Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2024-2025

32 761 Verwerking en bescherming persoonsgegevens

31 066 Belastingdienst

Nr. 311 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 januari 2025

Op 28 mei jl. (Kamerstuk 32 761, nr. 300) is uw Kamer geïnformeerd over het toezichtarrangement dat de Autoriteit Persoonsgegeven (hierna: AP) heeft ingesteld bij de Belastingdienst. Het doel hiervan is een duurzame verbetering van de bescherming van persoonsgegevens van burgers en bedrijven. Sindsdien hebben de Belastingdienst en de AP meerdere verkennende gesprekken gevoerd en heeft de AP een aantal werkbezoeken afgelegd. Met deze brief informeer ik uw Kamer over de eerste twee adviezen die voortkomen uit het toezichtarrangement. In de eerstvolgende stand-van-zakenbrief zal ik uw Kamer nader informeren over de opvolging en implementatie van de adviezen.

De eerste adviesbrief is op 10 december jl. door de AP verzonden. In deze brief (bijlage 1) staat de verbetering van de afhandeling van datalekken centraal. De AP constateert dat de Belastingdienst zich de afgelopen jaren zichtbaar heeft ingespannen om dit proces te verbeteren. De AP doet hiervoor vijf aanvullende aanbevelingen:

– Nagaan wanneer het BSN van een melder van een datalek wordt geregistreerd en of dit wettelijk nodig is;

– Aandacht schenken aan het herkennen van inbreuken op de integriteit, vertrouwelijkheid én beschikbaarheid van persoonsgegevens in de bewustwordingstrainingen voor medewerkers;

– Onderzoeken of (tijdelijke) inbreuken op de beschikbaarheid van persoonsgegevens ook zijn opgenomen in het datalekregister;

– De Functionaris Gegevensbescherming (FG) van de Belastingdienst betrekken bij de afhandeling van datalekken volgens een vaste en gedocumenteerde werkwijze, vooral bij twijfel over de ernst van de gevolgen voor betrokkenen;

– De FG van de Belastingdienst betrekken wanneer de directeur van een dienstonderdeel afwijkt van het advies van de melddesk datalekken en het advies van de FG toe te voegen aan het dossier in het registratiesysteem.

Een tweede brief, met bevindingen over de privacyorganisatie van de Belastingdienst, is op 23 december jl. door de AP verstuurd. De AP concludeert hierin dat er sinds de eerdere AP-adviezen (uit 2021 en 2022) flinke stappen voorwaarts zijn gezet, een lijn die met twee noodzakelijke verbeteringen verder kan worden doorgetrokken.

Zo stelt de AP dat de taken en verantwoordelijkheden moeten worden verduidelijkt en vastgelegd, voor de hele organisatie. De privacyorganisatie moet worden herijkt en steviger worden beschreven. Het tweede advies gaat over het versterken van de centrale regie op de privacyorganisatie en het uitbreiden van de kaderstellende rol op dit gebied.

De adviezen van de AP stellen de Belastingdienst in staat verdere verbeteringen mogelijk te maken. De inspanningen van de AP worden dan ook zeer gewaardeerd en zullen opvolging krijgen. In afstemming met de AP wordt door de Belastingdienst werk gemaakt van de implementatie van de adviezen binnen de eigen processen en organisatie.

Verspreid over het jaar zullen verschillende adviesbrieven van de AP volgen. Om uw Kamer op een gestructureerde wijze over de advisering vanuit het toezichtarrangement te informeren, benut ik hiervoor voortaan de stand-van-zaken-brief die wij voorafgaande aan het commissiedebat Belastingdienst sturen. De volgende brief volgt voorafgaand aan het commissiedebat dat is gepland op 20 februari 2025. Hierin zal ik uw Kamer informeren over de ontwikkelingen rondom het toezichtarrangement, de opvolging van de adviezen uit de twee adviesbrieven en de beheersmaatregelen die de Belastingdienst in bredere zin neemt om de bescherming van persoonsgegevens van burgers en bedrijven verder duurzaam te verbeteren.

De Staatssecretaris van Financiën,
T. van Oostenbruggen