Kamervraag 2022Z20523

Het LSI (Landelijke Stuurgroep Interventieteams) en vele tot nu toe onuitgevoerde toezeggingen over privacy, risicoscores van heel veel burgers, onuitgevoerd onderzoek, niet opgezet toezicht en advies en (mogelijke) schending van de AVG

Ingediend 31 oktober 2022
Beantwoord 13 december 2022 (na 43 dagen)
Indiener Pieter Omtzigt (Omtzigt)
Beantwoord door Sigrid Kaag (viceminister-president , minister financiën) (D66), Marnix van Rij (staatssecretaris financiën) (CDA), Karien van Gennip (minister sociale zaken en werkgelegenheid) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD), Aukje de Vries (staatssecretaris financiën) (VVD)
Onderwerpen organisatie en beleid recht sociale zekerheid staatsrecht
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2022Z20523.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20222023-1003.html
  • Vraag 1
    Heeft u kennisgenomen van de adviezen en correspondentie afkomstig van de Functionaris Gegevensbescherming Financiën (over de afgelopen vijf jaar) ter zake van de gegevensuitwisseling binnen LSI-verband?

    Ja, uw Kamer is geïnformeerd over hoe de Belastingdienst de adviezen van de Functionaris Gegevensbescherming van het Ministerie van Financiën oppakt1.

  • Vraag 2
    Zijn er Data Protection Impact Assesments (DPIA’s) van de LSI-samenwerking gedaan? Zo ja, wanneer zijn die gedaan en kunt u die aan de Kamer doen toekomen?1

    In de afgelopen jaren is binnen de LSI-samenwerking veel meer aandacht en bewustzijn gekomen voor het belang van privacy. De LSI-partners werken met een blauwdruk voor de wijkgerichte aanpak. Per project dient de blauwdruk ingevuld te worden met de projectspecifieke onderdelen en kenmerken, om zo tot een op het project toegesneden verantwoording te komen. Vanwege de nagestreefde zorgvuldigheid wordt dit jaar en ook volgend jaar met de partners gewerkt aan (een) bredere DPIA(’s) die gebaseerd is/zijn op de werkprocessen zoals die gehanteerd worden binnen de LSI samenwerking. Zodra de DPIA van de LSI-samenwerking is opgeleverd zal deze aan de Kamer worden toegestuurd.
    Toeslagen en de Belastingdienst nemen sinds juli 2021 niet deel aan de nieuwe projecten binnen de LSI-samenwerking. Om met de processen van de Belastingdienst te voldoen aan de vereisten van de AVG, werken de afzonderlijke partners aan een procesbeschrijving, een privacyprotocol en een gegevensbeschermingseffectbeoordeling (DPIA). Zodra de Functionaris Gegevensbescherming positief heeft geadviseerd over de brede DPIA van de LSI-samenwerking zal de Belastingdienst deelnemen aan nieuwe projecten. Toeslagen heeft een DPIA ontwikkeld voor het interne LSI-proces binnen Toeslagen en gaat parallel daaraan deelname aan (nieuwe) LSI-projecten in het eerste kwartaal van 2023 heroverwegen.

  • Vraag 3
    Op welke wijze is geborgd dat de LSI-samenwerking AVG-proof (Algemene Verordening Gegevensbescherming) is?

    De juridische grondslag voor de gegevensuitwisseling binnen LSI is gebaseerd op artikel 6, eerste lid onder e van de AVG. Gelet op het derde lid van artikel 6 AVG is dit verder geregeld in artikel 64 van de Wet structuur uitvoeringsorganisatie werk en inkomen. De bij een LSI-project betrokken partners werken conform de geldende regelgeving. Alleen gegevens die noodzakelijk en proportioneel zijn en passen bij het doel van de LSI worden uitgewisseld.
    Tot op heden is gewerkt conform het LSI-convenant van 2017 in combinatie met de blauwdruk zoals deze genoemd is onder antwoord 2. Met het toegenomen bewustzijn over privacy, de technologische ontwikkelingen, en de komst van de AVG wetgeving wordt deze blauwdruk momenteel omgezet in (een) DPIA(’s) die gebaseerd is op de werkprocessen zoals deze worden gehanteerd binnen de LSI samenwerking. Privacy bewustzijn is niet statisch van aard maar onderhevig aan voortschrijdend inzicht en (externe) technologische ontwikkelingen. Dit inzicht heeft tot gevolg dat de blauwdruk wordt doorontwikkeld in een DPIA. Hiermee wordt geborgd dat verwerkingen in de LSI-samenwerking voldoen aan de waarborgen uit de AVG.
    Op 1 december 2022 start de evaluatie van het LSI-convenant. In deze evaluatie wordt speciale aandacht besteed aan de gegevensuitwisseling. De verwachting is dat begin 2023 de voorstellen voor convenantwijzigingen opgeleverd worden. In dat kader zal ook een externe doorlichting met open blik plaatsvinden van het LSI-proces. Ook zullen een aantal lopende wijkgerichte projecten voor de zekerheid doorgelicht worden.
    Desgewenst kan de werkwijze van LSI in een technische briefing nader worden toegelicht.

  • Vraag 4
    Herinnert u zich het volgende antwoord uit juni 2022?

    Deze antwoorden zijn bij ons bekend en de verslagen treft u als bijlagen. Wat betreft LSI zijn alle stuurgroepverslagen bijgevoegd evenals een overzicht van LSI-projecten. Handleidingen betreffende selectiecriteria, frauderisicocriteria, risicoclassificatiemodellen of profileringscriteria zijn bij het Ministerie van Sociale Zaken en Werkgelegenheid niet bekend. Wel bestaat er een beschrijving van de werkwijze met LSI-signalen opgesteld door de Vereniging Nederlandse Gemeenten (VNG), die inzichtelijk maakt hoe wordt omgegaan met de signalen die door de LSI-partners worden ingebracht. Deze is bijgevoegd in bijlage 4.

  • Vraag 5
    Kunnen deze toegezegde verslagen, notulen en handleidingen en overige documenten van de LSI binnen twee weken aan de Kamer ter beschikking worden gesteld, aangezien de toezegging al zes maanden uit is? Wilt u vooral niet vergeten een volledige lijst van de interventieteams en eindrapporten te verschaffen?

    Zie antwoord vraag 4.

  • Vraag 6
    Is er reeds een opdracht verstrekt voor het in de brief d.d. 21 april 2022 aangekondigde externe onderzoek naar de omvang van het gebruik van risicoscores? Aan wie is deze opdracht verstrekt? Kunt u de afgegeven onderzoeksopdracht aan de Kamer doen toekomen?3

    De opdracht van het externe onderzoek naar het breder gebruik van de risicoscores van het risicoclassificatiemodel van Toeslagen is gegund aan PricewaterhouseCoopers (PwC). Zij zijn eind oktober begonnen met het onderzoek, de verwachting is dat de resultaten in april kunnen worden opgeleverd. Bijgaand treft u de opdrachtbeschrijving, zoals opgenomen in de offerte- uitvraag.

  • Vraag 7
    Indien nog geen opdracht is verstrekt, wanneer zal dat dan plaatsvinden? Wat zal de onderzoeksvraag zijn? En waarom is er vertraging opgetreden?

    Zie antwoord vraag 6.

  • Vraag 8
    Bestaat er voor (bijna) iedere burger of belastingplichtige een risicoclassificatie, risicoscore of vergelijkbare beoordeling binnen de Belastingdienst?

    Nee. In het toezicht voor de doelgroep particulieren door de directie Particulieren worden geen risicoclassificaties, risicoscores of vergelijkbare beoordelingen toegekend aan burgers of belastingplichtigen. Voor zover er risico-indicaties toegekend worden, zijn deze gekoppeld aan ontvangen aangiften.
    De Belastingdienst kent een indeling in aandachtscategorieën voor entiteiten5. Onder entiteit wordt verstaan: een onderneming al dan niet tezamen met één of meer daarmee direct of indirect in bestuurlijk, financieel, administratief of maatschappelijk opzicht verbonden belastingplichtigen. De criteria voor de aandachtscategorieën verschillen voor de directies Midden- en Kleinbedrijf (MKB) en Grote ondernemingen (GO). Voor MKB bestaan deze aandachtscategorieën uit een combinatie van risicoaspecten (fiscaal risico) en de omvang van een entiteit (fiscaal belang). Het fiscaal belang wordt uitgedrukt in de zogenaamde WOLB-som. Dit is een samenstel van de geschatte belasting op basis van winst (W) voor de inkomstenbelasting of vennootschapsbelasting, de omzet zoals aangegeven voor de omzetbelasting (O) en de loonsom (LB) van een bedrijf. Het fiscale risico bestaat uit een samenstel van de risicoaspecten zoals bijvoorbeeld, brancherisico, fiscale complexiteit, het schattingsgedrag voor de inkomstenbelasting en vennootschapsbelasting. De aandachtscategorie wordt gebruikt in het kader van het toezicht voor de doelgroep ondernemingen.
    De directie GO deelt organisaties op basis van hun grootte in vier categorieën in, te weten «Top 100 profit en Top 30 publiek», «Groot», «Middelgroot» en «Overig». Deze indeling en een toelichting hierop is opgenomen in de Leidraad Toezicht Grote Ondernemingen6.
    De directie GO gebruikt voor grote organisaties en zeer vermogende personen een door het behandelteam opgesteld klantbeeld waarin de fiscale belangen en risico’s van de betreffende klant worden bijgehouden. Ook deze werkwijze is opgenomen in de Leidraad Toezicht Grote Ondernemingen.

  • Vraag 9
    Bestaat er voor (bijna) iedere burger of belastingplichtige een risicoclassificatie, risicoscore of vergelijkbare beoordeling binnen overige delen van de overheid?

    Om dienstverlening aan burgers te verbeteren of om toezicht gerichter in te kunnen zetten, wordt gebruik gemaakt van risicomodellering of risicomanagement. Momenteel wordt gewerkt aan de uitvoering van het onderzoek naar rechtmatig en behoorlijk gebruik van afkomst gerelateerde indicatoren in risico-modellen o.b.v. de motie Marijnissen c.s. en Klaver c.s.7 Uw Kamer is geïnformeerd over de uitkomsten van de inventarisaties van het Ministerie van Algemene Zaken, het Ministerie Justitie en Veiligheid, het Ministerie van Sociale Zaken en Werkgelegenheid, en het Ministerie van Volksgezondheid, Welzijn en Sport. De overige departementen volgen eind 2022 met de rapportages aan uw Kamer8.
    Voor de volledigheid heeft de Staatssecretaris Koninkrijksrelaties en Digitalisering, namens het kabinet, de Werkagenda Waardengedreven Digitaliseren (hierna werkagenda, ref9) aan uw Kamer gestuurd. Deze Werkagenda is de eerste stap in de invulling van de ambities van het kabinet voor de waardengedreven digitale transitie van Nederland, en in het specifieke geval met het reguleren van algoritmen binnen de overheid.
    Er wordt gewerkt aan het meer inzicht geven in de totstandkoming van besluiten met behulp van algoritmen. Het kabinet gaat voor overheidsorganisaties het opstellen van een algoritmeregister verplicht stellen. Dat zal in samenhang worden bezien met komende EU-wetgeving, waaronder de AI-verordening. Met Europese en nationale wetgeving en toezicht maken we algoritmen en de toepassingen daarvan eerlijk en transparant voor burgers en bedrijven. Een eerste versie van een centraal overzicht van algoritmen gaat dit jaar nog live. Met behulp van dat register zullen de (mede)overheden gestimuleerd worden om de komende periode gefaseerd, tenminste de hoog risico algoritmen, transparant te maken. Daarnaast wordt een algoritmetoezichthouder ingericht. De algoritmetoezichthouder zal in januari 2023 van start gaan. De Staatssecretaris Koninkrijksrelaties en Digitalisering zal de Kamer nog voor de kerst laten weten hoe zij de inrichting van de algoritmetoezichthouder voor zich ziet en welke volgende stappen zij zet met het algoritmeregister.

  • Vraag 10
    Voor hoeveel burgers bestaat er een risicoclassificatie, risicoscore of vergelijkbare beoordeling? Indien dit het geval is, op basis van welk (classificatie)model en/of criteria wordt een dergelijke beoordeling vastgesteld en door wie?

    Zie antwoord vraag 9.

  • Vraag 11
    Bij de LSI-projecten werd gebruik gemaakt van een risicoscore voor een betrokkene. Werd alleen het Systeem Risico Indicatie (SyRi) gebruikt of waren er ook andere risicoscores? Worden deze risicoscores nog gebruikt?

    Buiten SyRi (tot 2020) of voorgangers is er geen gebruik gemaakt van risicoscores binnen LSI-projecten. Op dit moment wordt er geen gebruik gemaakt van risicoscores binnen de LSI.
    Het risicoclassificatiemodel diende bij Toeslagen tot medio juli 2020 als één van de elementen om een verwonderadres te selecteren in het kader van LSI-projecten, dit model is eerder aan de Tweede Kamer toegelicht middels Kamerbrieven van 26 november10 en 8 december 2021.11 Medio juli 2020 is het gebruik van het risicoclassificatiemodel stopgezet en daarmee is vanaf dat moment de risicoscore dus ook niet meer gebruikt om adressen te selecteren voor LSI gerelateerde projecten.

  • Vraag 12
    Door wie worden de risicoscores toegepast? Kunt u de voor risicoscores gehanteerde criteria doen toekomen?

    Zie antwoord vraag 11.

  • Vraag 13
    Wordt er op dit moment gewerkt aan een risicoclassificatiemodel?

    Op dit moment wordt er in LSI-verband niet gewerkt aan een nieuw of bestaand risicoclassificatiemodel. U bent hierover geïnformeerd bij brief van 5 april 202212.

  • Vraag 14
    Is er zoals aangekondigd een integraal waarborgenkader ontwikkeld en kan dit met de Kamer gedeeld worden?

    In de voortgangsrapportage HVB die op 30 mei jl. naar uw Kamer is gestuurd13, is aangegeven dat het waarborgenkader zich in de fase van bestuurlijke besluitvorming bevond. Dit zal zo spoedig als mogelijk aan de Tweede Kamer worden aangeboden.

  • Vraag 15
    Herinnert u zich dat uw ambtsvoorganger in februari 2021 (20 maanden geleden) aan de Kamer schreef: «Zo stellen wij een Adviesraad Analytics voor de Belastingdienst aan. Dit is een onafhankelijke commissie die gevraagd en ongevraagd advies geeft over actuele vraagstukken. Het terrein waarover zij kunnen adviseren willen wij zo breed mogelijk houden, zodat zij de vrijheid voelen om waar nodig advies te geven. Ook vinden wij het belangrijk dat zij hun adviezen mededelen aan zowel de Directeur-Generaal van de Belastingdienst als de Secretaris-Generaal van het Ministerie van Financiën om meer waarborgen in te bouwen. Uiteraard kunnen deze adviezen ook aan uw Kamer ter beschikking worden gesteld indien u daar prijs op stelt.»4

    Ja, deze Kamerbrief is bij ons bekend.

  • Vraag 16
    Is de Adviescommissie Analytics, die ook daarna al vele malen is aangekondigd, intussen opgericht? Kunt u de Kamer informeren over het instellingsbesluit, de samenstelling en de uitgebrachte adviezen? Indien de commissie nog niet is opgericht, wat is dan de oorzaak van de vertraging?

    De adviescommissie is nog niet opgericht. Op dit moment loopt de werving van de leden voor de commissie. Geïnteresseerden konden reageren tot 20 november 2022. Het is mijn streven de selectiegesprekken eind dit jaar af te ronden en het instellingsbesluit in februari 2023 te publiceren. Het wervingstraject duurt langer dan vooraf voorzien. Dit heeft alles te maken met de expertise die binnen de commissie wordt belegd. Wanneer de leden geworven zijn en de commissie van start kan gaan zal ik uw Kamer informeren over het instellingsbesluit en de samenstelling van de commissie.

  • Vraag 17
    Welke risicoprofielen zoals bedoeld in uw brief d.d. 2 september 2022 worden er op dit moment binnen de overheid, waaronder de Belastingdienst, politie, Vereniging van Nederlandse Gemeenten (VNG), LSI, Criminelen Inlichtingen Eenheid (CIE) gebruikt?5

    Om dienstverlening aan burgers te verbeteren of om toezicht gerichter in te kunnen zetten, is het gebruik van risicomodellering of risicomanagement in alle mogelijke processen een gemeengoed. Je wilt alleen daar een verscherpt toezicht, waar het risico (hetzij de kans, danwel de impact) groter is dat er ook iets misgaat. Het is niet nodig en niet wenselijk dat iedere burger of elk bedrijf een 100% controle krijgt.
    Een uitputtend overzicht waar risicomodellering wordt gebruikt binnen de overige delen van de overheid, als ook het inzicht of en voor hoeveel burgers een risicoclassificatie, risicoscore of vergelijkbare beoordeling bestaat, is er op dit moment niet. Wel wordt gewerkt aan de uitvoering van het onderzoek naar discriminerende risico-modellen. -profielen op basis van de motie Marijnissen c.s en Klaver c.s16 en heeft de Staatssecretaris van Digitalisering Koninkrijksrelaties, namens het kabinet, de Werkagenda Waardengedreven Digitaliseren (hierna werkagenda, ref17) naar de Kamer gestuurd. Zie ook het antwoord op vraag 10.

  • Vraag 18
    Heeft u kennisgenomen dat in korte tijd zowel de Tijdelijke Signalerings Voorziening (TSV) als de voorgestelde wijziging van de Wet ter voorkoming van witwassen en financiering van terorrisme (WWFT) door de Autoriteit Persoonsgegevens (AP) en de Raad van State (RvS) bekritiseerd is vanwege vergaande inbreuk op fundamentele (grond)rechten. Heeft u ook kennisgenomen van dat de Wet Gegevensverwerking door Samenwerkingsverbanden niet zonder kritiek is gebleven? Klopt het dat er ondanks het toeslagenschandaal, Fraude signalerings voorzieing (FSV)/zwarte lijsten en discriminatie binnen de Belastingdienst, er nog geen visie en een beleidsnota is over inbreuken op grondrechten?

    Ik heb kennisgenomen van de adviezen die de AP en de Raad van State op verzoek hebben gegeven. Ik zal uw Kamer zo spoedig mogelijk een reactie op het advies van de AP over de gegevensbeschermingseffectbeoordeling (GEB) voor het signalenproces toesturen. Al voor deze adviezen hebben de toeslagenaffaire en andere bevindingen bij de Belastingdienst geleid tot verschillende stukken waarin het kabinet zijn voorstellen voor de bescherming van de rechten van burgers heeft uiteengezet. In de reactie op het rapport Ongekend onrecht van 15 januari 2021 is het kabinet uitgebreid ingegaan op de noodzaak tot betere borging van deze rechten.
    In het plan van aanpak Herstellen, Verbeteren, Borgen (HVB) van 13 oktober 202018 en de daaropvolgende rapportages hebben de Staatssecretarissen van Financiën verscheidene stappen uiteengezet om deze rechten beter te borgen binnen de Belastingdienst. Zo heeft de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst op 17 juni 202119 de nieuwe visie op fraudeaanpak door de Belastingdienst met uw Kamer gedeeld. Daarnaast wordt een waarborgenkader voor de risicoselectie ontwikkeld voor Belastingdienst. Zoals de Minister van Binnenlandse Zaken en Koninkrijksrelaties op 16 februari jl.20 aangaf, is het juridisch toetsingskader etnisch profileren van het College voor de Rechten van de Mens gebruikt bij de ontwikkeling daarvan. In hun reactie van 2 september jl.21 op de eerste observaties van de Inspectie belastingen, toeslagen en douane zijn de Staatssecretarissen van Financiën verder ingegaan op rechtsbescherming en de menselijke maat.

  • Vraag 19
    Wat is de visie en het beleid van het kabinet ter zake van het gebruik van artificial intelligence, big data, profilering, risicomodelering en het koppelen van bestanden ten behoeve van fraudebestrijding en opsporing van strafbare feiten? Indien die visie er na het aftreden van het kabinet nog niet is, wanneer komt die er dan wel?

    Het Nederlandse beleid op het terrein van AI is in verschillende brieven aan de Tweede Kamer verwoord, meest recentelijk in de brieven van 7 oktober over Publieke controle op AI en de kabinetsreacties op het WRR-rapport «opgave AI» en het Rathenau onderzoek «Algoritmes Afwegen».22 Nederland zet in op AI-systemen die de mens dienen, veilig zijn en vertrouwd kunnen worden, die publieke waarden borgen en waarbij een goede rechtsbescherming verzekerd is.
    Het kabinet werkt aan het implementatiekader «inzet van algoritmen» dat toe moet zien op het borgen van een verantwoorde inzet van algoritmen door overheden. Het is belangrijk dat voor overheden duidelijk is aan welke eisen ze moeten voldoen en wat van ze verwacht wordt.
    Daarnaast is er Europese wetgeving in de maak die ervoor wil zorgen dat AI-systemen die op de Europese markt worden gebracht en gebruikt, veilig zijn en fundamentele rechten en waarden van de Unie respecteren. Nederland heeft een actieve rol in de onderhandelingen. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen. AI-systemen die worden gebruikt ten behoeve van fraudebestrijding, toeslagen en opsporing van strafbare feiten worden in de AI-verordening als hoog-risico geclassificeerd. Op aandringen van Nederland vallen hier ook systemen onder die de legitimiteit van ontvangers van toeslagen controleren. Dit betekent dat dergelijke systemen moeten voldoen aan de eisen die in de verordening worden gesteld en een conformiteitsbeoordeling moeten ondergaan. Hoog-risico AI-systemen moeten bijvoorbeeld worden gecontroleerd op data, er moet een risicoanalyse worden uitgevoerd en er moet sprake zijn van menselijke tussenkomst bij de inzet van deze systemen.

  • Vraag 20
    Kunt u deze vragen één voor één en binnen drie weken beantwoorden?

    Ik heb de vragen zo snel als mogelijk beantwoord. Helaas is het niet gelukt dit binnen de termijn van 3 weken te doen.

  • Mededeling - 16 november 2022

    Hierbij informeer ik u dat de door het lid Omtzigt gestelde Kamervragen met het kenmerk 2022Z20523 niet binnen de gestelde termijn kunnen worden beantwoord. De reden van het uitstel is dat de afstemming van de beantwoording meer tijd vergt. Ik verwacht uw Kamer uiterlijk begin december de beantwoording te kunnen sturen.


Kamervraag document nummer: kv-tk-2022Z20523
Volledige titel: Het LSI (Landelijke Stuurgroep Interventieteams) en vele tot nu toe onuitgevoerde toezeggingen over privacy, risicoscores van heel veel burgers, onuitgevoerd onderzoek, niet opgezet toezicht en advies en (mogelijke) schending van de AVG
Kamerantwoord document nummer: ah-tk-20222023-1003
Volledige titel: Antwoord op vragen van het lid Omtzigt over de LSI (Landelijke Stuurgroep Interventieteams) en vele tot nu toe onuitgevoerde toezeggingen over privacy, risicoscores van heel veel burgers, onuitgevoerd onderzoek, niet opgezet toezicht en advies en (mogelijke) schending van de AVG