Antwoord op vragen van het lid Van Kent over "omstreden risicoprofilering door gemeente Nissewaard"

Vragen van het lid Van Kent (SP) aan de Minister van Sociale Zaken en Werkgelegenheid over omstreden risicoprofilering door gemeente Nissewaard (ingezonden 22 juli 2021).

Antwoord van Staatssecretaris Wiersma (Sociale Zaken en Werkgelegenheid) (ontvangen 28 september 2021).

Vraag 1

Bent u bekend met het bericht «Nissewaard stopt met omstreden methode om fraude met bijstand op te sporen»?1

Antwoord 1

Ja.

Vraag 2

Bent u van mening dat de wijze waarop de gemeente Nissewaard omging met de persoonsgegevens van burgers, onacceptabel is? Zo nee, waarom niet?

Antwoord 2

Op het moment dat een gemeente of overheid gebruik maakt van persoonsgegevens en die verwerkt, moet deze organisatie zich houden aan de relevante (privacy)wetgeving, zoals in het bijzonder de AVG. Zo moeten persoonsgegevens, bijvoorbeeld op grond van artikel 5, eerste lid onder a, worden verwerkt op een wijze die voor de betrokkenen transparant is. Informatie en communicatie over een verwerking moeten eenvoudig toegankelijk en begrijpelijk zijn.

Specifiek voor de casus Nissewaard geldt dat door TNO is geconcludeerd dat moeilijk te controleren is of Totta Data Lab ten aanzien van het gebruik van het algoritme de inhoudelijke en procedurele eisen, onder meer ten aanzien van de transparantie van de verwerking, naleefde. Daarnaast is geconcludeerd dat het programma verschillende uitkomsten gaf met dezelfde input. Die conclusies hebben ertoe geleid dat de gemeente Nissewaard heeft besloten te stoppen met het gebruik van het algoritme.

Het is in de eerste plaats aan de verwerkingsverantwoordelijke, in deze het College van burgemeester en wethouders, om zorg te dragen voor het naleven van de AVG, bijvoorbeeld door middel van toezicht door de Functionaris Gegevensbescherming. In een gemeente worden de handelingen van het college tevens gecontroleerd door de Gemeenteraad. Daarbuiten is de Autoriteit Persoonsgegevens toezichthouder ten aanzien van verwerkingen van persoonsgegevens.

Als het gaat om de uitvoering van de Participatiewet (Pw) heb ik als Staatssecretaris van SZW stelselverantwoordelijkheid.

Mijn stelselverantwoordelijkheid ziet op de taak of bevoegdheid, die de gemeente in het kader van de Pw heeft gekregen. In deze gaat het dan om de onderzoeksbevoegdheid, zoals vastgelegd in artikel 53a van de Pw, die gemeenten in staat stelt de rechtmatigheid van een verstrekking in het kader van de Pw te onderzoeken. De wijze waarop een gemeente persoonsgegevens verwerkt, behoort in principe tot de verantwoordelijkheid van de gemeente. Dat laat onverlet dat ik er zeer aan hecht dat gegevensverwerking plaatsvindt met inachtneming van de wettelijke regels en waarborgen. Vanuit het Rijk lopen in dat kader ook verschillende initiatieven om gemeenten te ondersteunen bij een correct data gebruik.

Vraag 3

Bent u er van op de hoogte dat ook andere gemeenten, dan wel in samenwerking met een bedrijf als Totta Data Lab, dan wel op eigen houtje persoonsgegevens van hun burgers verwerken voor het maken van risicoprofielen? Zo ja: wilt u deze informatie met de Kamer delen? Zo nee: bent u bereid hier een landelijke inventarisatie van te maken? Zo nee, waarom niet?

Antwoord 3

Ik ben niet op de hoogte of ook andere gemeenten gebruik maken van de diensten van Totta Data Lab. Wel worden – zoals ook in mijn antwoord op vraag 2 al kort aangehaald – gemeenten in meer algemene zin vanuit het Ministerie van BZK gefaciliteerd bij de wijze waarop zij rechtmatig gegevens kunnen verwerken. Zo heeft het ministerie verschillende tools ontwikkeld om gemeenten te ondersteunen bij de toepassing van algoritmen, zoals de Handreiking artificial intelligence (AI) systeemprincipes voor non-discriminatie en een impact assessment mensenrechten en algoritmen.

U kunt hierover meer lezen in de beantwoording van de Kamervragen over het bericht van de Rekenkamer Rotterdam, dat algoritmen kunnen leiden tot mogelijke vooringenomenheid van 3 juni jl.2

Vraag 4 en 5

Bent u voornemens om te bewerkstelligen dat gemeenten en andere overheden die nog steeds met algoritmen van Totta Data Lab werken, hiermee stoppen? Zo nee, waarom niet? Zo ja, hoe gaat u dit te bewerkstelligen?

Bent u, nu is gebleken dat Nissewaard onacceptabele methoden gebruikte in de bestrijding van fraude waarbij, evenals in de toeslagenaffaire, geautomatiseerd risicoprofielen van onverdachte burgers werden gegenereerd, voornemens om deze methode (het geautomatiseerd genereren van risicoprofielen van onverdachte burgers) bij alle gemeenten en overheden te doen stopzetten? Zo nee, waarom niet?

Antwoord 4 en 5

U vraagt hier, zo moge blijken uit mijn eerdere antwoorden, naar handelingen waartoe ik niet bevoegd ben. Ik ben, binnen de toepasselijke wettelijke kader, voorstander van data-gestuurd handhaven, zoals tevens verwoord in de SZW Handhavingskoers 2018–2021 (Kamerstuk 17 050, nr. 541).3 Data-gestuurde handhaving kan niet alleen gemeenten maar ook burgers ontlasten. Door gericht onderzoek te doen, wordt voorkomen dat een grote groep burgers om nadere informatie wordt verzocht.

Wel hecht ik er zeer aan dat de aan de data gestuurde handhaving gekoppelde gegevensverwerking plaatsvindt met inachtneming van de wettelijke regels en waarborgen. Eindverantwoordelijke daarvoor is de verwerkingsverantwoordelijke, in deze het College van burgemeester en wethouders. Ik kan daarom enkel gemeenten wijzen op de constateringen van TNO en hen vragen die bij hun oordeel met betrekking tot de inzet van risicoprofielen te betrekken. Daartoe ben ik zonder meer bereid.

Vraag 6 en 7

Bent u het ermee eens dat het genereren van risico-profielen van onverdachte burgers een werkwijze is die een grote inbreuk vormt op de grondrechten, en daarom eerst de rechtmatigheid van deze praktijk moet worden vastgesteld alvorens deze methode wordt ingezet? Zo ja: hoe gaat u ervoor zorgen dat dit praktijk wordt?

Hoe wordt momenteel voorkomen dat andere gemeenten of overheden gebruik maken van geautomatiseerde risicoprofilering, die zoals in Nissewaard, achteraf onverantwoord blijkt en leiden tot onbetrouwbare en onrechtvaardige uitkomsten? Wie houdt daar toezicht op en grijpt in als het mis gaat? Welke verantwoordelijkheid ziet u daarbij voor zichzelf?

Antwoord 6 en 7

Zoals aangegeven in mijn antwoord op vraag 2 ligt de verantwoordelijkheid hier primair bij het College van burgemeester en wethouders. Gemeenten worden daarbij wel door het Rijk ondersteund. In antwoord op vraag 3 heb ik al gewezen op een aantal producten dat het Ministerie van Binnenlandse Zaken ter beschikking heeft gesteld. Ik wil u daarbij ook nog attenderen op de brief van de Minister over AI, publieke waarden en mensenrechten.4 Daarnaast wordt op dit moment, zoals door de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties aan u toegezegd, actief geïnventariseerd waar mogelijk sprake is van discriminerende algoritmes (Brief van 8 april 2021, 26 643, nr. 751).5 Een onderzoek naar het gebruik van nationaliteit binnen de sociale zekerheid is afgerond en de resultaten daarvan zijn door Minister Koolmees met u gedeeld (Brief van 6 juli 2021, 26 448, nr 653).6

Vraag 8

Als geconstateerd wordt dat een werkwijze waarbij gebruik wordt gemaakt van algoritmische risicoselectie van burgers, onverantwoord is, hoe kan dan worden bewerkstelligd dat deze ook wordt stopgezet bij andere gemeenten en overheden?

Antwoord 8

Graag benadruk ik dat het gebruik van een risicoprofiel en het gebruik van algoritmen niet hetzelfde is. Algoritmen worden zeer breed gebruikt, ten aanzien van talloze verschillende toepassingen. Zo zal iedere gemeente bij de automatische uitbetaling van de bijstandsuitkering evenzo gebruik maken van een algoritme. Het gebruik van een risicoprofiel impliceert dan weer niet per definitie dat gebruik wordt gemaakt van een algoritme. Een risicoprofiel kan ook handmatig toegepast worden, bijvoorbeeld door handhavers die handmatig gegevens controleren van bijstandsgerechtigden aan de hand van een set vooraf bepaalde «opletpunten».

In reactie op uw vraag is de kern dat iedere verwerkingsverantwoordelijke zich aan (privacy)wetgeving moet houden indien gebruik wordt gemaakt van persoonsgegevens. Tevens moet een gemeente, als overheidsorgaan, zich houden aan andere relevante wet- en regelgeving zoals de Algemene wet bestuursrecht en de algemene beginselen van behoorlijk bestuur. Op het moment dat een bepaalde werkwijze niet rechtmatig is, dan kan dit op verschillende manieren aan het licht komen. In dit geval heeft de gemeente zelf een onderzoek laten doen naar het algoritme en op grond daarvan besloten ermee te stoppen. Een andere mogelijkheid is om een klacht in te dienen bij de Autoriteit Persoonsgegevens, die op basis daarvan een onderzoek start, of een procedure via de rechter. Aangezien vereist is dat de verwerking van gegevens op een transparante manier geschiedt, zal in alle drie de gevallen openbaar worden of een gegevensverwerking gestopt is en waarom. Andere overheden kunnen hier dan kennis van nemen en als aanknopingspunt gebruiken voor hun eigen werkzaamheden. Hierbij staat de eigen verantwoordelijkheid in beginsel voorop.

Vraag 9

Wat is uw reactie op het rapport van de Rekenkamer Rotterdam dat de gemeente voor allerlei taken gebruik maakt van voorspellende algoritmen, maar in de organisatie tekortschiet als het gaat om de beheersing van risico’s op het vlak van transparantie, verantwoordelijkheid en eerlijkheid en welke consequenties verbindt u hieraan voor het landelijke beleid?7

Antwoord 9

Op 3 juni 2021 is de Staatssecretaris van BZK ingegaan op het rapport van de Rekenkamer Rotterdam betreffende algoritmen en mogelijke vooringenomenheid. U kunt zijn reactie, die ik onderschrijf, teruglezen in de beantwoording.8

Vraag 10

Onderschrijft u dat er op dit moment rechtsongelijkheid bestaat tussen burgers uit enerzijds gemeenten die gelet op het belang van de rechtsbescherming ervoor kiezen van risicoprofilering af te zien en anderzijds burgers uit gemeenten die ondanks de risico’s voor burgers hiermee doorgaan? Zo ja, wat gaat u doen om deze rechtsongelijkheid te beëindigen? Zo nee, waarom niet?

Antwoord 10

Ik herken de door u geschetste rechtsongelijkheid niet, als het gaat om risicoprofilering op basis van binnen de kaders van de AVG uitgevoerde gegevensverwerkingen. Het college heeft op basis van de Participatiewet een algemeen geformuleerde onderzoeksbevoegdheid om de rechtmatigheid van de verstrekking in het kader van deze wet te controleren. Risicoprofilering kan het college daarbij helpen deze bevoegdheid efficiënt in te zetten, waardoor een grote groep burgers niet om de aanlevering van gegevens zal worden gevraagd. Voor de groep die wel te maken krijgt met een controle is de situatie in beginsel niet anders dan bij hen die steekproefsgewijs te maken krijgen met een periodiek onderzoek naar de rechtmatigheid. Feitelijk komt het er daarbij op neer dat indien op basis van de door hen aangeleverde gegevens het recht op bijstand kan worden vastgesteld, daarmee het onderzoek is afgerond. In het geval een onderzoek wel leidt tot bestuursrechtelijke gevolgen heeft iedere burger een gelijke mate van rechtsbescherming, bijvoorbeeld door de plicht om hoor- en wederhoor toe te passen en de mogelijkheden om in bezwaar en beroep te gaan.

Indiener(s)