Uitstel beantwoording vragen van het lid Leijten over de Fraude Signalering Voorziening (FSV)
Mededeling (uitstel antwoord)
Nummer: 2020D11108, datum: 2020-03-19, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20192020-2154).
Gerelateerde personen:- Eerste ondertekenaar: J.A. Vijlbrief, staatssecretaris van Financiën
- Mede ondertekenaar: A.C. van Huffelen, staatssecretaris van Financiën
Onderdeel van zaak 2020Z04218:
- Gericht aan: J.A. Vijlbrief, staatssecretaris van Financiën
- Gericht aan: A.C. van Huffelen, staatssecretaris van Financiën
- Indiener: R.M. Leijten, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2019-2020 | Aanhangsel van de Handelingen |
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden |
2154
Vragen van het lid Leijten (SP) aan de Staatssecretarissen van Financiën over de Fraude Signalering Voorziening (FSV) (ingezonden 4 maart 2020).
Mededeling van Staatssecretaris Vijlbrief (Financiën – Fiscaliteit en Belastingdienst) en van Staatssecretaris Van Huffelen (Financiën, Toeslagen en Douane) (ontvangen 19 maart 2020).
Vraag 1
Wanneer bent u op de hoogte gesteld van het bestaan van de Fraude Signalering Voorziening (FSV)?1
Vraag 2
Erkent u dat het bestaan van een zwarte lijst, waarin nota bene ook nog antidatering en ongelogde mutaties mogelijk zijn, totaal onwenselijk is voor een overheidsdienst? Kunt u uw antwoord toelichten?
Vraag 3
Heeft u zich op de hoogte gesteld van het in de gegevensbeschermingseffectbeoordeling beschreven «recente memo voor de stas over fraudemeldpunten»? Zo neen, waarom niet?
Vraag 4
Kunt u de Kamer het memo zoals vermeld op pagina 18 van de gegevensbeschermingseffectbeoordeling doen toekomen? Zo neen, waarom niet?
Vraag 5
Kunt u verklaren hoe het kan dat u op 27 februari 2020 een brief over de stand van zaken aan de Kamer stuurt2 en een dag later – zonder enig signaal naar de Kamer – een systeem uit de lucht moet halen dat te maken heeft met fraudesignalen?
Vraag 6
Waarom wordt in de beantwoording van de Kamervragen over de afwikkeling van de Combiteam Aanpak Facilitators (CAF) 11-gedupeerden niet geantwoord dat ook uit FSV-dagboek documenten komen voor de persoonlijke dossiers van ouders?3
Vraag 7
Kunt u aangeven hoeveel mensen uit FSV zijn gewist door de opschoonactie in het vierde kwartaal van 2019? Is het juist dat bij de start van de opschoonactie meer dan dubbel zoveel mensen als gemeld in FSV zaten?
Vraag 8
Is de digitale informatie over de opzet en resultaat van de uitgevoerde opschoonactie beschikbaar gehouden voor verantwoording en onderzoek?
Vraag 9
Op welke wijze zijn de gegevens die bij de opschoonactie zijn verwijderd uit het FSV-informatiesysteem in een beveiligde omgeving opgeslagen voor verantwoording, audits en onderzoek?
Vraag 10
Erkent u dat als deze gegevens weg zijn, daar dan ook veel signalen van gedupeerde ouders tussen zitten en dat hiermee mogelijk bewijsmateriaal voor die ouders van onbehoorlijke behandeling is vernietigd?
Vraag 11
Bent u bereid om ook de data die in de zo genoemde digitale kluis zijn opgeslagen beschikbaar te brengen om zo alsnog te achterhalen wie er in stonden?
Vraag 12
Bent u bereid om iedereen die in FSV aangemeld is, op de hoogte te stellen van de vermelding op de zwarte lijst? Zo nee, waarom niet?
Vraag 13
Bent u bereid om mensen die bij de opschoningsactie verwijderd zijn uit FSV daarvan op de hoogte te brengen, mits de gegevens nog te achterhalen zijn – wellicht via systeemdumps? Zo nee, waarom niet?
Vraag 14
Wat wordt precies bedoeld met «tijdelijk» uit de lucht gehaald? Welke verbeteringen moeten hoe dan ook worden toegepast voor het weer in gebruik nemen van FSV?
Vraag 15
Erkent u dat de noodmaatregelen, zoals beschreven op pagina 18 van de gegevensbeschermingseffectbeoordeling, geen garantie boden op de rechtmatigheid van de werking van de persoonsgegevens in FSV? Kunt u uw antwoord toelichten?
Vraag 16
Zijn er nog meer systemen binnen de Belastingdienst die kwetsbaar zijn als het gaat om de gegevensbescherming van belastingbetalers? Zo ja, hoeveel? Wat gebeurt er met deze risico’s?
Vraag 17
Kunt u aangeven met welke overheidsinstanties gegevens uit FSV zijn gedeeld?
Vraag 18
Kunt u aangeven welke andere overheidsinstanties bron konden zijn voor opname in FSV?
Vraag 19
Wanneer en door wie is besloten tot de privacy impact analyse (PIA) voor FSV?
Vraag 20
Kunt u aangeven hoe het mogelijk is dat er in januari 2019 een zeer kritisch rapport wordt opgeleverd, waarin staat dat het systeem «geen goede aansluiting (meer) heeft op de verwerkingsbeginselen van art. 5 AVG» en «onvoldoende onderscheid tussen informatieverzoek en een signaal maar ook betekenis/gewicht van de informatie, leidt tot mogelijke stigmatisering van betrokkenen (zwarte lijst effect)» pas in februari 2020 leidt tot het tijdelijk uit de lucht halen van het systeem?
Vraag 21
Wie heeft in die tussenliggende periode het rapport gekregen? Kunt u een tijdlijn maken wie, wanneer en met welke acties het rapport heeft besproken? Zo nee, waarom niet?
Vraag 22
Is het juist dat de betrokken directeur MKB een verleden heeft bij Belastingdienst/Toeslagen juist in de periode van de verhoogde inzet op mogelijke toeslagenfraude met Combinatieteams Aanpak Fraude (CAF)? Kunt u uw antwoord toelichten?
Vraag 23
Hoe vaak is FSV – middels dumps van de database – gebruikt als bron voor risicomodellen en datafundamenten van de afdeling Datafundamenten en Analytics (DF&A) alsmede voor IVT (Informatie Verstrekking Toeslagen)? Kunt u hiervan een overzicht geven? Zo nee, waarom niet?
Vraag 24
Kunt u aangeven hoe vaak er «trends in beeld» zijn gebracht door het gebruik van meldingen in FSV, waarover gesproken wordt op pagina 5 van de gegevensbeschermingseffectbeoordeling?
Vraag 25
Kunt u reconstrueren hoe FSV tot stand is gekomen? Wat was de aanleiding, hoe is de privacygevoeligheid getoetst, bijvoorbeeld met de voorloper van de Autoriteit Persoonsgegevens?
Vraag 26
Is het tot stand komen van FSV onderdeel geweest van discussie en/of besluitvorming van de Ministeriële Commissie Aanpak Fraude? Zo ja, kunt u aangegeven wie op de hoogte is geweest van de discussie en/of het besluit?
Vraag 27
Hoe is de lijst van categorieën tot stand gekomen als het gaat om de persoonsgegevens die verwerkt werden (pagina 6 van de gegevensbeschermingseffectbeoordeling)?
Vraag 28
Wat is de gedachte dat ook het zijn van gastouder als categorieën betrokken persoonsgegevens is opgenomen?
Vraag 29
Kunt u voorbeelden geven van informatie-uitvragen van derden waar gebruik van werd gemaakt naast signalen van de Belastingdienst die werden geregistreerd en vastgelegd?
Vraag 30
Werd FSV ook met data gevoed uit andere bronnen dan het PIT? Wellicht van buiten de Belastingdienst?
Vraag 31
Kunt u aangeven uit welke bronnen werden persoonsgegevens verkregen voor FSV?
Vraag 32
Kunt u aangeven waarom het opvragen van fiscale gegevens door een andere overheidsinstantie als signaal in FSV werd geregistreerd? Is de uitvraag van gegevens altijd een signaal voor potentiële fraude? Kunt u uw antwoord toelichten?
Vraag 33
Wat waren de achterliggende bevindingen bij de zinsnede op pagina 7 van de gegevensbeschermingseffectbeoordeling: Er zijn tijdens het assessment voorbeelden genoemd van «niet voorgenomen/bedoelde» verwerkingsvormen die functioneel wel mogelijk zijn en worden gebruikt: het raadplegen van de werkvoorraad van collega’s en het maken van een «systeemdump» via de excel-exportfunctie? Kunt u aangeven waarin dat niet bedoeld of voorgenomen was? Hoe vaak werden deze opties gebruikt?
Vraag 34
Kunt u aangeven welke vormen van systeemdump via de excel-exportfunctie in het verleden zijn uitgevoerd, bijvoorbeeld via het vrije invoerveld? Zo neen, bent u bereid dit uit te laten zoeken?
Vraag 35
Is bij de Belastingdienst bekend dan wel uitdraaien, dan wel queries, dan wel systeemdumpen zijn gedaan op basis van de tweede nationaliteit?
Vraag 36
Kunt u aangeven welke handleidingen er over FSV in omloop waren voor de verschillende onderdelen van de Belastingdienst? Kunt u die handleidingen sturen naar de Kamer? Zo nee, waarom niet?
Vraag 37
Kunt u aangeven hoe FSV bijdroeg aan het verrijken van beschikbare gegevens (bladzijde 7 van de gegevensbeschermingseffectbeoordeling)?
Vraag 38
Kunt u aangeven hoe kliks in FSV bijdroegen aan modellen voor «risicovinding» voor de CAF?
Vraag 39
Hoe vaak is er vanuit de CAF-teams beroep gedaan op FSV om personen te raadplegen?
Vraag 40
Hoe vaak zijn er meldingen/signaleringen gedaan in FSV door de CAF-teams/ dan wel Toeslagen?
Vraag 41
Kunt u aangeven wat bedoeld wordt in voetnoot 13 van de gegevensbeschermingseffectbeoordeling dat Toeslagen FSV gebruikt om te raadplegen bij Bibob- en Track-verzoeken?
Vraag 44
Hoe behoort het door Toeslagen opnemen van strafrechtelijke gegevens in FSV tot de wettelijke taak als vermeld onder kopje 11? Valt dit onder «gerechtvaardigd belang»? Wie heeft dit gerechtvaardigd belang getoetst?
Vraag 45
Erkent u dat uit de opsomming van punten onder het kopje 12 «bijzondere gegevensverwerking» van de gegevensbeschermingseffectbeoordeling niet komt dat het voor Toeslagen was toegestaan de gegevens in FSV te plaatsen?
Vraag 46
Kunt u de onderstaande opsomming zoals te vinden op pagina 11 van de gegevensbeschermingseffectbeoordeling even op u in laten werken en dan per punt reageren
«een informatieverzoek is bv. niet op voorhand / op per definitie een (fraude)signaal en de actualiteitswaarde begrenst. De huidige werkwijze is hier onvoldoende ingericht»
«de verdere verwerking is aan beperkingen onderhevig incl. dit tot plicht tot vernietiging bijvoorbeeld bij gebleken onbruikbaarheid of onjuistheid. De huidige werkwijze is hierop onvoldoende ingericht»
«In de verdere verwerking speelt de context en kwaliteit van de gegevens een bepalende rol voor alle rechtmatigheid en welbepaaldheid van de verdere verwerking. Die is niet voor alle gevallen zondermeer aanwezig. De huidige verwerkingswijze is hierop onvoldoende ingericht»
«De context van een informatieverzoek in combinatie met (de betekenis van) de gegevens is wel bepalend voor de wijze gebruik. Een extern informatieverzoek is niet bedoeld te gelden als / niet op voorhand / per definitie een (fraude)signaal en de actualiteitswaarde is begrenst. Toeslagen doet bij gerede twijfel eerst onderzoek en voert dan evt. een signaal op. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»
«Ook hier is bij aanvang van de verwerking sprake van de uitzondering «onder toezicht van de overheid». De verdere verwerking is wel aan beperkingen onderhevig incl. dit plicht tot vernietiging bijvoorbeeld bij gebleken onbruikbaarheid of onjuistheid. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»
«In verdere verwerking speelt de context en kwaliteit van de gegevens een bepalende rol voor de rechtmatigheid en welbepaaldheid van de verdere verwerking. Die is niet voor alle gevallen zondermeer aanwezig. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»?
Vraag 47
Hoe denkt u FSV weer in gebruik te nemen na onderstaand oordeel op pagina 12 van de gegevensbeschermingseffectbeoordelingt: «Gegevens met een zwarte lijst-karakter: in FSV ontstaan of worden bepaalde gegevenselementen verwerkt die het karakter van een zwarte-lijst-element hebben of krijgen. De mogelijke subjectiviteit («bias», vooringenomenheid, zelfversterkend effect door stapeling) maakt het verwerken risicovol. Ook het voorkomen in FSV als betrokkene wordt een risicosignaal.»?
Vraag 48
Kunt u reconstrueren hoe het mogelijk was dat maar liefst 5.000 personen in FSV konden in januari 2019 en dat het aantal toen nog toenam? Wie is verantwoordelijk geweest voor het feit dat zoveel toegang tot persoonsgegevens werd verschaft?
Vraag 49
Hoeveel mensen hadden een dubbele autorisatie tot FSV? Waarom houdt het identity management system (IMS) dit niet bij?
Vraag 50
Is het IMS voor meer systemen binnen de Belastingdienst verantwoordelijk voor de autorisatie voor toegang? Zo ja, hoeveel? Kunnen daar dezelfde problemen optreden als bij FSV?
Vraag 51
Is te achterhalen of de 5/6 functioneel beheerders, die in januari 2019 in beeld waren, correct gehandeld hebben als het gaat om het toegang verlenen tot FSV?
Vraag 52
Wat voor profielen worden precies bedoeld in de volgende zinsnede: «profielen op basis van dergelijke kenmerken worden ingezet voor selectie van dossiers voor toezicht of klantbehandeling. Dergelijke profielen zijn geen product van profilering in de zin van de AVG»? (pagina 9 van de gegevensbeschermingseffectbeoordeling) Is dit voorgelegd aan de Autoriteit Persoonsgegevens, of tenminste aan de Functionaris Gegevensbescherming van het Ministerie van Financiën? Zo neen, waarom niet? Wie besloot dit niet voor te leggen?
Vraag 53
Kunt u aangeven waarnaar wordt verwezen als het gaat waarom profielen volgens het «standpunt/beslissing» van DT BD juni 2018 (voetnoot 9 van de gegevensbeschermingseffectbeoordeling) geen product van profilering in de zin van de AVG zijn? Kunt u uw antwoord toelichten?
Vraag 54
Kunt u verklaren wat de reden was om een passage aan de journalisten weg te laten op pagina 9 van de gegevensbeschermingseffectbeoordeling bij het WOb-verzoek (11,1)?
Vraag 55
Kunt u aangeven op welke wijze de volgende passage uit de gegevensbeschermingseffectbeoordeling behoort tot een persoonlijke beleidsopvatting: «Enkele van de binnen FSV verwerkte elementen» én het feit dat er ook niet zondermeer objectief getoetste of toetsbare signalen worden geregistreerd, maken dat het karakter van sommige verwerkingsvormen binnen FSV als profilering inclusief «zwarte lijst»-achtige effecten kunnen gelden.
Het überhaupt voorkomen van een betrokkene in FSV wordt bijvoorbeeld gebruikt als signaal in bv. afnemende «systemen» / verdere verwerkingen (DF&A, mogelijk IVT), zonder dat dit op basis van een objectief aangetoond (verhoogd) risico is gebaseerd (risico van waardering als. «waar rook is, is vuur»). Het onderscheid tussen een signaal en een informatievraag wordt bij verdere verwerking ook niet of niet juist gewogen. Niet ieder informatieverzoek is op voorhand een fiscaal signaal.»4
Vraag 56
Wie heeft besloten en/of geautoriseerd dat deze passage werd «weggelakt»? Hoe oordeelt u over dit besluit? Kunt u uw antwoord toelichten?
Vraag 57
Kunt u aangeven welke andere processen worden bedoeld, zoals in voetnoot 10 van de gegevensbeschermingseffectbeoordeling wordt vermeld?
Vraag 58
Wat is een besmet adres of besmette postcode? Hoe ontstaat dat? Wie houdt dit bij? Welke instanties houden deze informatie allemaal bij? Kunt u dit uitvoerig toelichten?
Vraag 59
Aan welke «mogelijk subjectieve waarderingen uit andere processen» moet worden gedacht? Heeft dit te maken met vooringenomenheid richting personen of bedrijven? Heeft dit te maken met het categoriaal beoordelen van een groep? Kunt u dit uitvoerig toelichten?
Vraag 60
Kunt u verklaren waarom FSV, waarin toch persoonsgegevens worden verwerkt, niet staat in het overzicht «verwerkingen van persoonsgegevens» van de Belastingdienst zelf?5
Vraag 61
Kunt u aangeven hoe het volstaan van de verwijzing naar de brochure «Overzicht verwerkingen van persoonsgegevens van de Belastingdienst», zoals beschreven op pagina 13 voldoende is, als FSV niet voorkomt in deze brochure?
Vraag 62
Waarom is het bestaan van het FSV niet aan de Adviescommissie uitvoering toeslagen en de Auditdienst Rijk gemeld?6
Mededeling
In het Algemeen Overleg Belastingdienst van 4 maart jl. hebben wij uw Kamer toegezegd om uiterlijk voor 24 april 2020 een brief te sturen over de Fraude Signalering Voorziening (FSV). Daarnaast heeft uw Kamer een aantal schriftelijke vragen gesteld over de FSV. Dit zijn de vragen van het lid Leijten (SP) over de Fraude Signalering Voorziening (FSV), de vragen van het lid Omtzigt (CDA) over de «Fraude Signalering Voorziening» (FSV) en de Algemene Verordening Gegevensbescherming (AVG) en de vragen van het lid Azarkan (DENK) over het bestaan van een geheime zwarte lijst van vermeende fraudeurs die veel mensen gedupeerd heeft.7 De beantwoording van deze schriftelijke vragen hangt nauw samen met de toegezegde brief over de FSV. Zoals wij in het Algemeen Overleg Belastingdienst hebben aangegeven willen wij een en ander goed uitzoeken om een zo compleet mogelijk beeld te kunnen geven en alle vragen zo goed als mogelijk te kunnen beantwoorden. Wij zullen de antwoorden op deze schriftelijke vragen daarom gelijktijdig met de toegezegde brief, dus uiterlijk voor 24 april 2020, aan uw Kamer doen toekomen. Daarmee zullen wij deze vragen niet binnen de gebruikelijke termijn beantwoorden.
Gegevensbeschermingseffectbeoordeling (GEB/PIA), FSV. (RTLNieuws 29 februari 2020
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5037966/belastingdienst-toeslagenaffaire-ministerie-van-financien)↩︎
Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)↩︎
Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)↩︎
Ongecensureerde versie van GEB FSV als bijlage bij Kamerbrief van 2 maart 2020 (Kenmerk 2020Z04057)↩︎
Belastingdienst, april 2019 (https://download.belastingdienst.nl/belastingdienst/docs/verw_persoonsgegevens_belastingdienst_al5303z9fd.pdf)↩︎
Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)↩︎
2020Z04218, 2020Z04221 en 2020Z04222↩︎