Kamervraag 2014Z17331

Het bericht dat Sociale Zaken mogelijk de privacywetgeving schond

Ingediend 6 oktober 2014
Beantwoord 3 november 2014 (na 28 dagen)
Indieners Paul Ulenbelt (SP), Sharon Gesthuizen (SP)
Beantwoord door Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA)
Onderwerpen organisatie en beleid recht sociale zekerheid staatsrecht
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2014Z17331.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20142015-428.html
  • Vraag 1
    Wat vindt u van het artikel «Sociale Zaken overtrad mogelijk de privacywetgeving»?1

    Zie mijn onderstaande antwoorden.

  • Vraag 2
    Wie heeft wanneer besloten dat er zonder wettelijke basis, gegevens aan elkaar konden worden gekoppeld om fraude op te sporen? Is de Tweede Kamer hier toentertijd over geïnformeerd? Zo ja, op welke wijze? Zo nee, waarom niet?

    Voor het koppelen van bestanden met persoonsgegevens is een wettelijke basis noodzakelijk. De belangrijkste regels voor de omgang met persoonsgegevens zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Op grond van artikel 8 Wbp mogen persoonsgegevens alleen worden verwerkt als hiervoor een in dit artikel genoemde verwerkingsgrond aanwezig is. Artikel 8, sub c respectievelijk e, van de Wbp geeft een grondslag om persoonsgegevens te verwerken ten behoeve van de fraudebestrijding. Persoonsgegevens mogen worden verwerkt indien de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is en indien de gegevensverwerking noodzakelijk is voor de goede vervulling van de publiekrechtelijke taak. De wet Werk en bijstand (WWB) en de wet Structuur uitvoering werk en inkomen (SUWI) stellen regels voor bestandskoppeling in het sociale zekerheidsdomein. In artikel 64 van de WWB en in artikel 54 van de wet SUWI wordt een aantal bronnen genoemd op grond waarvan gegevensbestanden kunnen worden gekoppeld. De databestanden zijn gekoppeld en geanalyseerd binnen de kaders van de Wbp, de wet WWB en de wet SUWI.
    Bij brief van 23 december 20052 heeft Staatssecretaris Van Hoof de Tweede Kamer geïnformeerd over de mogelijkheden tot gegevensuitwisseling en ontsluiting van gegevensbronnen in het kader van handhaving en het overleg met het CBP dat hij hierover heeft gehad.
    De Tweede Kamer is op 19 december 2007 door staatsecretaris Aboutaleb geïnformeerd3 dat hij met het CBP tot overeenstemming was gekomen over de wijze waarop binnen de beveiligde omgeving van de «Black Box» persoonsgegevens konden worden gekoppeld en dat ten behoeve daarvan risicoprofielen werden ontwikkeld. Op deze wijze was het mogelijk om het koppelen van bestanden en de werkwijze van de interventieteams binnen de kaders van de Wbp te laten plaatsvinden. Op 3 september 2009 is de Tweede Kamer in de Integrale rapportage handhaving 20084 geïnformeerd over de voortgang van de «Black Box».
    In de Integrale rapportage handhaving 20095 van 6 september 2011 is de Tweede Kamer geïnformeerd over de afronding van het »Black Box» project en het ambtshalve onderzoek van het CBP. Tevens is in de brief aangegeven dat de techniek van het anoniem koppelen van gegevens in 2010 bij het Inlichtingenbureau (IB) werd doorontwikkeld.

  • Vraag 3
    Heeft het College Bescherming Persoonsgegevens (Cbp) toezicht gehouden op de koppeling van persoonsgegevens? Zo ja, op welke manier en hoe kan het dat het Cbp dit weerspreekt? Zo nee, waarom niet?

    De Wbp is een wet met open normen. Belangrijk criterium is dat de gegevensuitwisseling expliciet bijdraagt aan en noodzakelijk is voor de uitvoering en handhaafbaarheid van de wettelijke regels, te weten het rechtmatig verstrekken van de uitkering en het bestrijden van fraude. Voorts moet voldaan worden aan de beginselen van proportionaliteit en subsidiariteit.
    De Wbp is sinds 1 september 2001 van kracht. Op 8 oktober 2003 heeft een aantal partijen6 zich verenigd in de Landelijke Stuurgroep Interventieteams (LSI) en een convenant gesloten om gezamenlijk interventieteamprojecten op te starten. In deze interventieteams werken partijen samen aan het bestrijden van fraude op het gebied van belastingen en sociale zekerheid, uitbuiting en illegale tewerkstelling. Omdat de LSI zoekende was over de toepassing van de normen van de Wbp, heeft het CBP de LSI tot 2007 op verzoek geadviseerd. Dit laat onverlet dat de verantwoordelijkheid om de wet- en regelgeving na te leven bij partijen blijft. Het CBP houdt toezicht op de naleving van wet- en regelgeving die ziet op de verwerking van persoonsgegevens en heeft de mogelijkheid ambtshalve onderzoek te doen en sancties op te leggen.

  • Vraag 4
    Om welke projecten ging het? Welke gegevens werden gekoppeld? Welke doelen werden hierbij beoogd? Van hoeveel mensen werden de gegevens gebruikt?

    De eerste interventieteamprojecten zijn begin 2004 gestart. Tot en met het derde kwartaal van 2014 zijn 159 projecten door de LSI goedgekeurd. De projecten richten zich op verschillende onderwerpen. Het kan bijvoorbeeld gaan om illegale tewerkstelling, onderbetaling, ontduiking van belastingen en/of sociale premies, fraude met toeslagen en uitkeringsfraude. Ook vormen van adres- of samenwoonfraude en vermogensfraude en misstanden met huisvesting van (voornamelijk) tijdelijke, buitenlandse arbeidskrachten zijn onderwerp van interventieteamprojecten. Per project wordt op basis van de doelstelling van dat project bepaald welke gegevens nodig zijn om de doelgroep te identificeren. Elke organisatie die aan het project deelneemt, levert daarvoor langs beveiligde weg bestanden uit zijn eigen administratie aan.
    Het is niet bekend van hoeveel mensen gegevens zijn gekoppeld. Nadat een bestandskoppeling heeft plaatsgevonden, worden alleen personen die tot de potentiële risicogroep behoren, voor analysedoeleinden geïdentificeerd. Alle overige persoonsgegevens worden vernietigd, zodra het betreffende project is beëindigd. De gegevens van personen die tot de risicogroep van dat project behoren, worden een jaar nadat de LSI het eindrapport van het project heeft vastgesteld, vernietigd.

  • Vraag 5
    Waarom werd het koppelen van gegevens pas in 2013, vijf jaar na de start hiervan, in een wet vastgelegd? Bent u het eens met de stelling dat het Ministerie van Sociale Zaken en Werkgelegenheid tot 2013 in strijd met de wet handelde? Zo nee, waarom niet?

    Begin 2011 brengt het onderzoeksbureau Hec-Zenc een in opdracht van het Ministerie van SZW uitgevoerde evaluatie naar de «Black box» uit. Ofschoon het bureau concludeert dat de Wbp voldoende juridische basis heeft om binnen een «Black Box» omgeving te werken, wordt er om redenen van transparantie en heldere taak- en verantwoordelijkheidsverdeling voor gekozen een aparte wettelijke basis te creëren. De in de «Black Box» ontwikkelde risicoprofielen worden nu toegepast in het Systeem Risico Indicatie (SyRI). Dit heeft geresulteerd in een wijziging van de Wet SUWI die per 1 januari 2013 in werking is getreden.


Kamervraag document nummer: kv-tk-2014Z17331
Volledige titel: Vragen van de leden Gesthuizen en Ulenbelt (beiden SP) aan de Staatssecretaris van Veiligheid en Justitie en de Minister van Sociale Zaken en Werkgelegenheid, over het bericht dat Sociale Zaken mogelijk de privacywetgeving schond (ingezonden 6 oktober 2014).
Kamerantwoord document nummer: ah-tk-20142015-428
Volledige titel: Vragen van de leden Gesthuizen en Ulenbelt (beiden SP) aan de Staatssecretaris van Veiligheid en Justitie en de Minister van Sociale Zaken en Werkgelegenheid, over het bericht dat Sociale Zaken mogelijk de privacywetgeving schond (ingezonden 6 oktober 2014).