geheime verwerking van persoonsgegevens en werkt SyRI proactief. NJCM c.s. stelt verder dat de inzet van SyRI valt onder wat in de (rechts)literatuur en praktijk ‘big data’ wordt genoemd.

6.46.

NJCM c.s. heeft zich ter onderbouwing van haar standpunt onder meer beroepen op een “Ongevraagd advies over de effecten van de digitalisering voor de rechtstatelijke verhoudingen” dat de Afdeling advisering van de Raad van State (hierna: de Afdeling advisering) aan het kabinet heeft uitgebracht.18 In dit advies merkt de Afdeling advisering op dat onder ‘big data’ in de praktijk doorgaans wordt verstaan grote hoeveelheden gegevensverzamelingen die dermate groot of complex zijn dat deze niet meer door gebruikelijke database systemen kunnen worden verwerkt en tegelijk uit verschillende bronnen afkomstig zijn. De Afdeling advisering heeft in haar advies SyRI als illustratie genoemd en daarbij het volgende opgemerkt:

Profileren als voorbeeld
De mogelijke gevaren bij het gebruik van grote verzamelingen data, kunnen goed geïllustreerd worden bij profilering om personen in kaart te brengen met een verhoogd risico. Dit kan er immers toe leiden dat algemene kenmerken worden toegerekend aan het individu.

(…)

In 2014 adviseerde de Afdeling over de invoering van het Systeem Risico Indicatie. Met dat systeem kreeg het Ministerie van Sociale Zaken de mogelijkheid om diverse soorten bestanden met gegevens van burgers tegen elkaar uit te draaien voor het opsporen van fraude met belastingen of sociale uitkeringen. Dit past bij de inzet van deep learning en zelflerende systemen, die er immers op gericht zijn zoveel mogelijk verbanden te onderzoeken zonder aannames vooraf. De keerzijde is dat gegevens die er onder vallen in een aantal gevallen diep kunnen ingrijpen in iemands persoonlijke levenssfeer. De opsomming van gegevens is zo ruim dat er nauwelijks een persoonsgegeven te bedenken is dat er niet onder valt. De opsomming lijkt niet bedoeld om in te perken, maar om zoveel mogelijk armslag te hebben.”

En:

Deep learning - zelflerende systemen
Bij het werken met deep learning-technieken loopt de Belastingdienst voorop: die bezit een enorme hoeveelheid data over personen in Nederland en heeft een spilfunctie in veel samenwerkingsverbanden, zoals die van het Systeem Risico Indicatie. Daarnaast gebruiken ook sommige gemeenten algoritmen om mogelijke gevallen van bijstandsfraude te selecteren. Het algoritme kijkt naar allerlei gegevens, zoals geboortedata, gezinssamenstelling, uitkeringsverleden en gegevens van de Belastingdienst, het kadaster en de Dienst wegverkeer. (…)

De term "zelflerend" is verwarrend en misleidend: een algoritme kent en begrijpt de werkelijkheid niet. Er zijn voorspelalgoritmen die inmiddels redelijk accuraat zijn in het voorspellen van de uitkomst in een rechtszaak. Ze doen dat echter niet op basis van de inhoudelijke merites van de zaak. Ze kunnen hun voorspellingen dan ook niet juridisch deugdelijk motiveren, terwijl dat wel voor elke juridische procedure voor elk afzonderlijk geval vereist wordt. (…)

Het omgekeerde geldt ook: de menselijke gebruiker van zo’n zelflerend systeem begrijpt niet waarom het systeem concludeert dat er een verband is. Een bestuursorgaan dat zijn handelen (mede) baseert op zo’n systeem kan zijn optreden niet goed verantwoorden en zijn besluiten niet goed motiveren.”

6.47.

Hiertegenover voert de Staat aan dat bij de inzet van SyRI (enkel) gegevens van bestaande datasets van aangewezen (overheids)instanties worden vergeleken om discrepanties te ontdekken met het oog op de controle van aanspraken van de betrokkene. Onder verwijzing naar uitlatingen van de Minister19 gaat het volgens de Staat om een vergelijking van bestanden met bestaande feitelijke gegevens. Die feitelijke gegevens worden met elkaar vergeleken met behulp van een eenvoudige beslisboom.

6.48.

Naar aanleiding van het beroep van NJCM c.s. op het voormelde ongevraagde advies van de Afdeling advisering heeft de Staat verwezen naar de kabinetsreactie op dit advies. De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties vermeldt daarin:

“De Afdeling beschrijft ook risico’s rondom het digitaal koppelen van gegevens in verschillende contexten. Een voorbeeld waar gegevens worden gekoppeld is SyRI (Systeem Risico Indicatie). Anders dan de Afdeling veronderstelt, is SyRI geen toepassing van deep learning en ook geen zelflerend systeem. SyRI is nadrukkelijk géén hulpmiddel bij het voorspellen of een individu een overtreding zou kunnen begaan. Met SyRI worden bestanden met bestaande, feitelijke gegevens van de op grond van artikel 64 van de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI) genoemde partijen, zoals UWV, SVB, colleges van B&W, Belastingdienst, Inspectie SZW, met elkaar vergeleken en wordt beoordeeld of er discrepanties tussen deze gegevens zijn. Indien uit de onderlinge vergelijking na toetsing aan het risicomodel een discrepantie is gebleken, moet deze discrepantie eerst door één of meer van de genoemde partijen worden onderzocht, voordat er een beslissing mag worden genomen die voor de betrokkene rechtsgevolgen kan hebben.”20

6.49.

De rechtbank stelt vast dat zij de juistheid van het standpunt van de Staat over wat SyRI precies is niet kan toetsen. De Staat heeft het risicomodel en de indicatoren waaruit het risicomodel bestaat of kan bestaan immers niet openbaar gemaakt. Hij heeft ook in deze procedure geen objectief verifieerbare informatie aan de rechtbank verschaft om haar in staat te stellen om de zienswijze van de Staat over wat SyRI is te kunnen toetsen. De reden die de Staat daarvoor geeft, is dat burgers hun gedrag daarop zouden kunnen afstemmen. Dit is een bewuste keuze van de Staat. Die keuze is ook in overeenstemming met het uitgangspunt van de wetgever ten aanzien van de informatieverstrekking over SyRI. Uit de SyRI-wetgeving blijkt niet hoe het beslismodel van SyRI werkt en wat de indicatoren zijn of kunnen zijn die in een SyRI-project worden gebruikt (zie voor de begrippen beslismodel en indicatoren hiervoor in 4.23), oftewel welke feitelijke gegevens de aanwezigheid van een bepaalde omstandigheid aannemelijk (kunnen) maken.

6.50.

De rechtbank stelt daarnaast vast dat de SyRI-wetgeving - anders dan NJCM c.s. stelt - geen ruimte biedt voor ongestructureerde (‘ad random’) gegevensverzameling met de inzet van SyRI. Het aantal categorieën gegevens dat kan worden gebruikt is ruim, maar nog steeds limitatief opgesomd. Daar staat tegenover dat het aantal gegevens dat in voorkomend geval kan worden gebruikt bij de toepassing van SyRI zeer groot is. In totaal komen zeventien categorieën gegevens van uiteenlopende aard in aanmerking. Iedere categorie kan op zichzelf beschouwd ook een grote hoeveelheid gegevens omvatten. Afhankelijk van het specifieke SyRI-project kan daarom sprake zijn van grote hoeveelheden gestructureerde gegevensverzamelingen die afkomstig zijn uit verschillende bronnen.

6.51.

Het staat daarnaast vast dat bij de inzet van SyRI naar verbanden tussen gegevens worden gezocht. Er worden immers (bestaande) bestanden met elkaar vergeleken met het oog op potentiële treffers die duiden op een verhoogd risico. De SyRI-wetgeving laat bovendien de mogelijkheid open dat bij de inzet van SyRI gebruik wordt gemaakt van voorspellende analyses, ‘deep learning’ en datamining. De definitie van risicomodel in het Besluit SUWI staat daaraan niet in de weg. De SyRI-wetgeving voorziet bovendien nadrukkelijk in de mogelijkheid van aanpassing van een risicomodel op basis van een evaluatie en daarnaast kunnen nieuwe risicomodellen met nieuwe indicatoren worden ontwikkeld (zie ook hiervoor 4.24). De rechtbank is dan ook (met de Afdeling advisering, zie hiervoor in 6.46 weergegeven) van oordeel dat de inzet van SyRI “past” bij ‘deep learning’ en zelflerende systemen. In zoverre volgt de rechtbank NJCM c.s. Een en ander laat onverlet dat de rechtbank gelet op de mededelingen van de bewindslieden aan de Tweede Kamer bij wijze van feitelijke veronderstelling aanneemt dat bij de uitvoering van de SyRI-wetgeving op dit moment bij de inzet van SyRI geen gebruik wordt gemaakt van ‘deep learning’ en datamining zoals NJCM c.s. betoogt.

6.52.

De rechtbank volgt NJCM c.s. ook in zoverre dat in het geval van de inzet van SyRI sprake is van ‘big data’ in de door de Afdeling advisering bedoelde zin. Er bestaat echter geen vastomlijnde definitie van die term. Of de verwerking van gegevens in SyRI als een vorm van ‘big data’ moet worden gekwalificeerd, acht de rechtbank voor haar verdere beoordeling niet van belang.

6.53.

Wat betreft het gebruik van risicoprofielen moet onderscheid worden gemaakt tussen de ontwikkeling van risicoprofielen enerzijds en het gebruik daarvan anderzijds. De rechtbank gaat er veronderstellenderwijs vanuit dat bij de uitvoering van de SyRI-wetgeving op dit moment in SyRI geen risicoprofielen op basis van bestandskoppelingen worden ontwikkeld. Dit zoals de Staat heeft aangevoerd in reactie op de verwijzingen van NJCM c.s. naar het eerdergenoemde project Waterproof en het ‘black box’-project. Of daadwerkelijk geen risicoprofielen worden ontwikkeld met behulp van bestandskoppeling, kan de rechtbank niet vaststellen (vergelijk hiervoor in 6.49). Wel acht de rechtbank inherent aan het instrument SyRI, gegeven de doelen waarvoor gegevens in SyRI worden verwerkt en gezien de definities van de begrippen risicomodel en risico-indicator, dat bij de inzet van SyRI gebruik wordt gemaakt van risicoprofielen op basis van bestaande feitelijke gegevens.

6.54.

Ten slotte geldt dat de SyRI-wetgeving niet voorziet in een informatieverplichting van degenen van wie de gegevens in SyRI worden verwerkt opdat die betrokkenen in redelijkheid kunnen worden geacht te weten dat zijn of haar gegevens voor die verwerking worden of zijn gebruikt. De SyRI-wetgeving voorziet ook niet in een verplichting om betrokkenen in voorkomend geval afzonderlijk te informeren over het feit dat een risicomelding is gedaan. Er is slechts vooraf een wettelijke verplichting tot bekendmaking van de aanvang van een SyRI-project door publicatie in de Staatscourant en achteraf op aanvraag toegang tot het register van risicomeldingen. De modelbrief waarvan in de praktijk gebruik kan worden gemaakt - zoals het geval is geweest in het project Rotterdam Bloemhof & Hillesluis - stoelt niet op een wettelijke verplichting om ‘huis aan huis’ betrokkenen te informeren, terwijl de rechtbank op basis van de beschikbare informatie niet kan vaststellen of sprake is van een vaste praktijk van gemeenten bij de uitvoering van de wet. Achteraf worden betrokkenen evenmin automatisch geïnformeerd. Dit gebeurt pas als sprake is van een controle en onderzoek naar aanleiding van een risicomelding. Daartoe wordt niet zonder meer overgegaan.

Mate en ernst van de inmenging; profilering en geautomatiseerde individuele besluitvorming?

6.55.

Dan komt de rechtbank, gelet op het debat tussen partijen over de mate waarin het doen van een risicomelding het privéleven raakt, toe aan de beoordeling of in het geval van de inzet van SyRI sprake is van profilering en geautomatiseerde individuele besluitvorming.

6.56.

Niet is in geschil dat de bestandskoppeling die in een SyRI-project wordt gebruikt, voldoet aan de definitie van profilering in de zin van artikel 4 lid 4 van de AVG. Daarmee is evenwel nog niet gezegd dat sprake is van geautomatiseerde individuele besluitvorming zoals bedoeld in de AVG.

6.57.

NJCM c.s. stelt, met nadruk onderschreven door de FNV, dat het doen van een risicomelding door de Inspectie SZW is aan te merken als een besluit met rechtsgevolg, althans een besluit dat betrokkenen anderszins in aanmerkelijke mate treft, en dat dit besluit wordt genomen op basis van geautomatiseerde individuele besluitvorming zoals bedoeld in artikel 22 AVG, hetgeen verboden is. Volgens NJCM c.s. is voorafgaand aan het doen van een risicomelding geen sprake van betekenisvolle menselijke tussenkomst; het enkel verwijderen van ‘false positives’ is niet als zodanig aan te merken en de beoordeling door de deelnemende partijen na ontvangst van een risicomelding evenmin.

6.58.

De Staat bestrijdt dat sprake is van geautomatiseerde individuele besluitvorming en voert aan dat in ieder geval geen sprake is van een verboden vorm daarvan. Aan alle uitzonderingen op het in de AVG bepaalde verbod wordt volgens de Staat voldaan en de gewijzigde wetgeving is met voldoende waarborgen ter bescherming van privacy omgeven.

6.59.

Hoewel naar het oordeel van de rechtbank de inzet van SyRI, anders dan door NJCM c.s. is betoogd, als zodanig niet op rechtsgevolg is gericht - niet civielrechtelijk en evenmin bestuurs- of strafrechtelijk - heeft een risicomelding wel een aanmerkelijk effect op het privéleven van degene op wie de melding betrekking heeft. De rechtbank ontleent die conclusie mede aan de richtsnoeren van de artikel 29 Data Protection Working Party (zie hiervoor 6.36). Een risicomelding kan voor gedurende twee jaar worden opgeslagen en mag voor (maximaal) twintig maanden door de deelnemers van het desbetreffende SyRI-project worden gebruikt. Verder mag ook aan het OM en aan de politie desgevraagd mededeling van de risicomelding worden gedaan. Dat een risicomelding niet steeds tot verder onderzoek hoeft te leiden, of tot een (bestuursrechtelijke of strafrechtelijke) sanctie en ook niet als enige basis voor een handhavingsbesluit mag worden gebruikt, doet niet af aan het aanmerkelijke effect op het privéleven van een betrokkene.

6.60.

De rechtbank laat in het midden of wordt voldaan aan de precieze definitie in de AVG van geautomatiseerde individuele besluitvorming en, voor zover dat het geval is, aan een of meer van de uitzonderingsgronden op het verbod daarvan in de AVG. Dat is ook niet relevant in het kader van de toets van de rechtbank of de SyRI-wetgeving voldoet aan artikel 8 EVRM. Wel acht de rechtbank het genoemde aanmerkelijk effect van het doen van een risicomelding en opname in het register risicomeldingen op het privéleven van de betrokkene een factor van betekenis bij haar beoordeling of de SyRI-wetgeving voldoet aan artikel 8 lid 2 EVRM. Ook dit effect bepaalt mede de mate waarin met de SyRI-wetgeving sprake is van inmenging op het recht op respect voor het privéleven. Zij neemt daarbij in aanmerking dat onderdeel van het recht op bescherming van persoonsgegevens het recht van eenieder is om zijn persoonsgegevens in redelijke mate te kunnen volgen en over de verwerking van zijn gegevens te worden geïnformeerd. Hoewel de aanvang van een SyRI-project in de Staatscourant wordt gepubliceerd, kan vervolgens een risicomelding gedurende een periode van twee jaar in het register zijn opgenomen zonder dat dit voor de betrokkene bekend is.

Resumé

6.61.

Resumerend neemt de rechtbank bij haar verdere beoordeling de volgende uitgangspunten in aanmerking. Deze uitgangspunten zijn van belang voor de mate en ernst van de inmenging in het privéleven van betrokkenen van de SyRI-wetgeving en wegen derhalve mee bij de beoordeling van de rechtbank of die inmenging op grond van artikel 8 lid 2 EVRM toelaatbaar is.

6.62.

De koppeling van bestanden in het geval van de inzet van SyRI ziet op de verwerking van in het Besluit SUWI limitatief benoemde categorieën gegevens. Die gegevens bevinden zich in bestanden met feitelijke gegevens (persoonsgegevens of andere gegevens) waarover de wettelijk aangewezen (overheids)instanties op basis van hun wettelijke taak de beschikking hebben. Het gaat om gestructureerde gegevensverwerking op basis van bestaande beschikbare bestanden. Afhankelijk van het SyRI-project kan sprake zijn van de verzameling van grote hoeveelheden gegevens afkomstig uit veel verschillende bronnen. Bij de gegevensverwerking wordt gebruik gemaakt van een risicomodel dat bestaat uit vooraf bepaalde risico-indicatoren en dat aangeeft of sprake is van een verhoogd risico op onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen op het terrein van sociale zekerheid en inkomensafhankelijke regelingen, belasting- en premiefraude, of het niet naleven van arbeidswetten.

6.63.

Er zijn geen aanknopingspunten dat er bij de uitvoering van de SyRI-wetgeving op dit moment sprake is van ‘deep learning’ en datamining of dat risicoprofielen worden ontwikkeld. De SyRI-wetgeving biedt echter wel de ruimte voor de ontwikkeling en toepassing van een risicomodel waarbij sprake is van ‘deep learning’, datamining en waarbij risicoprofielen worden ontwikkeld.

6.64.

Of bij de verwerking van gegevens in SyRI sprake is van ‘big data’, zoals NJCM c.s. stelt en de Staat betwist, acht de rechtbank voor haar beoordeling verder niet van belang. De term kent geen vastomlijnde definitie. In ieder geval komt een zeer grote hoeveelheid gegevens voor verwerking in SyRI in aanmerking.

6.65.

Het risicomodel waarvan op dit moment gebruik wordt gemaakt en de risico-indicatoren waaruit dit model bestaat, zijn bovendien ‘geheim’. Dit geldt ook voor de gegevens waarvan in een concreet SyRI-project gebruik wordt gemaakt (welke gegevens in SyRI zijn verwerkt). Het risicomodel, de indicatoren en de gegevens die concreet zijn verwerkt, zijn niet openbaar en ook niet kenbaar voor betrokkenen. De SyRI-wetgeving voorziet niet in een verplichting om degenen van wie de gegevens in SyRI worden verwerkt daarover te informeren. Er is ook geen wettelijke verplichting om betrokkenen in voorkomend geval afzonderlijk te informeren over het feit dat een risicomelding is gedaan. De rechtbank gaat er verder vanuit dat een risicomelding een aanmerkelijk effect heeft op het privéleven van degene op wie de melding betrekking heeft.

Bij wet voorzien

6.66.

De inmenging in het privéleven bij de toepassing van SyRI moet bij wet zijn voorzien. Volgens de rechtspraak van het EHRM hoeft dat geen wet in formele zin te zijn, maar kan aan dit vereiste worden voldaan door elk algemeen verbindend voorschrift of zelfs rechtersrecht. “Some basis in domestic law” is voldoende.21 De rechtsbasis die als grondslag moet dienen voor de inmenging moet wel voldoende toegankelijk en voorzienbaar zijn. Dit betekent dat de rechtsbasis zodanig duidelijk moet zijn dat het voor een individu mogelijk is om zijn gedrag erop af te stemmen.22

6.67.

NJCM c.s. beroept zich ter ondersteuning van haar stelling dat de SyRI-wetgeving onrechtmatig is met name op de rechtspraak van het EHRM in zaken die betrekking hebben op ongerichte bulkinterceptie (massasurveillance) of gerichte interceptie van gegevens in een strafrechtelijke of nationale veiligheidscontext.23 Zoals uit het vorenstaande volgt, is daarvan in het geval van de inzet van SyRI geen sprake. Die rechtspraak kan dan ook niet één op één als richtinggevend worden beschouwd voor het oordeel van de rechtbank.

6.68.

De zaak S. en Marper tegen het Verenigd Koninkrijk ging over de rechtmatigheid van de Britse Data Protection Act (1998), waarmee uitvoering werd gegeven aan richtlijn 95/45 en daarop gebaseerde richtlijnen voor het gebruik van de Police National Computer in verband met het opslaan van vingerafdrukken, celmateriaal en DNA-profielen. Hoewel de feitelijke context van ook deze zaak niet vergelijkbaar is met de onderhavige, bevat het arrest overwegingen van het EHRM van meer algemene aard over gegevensbescherming. Dat maakt dit arrest van belang voor de beoordeling van de (on)rechtmatigheid van de SyRI-wetgeving.

6.69.

Uit het arrest van het EHRM in die zaak blijkt dat de nationale wet, om aan de eisen van toegankelijkheid en voorzienbaarheid te voldoen, voldoende bescherming moet bieden tegen willekeur en met voldoende duidelijkheid de discretionaire ruimte die aan de bevoegde autoriteiten wordt toegekend en de wijze waarop daarvan gebruik mag worden gemaakt moet bepalen. De mate van precisie die in het nationale recht vereist is, is volgens het EHRM in belangrijke mate afhankelijk van: “the content of the instrument in question, the field it is designed to cover and the number and status of those to whom it is addressed”24 Het EHRM overweegt vervolgens:

“It reiterates that it is as essential, in this context, as in telephone tapping, secret surveillance and covert intelligence-gathering, to have clear, detailed rules governing the scope and application of measures, as well as minimum safeguards concerning, inter alia, duration, storage, usage, access of third parties, procedures for preserving the integrity and confidentiality of data and procedures for its destruction, thus providing sufficient guarantees against the risk of abuse and arbitrariness.”25

6.70.

In hoeverre de wettelijke waarborgen toereikend zijn, hangt volgens het EHRM dus af van de concrete omstandigheden en komt neer op een weging van het geheel van wettelijke waarborgen. De mate waarin en de gedetailleerdheid waarmee waarborgen in de wet moeten zijn vastgelegd, hangt af van de ingrijpendheid van de inmenging.

6.71.

Verder blijkt uit dit arrest dat de beoordeling of de inmenging bij wet is voorzien, nauw verbonden kan zijn met die of de inmenging noodzakelijk is in een democratische samenleving. De waarborgen moeten in de wet zijn neergelegd, maar tegelijk ook voldoende zijn om misbruik te voorkomen en daarmee proportioneel in verhouding tot het te bereiken doel. Het EHRM heeft het, gezien zijn overwegingen ten aanzien van die laatste beoordeling, om die reden niet nodig geacht om te toetsen of de kwaliteit van de wet voldeed aan de eisen van artikel 8 lid 2 EVRM. Hij overweegt hierover:

“The Court notes, however, that these questions are in this case closely related to the broader issue of whether the interference was necessary in a democratic society. In view of its analysis in paragraphs 105–126 below, the Court does not find it necessary to decide whether the wording of section 64 meets the ‘quality of law’ requirements within the meaning of Article 8 § 2 of the Convention.”26

6.72.

De rechtbank laat - net als het EHRM in die zaak - bij haar beoordeling in het midden of de SyRI-wetgeving voldoende toegankelijk en voorzienbaar is en aldus een voldoende rechtsbasis biedt zoals artikel 8 lid 2 EVRM vereist voor een gerechtvaardigde beperking van het recht op bescherming van de persoonlijke levenssfeer. De rechtbank is van oordeel dat de SyRI-wetgeving in ieder geval onvoldoende waarborgen bevat voor de conclusie dat zij noodzakelijk is in een democratische samenleving in het licht van de doelen die de wetgeving dient, zoals artikel 8 lid 2 EVRM ook vereist. Daarmee doorstaat die wetgeving in haar huidige vorm de toets van artikel 8 lid 2 EVRM niet en is zij derhalve onrechtmatig. De rechtbank acht daartoe het volgende redengevend.

Noodzakelijk in een democratische samenleving; algemeen

6.73.

Beoordeeld moet worden of sprake is van een inmenging die in een democratische samenleving noodzakelijk is in het belang van, in dit geval, het economisch welzijn van het land. De rechtbank stelt voorop dat het EHRM aan de nationale autoriteiten van een lidstaat in beginsel een beoordelingsmarge (‘margin of appreciation’) laat om te bepalen of een maatregel noodzakelijk is in een democratische samenleving in het belang van een van de doeleinden van artikel 8 lid 2 EVRM zijn opgesomd. Wat betreft de reikwijdte van die beoordelingsmarge houdt de rechtbank het hier op ‘een zekere’ beoordelingsmarge. Deze beoordelingsmarge noopt (eveneens, zie hiervoor in 6.43) tot terughoudendheid van de rechtbank bij haar beoordeling of de SyRI-wetgeving in strijd is met artikel 8 lid 2 EVRM is, zoals de Staat terecht aanvoert.

6.74.

Niet is in geschil dat de SyRI-wetgeving een legitiem doel dient (zie hiervoor in 6.4). De gegevensverstrekking ten behoeve van een samenwerkingsverband en de inzet van SyRI waarin de SyRI-wetgeving voorziet voldoet daarmee aan de zogenoemde ‘algemeen belang’-toets, namelijk dat zij in het belang van één van de in artikel 8 lid 2 EVRM genoemde doeleinden is getroffen.

6.75.

Partijen twisten erover of sprake is van een ‘pressing social need’, oftewel of de inmenging voldoet aan een dwingende maatschappelijke behoefte. NJCM c.s. stelt dat dit niet het geval is, waartoe zij van belang acht dat sprake is van een zeer ernstige inmenging in het privéleven van burgers. De Staat heeft daarnaast volgens NJCM c.s. niet aangetoond dat het noodzakelijk is om een zodanig zwaar instrument als SyRI in te zetten voor het in stand houden van het socialezekerheidsstelsel. Zij wijst erop dat de bredere maatschappelijke opvattingen over SyRI negatief, althans op zijn minst terughoudend zijn en dat de SyRI-projecten niets opleveren dus geen effectief middel zijn om fraude te bestrijden.

6.76.

De rechtbank verwerpt deze stelling van NJCM c.s. De SyRI-wetgeving streeft op zichzelf een voldoende zwaarwegende doelstelling na om inmenging in het privéleven te rechtvaardigen. Daarbij neemt de rechtbank de hiervoor verwoorde uitgangspunten over wat SyRI is en het effect op het privéleven in het geval de gegevensverwerking in SyRI leidt tot een risicomelding, die de mate en ernst van de inmenging bepalen, in aanmerking (zie hiervoor 6.44 - 6.60). De fraude op het gebied van de sociale zekerheid en de bijstand is omvangrijk: de Staat heeft onweersproken bedragen van 153 miljoen euro aan sociale zekerheidsfraude, respectievelijk een half tot één miljard euro per jaar aan bijstandsfraude genoemd en 135 miljoen euro aan maatschappelijke schade ten gevolge van sociale zekerheidsfraude.27 Fraudebestrijding heeft daarnaast indirecte effecten, onder meer op de integriteit van het economisch stelsel en het vertrouwen in de financiële instellingen.28 Mede gelet op de beoordelingsmarge die de nationale autoriteiten hebben, rechtvaardigt de directe en indirecte schade die gemoeid is met fraude op dit terrein de conclusie van de wetgever dat sprake is van een dwingende maatschappelijke behoefte om in het belang van het economisch welzijn van Nederland maatregelen te treffen waarin de SyRI-wetgeving voorziet.

6.77.

NJCM c.s. wijst in dit verband op wat zij het werkelijke probleem noemt, namelijk de toegang aan de poort. Dit probleem is wat haar betreft alleen te ondervangen door zwaardere eisen te stellen aan de aantoonplicht van aanvragen om opsporing achteraf te voorkomen. Daargelaten het nut en de noodzaak van verbetering van controle van aanvragen, heeft NJCM c.s. naar het oordeel van de rechtbank onvoldoende feiten gesteld waaruit kan volgen dat met die controle de doelstelling die de SyRI-wetgeving nastreeft zodanig wordt ondervangen dat niet gesproken kan worden van een ‘pressing social need’ voor de SyRI-wetgeving en reeds daarom sprake is van onverbindende wetgeving. Uit de rechtspraak van het EHRM blijkt ook niet dat de daadwerkelijke effectiviteit van het instrument SyRI in het belang van het economisch welzijn van Nederland naar de maatstaven van artikel 8 lid 2 EVRM vooraf moet vast te staan om te voldoen aan de eis van een ‘pressing social need’, anders dan NJCM c.s. suggereert. Van een ongeschikt of een a priori onevenredig instrument in het licht van de doelen die ermee worden gediend, is geen sprake.

6.78.

De keuze van de wetgever om een wettelijke grondslag te creëren voor gegevensverwerking ten behoeve van een samenwerkingsverband met het oog op de doelen zoals in artikel 64 van de Wet SUWI verwoord én de keuze van de wetgever voor gegevensverwerking in een instrument zoals SyRI voldoen naar het oordeel van de rechtbank, gelet op het vorenstaande, dan ook aan het algemene noodzakelijkheidsvereiste van artikel 8 lid 2 EVRM. Het gaat bij dit laatste om de keuze voor technische infrastructuur om in een beveiligde omgeving bestanden met data te (kunnen) koppelen om analyses te maken, zodat risicomeldingen kunnen worden gegenereerd.

6.79.

Dit betekent echter niet dat (de werking van) het gekozen instrument, namelijk SyRI, en de bijbehorende procedures en waarborgen die de wetgever voor de inzet ervan in de SyRI-wetgeving heeft opgenomen de persoonlijke levenssfeer gelet op artikel 8 lid 2 EVRM voldoende eerbiedigt. Die concrete toets doorstaat de SyRI-wetgeving niet, zoals de rechtbank hierna toelicht.

Noodzakelijk in een democratische samenleving; proportionaliteit en subsidiariteit

6.80.

De rechtbank beoordeelt of de SyRI-wetgeving voldoet aan de op grond van artikel 8 lid 2 EVRM vereiste noodzakelijkheid, proportionaliteit en subsidiariteit in het licht van de doelen die zij dient. Er moet sprake zijn van een ‘fair balance’ tussen de doelen van de SyRI-wetgeving en de inbreuk op het privéleven die de wetgeving oplevert.

6.81.

Voor die beoordeling is de inhoud van de SyRI-wetgeving uitgangspunt (zie hoofdstuk 4 van dit vonnis). Daaruit blijkt, zoals de Staat aanvoert, dat de SyRI-wetgeving de kring van aangewezen (overheids)instanties beperkt, het aantal categorieën gegevens dat in aanmerking komt voor verwerking limitatief opsomt, de deelnemende aangewezen (overheids)instanties verplicht de noodzaak van een SyRI-project en de daarbij te verwerken gegevens te toetsen. Verder is het IB als bewerker aangemerkt, die gegevens pseudonimiseert en wordt de analyse uitgevoerd door de, daarvan gescheiden, analyse-eenheid van de Inspectie SZW. De SyRI-wetgeving bevat daarnaast bewaartermijnen en beperkingen ten aanzien van de inzage en het gebruik van risicomeldingen en verplichtingen tot geheimhouding en evaluatie.

6.82.

Voor die beoordeling neemt de rechtbank ook de uitgangspunten zoals in 6.61-6.65 resumerend verwoord, in aanmerking. Die uitgangspunten zijn van belang voor de mate en ernst van de inmenging van de SyRI-wetgeving in het privéleven van betrokkenen. Een zeer grote hoeveelheid gegevens komt in aanmerking voor verwerking in SyRI. Het risicomodel en de indicatoren waaruit het model bestaat en de gegevens die in een concreet SyRI-project gebruikt worden zijn niet openbaar en ook niet kenbaar voor betrokkenen. Verder bestaat er wettelijke ruimte om het risicomodel aan te passen aan de hand van teruggekoppelde resultaten. Ten slotte is er de onbekendheid van betrokkene met het gegeven van een risicomelding, terwijl het doen van een risicomelding een aanmerkelijk effect heeft op betrokkene.

6.83.

De rechtbank zet de inhoud van de SyRI-wetgeving in het licht van de doelen die de SyRI-wetgeving dient af tegen de inbreuk op het privéleven die de SyRI-wetgeving oplevert. Zij is van oordeel dat de SyRI-wetgeving, voor zover deze de inzet van SyRI-betreft, niet voldoet aan de ‘fair balance’ die vereist is voor de conclusie dat sprake is van een gerechtvaardigde inmenging in de zin van artikel 8 lid 2 EVRM. Zij wijst op het volgende.

6.84.

In eerdergenoemd arrest van het EHRM inzake S. en Marper tegen het Verenigd

Koninkrijk overwoog het Hof: “The Court considers that any State claiming a pioneer role in the development of new technologies bears special responsibility for striking the right balance in this regard”.29De Nederlandse wetgever pretendeert in dezen geen pionier te zijn wat betreft de inzet van het instrument SyRI, terwijl in die zaak bovendien sprake was van de opslag van DNA-profielen voor onbeperkte duur. Zowel de indringendheid van de inmenging in het privéleven en als de waarborgen ter bescherming van privacy in de in die zaak getoetste Britse wetgeving verschillen van die in deze zaak. Niettemin is de rechtbank van oordeel dat ook op de Staat in dezen een bijzondere verantwoordelijkheid rust zoals het EHRM tot uitdrukking brengt.

6.85.

De ontwikkeling van nieuwe technologieën geeft de overheid onder meer digitale mogelijkheden om bestanden te koppelen en met behulp van algoritmen data te analyseren en zo effectiever toezicht uit te oefenen. Bij die ontwikkeling komt aan het recht op gegevensbescherming mede vanwege de snelheid van die ontwikkeling steeds meer betekenis toe. Het verzamelen en analyseren van gegevens met behulp van die nieuwe technologieën kan diep ingrijpen op het privéleven van degenen op wie die gegevens betrekking hebben. Op de wetgever rust daarom ook in het geval van de inzet van een instrument zoals SyRI een bijzondere verantwoordelijkheid: voor een betrokkene is moeilijk te overzien wat het effect van het instrument op zijn of haar privéleven precies is en het EVRM vereist dat de wetgeving die daarvoor een grondslag biedt voldoende waarborgen bevat om misbruik en willekeur tegen te gaan.

6.86.

De wetgever heeft zich bij de totstandkoming van de SyRI-wetgeving rekenschap gegeven van artikel 8 EVRM en het recht op respect voor het privéleven dat het EVRM beschermt. Anders dan de Staat, is de rechtbank van oordeel dat de in de wetgeving getroffen waarborgen met het oog op de bescherming van het privéleven van degene van wie de gegevens in SyRI kunnen worden verwerkt, onvoldoende zijn. In aanmerking genomen het transparantiebeginsel, het doelbindingsbeginsel en het beginsel van dataminimalisatie, fundamentele beginselen van gegevensbescherming, acht de rechtbank de SyRI-wetgeving onvoldoende inzichtelijk en controleerbaar voor de conclusie dat de inmenging die de inzet van SyRI in het recht op respect voor het privéleven mee kan brengen noodzakelijk, evenredig en proportioneel is in verhouding tot de doelen die de wetgeving dient. Zij acht daarvoor de volgende omstandigheden, in onderlinge samenhang bezien, van belang.

6.87.

Het transparantiebeginsel is het leidende hoofdbeginsel van gegevensbescherming dat ten grondslag ligt aan en is vastgelegd in het Handvest en de AVG (zie over de beginselen van gegevensbescherming hiervoor 6.27- 6.34). Dit beginsel is naar het oordeel van de rechtbank in de SyRI-wetgeving in het licht van artikel 8 lid 2 EVRM onvoldoende in acht genomen. De rechtbank stelt vast dat de SyRI-wetgeving op geen enkele manier voorziet in informatie over de feitelijke gegevens die de aanwezigheid van een bepaalde omstandigheid aannemelijk kunnen maken, oftewel welke objectieve feitelijke gegevens gerechtvaardigd tot de conclusie kunnen leiden dat sprake is van een verhoogd risico. In de wetsgeschiedenis is slechts een aantal voorbeelden gegeven van indicatoren die kunnen duiden op een verhoogd risico en een potentiële treffer:

“Zo kan er sprake zijn van samenleeffraude als personen met een uitkering en/of toeslag volgens de GBA op verschillende adressen ingeschreven staan terwijl zij feitelijk op één adres woonachtig zijn. Bij verzwegen vermogen moet bijvoorbeeld worden gedacht aan iemand bij wie het banktegoed in een jaar explosief stijgt. Andere voorbeelden zijn een persoon die in een andere wijk meerdere garageboxen heeft en in korte tijd meerdere voertuigen op naam heeft of een WWB-er die bij de Belastingdienst een rekeningnummer op heeft gegeven met een vermogen, maar dat bij de Gemeentelijke sociale dienst onbekend is.”30

6.88.

De Staat heeft een aantal andere voorbeelden gegeven die kunnen duiden op discrepanties (waaronder de voorbeelden dat iemand die als alleenstaande een uitkering ontvangt, een zorgtoeslag voor gehuwden krijgt en meerdere bewoners van hetzelfde adres een huurtoeslag ontvangen voor een afwijkend adres, terwijl voor een adres slechts één bewoner huurtoeslag kan ontvangen). Op welke objectief verifieerbare informatie deze genoemde voorbeelden berusten, heeft hij niet toegelicht.

6.89.

De SyRI-wetgeving voorziet bovendien niet in informatie die betrekking heeft op de werking van het risicomodel, bijvoorbeeld over het type algoritmen dat in het risicomodel wordt gebruikt, en ook niet in informatie over de methode van risicoanalyse door de Inspectie SZW. De Staat heeft in deze procedure nader toegelicht dat het risicomodel bestaat uit i) risico-indicatoren, ii) verbanden en iii) een zogenoemd afsnijpunt.

Afhankelijk van het doel van het onderzoeken worden per risico-indicator punten toegekend. De hoogte van de score is onder andere afhankelijk van de waarschijnlijkheid dat de risico-indicatie zich voordoet. Hoe onwaarschijnlijker het is dat de specifieke risico-indicatie zich voordoet, hoe hoger het aantal punten. Het afsnijpunt, dat vooraf wordt vastgesteld, houdt een drempelwaarde in. Gevallen met minder punten dan de drempelwaarde zullen niet tot een potentiële hit leiden.

Volgens de Staat wordt gebruik gemaakt van risicomodellen die door de Inspectie SZW zijn gevalideerd en waarbij gebruik wordt gemaakt van geverifieerde risico-indicatoren waarvan in de praktijk is gebleken dat zij kunnen duiden op een verhoogd risico van misbruik of fraude. Inzicht in de validatie van het risicomodel en de verificatie van de risico-indicatoren biedt de SyRI-wetgeving echter niet en heeft de rechtbank ook in deze procedure niet.

6.90.

Het vorenstaande leidt ertoe dat niet kan worden gecontroleerd hoe de eenvoudige beslisboom, waarover de Staat spreekt, tot stand komt en uit welke stappen deze bestaat. Aldus valt moeilijk in te zien hoe een betrokkene zich kan verweren tegen het gegeven dat ten aanzien van hem of haar een risicomelding is gedaan. Evenzeer valt moeilijk in te zien hoe een betrokkene van wie de gegevens wel in SyRI zijn verwerkt, maar die niet hebben geleid tot een risicomelding, ervan op de hoogte kan zijn dat zijn of haar gegevens op juiste gronden zijn verwerkt. Dat in deze laatste situatie de gegevens niet hebben geleid tot een risicomelding en bovendien uiterlijk vier weken na analyse moeten zijn vernietigd, doet niet af aan de vereiste transparantie ten aanzien van die verwerking. Het recht op respect voor het privéleven houdt ook in dat een betrokkene in redelijke mate in staat moet worden gesteld zijn of haar gegevens te volgen.

6.91.

Het belang van transparantie, met het oog op controleerbaarheid, is mede zwaarwegend omdat aan het gebruik van het risicomodel en de analyse die dat verband wordt verricht het risico verbonden is dat (onbedoeld) discriminerende effecten optreden. De Afdeling advisering wijst in haar hiervoor in 6.46 genoemde advies erop dat het analyseren van grote verzamelingen data, al dan niet met deep learning/zelflerende systemen ontegenzeggelijk nut heeft, maar ook ongewenste resultaten kan hebben, waaronder onterechte uitsluiting of discriminatie. De minister van Rechtsbescherming onderkent in zijn brief van 8 oktober 2019 aan de Tweede Kamer over Informatie- en communicatietechnologie (ICT)31 dat men vanwege het risico op discriminerende effecten in ieder geval bij data-analyses gebaseerd op profilering bijvoorbeeld ten onrechte een bepaalde eigenschap toegekend krijgen (false positive) of andersom ten onrechte een eigenschap niet toegekend krijgen (false negative).

6.92.

NJCM c.s. heeft, in deze procedure mede ondersteund door de FNV en de Speciaal Rapporteur van de Verenigde Naties op het gebied van extreme armoede en mensenrechten, uitvoerig uiteengezet dat bij de inzet van SyRI volgens haar sprake is van een discriminerend en stigmatiserend effect. Zij wijst erop dat met SyRI wijken die al als probleemwijk bekend staan aan een nader onderzoek worden onderworpen. Daardoor is de kans dat onregelmatigheden worden gevonden hoger dan in andere wijken, hetgeen weer het beeld bevestigt van probleemwijk, stereotypering in de hand werkt en een negatief beeld over de bewoners die in de wijk wonen wordt versterkt, ook al is ten aanzien van hen geen risicomelding gedaan.

6.93.

Het is juist dat SyRI, tot nu toe alleen is ingezet in zogenoemde ‘probleemwijken’, zoals de Staat ter zitting ook heeft bevestigd. Dat op zichzelf hoeft niet te impliceren dat die inzet in alle gevallen disproportioneel of anderszins in strijd is met artikel 8 lid 2 EVRM. Gegeven echter de grote hoeveelheden gegevens die in aanmerking komen voor verwerking in SyRI, waaronder ook bijzondere persoonsgegevens, en de omstandigheid dat gebruik wordt gemaakt van risicoprofielen, bestaat wel het risico dat met de inzet van SyRI onbedoeld verbanden worden gelegd op basis van bias, zoals een lagere sociaal economische status of een immigratieachtergrond, zoals NJCM c.s. betoogt.

6.94.

Op basis van de SyRI-wetgeving kan niet worden beoordeeld of dit risico voldoende is ondervangen, bij gebrek aan controleerbaar inzicht in de risico-indicatoren en de (werking van) het risicomodel, daaronder begrepen de methode van analyse door de Inspectie SZW. De omstandigheid dat het proces van gegevensverwerking bestaat uit twee fasen en de analyse-eenheid van de Inspectie SZW na de koppeling van de bestanden door het IB de ontsleutelde gegevens toetst op onderzoekswaardigheid, waarbij voorzien is in menselijke controle op false positives en false negatives, acht de rechtbank daarvoor onvoldoende. De wijze van totstandkoming van de definitieve risicoselectie is immers niet openbaar. Evenmin worden betrokkenen geïnformeerd over de wijze van totstandkoming van de definitieve risicoselectie en de daaraan verbonden conclusie of al dan niet een risicomelding wordt gedaan, terwijl de SyRI-wetgeving uitsluitend voorziet in algemeen toezicht achteraf van de AP.

6.95.

De rechtbank is gelet op het vorenstaande van oordeel dat in de SyRI-wetgeving onvoldoende wordt voorzien in waarborgen ter bescherming van het recht op respect voor het privéleven in relatie tot de risico-indicatoren en het risicomodel die in een concreet SyRI-project kunnen worden gebruikt. De SyRI-wetgeving biedt zonder inzicht in de risico-indicatoren en het risicomodel, althans zonder nadere wettelijke waarborgen die dit gebrek aan inzicht compenseren, onvoldoende handvatten voor de conclusie dat met de inzet van SyRI de inmenging in het privéleven in het licht van het misbruik en de fraude die wordt beoogd te bestrijden steeds proportioneel en daarmee noodzakelijk is, zoals artikel 8 lid 2 EVRM vereist.

6.96.

De rechtbank is ook van oordeel dat in de SyRI-wetgeving, getoetst aan artikel 8 lid 2 EVRM, onvoldoende acht is geslagen op het doelbindingsbeginsel en het beginsel van dataminimalisatie. De rechtbank stelt voorop dat de doelomschrijving van artikel 64 leden 1 en 2 Wet SUWI op zichzelf voldoende is bepaald. Vooraf is duidelijk in verband met welke doelen gegevens ten behoeve van een samenwerkingsverband moeten worden verstrekt. De keuze van de wetgever voor een groot aantal terreinen waarop kan worden samengewerkt en gegevens moeten worden verstrekt kan ook als gerechtvaardigd, in de zin van noodzakelijk, evenredig en subsidiair, worden beschouwd. Daarbij betrekt de rechtbank mede het belang van de bestrijding van misbruik en fraude en de beoordelingsmarge die de Staat als nationale autoriteit heeft. De rechtbank verwerpt de stelling van NJCM c.s. en volgt het verweer van de Staat op dit punt. De SyRI-wetgeving acht de rechtbank in zoverre niet in strijd met het doelbindingsbeginsel.

6.97.

Dit wordt anders indien en voor zover die doelen in samenhang worden bezien met de grote hoeveelheid gegevens die op grond van artikel 65 Wet SUWI en het Besluit SUWI in aanmerking komen voor verwerking in SyRI, de omstandigheid dat de noodzakelijkheidstoets zoals vereist door de aangewezen (overheids)instanties afzonderlijk wordt verricht en geen sprake is van een integrale toets vooraf door een onafhankelijke derde. De noodzakelijkheidstoets die de aangewezen (overheids)instanties moeten uitvoeren raakt zowel het doelbindingsbeginsel als het dataminimalisatiebeginsel.

6.98.

De wettelijke beperking van de dataset is gelegen in de (uiteindelijk) limitatieve opsomming van de categorieën gegevens die in aanmerking komen voor verwerking en de noodzakelijkheid van de gegevens voor de doelen die het specifieke SyRI-project dient (artikel 64 lid 2 Wet SUWI in samenhang bezien met artikel 5a.1 Besluit SUWI). Ook als echter wordt uitgegaan van de limitatieve opsomming van de categorieën gegevens geldt, zoals de Afdeling advisering eerder heeft opgemerkt, dat er nauwelijks een persoonsgegeven te bedenken valt dat niet in aanmerking komt voor verwerking in SyRI.

6.99.

Verder is de noodzaak van de toets of de gegevensverstrekking ten behoeve van een bepaald project nodig is, overgelaten aan ieder van de aangewezen (overheids)instantie die deelneemt aan het samenwerkingsverband. Die noodzakelijkheidstoets kan en moet alleen worden gedaan ten aanzien van de datasets waarover de desbetreffende (overheids)instantie beschikt. De SyRI-wetgeving voorziet niet in een integrale toets vooraf en ook niet in een toets door een onafhankelijke derde. Dat wil zeggen een toets voorafgaand aan de gegevensverwerking in SyRI door de Minister op verzoek van een samenwerkingsverband en met als doel te beoordelen of de inmenging in het privéleven vanwege alle bestanden die in dat project gekoppeld worden noodzakelijk, evenredig en subsidiair is gelet op de specifieke doelstelling van dat project.

6.100. Anders dan de Staat heeft aangevoerd, kan de optelsom van de toetsen die de betrokken deelnemers aan het SyRI-project uitvoeren niet zonder meer als een integrale toets vooraf worden beschouwd. Ook in dit opzicht acht de rechtbank van belang dat de SyRI-wetgeving geen inzicht geeft in de werking en validatie van de risico-indicatoren en het risicomodel. Het risicomodel en de risico-indicatoren zijn immers mede van betekenis voor de beoordeling of en in hoeverre de gegevensverstrekking noodzakelijk is en daarmee ook voor het algehele effect op het privéleven van de vergelijking van de verschillende datasets die in SyRI plaatsvindt. Ook tegen deze achtergrond heeft een betrokkene naar het oordeel van de rechtbank onvoldoende zekerheid dat zijn privacy bij de inzet van SyRI is gewaarborgd.

6.101. De LSI is bovendien slechts een adviserend orgaan. Het advies is niet bindend en heeft geen uitdrukkelijke wettelijke grondslag. Daar komt bij dat de LSI bestaat uit vertegenwoordigers van instanties die zelf mede belang hebben bij de bestrijding en de voorkoming van misbruik en fraude op de in artikel 64 lid 1 Wet SUWI genoemde terreinen. De Inspectie van SZW is bovendien niet alleen vertegenwoordigd in de LSI, maar kan ook zelf deelnemer zijn aan een samenwerkingsverband ten behoeve van een SyRI-project en is belast met de analyse van gegevens voor de definitieve risicoselectie op basis waarvan een risicomelding wordt gedaan. Of en in hoeverre de interne functionele scheiding tussen de verschillende afdelingen van de Inspectie SZW (afdeling opsporing, analyse-eenheid en mogelijke andere betrokken afdelingen) voldoende is gewaarborgd, kan de rechtbank niet beoordelen. De Staat heeft dit in reactie op het verweer van NJCM c.s. verder niet toegelicht.

6.102. De Staat heeft erop gewezen, onder verwijzing naar rechtspraak van de Centrale Raad van Beroep dat bestandskoppeling met het oog op de selectie van controlegevallen in de rechtspraak is aanvaard.32 De rechtspraak waarop de Staat zich beroept, leidt de rechtbank niet tot een andere conclusie. Zoals uit het vorenstaande blijkt, acht de rechtbank het gebruik van risicoprofielen in verband met de uitoefening van hun toezichthoudende taak op zichzelf niet in strijd met artikel 8 lid 2 EVRM. De uitspraken waar de Staat zich op beroept, zien niet op het gebruik van SyRI, maar zien steeds op de uitwisseling van een beperkte set gegevens waarbij gebruik is gemaakt van risicoprofielen die gerechtvaardigd zijn door objectieve criteria. Waar het gaat om de inzet van SyRI, biedt de SyRI-wetgeving onvoldoende privacywaarborgen vanwege de grote hoeveelheid gegevens - van uiteenlopende aard en afkomstig uit een groot aantal verschillende bronnen - die verwerkt kunnen worden. Bovendien is er geen inzicht is in de (objectieve criteria die ten grondslag liggen aan de validiteit van de) risico-indicatoren en het risicomodel. Daarin verschillen de zaken die tot de door de Staat genoemde rechtspraak hebben geleid wezenlijk van de hier te beoordelen wetgeving.

6.103. De Staat heeft ook naar voren gebracht dat in het kader van de wet een gegevensbeschermingseffectbeoordeling (Privacy Impact Assessment, PIA) heeft plaatsgevonden en dat van een gegevensbeschermingseffectbeoordeling per SyRI-project om die reden niet plaatsvindt en ook niet hoeft plaats te vinden.

6.104. De rechtbank overweegt dat op grond van artikel 35 lid 1 van de AVG een gegevensbeschermingseffectbeoordeling dient te worden uitgevoerd wanneer een soort verwerking gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze bepaling is ingevolge artikel 35 lid 10 AVG niet van toepassing, zoals de Staat terecht heeft opgemerkt, in het geval, kort gezegd, de specifieke verwerking of geheel van verwerkingen in kwestie bij wet wordt geregeld, en er reeds in het kader daarvan een gegevensbeschermingseffectbeoordeling is uitgevoerd, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren. De Staat heeft er op gewezen dat er sinds de inwerkintreding van de SyRI-wetgeving een nieuw model gegevensbescherming van de rijksdienst wordt gehanteerd, dat is toegesneden op de privacyregels van de AVG.

6.105. Zonder nadere toelichting, die ontbreekt, kan de rechtbank het verweer van de Staat waarom niet per SyRI-project een gegevensbeschermingseffectbeoordeling wordt uitgevoerd, niet volgen. De gegevensbeschermingseffectbeoordeling die is uitgevoerd, heeft immers plaatsgevonden vóór de inwerkingtreding van de AVG. Of deze beoordeling voldoet aan de eisen die de AVG daaraan stelt, kan de rechtbank op basis van de beschikbare informatie niet beoordelen. De Staat heeft ook niet inzichtelijk gemaakt waarom niet, gelet op mate en ernst van de inbreuk op het privéleven die met de verwerking van gegevens in SyRI wordt gemaakt, per project een dergelijke beoordeling plaatsvindt. Daarbij verdient opmerking dat, voor zover de rechtbank bekend, sinds de inwerkingtreding van de SyRI-wetgeving sprake is geweest van een beperkt aantal SyRI-projecten (vijf).

6.106. Gelet op de grote hoeveelheid gegevens die in aanmerking kunnen komen voor de verwerking in SyRI en de omstandigheid dat in een concreet SyRI-project de noodzakelijkheidstoets door de afzonderlijke deelnemers aan het project wordt verricht, derhalve zonder integrale en bovendien geen onafhankelijke toets voorafgaand aan de goedkeuring door de Minister, bevat de SyRI-wetgeving dan ook onvoldoende waarborgen voor de conclusie dat, gelet op de beginselen van doelbinding en dataminimalisatie, voldaan is aan artikel 8 lid 2 EVRM.

6.107. Gelet op al het vorenstaande, komt de rechtbank niet toe aan de beoordeling of de SyRI-wetgeving in strijd is met een of meer specifieke bepalingen van de AVG waarop NJCM c.s. zich beroept en of de SyRI- wetgeving in strijd is met de artikelen 6 en of 13 EVRM. De overige stellingen en verweren van partijen laat de rechtbank dan ook onbesproken.

De vorderingen van NJCM c.s.
6.108. De vraag resteert wat het vorenstaande betekent voor de vorderingen van NJCM c.s.

6.109. Zoals hiervoor overwogen, zullen de Landelijke Cliëntenraad, [eisende partij sub 6] en [eisende partij sub 7] niet-ontvankelijk worden verklaard in hun vorderingen. Aan de beoordeling van vordering VIII, die alleen ziet op [eisende partij sub 6] en [eisende partij sub 7] , komt de rechtbank niet toe.

6.110. Wat betreft de vorderingen van het Platform Bescherming Burgerrechten, Privacy First en de Stichting Koepel voor DBC-Vrije Praktijken overweegt de rechtbank als volgt. De rechtbank acht de SyRI-wetgeving in strijd met artikel 8 lid 2 EVRM voor zover die wetgeving betrekking heeft op de inzet van SyRI. Alleen artikel 65 Wet SUWI en hoofdstuk 5a van het Besluit SUWI zien specifiek op (de inzet van) SyRI. Artikel 64 Wet SUWI regelt de gegevensuitwisseling ten behoeve van een samenwerkingsverband met het oog op het voorkomen en bestrijden van onrechtmatig gebruik van sociale zekerheidsvoorzieningen, inkomensafhankelijke regelingen, belasting- en premiefraude en de niet-naleving van arbeidswetten in het algemeen. Uit het vorenstaande blijkt dat de rechtbank artikel 64 Wet SUWI op zichzelf beschouwd niet in strijd acht met artikel 8 lid 2 EVRM.

6.111. Verder geldt dat de rechtbank op fundamentele gronden tot het oordeel komt dat de SyRI-wetgeving, voor zover deze (de inzet van) SyRI betreft, in strijd met artikel 8 lid 2 EVRM is. Die gronden hebben betrekking op zowel artikel 65 Wet SUWI als hoofdstuk 5a Besluit SUWI. Het samenstel van de wettelijke verankering van SyRI in artikel 65 Wet SUWI en de nadere uitwerking in hoofdstuk 5a Besluit SUWI, bevat, gelet op het geheel van wetgeving, onvoldoende waarborgen om te kunnen spreken over een voldoende gerechtvaardigde inmenging in het privéleven in het geval van de inzet van SyRI. Hieraan doet niet af dat de rechtbank bepaalde keuzes en uitgangspunten van de wetgever, die in artikel 65 Wet SUWI en hoofdstuk 5a Besluit SUWI zijn verwoord, verenigbaar acht met artikel 8 EVRM.

6.112. De rechtbank zal gelet op het vorenstaande voor recht verklaren dat artikel 65 Wet SUWI en hoofdstuk 5a Besluit SUWI jegens NJCM, het Platform voor Burgerrechten, Privacy First en de Koepel van DBC-Vrije Praktijken en degenen voor wier belangen deze partijen opkomen onverbindend zijn wegens strijdigheid met artikel 8 lid 2 EVRM. In zoverre wordt vordering IV toegewezen. Voor het overige wordt deze vordering afgewezen.

6.113. De rechtbank zal de overige vorderingen afwijzen. Wat betreft de bij de vorderingen I-III gevorderde verklaringen voor recht geldt dat deze eisers gelet op de gedeeltelijke toewijzing van vordering IV bij die vorderingen geen zelfstandig belang hebben.

6.114. Voor zover vordering V ziet op de gegevensverstrekking door de Belastingdienst aan andere samenwerkingsverbanden op grond van artikel 64 Wet SUWI hebben zij hun stellingen onvoldoende toegelicht. Voor zover deze vordering verband houdt met de gegevensverstrekking aan de Minister in verband met de inzet van SyRI op grond van artikel 65 Wet SUWI in verbinding met artikel 64 Wet SUWI, hebben zij geen zelfstandig belang bij die vordering.

6.115. Wat betreft het bij vordering VI gevorderde gebod tot openbaarmaking van de risicomodellen die in het specifieke SyRI-project zijn gebruikt, geldt dat daarvoor een met voldoende waarborgen omklede bestuursrechtelijke rechtsgang openstaat. Uit het oordeel van de rechtbank betreffende de onrechtmatigheid van de SyRI-wetgeving, voor zover deze ziet op de inzet van SyRI, volgt ook niet dat de Staat verplicht is tot openbaarmaking van dat model aan eisers.

6.116. Ook vordering VII stuit af op het ontbreken van een voldoende zelfstandig belang bij die vordering en is overigens onvoldoende toegelicht om, los van de inzet van SyRI, vatbaar voor toewijzing te kunnen zijn.

6.117. Ten slotte acht de rechtbank vordering IX te algemeen geformuleerd om voor toewijzing vatbaar te zijn. Aan de onverbindendheid van artikel 65 Wet SUWI en hoofdstuk 5a van het Besluit SUWI kan niet zonder meer de conclusie worden verbonden dat de Staat gehouden is tegenover de ontvankelijke collectieve belangenorganisaties in deze procedure om alle persoonsgegevens die zijn verzameld in het kader van, door middel van of ten behoeve van de inzet van SyRI te vernietigen en bewijs van die vernietiging aan hen te verstrekken. De desbetreffende vordering leent zich ook niet voor beoordeling in het kader van een collectieve actie, gezien haar nauwe verbondenheid met de individuele omstandigheden van de achterban van de collectieve belangenorganisaties.

Proceskosten

6.118. De Staat zal als de grotendeels in het ongelijk gestelde partij in de proceskosten aan de zijde van NJCM, het Platform voor Burgerrechten, Privacy First en de Koepel van DBC-Vrije Praktijken en FNV worden veroordeeld. De kosten aan de zijde van deze partijen worden tot op heden begroot op:

  • -

    dagvaarding € 98,01

  • -

    griffierecht € 1.252,00

  • -

    salaris advocaat € 1.900,50 (3,5 punten x tarief II van € 543)

Totaal € 3.250,51

6.119. De gevorderde wettelijke rente over de proceskosten is als onweersproken vatbaar voor toewijzing.

7 De beslissing

De rechtbank

7.1.

verklaart de Landelijke Cliëntenraad, [eisende partij sub 6] en [eisende partij sub 7] niet-ontvankelijk in hun vorderingen,

7.2.

verklaart voor recht dat dat artikel 65 Wet SUWI en hoofdstuk 5a Besluit SUWI jegens NJCM, het Platform voor Burgerrechten, Privacy First en de Koepel van DBC-Vrije Praktijken en degenen voor wier belangen deze partijen opkomen onverbindend zijn wegens strijdigheid met artikel 8 lid 2 EVRM,

7.3.

veroordeelt de Staat in de proceskosten, aan de zijde van het NJCM, het Platform voor Burgerrechten, Privacy First en de Koepel van DBC-Vrije Praktijken en de FNV tot op heden begroot op € 3.250,51 te vermeerderen met de wettelijke rente daarover vanaf veertien dagen na heden tot de dag van volledige betaling,

7.4.

verklaart dit vonnis tot zover uitvoerbaar bij voorraad,

7.5.

wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. M.C. Ritsema van Eck-van Drempt, mr. J.S. Honée en mr. H.J. van Harten en in het openbaar uitgesproken op 5 februari 2020.

1 Artikel 8 Wet SUWI.

2Kamerstukken II 2012/13, 33579, 3.

3 Stcrt. 2017, 20624.

4 Wet van 9 oktober 2003, houdende vaststelling van een wet inzake ondersteuning bij arbeidsinschakeling en verlening van bijstand door gemeenten (Wet werk en bijstand), Stb. 2003, 375.

5Kamerstukken II 2014/15, 17050, 508.

6 Respectievelijk: Stcrt. 2015, 34927 en Stcrt. 2015, 34927 (https://zoek.officielebekendmakingen.nl/stcrt-2015-34927.html) (rectificatie); Stcrt. 2016, 3826; Stcrt. 2016, 19457; Stcrt. 2018, 12083; Stcrt. 2018, 12088. WGA staat voor Wijkgerichte aanpak, zie ook hierna in 4.24.

7 Wet van 9 oktober 2013 tot wijziging van de Wet structuur uitvoeringsorganisatie werk en inkomen en enige andere wetten in verband met fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekende zijnde gegevens, Stb. 2013, 405.

8 Besluit van 1 september 2014 tot wijziging van het Besluit SUWI in verband met regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens met inzet van SyRI, Stb. 2014, 320.

9 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming, PB L 119/1, blz. 1.

10 Conclusie van antwoord Staat, achter 5.8 onder verwijzing naar voetnoot 20 aldaar. Volgens de nota van toelichting bij het Besluit SUWI zijn er twee standaard risicomodellen.

11 Besluit van 13 december 2001, houdende nadere regels omtrent de coördinatie en dienstverlening door het Inlichtingenbureau ten behoeve van de gemeenten bij de gegevensverstrekking op grond van zowel de Wet SUWI als de Abw, de IOAW en de IOAZ, alsmede omtrent de financiering van het Inlichtingenbureau (Besluit Inlichtingenbureau gemeenten), Stb. 2001, 686.

12 Artikel 6 Uitvoeringswet Algemene verordening gegevensbescherming.

13 Zie EHRM 27 oktober 1995, nr. 20190/92 (C.R. tegen het Verenigd Koninkrijk), punt 42 en EHRM 29 april 2002, nr. 2346/02 (Pretty tegen het Verenigd Koninkrijk), punt 65.

14 Zie onder meer EHRM 4 december 2008, nrs. 30562/04 en 30566/04 (S. en Marper tegen het Verenigd Koninkrijk), punt 66.

15 Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB 1995, L 281, blz. 31.

16 Productie 22 eisers, Guidelines on Automatic individual decision making and Profiling for the purposes of Regulation 2016/679, 3 oktober 2017; laatstelijk gewijzigd op 6 februari 2018.

17 Vgl. HR 16 mei 1986, NJ 1987/251 (Landbouwvliegers), punt 6.1.

18Kamerstukken II 2017/18, 26643, 557.

19Kamerstukken II 2018/19, Aanhangsel van de handelingen, 1037.

20Kamerstukken II 2018/19, 26643, 578.

21 EHRM 2 augustus 1984, nr. 8691/79 (Malone tegen het Verenigd Koninkrijk).

22 EHRM 26 april 1979, nr. 6538/74, (Sunday Times tegen het Verenigd Koninkrijk), punt 48.

23 Zie onder meer EHRM 29 juni 2006, nr. 54934/00 (Weber en Saravia tegen Duitsland) en de daar aangehaalde rechtspraak en EHRM 12 januari 2016, nr. 31718/14 (Szabó en Vissy tegen Hongarije).

24 EHRM 4 december 2008, nrs. 30562/04 en 30566/04 (S. en Marper tegen het Verenigd Koninkrijk), punt 96.

25 EHRM 4 december 2008, nrs. 30562/04 en 30566/04 (S. en Marper tegen het Verenigd Koninkrijk), punt 99

26 EHRM 4 december 2008, nrs. 30562/04 en 30566/04 (S. en Marper tegen het Verenigd Koninkrijk), punt 112.

27 Zie conclusie van antwoord 5.63, met verwijzing naar de memorie van toelichting op het wetsvoorstel tot wijziging van de wet SUWI, P. Olsthoorn, ‘Big data voor fraudebestrijding’, WRR working paper nummer 21 en een rapport van PWC, “Naar een fraudebeeld, Nederland Amsterdam, 19 december 2013.

28 Zie voor die indirecte effecten bijvoorbeeld Kamerstukken II 2013/14, 17050, 450 en Kamerstukken II 2013/14, 17050, 439, waarnaar de Staat verwijst (conclusie van antwoord, 6.51)

29 EHRM 4 december 2008, nrs. 30562/04 en 30566/04 (S. en Marper tegen het Verenigd Koninkrijk), punt 112.

30Kamerstukken II 2012/13, 33579, 3, blz. 5.

31Kamerstukken II, 2019/20, 26643, 641.

32 Zie onder meer CRvB 15 december 2009, ECLI:NL:CRVB:2009:BK8311 en CRvB 27 april 2010, ECLI:NL:CRVB:2010:BM:3881.