Antwoord schriftelijke vragen : Antwoord op vragen van het lid Van Kent over "omstreden risicoprofilering door gemeente Nissewaard"

Antwoord van Staatssecretaris Wiersma (Sociale Zaken en Werkgelegenheid) (ontvangen
28 september 2021).

Vraag 1

Bent u bekend met het bericht «Nissewaard stopt met omstreden methode om fraude met
bijstand op te sporen»?1

Antwoord 1

Ja.

Vraag 2

Bent u van mening dat de wijze waarop de gemeente Nissewaard omging met de persoonsgegevens
van burgers, onacceptabel is? Zo nee, waarom niet?

Antwoord 2

Op het moment dat een gemeente of overheid gebruik maakt van persoonsgegevens en die
verwerkt, moet deze organisatie zich houden aan de relevante (privacy)wetgeving, zoals
in het bijzonder de AVG. Zo moeten persoonsgegevens, bijvoorbeeld op grond van artikel
5, eerste lid onder a, worden verwerkt op een wijze die voor de betrokkenen transparant
is. Informatie en communicatie over een verwerking moeten eenvoudig toegankelijk en
begrijpelijk zijn.

Specifiek voor de casus Nissewaard geldt dat door TNO is geconcludeerd dat moeilijk
te controleren is of Totta Data Lab ten aanzien van het gebruik van het algoritme
de inhoudelijke en procedurele eisen, onder meer ten aanzien van de transparantie
van de verwerking, naleefde. Daarnaast is geconcludeerd dat het programma verschillende
uitkomsten gaf met dezelfde input. Die conclusies hebben ertoe geleid dat de gemeente
Nissewaard heeft besloten te stoppen met het gebruik van het algoritme.

Het is in de eerste plaats aan de verwerkingsverantwoordelijke, in deze het College
van burgemeester en wethouders, om zorg te dragen voor het naleven van de AVG, bijvoorbeeld
door middel van toezicht door de Functionaris Gegevensbescherming. In een gemeente
worden de handelingen van het college tevens gecontroleerd door de Gemeenteraad. Daarbuiten
is de Autoriteit Persoonsgegevens toezichthouder ten aanzien van verwerkingen van
persoonsgegevens.

Als het gaat om de uitvoering van de Participatiewet (Pw) heb ik als Staatssecretaris
van SZW stelselverantwoordelijkheid.

Mijn stelselverantwoordelijkheid ziet op de taak of bevoegdheid, die de gemeente in
het kader van de Pw heeft gekregen. In deze gaat het dan om de onderzoeksbevoegdheid,
zoals vastgelegd in artikel 53a van de Pw, die gemeenten in staat stelt de rechtmatigheid
van een verstrekking in het kader van de Pw te onderzoeken. De wijze waarop een gemeente
persoonsgegevens verwerkt, behoort in principe tot de verantwoordelijkheid van de
gemeente. Dat laat onverlet dat ik er zeer aan hecht dat gegevensverwerking plaatsvindt
met inachtneming van de wettelijke regels en waarborgen. Vanuit het Rijk lopen in
dat kader ook verschillende initiatieven om gemeenten te ondersteunen bij een correct
data gebruik.

Vraag 3

Bent u er van op de hoogte dat ook andere gemeenten, dan wel in samenwerking met een
bedrijf als Totta Data Lab, dan wel op eigen houtje persoonsgegevens van hun burgers
verwerken voor het maken van risicoprofielen? Zo ja: wilt u deze informatie met de
Kamer delen? Zo nee: bent u bereid hier een landelijke inventarisatie van te maken?
Zo nee, waarom niet?

Antwoord 3

Ik ben niet op de hoogte of ook andere gemeenten gebruik maken van de diensten van
Totta Data Lab. Wel worden – zoals ook in mijn antwoord op vraag 2 al kort aangehaald
– gemeenten in meer algemene zin vanuit het Ministerie van BZK gefaciliteerd bij de
wijze waarop zij rechtmatig gegevens kunnen verwerken. Zo heeft het ministerie verschillende
tools ontwikkeld om gemeenten te ondersteunen bij de toepassing van algoritmen, zoals
de Handreiking artificial intelligence (AI) systeemprincipes voor non-discriminatie
en een impact assessment mensenrechten en algoritmen.

U kunt hierover meer lezen in de beantwoording van de Kamervragen over het bericht
van de Rekenkamer Rotterdam, dat algoritmen kunnen leiden tot mogelijke vooringenomenheid
van 3 juni jl.2

Vraag 4 en 5

Bent u voornemens om te bewerkstelligen dat gemeenten en andere overheden die nog
steeds met algoritmen van Totta Data Lab werken, hiermee stoppen? Zo nee, waarom niet?
Zo ja, hoe gaat u dit te bewerkstelligen?

Bent u, nu is gebleken dat Nissewaard onacceptabele methoden gebruikte in de bestrijding
van fraude waarbij, evenals in de toeslagenaffaire, geautomatiseerd risicoprofielen
van onverdachte burgers werden gegenereerd, voornemens om deze methode (het geautomatiseerd
genereren van risicoprofielen van onverdachte burgers) bij alle gemeenten en overheden
te doen stopzetten? Zo nee, waarom niet?

Antwoord 4 en 5

U vraagt hier, zo moge blijken uit mijn eerdere antwoorden, naar handelingen waartoe
ik niet bevoegd ben. Ik ben, binnen de toepasselijke wettelijke kader, voorstander
van data-gestuurd handhaven, zoals tevens verwoord in de SZW Handhavingskoers 2018–2021
(Kamerstuk 17 050, nr. 541).3 Data-gestuurde handhaving kan niet alleen gemeenten maar ook burgers ontlasten. Door
gericht onderzoek te doen, wordt voorkomen dat een grote groep burgers om nadere informatie
wordt verzocht.

Wel hecht ik er zeer aan dat de aan de data gestuurde handhaving gekoppelde gegevensverwerking
plaatsvindt met inachtneming van de wettelijke regels en waarborgen. Eindverantwoordelijke
daarvoor is de verwerkingsverantwoordelijke, in deze het College van burgemeester
en wethouders. Ik kan daarom enkel gemeenten wijzen op de constateringen van TNO en
hen vragen die bij hun oordeel met betrekking tot de inzet van risicoprofielen te
betrekken. Daartoe ben ik zonder meer bereid.

Vraag 6 en 7

Bent u het ermee eens dat het genereren van risico-profielen van onverdachte burgers
een werkwijze is die een grote inbreuk vormt op de grondrechten, en daarom eerst de
rechtmatigheid van deze praktijk moet worden vastgesteld alvorens deze methode wordt
ingezet? Zo ja: hoe gaat u ervoor zorgen dat dit praktijk wordt?

Hoe wordt momenteel voorkomen dat andere gemeenten of overheden gebruik maken van
geautomatiseerde risicoprofilering, die zoals in Nissewaard, achteraf onverantwoord
blijkt en leiden tot onbetrouwbare en onrechtvaardige uitkomsten? Wie houdt daar toezicht
op en grijpt in als het mis gaat? Welke verantwoordelijkheid ziet u daarbij voor zichzelf?

Antwoord 6 en 7

Zoals aangegeven in mijn antwoord op vraag 2 ligt de verantwoordelijkheid hier primair
bij het College van burgemeester en wethouders. Gemeenten worden daarbij wel door
het Rijk ondersteund. In antwoord op vraag 3 heb ik al gewezen op een aantal producten
dat het Ministerie van Binnenlandse Zaken ter beschikking heeft gesteld. Ik wil u
daarbij ook nog attenderen op de brief van de Minister over AI, publieke waarden en
mensenrechten.4 Daarnaast wordt op dit moment, zoals door de Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties aan u toegezegd, actief geïnventariseerd waar mogelijk sprake
is van discriminerende algoritmes (Brief van 8 april 2021, 26 643, nr. 751).5 Een onderzoek naar het gebruik van nationaliteit binnen de sociale zekerheid is afgerond
en de resultaten daarvan zijn door Minister Koolmees met u gedeeld (Brief van 6 juli
2021, 26 448, nr 653).6

Vraag 8

Als geconstateerd wordt dat een werkwijze waarbij gebruik wordt gemaakt van algoritmische
risicoselectie van burgers, onverantwoord is, hoe kan dan worden bewerkstelligd dat
deze ook wordt stopgezet bij andere gemeenten en overheden?

Antwoord 8

Graag benadruk ik dat het gebruik van een risicoprofiel en het gebruik van algoritmen
niet hetzelfde is. Algoritmen worden zeer breed gebruikt, ten aanzien van talloze
verschillende toepassingen. Zo zal iedere gemeente bij de automatische uitbetaling
van de bijstandsuitkering evenzo gebruik maken van een algoritme. Het gebruik van
een risicoprofiel impliceert dan weer niet per definitie dat gebruik wordt gemaakt
van een algoritme. Een risicoprofiel kan ook handmatig toegepast worden, bijvoorbeeld
door handhavers die handmatig gegevens controleren van bijstandsgerechtigden aan de
hand van een set vooraf bepaalde «opletpunten».

In reactie op uw vraag is de kern dat iedere verwerkingsverantwoordelijke zich aan
(privacy)wetgeving moet houden indien gebruik wordt gemaakt van persoonsgegevens.
Tevens moet een gemeente, als overheidsorgaan, zich houden aan andere relevante wet-
en regelgeving zoals de Algemene wet bestuursrecht en de algemene beginselen van behoorlijk
bestuur. Op het moment dat een bepaalde werkwijze niet rechtmatig is, dan kan dit
op verschillende manieren aan het licht komen. In dit geval heeft de gemeente zelf
een onderzoek laten doen naar het algoritme en op grond daarvan besloten ermee te
stoppen. Een andere mogelijkheid is om een klacht in te dienen bij de Autoriteit Persoonsgegevens,
die op basis daarvan een onderzoek start, of een procedure via de rechter. Aangezien
vereist is dat de verwerking van gegevens op een transparante manier geschiedt, zal
in alle drie de gevallen openbaar worden of een gegevensverwerking gestopt is en waarom.
Andere overheden kunnen hier dan kennis van nemen en als aanknopingspunt gebruiken
voor hun eigen werkzaamheden. Hierbij staat de eigen verantwoordelijkheid in beginsel
voorop.

Vraag 9

Wat is uw reactie op het rapport van de Rekenkamer Rotterdam dat de gemeente voor
allerlei taken gebruik maakt van voorspellende algoritmen, maar in de organisatie
tekortschiet als het gaat om de beheersing van risico’s op het vlak van transparantie,
verantwoordelijkheid en eerlijkheid en welke consequenties verbindt u hieraan voor
het landelijke beleid?7

Antwoord 9

Op 3 juni 2021 is de Staatssecretaris van BZK ingegaan op het rapport van de Rekenkamer
Rotterdam betreffende algoritmen en mogelijke vooringenomenheid. U kunt zijn reactie,
die ik onderschrijf, teruglezen in de beantwoording.8

Vraag 10

Onderschrijft u dat er op dit moment rechtsongelijkheid bestaat tussen burgers uit
enerzijds gemeenten die gelet op het belang van de rechtsbescherming ervoor kiezen
van risicoprofilering af te zien en anderzijds burgers uit gemeenten die ondanks de
risico’s voor burgers hiermee doorgaan? Zo ja, wat gaat u doen om deze rechtsongelijkheid
te beëindigen? Zo nee, waarom niet?

Antwoord 10

Ik herken de door u geschetste rechtsongelijkheid niet, als het gaat om risicoprofilering
op basis van binnen de kaders van de AVG uitgevoerde gegevensverwerkingen. Het college
heeft op basis van de Participatiewet een algemeen geformuleerde onderzoeksbevoegdheid
om de rechtmatigheid van de verstrekking in het kader van deze wet te controleren.
Risicoprofilering kan het college daarbij helpen deze bevoegdheid efficiënt in te
zetten, waardoor een grote groep burgers niet om de aanlevering van gegevens zal worden
gevraagd. Voor de groep die wel te maken krijgt met een controle is de situatie in
beginsel niet anders dan bij hen die steekproefsgewijs te maken krijgen met een periodiek
onderzoek naar de rechtmatigheid. Feitelijk komt het er daarbij op neer dat indien
op basis van de door hen aangeleverde gegevens het recht op bijstand kan worden vastgesteld,
daarmee het onderzoek is afgerond. In het geval een onderzoek wel leidt tot bestuursrechtelijke
gevolgen heeft iedere burger een gelijke mate van rechtsbescherming, bijvoorbeeld
door de plicht om hoor- en wederhoor toe te passen en de mogelijkheden om in bezwaar
en beroep te gaan.