Wees zorgvuldig met data voor risicogestuurd toezicht en handhaving

29/09/22

Rechtmatig, integer en transparant datagebruik lokale overheden

Gemeenten leunen steeds meer op slimme algoritmes en het combineren van beschikbare data voor risicoprofilering om fraude op te sporen, te voorspellen waar mogelijk ondermijnende criminaliteit plaatsvindt of inwoners met schulden tijdig te helpen. Deze datagestuurde handhaving kan gepaard gaan met ongewilde risico’s, zoals discriminatie van inwoners als gevolg van profilering. Cyber forensics & privacy-specialisten Soraya Santhalingam en Beau van Leenders laten zien hoe gemeenten data kunnen inzetten op een rechtmatige, integere en transparante wijze.

Ondermijning en fraude tegengaan

Het takenpakket van lokale overheden groeit al jaren en het einde is nog niet in zicht. Bestuurders krijgen daarmee meer verantwoordelijkheden, maar in sommige gevallen zonder een duidelijk (juridisch, technisch of ethisch) kader.

Ondermijning en fraude zijn prominente punten op de gemeentelijke agenda en verschillende afdelingen – zoals burgerzaken – spelen een cruciale en impliciete rol in de vroegtijdige signalering van onjuistheden bij identiteitsbewijzen en brondocumenten.

Het coalitieakkoord van 15 december 2021 onderstreept de noodzaak voor preventie door het belang van samenwerking en gegevensuitwisseling tussen lokale partijen te benadrukken. Preventieve instrumenten, zoals de Wet Bibob, illustreren dat gemeenten op meerdere wijzen gerichte integriteitsonderzoeken kunnen opzetten. Dit soort initiatieven is, ondersteund door slimme samenwerkingen en datakoppelingen met meerdere (regionale of landelijke) partners, de logische vervolgstap. Maar wat komt hierbij nu allemaal kijken voor gemeenten?

Risicogestuurd toezicht: waar zegt u ‘ja’ tegen?

Het efficiënt inzetten van beperkte gemeentelijke middelen wordt mogelijk gemaakt door de gerichte werkwijze die voortkomt uit risicogestuurd toezicht. Een actiegerichte aanpak om fraude en ondermijning te bestrijden, klinkt natuurlijk als de juiste, maar gaat gepaard met een groot aantal risico’s voor inwoners.

In 2020 zijn 158 gemeenten gestopt met het gebruik van een omstreden algoritme, de zogenoemde ‘fraudescorekaart’, waarbij specifieke doelgroepen als ‘potentieel fraudeur’ werden bestempeld. Toch bleven vier gemeenten tot voor kort een afgeleide variant gebruiken.

Het is noodzakelijk dat bestuurders vooraf zowel het juridisch kader als de ethische kaders in acht nemen en inzichtelijk hebben welke verschillende risico’s er kleven aan de inzet van data in gemeentelijke handhaving.

Gemeentelijke afdelingen zoals ‘burgerzaken’ en ‘openbare orde en veiligheid’ hebben inzicht in een scala aan rechtvaardig vergaarde persoonsgegevens, uiteenlopend van gegevens in de basisregistratie personen (BRP) zoals BSN, nationaliteit en verblijfstitel. Daarnaast is er zicht op gegevens die onder meer voortvloeien uit de (gemeentelijke) Belastingdienst, SUWI-gegevens (Wet structuur uitvoeringsorganisatie werk en inkomen), het Kadaster of de Kamer van Koophandel.

De crux zit in het aan de voorkant bepalen welke onderliggende datakoppelingen ingezet kunnen worden voor gerechtvaardigde doeleinden, zoals het voorkomen van fraude of ondermijning. Het grootste voorbeeld van een foutieve datagestuurde werkwijze is de kinderopvangtoeslagaffaire, waarbij onjuiste risicoprofileringen grote gevolgen hadden voor een specifieke groep inwoners.

Voor een gedegen en verantwoord beleid op risicogestuurd toezicht is het essentieel te begrijpen waar u precies ‘ja’ tegen zegt. De Autoriteit Persoonsgegevens (AP) onderstreept deze afweging en erkent de noodzaak instrumenten in te zetten om gericht per onderwerp risico’s te beoordelen. Voor ambtenaren die daadwerkelijk aan de slag gaan met het vraagstuk kunnen er vragen ontstaan als wat mag er nu wel en niet, wanneer is er sprake van fraude of ondermijning, en hoe kunnen wij dit detecteren, hoe zit het met de AVG, welke informatie mag ik uitwisselen, met wie, en wat mag ik daarover delen met de buitenwereld?

Stapsgewijs het doel bereiken met minimale risico’s voor inwoners en gemeenten

’Ja’ zeggen zonder te weten waartegen kan grote gevolgen hebben, denk aan gedupeerde inwoners en (ongewenste) media-aandacht. Het is daarom van belang de mogelijkheden en uitdagingen van de beoogde gegevensverwerking vooraf zichtbaar te maken door de onderliggende deelprocessen met deelproducten goed te begrijpen. Deze deelprocessen en deelproducten maken immers elk gebruik van een subset aan (persoons)gegevens om een bepaald doel te bereiken. Vragen over proportionaliteit en subsidiariteit op een lager abstractieniveau zullen leiden tot een andere conclusie dan wanneer de verwerking als geheel bekeken wordt. Ook de risico’s van de verwerking voor de betrokkenen zijn anders bij deelproducten waarvan het doel of de verwerkingsgrond kan variëren. Daarnaast kan het duidelijk worden of er wellicht een gedeelde verantwoordelijkheid bestaat tussen organisaties c.q. ketenpartners ten aanzien van de verwerking(en).

Een eerste verwerking op basis van weinig data, maar wel van een grotere groep als startpunt, kan opvolging krijgen. De beperkte gesignaleerde gevallen – die uit deze eerste verwerking komen – worden nader onderzocht. Dan kunnen meer data worden verwerkt voor een kleinere groep mensen. Het risico van deze stappen in een keer zetten voor de brede populatie wordt hierdoor beperkt.

Andersom is het zo dat de aanname dat het doel de middelen heiligt op het hoge abstractieniveau wellicht niet waar is, als blijkt dat de onderliggende stappen beter en veiliger kunnen/hadden gekund. Het is essentieel de verwerking ver genoeg af te pellen en te onderzoeken om de risico’s per deelproces te begrijpen, deze te mitigeren en alles in lijn te brengen met de rechtmatigheid van de deelproducten en uiteindelijk het einddoel. Zo kan stapsgewijs zowel de AVG als digitale ethiek in de bredere zin als toetsingskader worden meegenomen in het proces en geeft u als gemeente op maatschappelijk verantwoorde wijze invulling aan een uitdagend vraagstuk.

Gezamenlijke en duurzame aanpak voor risicogestuurd toezicht

PwC kan u helpen bij uw uitdagingen en vragen op het gebied van data, privacy en bestrijding van fraude en ondermijning. Samen met u kijken wij hoe u, in lijn met de AVG, data op een houdbare en verantwoorde wijze kunt inzetten. Wij adviseren over de onderliggende processen en onderstrepen de noodzaak voor het onderzoeken van de beoogde verwerkingen. Samen met u maken wij de risico’s inzichtelijk, geven we handvatten omtrent digitale ethiek en identificeren wij noodzakelijke mitigerende maatregelen. Hiermee voorkomt u dat risico’s zich onwenselijk manifesteren in de vorm van bijvoorbeeld discriminatie. Wij komen graag samen met u tot een praktische aanpak die toepasselijke wet- en regelgeving borgt, zonder de intentie uit het oog te verliezen, zodat uw gemeente op een verantwoorde wijze het meest uit data kan halen.

Lees meer >

Contact

Soraya Santhalingam

Soraya Santhalingam

Manager Advisory, PwC Netherlands

Tel: +31 (0)6 11271206

Beau van Leenders

Beau van Leenders

Associate, PwC Netherlands

Tel: +31 (0)6 43198274

Volg ons