Brief regering : Onderzoeksrapport 'Breder gebruik risicoscores uit het Risicoclassificatiemodel van Toeslagen'

Nr. 1234
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 juni 2023

In de Kamerbrief van 21 april 2022 is uw Kamer geïnformeerd over het gebruik van het
Risicoclassificatiemodel (hierna: het model) bij de Dienst Toeslagen (hierna: Toeslagen).
In extern onderzoek is in kaart gebracht of het model breder is gebruikt dan enkel
voor het selecteren van aanvragen die voor een handmatige behandeling in aanmerking
kwamen.1 De opdracht is in oktober 2022 aan PricewaterhouseCoopers (hierna: PwC) gegund met
het verzoek om vanuit een onafhankelijk oordeel te kunnen vaststellen dat alle hierover
relevante informatie bekend is geworden. Op 5 mei jl. heeft PwC het definitieve rapport
opgeleverd, dat u bijgaand aantreft.

Hieronder wordt eerst de context en werking van het model toegelicht, gevolgd door
de aanleiding en opzet van het onderzoek waarna de samenvatting van de onderzoeksresultaten
volgen. De brief eindigt met de bestuurlijke reactie.

Context en werking van het model

Uw Kamer is bij eerdere brieven geïnformeerd over de werking van het model.2 Kort samengevat, het model werd tussen april 2013 en november 2019 ingezet bij de
huur- en kinderopvangtoeslag. Het doel was om toeslagaanvragers te behoeden voor fouten
en om misbruik te voorkomen. Het model bepaalde het risico op onjuistheden in de ontvangen
aanvragen en wijzigingen aan de hand van verschillende indicatoren. Hieruit volgde
een risicoscore en de aanvragen met de hoogste scores kwamen in aanmerking voor een
handmatige behandeling. De uitbetaling van de betreffende toeslagen werd uitgesteld,
totdat een medewerker de zaak handmatig behandeld had. In juli 2020 is het gebruik
van het model definitief stilgelegd, omdat het model niet voldeed aan de eisen die
de Algemene Verordening Gegevensbescherming (AVG) daaraan stelt.3

Aanleiding en opzet van het onderzoek

De Dienst Toeslagen heeft in april vorig jaar geconstateerd dat de risicoscore van
het model in het verleden werd toegevoegd aan beoordelingen van het zogenaamde «screeningsteam»
van Toeslagen. Dit team beoordeelde signalen van misbruik en oneigenlijk gebruik en
was betrokken bij het instellen van een toeslaggerelateerd CAF-onderzoek. De informatie
kon vervolgens door dit screeningsteam worden gedeeld met de betrokkenen bij deze
onderzoeken vanuit het Intensief subjectgericht toezicht (IST) en de Fraudeteams.
De risicoscore van het model werd door Toeslagen ook gebruikt voor de selectie van
adressen in het kader van projecten van de Landelijke Stuurgroep Interventieteams
en voor eigen onderzoek naar aanleiding van een door het Financieel Expertise Centrum
aangedragen zaken ten aanzien van de aanpak van terrorismefinanciering.

PwC heeft onderzocht of de door Toeslagen gehanteerde risicoscores en modelonderdelen,
zoals geprepareerde data, breder zijn gebruikt in de periode 2013 tot juli 2020. Daarbij
heeft PwC ook getoetst of de constateringen van het bredere gebruik uit het eerdere
onderzoek juist zijn. Het onderzoek is opgebouwd aan de hand van vier hoofdvragen:

1) Hoe heeft het breder gebruik van de risicoscores binnen en/of buiten Toeslagen plaatsgevonden
in de periode 2013 tot juli 2020?

2) Met wie zijn de risicoscores gedeeld?

3) Welke gevolgen heeft dit voor burgers gehad?

4) Zijn er andere onderdelen van het risicoclassificatiemodel breder gebruikt binnen
en/of buiten Toeslagen?

Samenvatting resultaten PwC onderzoek

1) en 2) Hoe heeft het breder gebruik van de risicoscores binnen en/of buiten Toeslagen
plaatsgevonden in de periode 2013 tot juli 2020? Met wie zijn deze gedeeld?

PwC concludeert dat de resultaten van hun onderzoek grotendeels de uitkomsten van
de eerdere analyse bevestigen, zoals onder het vorige kopje beschreven. Op een enkel
punt is nieuwe informatie aan het licht gekomen.

Zo blijkt in aanvulling op de eerdere analyse dat de risicoscores ook intern zijn
gedeeld op basis van incidentele verzoeken die bij het data-analyse team van Toeslagen
binnenkwamen. Dit gebeurde onder andere bij het verrijken van signalen van mogelijk
georganiseerde fraude, in de periode voordat het screeningsteam (ook wel STEAM genoemd)
was opgericht. Het is niet mogelijk gebleken om de exacte historie van deze incidentele
interne verstrekkingen in kaart te brengen, omdat deze niet werden bijgehouden. Indien
een verzoek tot deling van de risicoscores met partijen buiten Toeslagen binnenkwam,
werd dit geweigerd. Bij het doorzoeken van de functionele mailboxen is het breder
gebruik of delingen van risicoscores buiten Toeslagen ook niet waargenomen.

Daarnaast heeft Toeslagen de risicoscores ook intern gebruikt in drie typen pilots
of verkenningen gericht op het verbeteren van de dienstverlening. Deze pilots hebben
uiteindelijk geen vervolg gekregen en zijn daarmee niet structureel ingezet binnen
Toeslagen.

Er is geen gebruik of deling van risicoscores in de toezicht- en selectieprocessen
en systemen van de directies van de Belastingdienst aangetroffen. Dit geldt ook voor
andere overheidsinstanties.

3) Welke gevolgen heeft dit voor burgers gehad?

Om de mogelijke gevolgen voor de burger van het (bredere) gebruik van de risicoscores
inzichtelijk te maken, heeft PwC gekeken naar het gebruik van de risicoscores (a)
bij de selectie voor individueel toezicht, (b) bij de verrijking van fraudesignalen
en (c) bij LSI-projecten.

a. De selectie voor individueel toezicht

Uit eerder (door Toeslagen intern uitgevoerd) onderzoek is al gebleken dat tussen
2014 en 2019 ruim 90.000 nieuwe aanvragen of wijzigingen van de kinderopvang- (28%)
of huurtoeslag (72%) zijn aangeboden voor handmatige behandeling op basis van het
gebruik van het model. Hieruit blijkt dat ruim twee derde van deze posten na de handmatige
controle een correctie heeft plaatsgevonden waarbij het toeslagbedrag lager is vastgesteld,
bijna 6.000 aanvragen werden hoger vastgesteld. Een klein percentage van deze aanvragen
heeft ook een FSV-registratie (Fraude Signalering Voorziening) of een O/GS-indicatie
(Opzet of Grove Schuld); het is echter niet bekend of dit het gevolg is van de behandeling
naar aanleiding van het model.

b. De verrijking van mogelijke fraudesignalen

Bij het screeningsteam van Toeslagen (ook wel STEAM genoemd) werden signalen van mogelijk
misbruik of oneigenlijk gebruik in georganiseerd verband op basis van de beschikbare
informatie aan een eerste analyse onderworpen in de vorm van een quickscan. De uitkomsten
van een quickscan gaven in een aantal gevallen aanleiding voor het starten van een
toeslaggerelateerde CAF-zaak. In dit onderzoek wordt in lijn met het onderzoeksrapport
Toeslaggerelateerde CAF-zaken van de Auditdienst Rijk (ADR) over «toeslaggerelateerde
CAF-zaken» gesproken. Deze toeslaggerelateerde CAF-zaken werden door het IST- of Fraudeteam
van Toeslagen opgepakt; het label «CAF» moet zodoende niet worden verward met het
landelijke Combiteam Aanpak Facilitators (CAF-team) van de Belastingdienst. Voor meer
informatie hierover verwijs ik u naar het eerdergenoemde rapport van de ADR.4

Om het gebruik van risicoscores door het screeningsteam van Toeslagen te kwantificeren,
heeft PwC onderzocht hoeveel quickscans er zijn opgesteld met behulp van de risicoscores
en welke opvolging hieraan gegeven is:

• In drie quickscans waren de risicoscores medebepalend voor opvolging in de vorm van
een toeslaggerelateerde CAF-zaak. Hoewel het ADR-onderzoek naar de toeslaggerelateerde
CAF-zaken de effecten op de burgers in deze drie zaken benoemt, verschilt het genoemde
aantal betrokken burgers in het ADR-onderzoek met het aantal betrokken burgers dat
staat genoemd in de eindverslagen van deze zaken. Het is daarmee voor nu niet duidelijk
hoeveel burgers hierbij precies door Toeslagen (IST of fraudeteam) zijn onderzocht
en wat de gevolgen zijn geweest voor hun toeslagen.

• Bij twee toeslaggerelateerde CAF-zaken, waarvan geen quickscan is teruggevonden, zijn
de risicoscores genoemd als aanleiding voor het opstellen van de opdrachtformulieren.
Eén van deze twee opdrachtformulieren heeft geresulteerd in een uitgevoerde toeslaggerelateerde
CAF-zaak waarbij 41 burgers zijn onderzocht. Bij 15 van deze burgers is na onderzoek
ten minste één toeslag stopgezet.

• Er zijn twee toeslaggerelateerde CAF-zaken gestart met een steekproef, waarbij de
risicoscores uit het risicoclassificatiemodel onderdeel waren van de criteria waaraan
werd getoetst. Dit heeft geresulteerd in twee onderzoeken naar in totaal 130 burgers.
In het ADR-onderzoek wordt benoemd dat één van deze zaken heeft geresulteerd in de
stopzetting van tenminste één toeslag bij 12 tot 63 burgers na onderzoek. In het ADR-onderzoek
wordt bij de tweede zaak een aantal betrokken burgers benoemd dat niet overeenkomt
met de beschikbaar gestelde documentatie. Het is daarmee voor nu niet duidelijk hoeveel
burgers hierbij precies zijn onderzocht en wat de gevolgen zijn geweest voor hun toeslagen.

c. LSI-projecten

In het kader van LSI-projecten hanteerde Toeslagen intern een standaard set aan gegevens
die als uitgangspunt wordt gebruikt voor selectie van adressen in het kader van LSI-projecten.
De risicoscore uit het risicoclassificatiemodel diende tot medio juli 2020 als één
van de elementen om een adres te selecteren in het kader van LSI-projecten.

Toeslagen heeft in de onderzoeksperiode deelgenomen aan 73 LSI-projecten. Bij 18 van
deze projecten zijn risicoscores gebruikt om te bepalen of Toeslagen zou gaan deelnemen
aan het desbetreffende project. Bij 10 van deze projecten heeft de selectie voor adressen
vanuit Toeslagen plaatsgevonden mede op basis van de risicoscores. Hierbij zijn 454
adressen door Toeslagen geselecteerd op basis van andere criteria en 107 mede op basis
van risicoscores. Van de 107 adressen zijn 56 adressen aan te wijzen waarbij de risicoscore
de enige reden was voor selectie door Toeslagen. Een adres wordt overigens pas in
een LSI-project onderzocht wanneer sprake is van een meervoudig belang; dat betekent
dat een adres door minimaal twee partners moet worden geselecteerd als risico-adres.
Het is niet inzichtelijk voor welke adressen een meervoudig belang bestond en welke
adressen daarmee vervolgens daadwerkelijk onderzocht zijn in het betreffende LSI-project.
Wel kan worden vastgesteld of bij de door Toeslagen aangedragen adressen uiteindelijk
een mutatie heeft plaatsgevonden in de toeslagen van burgers, dit is bij 11 van de
eerdergenoemde 107 adressen het geval.

4) Zijn er andere onderdelen van het risicoclassificatiemodel breder gebruikt binnen
en/of buiten Toeslagen?

In overeenstemming met eerder onderzoek is geconstateerd dat de datapreparatie van
het model is gebruikt voor het proces «hoge toeslag, hoog risico» (HOTHOR) en het
voorspellend model problematische terugvorderingen van Toeslagen.

In aanvulling hierop is geconstateerd dat de datapreparatie ook werd gebruikt in aanvullende
selectieregels «onbekende aanvrager» en «harde stoppers». Bij de selectieregel «onbekende
aanvrager» werd een controle uitgevoerd of de aanvrager van een toeslag bekend was
bij Toeslagen, en zo niet, dan kon deze burger worden verzocht zich fysiek te melden
aan een van de balies. Bij de selectieregel «harde stoppers» werd getoetst op specifieke
beslisregels die wezen op geen recht op toeslag.

Bestuurlijke reactie

Het onderzoek van PwC bevestigt en verrijkt het beeld uit de Kamerbrief van 21 april
2022.5 De uitkomsten van het onderzoek zullen worden meegenomen bij de beantwoording van
de vraag of, en zo ja, op welke manier een eventuele tegemoetkoming moet worden geboden
als gevolg van het gebruik van het model.

In dat kader wordt bij Toeslagen momenteel gewerkt aan een nadere analyse om de gevolgen
van de handmatige behandeling na selectie door het model in kaart te brengen. De komende
periode wordt op basis van een steekproef van de dossiers en behandelverslagen bekeken
of er een verklaring is voor de uitkomsten van de handmatige behandeling. Bijvoorbeeld
wanneer een burger een aanvraag heeft gedaan voor huurtoeslag terwijl de betreffende
huurwoning geen object is dat in aanmerking komt voor huurtoeslag – dan is een stopzetting
een logisch en te rechtvaardigen gevolg van de handmatige behandeling. De planning
is om voor het einde van het jaar meer duidelijkheid te kunnen bieden over de uitkomsten
van de steekproef.

Voor de volledigheid merk ik op dat Toeslagen sinds juli 2021 niet meer deelneemt
aan nieuwe projecten in LSI-verband. Reden hiervoor was het oordeel van de Functionaris
Gegevensbescherming (FG) van het Ministerie van Financiën dat de risico’s en maatregelen
onvoldoende in zicht en gemitigeerd waren. Destijds is uitsluitend verder gewerkt
aan de zes op dat moment operationele projecten, deze zijn in 2022 afgerond. Evenwel
heeft Toeslagen geen opvolging gegeven aan de signalen die voortkwamen uit deze projecten,
omdat het intensief toezicht (eerder al) was stil gelegd. Toeslagen heeft inmiddels
stappen gezet naar een solide borging van gegevensverwerking middels een DPIA voor
het interne LSI-proces en zal daarom op termijn gaan heroverwegen om weer deel te
nemen aan (nieuwe) LSI-projecten. U wordt hierover geïnformeerd zodra dit proces is
afgerond. Hierbij zijn ook andere factoren van belang, zoals de reactie van de FG
op de DPIA van Toeslagen en de uitkomsten van de evaluatie van het samenwerkingsconvenant
dat op dit moment extern wordt uitgevoerd. De Minister van Sociale Zaken en Werkgelegenheid
en de Minister voor Armoedebeleid, Participatie en Pensioenen hebben toegezegd uw
Kamer hierover voor de zomer te informeren.6

De Staatssecretaris van Financiën,
A. de Vries