Big data analyse ongeoorloofd voor gemeenten in het sociale domein

large-895563_640WJ2

Al vanaf 2014 maakt de gemeente Zaanstad duidelijk dat zij veel werk gaat maken van het gebruik van “big data” om in het sociale domein beter beleid te kunnen voeren. Zelf spreekt men van de overgang van processturing naar monitoring. Het aandachtsveld is huiselijk geweld. Men wil tot een “monitor huiselijk geweld komen” om data te kunnen genereren waardoor de gemeente het vóórkomen van huiselijk geweld kan meten, vergelijken en wellicht voorspellen. Een jaar lang werd met het bedrijf Big Fellows, later BIG Data Company geheten, gewerkt aan die monitor huiselijk geweld. Die meldt in een conclusie in het najaar van 2015 dat het doel niet bepaald gehaald is. Desondanks kondigt Saskia de Man, strategisch adviseur Maatschappelijk Domein in Zaanstad, begin april 2016 aan dat Zaanstad met deze resultaten reden genoeg te zien om op dit dossier samenwerking te zoeken met Vereniging Nederlandse Gemeenten(VNG) en het Kwaliteits Instituut Nederlandse Gemeenten(KING) en de monitor door te ontwikkelen. Het is daarbij maar zeer de vraag of wat de gemeente Zaanstad wil, wel geoorloofd is op basis van de Wet bescherming persoonsgegevens(Wbp) en als je kijkt naar de bronnen waar de big data vandaan komen.

Bronnen

De gegevensbronnen voor de big-data-analyse(zie sheet21) zijn in Zaanstad: gemeente, de GGD, de politie, het meldpunt Veilig Thuis, Brijder verslavingszorg, de ggz-instelling Parnassia Groep en een aantal scholen, maar ook de wijkteams jeugdzorg. Die tekenden contracten met de projectleiding voor het waarborgen van de privacy. Het is maar helemaal de vraag of de burgers, van wier gegevens gebruikt werden, ingelicht zijn geweest over het onderbrengen van hun (zorg)gegevens in een database anders dan voor hun directe hulpvraag. Ik vermoed van niet. Wat men in Zaanstad beoogt is het ontwikkelen van een monitor Huiselijk Geweld waarmee ze data kunnen genereren waardoor men het vóórkomen van huiselijk geweld kan meten, vergelijken en wellicht voorspellen. Dat voorspellen is nu juist erg risicovol en daardoor onwenselijk.

Big data

Wat is eigenlijk de definitie van big data:

“Het combineren en analyseren van verschillende databases afkomstig uit verschillende bronnen, of het analyseren van een grote hoeveelheid data door een instantie met als doel hier voordeel uit te behalen in de zin van bijvoorbeeld tijdsbesparing, winst, of innovatie.”

 Dit is de beschrijving van de juriste Lisette Meij, gespecialiseerd in privacy bij big-data-gebruik. Ook al worden de gegevens in een big-data-database geanonimiseerd ingevoerd, het is altijd mogelijk bij voldoende verschillende gegevensbronnen om toch de identiteit van individuen te achterhalen. Er bestaat een uitspraak over:

“Given enough data, perfect anonymization is impossible no matter how hard one tries.”

 Eén van de doelen van big-data-analyse is het opstellen van profielen van mensen, het zogenaamde profiling om acties van individuen of groepen ervan te kunnen voorspellen. Grote supermarktketens proberen zo het koopgedrag van klanten(groepen) te voorspellen, de politie criminaliteit.

 Profiling

Het is voor te stellen dat men de gemeente Zaanstad de verleende hulp in kaart brengt op buurt- en wijkniveau, maar het willen voorspellen door middel van big-data-analyse is een vorm van profiling. Het gaat om het opstellen van profielen, die vervolgens weer gebruikt kunnen worden om te kunnen bepalen waar, desnoods achter welke voordeur huiselijk geweld te verwachten is. Een profiel wordt daarbij gebruikt om keuzes over een persoon te maken op basis van dat profiel. Het was de bedoeling om aan de hand van de monitorgegevens zorgverleners alert te maken waar huiselijk geweld te verwachten is en in de contacten met die burgers er dan extra alert op te doen zijn dan wel het aan te kaarten. Dergelijke profielen maken is een griezelige zaak. Wat in een profiel komt te staan is nooit iets dat met honderd procent zekerheid vast te stellen is. Burgers kunnen verdacht gemaakt worden zonder dat er echt sprake is (geweest) van huiselijk geweld. De juriste Lisette Meij, zegt hierover:

Onbetrouwbare of incorrecte data kan namelijk gevolgen hebben voor een individu. Aan de hand van de resultaten van een Big Data analyse kunnen conclusies getrokken worden welke nadelig zijn voor een individu. Ondanks dat een analyse een grove schets van een bepaalde groep weergeeft en niet zozeer van één individu, worden deze groepsprofielen dikwijls behandeld alsof het gegevens betreffende één persoon zijn. Hierdoor kan een betrokkene die toevallig binnen een groepsprofiel past benadeeld worden.”

Werkwijze

Geanonimiseerde gegevens werden door de contribuanten verzameld in één grote database, waarna de analyse plaatsvond. Big Data Company ervaarde het als lastig dat de data op wijk- of buurtniveau werden aangeleverd en niet op straat of huisnummer. Problematisch vond men dat veel data aangeleverd werden met te weinig detailgegevens.

Privacy

Bij het vragen van privacygevoelige informatie moet er op basis van de Wet bescherming persoonsgegevens sprake zijn van een duidelijk omschreven doelbinding(artikel 7). In artikel 9, lid 1, wordt verder beschreven dat persoonsgegevens niet verder verwerkt mogen worden op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. De gegevens die bijv. via de jeugdzorg verkregen zijn bij de hulpverlening in de wijkteams dienen een totaal ander doel dan datgene wat met de big-data-analyse beoogt wordt. In lid 3 van dit artikel wordt een uitzondering gemaakt voor een historische, statistische of wetenschappelijke verwerking mits er op toegezien wordt dat het alleen voor die doeleinden is. Overzichten maken van de verleende hulp leveren dus geen probleem op met de Wbp, wel het maken van prognoses op detailniveau.

Het maken van prognoses op detailniveau is niet toegestaan onder artikel 42, lid 1 van de Wbp. Daarin staat:

“Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid.”

Het wringt erg tussen de Wbp en het gebruik van big-data. De Wbp gaat uit van dataminimalisatie terwijl bij big-data er juist sprake is van datamaximalisatie. De wet gaat uit van het principe dat alleen de gegevens die nodig zijn om het vastgestelde doel te bereiken mogen worden verwerkt. Bij datamaximalisatie is het verzamelen van heel veel gegevens het doel om zo volledig en betrouwbaar mogelijke analyses te maken. Het moge duidelijk zijn dat ik het maken van prognoses met behulp van big-data-analyse op basis van zorggegevens niet geoorloofd vind. Het is een onjuist gebruik van bij dienstverlening verkregen gegevens. (bron:  www.ictrecht.nl )

Gemankeerd experiment

Op de website van Big Data Company staat een artikel uit het Noord-Hollands Dagblad van 17 november 2015 over het werk van deze firma. Vermeld wordt dat het eigenlijk een gemankeerd experiment is, waarbij men data die op huisnummer ingevoerd waren, node miste. Er viel eigenlijk niets te voorspellen.

Er kwam geen recept voor huiselijk geweld naar voren. Je kunt niet zeggen ’als factor X veel voorkomt, is er ook vaak huiselijk geweld’ S.ommige wijken scoorden hoog op een reeks factoren, maar niet op huiselijk geweld. Dat is interessant, maar leidt dus niet tot een scherpe verklaring van het verschijnsel.”  

Conclusie

Op dit moment heeft de gemeente Zaanstad voor 26 april aanstaande aangekondigd dat de pilot “Olievlek Big Data” van start gaat. Daarin wordt de dynamische monitor huiselijk geweld onder de aandacht gebracht. Contact is gezocht met andere gemeenten via de VNG en het KwaliteitsInstituut van Nederlands Gemeenten(KING). Nog steeds heeft men voor ogen dat men met het project voorspellend kan werken.

Huiselijk geweld is een afschuwelijk kwaad en verdient alle aandacht. Bewustwording van zorgverleners en overheden op basis van rapporten over de verleende zorg is een groot goed. Het gezamenlijk rapporteren door diensten en instellingen op basis van samenwerking kan daarbij zeer behulpzaam zijn om de werkers scherp te houden. Daarvoor is geen big-data-analyse nodig.

Het willen voorspellen waar het huiselijk geweld zich voordoet/gaat voordoen is naar mijn mening duidelijk een brug te ver. De resultaten van een jaar werken met de monitor huiselijk geweld(met overtreding van de Wbp) laten trouwens zien dat een voorspelling vooralsnog niet mogelijk is. De Wbp staat bovendien gewoon niet toe dat men kan voorspellen omdat zoiets een vorm van profiling in de zorg is. Dat de gemeenten het niet nauw nemen met de Wbp en vaak ook gewoon niet weten wat de implicaties ervan zijn, zagen we onlangs in het rapport van de Autoriteit Persoonsgegevens hierover.

W.J. Jongejan

 

 

 

 

 

 




Autoriteit Persoonsgegevens blaft, maar gaat ze ooit bijten?

dogs-567257_640

Gisteren publiceerde de Autoriteit Persoonsgegevens een vernietigend rapport over de abominabele manier waarop het overgrote deel van de Nederlandse gemeenten omgaat met de privacy van de burger. Onderzocht werd hoe bij de transitie van de (jeugd)zorgtaken van de centrale overheid naar de gemeenten de privacy van de hulp vragende burger geborgd is. De titel van het rapport luidt: :” Verwerking van persoonsgegevens in het sociaal domein: De rol van toestemming”. Terwijl het wijd en zijd bij de burger bekend is dat de privacy binnen sociale wijkteams onvoldoende geborgd is, en onderzoeksjournalistiek op de televisie er al in 2015 uitgebreid aandacht aan besteedde (de Monitor 22 november 2015), besluit de AP geen op handhaving gerichte bevindingen per gemeente op te stellen. In plaats daarvan heeft zij een overkoepelend, beschrijvend, rapport opgesteld. In het rapport vermeldt de AP onder punt 1.1 op pagina 4 dat zij voor de transitie meermalen op verschillende manieren het ministerie van binnenlandse zaken en koninkrijksrelaties(BZK) en de Vereniging van Nederlandse Gemeenten(VNG) ingelicht en gewaarschuwd heeft voor te verwachten problemen. Toch kiest zij er voor om de gemeenten eerst een spiegel voor te houden in de hoop dat zij hun leven gaan beteren. Het rapport laat in het midden wanneer en hoe de AP gaat handhaven.

Krant

In een interview in het NRC–Handelsblad op 19 april 2016 geeft de vicevoorzitter van de AP, Wilbert Tomesen pas aan in welke vorm men eventueel aan handhaving denkt. Hij hoopt dat de gemeenteambtenaren aan het denken worden gezet door het rapport. Daarna zegt hij:

“Als ik ga handhaven, pak ik misschien twee of drie gemeenten. Daar zal het dan worden hersteld. Maar ik heb echt veel liever dat er behoorlijke aanvullende wetgeving komt.”

Eigenlijk voelt de AP dus niet eens veel voor handhaven, maar hoopt ze op aanvullende wetgeving. Iedere Nederlander weet dat wetgeving niet op een achternamiddag geregeld is. Bovendien is het zo dat als de AP wil gaan handhaven ze dan bij de paar gemeenten die men er uit pikt eerst weer onderzoek moet doen alvorens sancties op te leggen. Het is niet verbazingwekkend dat de AP praat over twee of drie gemeenten bij eventueel handhaven. De capaciteit van de AP is gewoon te klein om meer te doen. Men hoopt blijkbaar dat er dan een dermate afschrikwekkend voorbeeld gesteld wordt dat alle andere gemeenten opeens in de pas gaan lopen. Het is een nogal zachte aanpak. Het vertrouwen van de burger in de eigen overheid, zowel de lokaal als centrale, herstelt eerder door een krachtig optreden dan door een langzame en weinig daadkrachtige.

Verantwoordelijkheid

Eerder stelde ik al dat de centrale overheid een zeer grote verantwoordelijkheid draagt voor de gerezen problemen met de privacy in het ader van de transitie van de (jeugd)zorg naar de gemeenten. In het rapport van de AP maakt zij melding van inspanningen om het ministerie van BZK en de VNG te waarschuwen voor problemen. In het rapport is de AP nog tamelijk mild als ze de contacten met het ministerie en de VNG beschrijft. In het NRC-Handelsblad van 19 april 2016 zegt vicevoorzitter Tomesen, dat de AP toch wel kritisch is op minister Plasterk van BZK. Plasterk liet in 2014 weten dat gemeenten hun eigen weg moesten vinden, als onderdeel van „een lerende praktijk.” Tomesen zegt daarop dat het Rijk duidelijkheid had moeten scheppen. Hij vervolgt: “Gemeenten weten nu niet wat ze ermee aan moeten, en dus ligt dit probleem op het bordje van de burger.” Indirect laat hij hier weten dat de centrale overheid de burger in de steek gelaten heeft.

Bijten

De indruk die de AP na maar ook voor haar naamsverandering(eerder College Bescherming Persoonsgegevens) maakt is van een nauwelijks doorpakkende, handhavende organisatie. Zulks in tegenstelling tot andere toezichthouders, zoals de Autoriteit Financiële Markten, de Autoriteit Consument en Markt en de Onafhankelijke Post en Telecommunicatie Autoriteit. Het grote verschil met deze organisaties is dat de AP een veel kleiner budget en dus een veel kleinere omvang heeft. Voor de overheid is bewaking van de privacy door een onder haar verantwoordelijkheid vallend zelfstandig bestuursorgaan iets wat schuurt met pogingen van dezelfde overheid om privacy in te perken, onder andere door veiligheidswetgeving.

Het is de vraag of de Autoriteit Persoonsgegevens ooit geneigd zal zijn de hand die haar voedt flink te bijten.

W.J.Jongejan