SyRI werkte niet, en mag nu niet meer

    NRC:

    De overheid moet stoppen met het gebruik van Systeem Risico Indicatie (SyRI) om fraude op te sporen. Het systeem is in strijd met het Europese Verdrag voor de Rechten van de Mens (EVRM) en privacywetgeving. Dat heeft de rechtbank in Den Haag woensdag bepaald in een principiële rechtszaak over het gebruik van data van burgers door de overheid.

    De inzet van het fraudebestrijdingssysteem werd aangevochten door een ‘privacycoalitie’ die zeker niet tegen fraudebestrijding was. Maar die de manier waarop dit met SyRI werd gedaan buitenproportioneel vond.

    Want SyRI ging vrij ver. Hoe ver? Arnoud Engelfriet legt het uit:

    SyRI is bedoeld voor gemeenten om fraude met sociale voorzieningen op te sporen. Dat gebeurt door gegevens van burgers uit allerlei overheidsdatabases te koppelen. Via een algoritme komen vervolgens risicoprofielen en personen met een verhoogd risico op fraude naar voren. Grof gezegd: als in het weekend je waterverbruik hoger is dan normaal en je staat als alleenstaand bekend, dan ben je een mogelijke fraudeur, pardon een risico want kennelijk woont je partner in het weekend bij jou. Dus dan krijg je een onderzoek en moet je aantonen dat je in het weekend gewoon graag in bad gaat. (Let op dat jij de bewijslast hebt want jij moet alle relevante feiten melden, dus ook bewijzen dat je alles hebt gemeld. Ja dit is raar.)

    Daarbij werden heel veel gegevens verzameld en gekoppeld, waarbij niet transparant was hoe die data werd vertaald naar risicoprofielen. En dat was in strijd met met artikel 8 lid 2 van het Europees Verdrag van de Rechten voor de Mens. Tweakers:

    Daarin staat dat er 'een redelijke verhouding' moet zijn tussen het maatschappelijk belang van een wet en de inbreuk op iemands privéleven. "De wetgeving is wat betreft de inzet van SyRI onvoldoende inzichtelijk en controleerbaar. De wetgeving is onrechtmatig want in strijd met hoger recht en dus onverbindend", staat in het vonnis. SyRI bevat te weinig waarborgen waarmee het privéleven van de burgers wordt beschermd en is daarmee buitenproportioneel voor het doel om fraude tegen te gaan. Zo wordt er te weinig gedacht aan dataminimalisatie en is er geen onafhankelijke toetsing van een derde partij om naar de proportionaliteit en de inzet te kijken.

    Het systeem is dus onvoldoende uitgedacht, niet proportioneel, er is geen controle en je kunt automatische risico-beoordelingen niet aanvechten. Maar erger nog, het werkt niet. Ton Zylstra:

    SyRI is sinds 2015 toegepast in Eindhoven (G.A.L.O.P. II), de Afrikaanderwijk te Rotterdam, Capelle aan den IJssel, Rotterdam Bloemhof & Hillesluis en Haarlem Schalkwijk. Altijd in sociaal zwakkere wijken. En in contrast met alle verhalen over cutting edge dingen die je met big data en algoritmen kunt doen, werkt SyRi geheel niet. Het vonnis gaat daar verder niet op in, want het was geen onderdeel van de zaak. De Volkskrant achterhaalde vorig jaar echter dat er nog géén énkel fraudegeval is opgespoord sinds SyRI in 2014 wettelijk mogelijk werd.

    Terwijl men toch als eerste de mogelijke baten en verwachtte kosten had moeten inschatten.

    Hopelijk zal hierdoor het heersende paradigma dat data goud waard is, en meer data overal en altijd beter, langzamerhand een beetje terrein verliezen. Want data meestal niet het grootste probleem…

    12 miljoen telefoons, 1 dataset, 0 privacy

    Stuart A. Thompson en Charlie Warzel beschrijven in Twelve Million Phones, One Dataset, Zero Privacy hoe allerlei (gratis) apps continu jouw locatie bijhouden:

    Every minute of every day, everywhere on the planet, dozens of companies — largely unregulated, little scrutinized — are logging the movements of tens of millions of people with mobile phones and storing the information in gigantic data files.

    Het bijhouden van de locatie van smartphones via apps is gewoon legaal. Er zijn niet of nauwelijks regels die dat beperken. En de bedrijven die locatiegegevens bijhouden vinden dat ook geen probleem: gebruikers hebben er toestemming voor gegeven, de data is ‘anoniem’ en wordt veilig opgeslagen. Zeggen ze. Maar:

    In most cases, ascertaining a home location and an office location was enough to identify a person. Consider your daily commute: Would any other smartphone travel directly between your house and your office every day?

    Het kan dus iedere ‘gewone’ burger raken. Maar in het tweede deel van de serie identificeerde de NY Times simpel een lid van de geheime dienst die de president van de V.S. bewaakt.

    The vulnerability of the person we tracked in Mr. Trump’s entourage is one that many if not all of us share: the apps (weather services, maps, perhaps even something as mundane as a coupon saver) collecting and sharing his location on his phone.

    Dat is schering en inslag. Technologieverslaggever Nic Nguyen van Buzzfeed schreef vorig jaar al over hoe marketingbedrijven de ontwikkelaars van apps proberen te overtuigen om locatiegegevens van gebruikers met hen te delen:

    When you consent to sharing your data with many popular apps, you’re also allowing app developers to collect your data and sell it to third parties through trackers that supply advertisers with detailed information about where you live, work, and shop.
    In November 2017, Yale Privacy Lab detected trackers in over 75% of the 300 Android apps it analyzed. A March 2018 study of 160,000 free Android apps found that more than 55% of trackers tried to extract user location, while 30% accessed the device’s contact list. And a 2015 analysis of 110 popular free mobile apps revealed that 47% of iOS apps shared geo-coordinates and other location data with third parties, and personally identifiable information, like names of users (provided by 18% of iOS apps), was also provided.

    Kijk dus gelijk even de instellingen op je telefoon na. Zo doe je dat. Maar zelfs als je een app geen toegang geeft tot je locatie kunnen ze die op een indirecte manier achterhalen:

    Even restricting location access on an app won’t necessarily prevent it from revealing your location. Abbas Razaghpanah, a researcher at Stony Brook University, found 581 Android apps, including dozens geared toward preschool-age children made by a developer called BabyBus, shared Wi-Fi access point names and MAC addresses (a unique identifier assigned to all network devices, like your router), which can be cross-referenced with a public database to pinpoint your location.

    Het blijft wachten op regelgeving die consumenten op dit vlak enigszins gaat beschermen.