VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld … 2024

De vaste commissie voor Financiën heeft op 4 april 2025 enkele vragen en opmerkingen aan de staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane voorgelegd over zijn op 6 maart 2025 toegezonden brief inzake de uitkomsten extern onderzoek Risico Analyse Model (RAM) (Kamerstuk 31 066 nr. 1465).

De staatssecretaris heeft deze vragen beantwoord bij brief van …...

Vragen en antwoorden zijn hierna afgedrukt.

De voorzitter van de commissie,

Nijhof-Leeuw

De adjunct-griffier van de commissie,

Lips

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de stukken en hebben hierover vragen en opmerkingen. Deze zullen deze per punt uit de Kamerbrief uiteenzetten. In algemeenheid stellen de leden voorop dat de overheid altijd zorgvuldig met persoonsgegevens moet omgaan.

De leden van de GroenLinks-PvdA-fractie delen ten aanzien van Wat was RAM de analyse van de staatssecretaris dat de Belastingdienst RAM nooit had moeten en mogen gebruiken. Dit wordt duidelijk in de geschiedenis die de staatssecretaris schetst van RAM. De staatssecretaris schrijft dat ‘gevoelde maatschappelijke en politieke druk’ hebben geleid tot het gebruik en de datahonger van de overheid, waar de Kamer volgens deze leden en het rapport ‘Ongekend onrecht’ mede verantwoordelijk voor is geweest. Is het politieke bestel volgens de staatssecretaris voldoende bestand tegen soortgelijke patronen? Welke garanties kan de staatssecretaris geven dat dit niet nog een keer zal gebeuren?

De leden van de GroenLinks-PvdA-fractie menen ten aanzien van de bevindingen van KPMG dat het verzamelen van grote hoeveelheden persoonsgegevens standaard zal leiden tot het gebruiken van deze gegevens. Het beschikbaar stellen van gekoppelde persoonsgegevens in één overzicht en het onzorgvuldig delen van deze datasets zet de deur in de ogen van deze leden altijd open voor oneigenlijk gebruik. Deelt de staatssecretaris de mening dat het bestaan van een dergelijk totaaloverzicht als RAM met selectiemogelijkheden in essentie een risico vormt?

De leden van de GroenLinks-PvdA-fractie zijn benieuwd hoe wordt bepaald wat de ‘minimale hoeveelheid gegevens’ is die nodig is voor subjectgerichte controle, zoals beschreven in spoor 3 na het uitzetten van RAM. Hoe wordt dataminimalisatie daarin toegepast?

Volgens de leden van de GroenLinks-PvdA-fractie is ten aanzien van het punt van belastingplichtigen in RAM het massaal verzamelen van persoonsgegevens van burgers in essentie een risico. Daarmee is enkel het feit dat men hierin staat opgenomen op zichzelf al een reden tot zorg, met name voor burgers met een nationaliteit die buitenproportioneel hard is benadeeld. Deelt de staatssecretaris die analyse? Kan de staatssecretaris daarnaast uitleggen hoe het kan dat het nut, de noodzaak en het gebruik van risicoscores in spreadsheets die KPMG aan heeft getroffen niet beschikbaar waren? Is de staatssecretaris het ermee eens dat het verwerken van persoonsgegevens altijd gemotiveerd moet zijn?

De leden van de GroenLinks-PvdA-fractie twijfelen op het punt van gebruik van selectie-instrumenten op basis van risico-indicatoren aan de objectiviteit van selectie-instrumenten. In de analyse van deze leden heeft het algoritmisch selecteren van burgers, met modellen die discriminatoire vooroordelen bevestigen, ook invloed op de handmatige controles die daaruit volgen. Een waarborgenkader ‘waarbinnen gewerkt dient te gaan worden’ is volgens de leden van de GroenLinks-PvdA-fractie te vrijblijvend en te vaag om dit risico te ondervangen. Hoe gaat de staatssecretaris ervoor zorgen dat dit kader breed wordt nageleefd? Op welke termijn en schaal wordt dit kader ingezet? Soortgelijke zorgen hebben deze leden over de verschillende mensenrechtentoetsen die worden uitgevoerd bij algoritmes. Is er een wetenschappelijke norm voor deze toetsen? Worden alle risicomodellen die reeds in gebruik zijn ook voorzien van zo’n toets? Wat is het gevolg als een toets aantoont dat een model risicovol is?

De leden van de GroenLinks-PvdA-fractie willen graag weten wat de precieze taken zijn van het ethisch team dat werkt aan de inzet van algoritmes. Hoe wordt dit team samengesteld en welk mandaat heeft het team om ethisch gebruik van algoritmes af te dwingen? Ook zijn deze leden benieuwd naar het vullen van het Algoritmeregister door de Belastingdienst. Welk aandeel van de gebruikte algoritmes zijn op dit moment geregistreerd? Zijn deze algoritmes altijd toegankelijk uitgelegd, zodat meteen duidelijk is met welk doel deze worden gebruikt?

De leden van de GroenLinks-PvdA-fractie schrikken op het punt van de gevonden spreadsheets uit RAM van het grote aantal RAM-spreadsheets dat is gevonden in het onderzoek van KPMG. Dit wijst op een slordige informatiehuishouding, waarin vervuilde data blijft hangen en mogelijk wordt hergebruikt. Op welke termijn gaat de Belastingdienst andere omgevingen doorzoeken om RAM spreadsheets op te sporen en te verwijderen? Hoe groot acht de staatssecretaris de kans dat er alsnog gebruik is gemaakt van deze data nadat RAM is stopgezet door het bewaard blijven van RAM spreadsheets?

De leden van de GroenLinks-PvdA-fractie zijn niet verrast dat vernietigingstermijnen van datasets op grote schaal niet worden nageleefd. Deze leden achten het noodzakelijk dat dit alsnog gebeurt en wijzen op de verantwoordelijkheid om hier beter op te handhaven. Waarom worden vernietigingstermijnen op grote schaal niet nageleefd? Wat is het doel van deze termijnen en wat zijn de kwalijke gevolgen als dit niet gebeurt? Deze leden vragen de staatssecretaris om duidelijk uit te leggen wat hij bedoelt met het ‘naar een hoger volwassenheidsniveau’ brengen van de Belastingdienst per 2026.

De leden van de GroenLinks-PvdA-fractie zien op het punt van het verstrekken van gegevens uit RAM aan andere organisaties in het ontbreken van informatie over verstrekte gegevens uit RAM wederom bevestigd dat het de overheid ontbreekt aan eenduidig databeleid. Op welke termijn verwacht de staatssecretaris van de Belastingdienst dat zij de door hem genoemde verbetermogelijkheden volledig heeft uitgevoerd? Hoe helpt de staatssecretaris de dienst hierbij? Kan de Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD) ook voorzien in het recht van burgers om proactief te worden geïnformeerd over de persoonsgegevens die de overheid van hen verwerkt, of hier op aanvraag inzage in te krijgen?

De leden van de GroenLinks-PvdA-fractie snappen ten aanzien van het punt van lokaal ontwikkelde applicaties (LOA) de overweging om bepaalde specialistische applicaties lokaal te ontwikkelen en gebruiken. Deze leden lezen echter ook dat de staatssecretaris erkent dat het breder gebruiken van zo’n LOA riskant kan zijn, wegens het gebrek aan ethische kaders. Sinds wanneer houdt de Belastingdienst deze applicaties zelf in beheer? Hoe zorgt de staatssecretaris ervoor dat de ICT-kennis in huis is én blijft om deze applicaties goed te blijven managen, ook als de originele ontwikkelaar(s) niet meer in dienst is (zijn)?

De leden van de GroenLinks-PvdA-fractie hebben ten aanzien van de bevindingen van KPMG over RAM in relatie tot wettelijke eisen en interne kaders zorgen over het gebrek aan beveiliging van RAM-gegevens. Door gebrekkig beleid is het niet duidelijk hoe en op welke schaal RAM-gegevens zich door de overheid hebben verspreid, waarbij privacy- en archiveringswetgeving niet is nageleefd. Is de staatssecretaris het met deze leden eens dat doelbinding een basisprincipe is van het privacyrecht? Welke gevolgen heeft het voor burgers dat hun persoonsgegevens zijn gebruikt voor andere doeleinden dan waar zij toestemming voor hebben gegeven?

De leden van de GroenLinks-PvdA-fractie erkennen op het punt van beheersing van gegevensbescherming de meerwaarde van interne expertise opbouwen over het privacyrecht. Bewustwording is in de ogen van deze leden echter nog geen structurele oplossing, zolang de systemen die worden gebruikt het toestaan dat data oneigenlijk wordt gekoppeld en verwerkt. Zijn er sinds de bewustwordings- en bijscholingscampagnes minder privacyschendingen geweest? In hoeverre is dit de individuele verantwoordelijkheid van werknemers?

De leden van de GroenLinks-PvdA-fractie vragen de staatssecretaris om uit te leggen waarom het nodig is dat ‘de Belastingdienst beziet welke maatregelen kunnen bijdragen aan het verantwoorden over toegang tot specifieke informatie,’ als logging en monitoring hiertoe effectieve methoden zijn. Ook zijn deze leden benieuwd waarom de Belastingdienst nu pas is ‘begonnen met de realisatie van het “need to know” principe en dataminimalisatie.’ Was dat tot nu toe niet het geval? Welke maatregelen worden er de komende jaren concreet genomen om hier aan bij te dragen?

Verder vragen de leden van de GroenLinks-PvdA-fractie om niet alleen de ambitie te stellen dat medewerkers de gegevens kunnen inzien die zij nodig hebben voor hun taak, maar ook om burgers het recht te geven om te weten hoe hun gegevens worden verzameld en verwerkt voor in het toezicht.

De leden van de GroenLinks-PvdA-fractie zijn op het punt van de bevindingen van KPMG ten aanzien van profilering teleurgesteld over het gebrek aan duidelijkheid over hoe nationaliteit als persoonsgegeven is verwerkt. Eén van de meest discriminatoire aspecten van het Toeslagenschandaal is daardoor moeilijk te controleren. Is de staatssecretaris het eens met KPMG dat het onmogelijk is om te achterhalen of er nadelige effecten voor belastingplichtigen hebben plaatsgevonden door risicoselecties te doen op basis van nationaliteit of ziet de staatssecretaris mogelijkheden om dit alsnog te doen?

De leden van de GroenLinks-PvdA-fractie vinden de reactie van de staatssecretaris op het punt van mogelijk sprake zijn van ongelijke behandeling op de kans dat er ongelijke behandeling heeft plaatsgevonden door RAM mild. Deze leden lezen dat selectie op basis van nationaliteit niet mag en dat de Belastingdienst eventuele gevolgen die dit heeft gehad dient terug te draaien. Hoe verenigt de staatssecretaris dit met zijn constatering dat hij niet kan vaststellen of er wel of geen ongelijke behandeling heeft plaatsgevonden? Wat gaat de staatssecretaris doen om de Belastingdienst te ondersteunen in haar terechte poging om uit te zoeken of hier wél sprake van is geweest? Wanneer is volgens de staatssecretaris voldoende onderbouwd dat er definitief wel of geen sprake is geweest van ongelijke behandeling?

De leden van de GroenLinks-PvdA-fractie vragen de staatssecretaris op het punt van verwerking van nationaliteit of fiscaal strafrechtelijke- of medische gegevens welke consequenties de staatssecretaris eraan verbindt dat RAM bijzondere persoonsgegevens over nationaliteit beschikbaar stelde, terwijl dit niet was toegestaan. Wat betekent dit voor de acties die zijn genomen op basis van deze dataset? Zijn deze acties niet per definitie onrechtmatig?

De leden van de GroenLinks-PvdA-fractie vragen op het punt van de bevindingen van KPMG ten aanzien van besluitvorming over RAM de staatssecretaris om een nadere reflectie op waarom er, ondanks bekende risico’s, meermaals is gekozen om RAM niet stop te zetten. Hoe is het belang van toezicht afgewogen tegenover het risico dat grondrechten worden geschonden? Waarom zijn er destijds geen alternatieve systemen uitgewerkt die RAM hadden kunnen vervangen met een hogere mate van beveiliging?

De leden van de GroenLinks-PvdA-fractie benadrukken op het punt van de besluitvorming door de Belastingdienst dat signalen over mogelijk risicovolle algoritmen altijd serieus moeten worden genomen. Veelal worden signalen wel intern afgegeven, maar vervolgens niet gecommuniceerd naar de politieke leiding. Waarom is dit destijds niet gebeurd? Welke maatregelen zijn er nu genomen om signalen wél politiek bespreekbaar te maken, ook als het ongemakkelijk is? Merkt de staatssecretaris dat de bereidheid om signalen te melden is toegenomen en wordt hier effectief op gehandeld?

De leden van de GroenLinks-PvdA-fractie vragen de staatssecretaris op het punt van omgang met RAM vergelijkbare analysesystemen of in het onderzoek naar de vijf systemen ook is gekeken naar strategische autonomie als onderdeel van de informatiebeveiliging. Zijn er in de verwerking, uitwisseling of opslag van gegevens in deze systemen strategische afhankelijkheden van één (niet-Europese) leverancier? Zo ja, wat doet de staatssecretaris om deze afhankelijkheden te verminderen?

De leden van de GroenLinks-PvdA-fractie vragen waarom het toepassen van logging en monitoring op (de meest risicovolle) systemen slechts een voornemen is en geen harde doelstelling. Vindt de staatssecretaris het wenselijk dat deze methoden worden gebruikt om zo verantwoording af te kunnen leggen over het verwerken van persoonsgegevens? Welke reden is er om deze methoden niet te gebruiken? Erkent de staatssecretaris dat het ontbreken van logging en monitoring in het onderzoek naar RAM zorgde voor gebrekkig inzicht? Is dat niet genoeg reden om dit nu als harde eis te hanteren bij soortgelijke systemen?

De leden van de GroenLinks-PvdA-fractie ontvangen over het onderzoek van de Autoriteit Persoonsgegevens graag meer informatie over het voorgenomen onderzoek van de Autoriteit Persoonsgegevens zodra de toezichthouder dit kan aanleveren.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met interesse kennisgenomen van de brief ‘Uitkomsten extern onderzoek Risico Analyse Model (RAM)’. Deze leden hebben nog enkele vragen.

De leden van de VVD-fractie lezen ten aanzien van lopende onderzoeken dat de Autoriteit Persoonsgegevens heeft aangegeven verder onderzoek te verrichten naar RAM. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schendig van de grondrechten heeft geleid. Wat is de stand van zaken van deze twee onderzoeken? Wanneer kan de Kamer de resultaten van deze twee onderzoeken verwachten?

De leden van de VVD-fractie lezen ten aanzien van de bevindingen van KPMG dat RAM mede is ontworpen om de controle van midden- en kleinbedrijven efficiënter en effectiever plaats te laten vinden, wegens een beperkte controlecapaciteit en het groeiende aantal MKB-bedrijven. Betekent dit dat er voornamelijk gegevens van MKB-bedrijven in RAM konden worden gevonden? Is RAM voornamelijk gebruikt om MKB-bedrijven te controleren? Heeft het gebruik van RAM geleid tot een effectievere en efficiëntere manier van controle? In welke mate heeft dit geleid tot extra administratieve lasten en/of regeldruk voor MKB-bedrijven?

De leden van de VVD-fractie lezen op het punt van verstrekken van gegevens uit RAM aan andere organisaties dat de Belastingdienst tegenwoordig beter zicht houdt op de gegevensverstrekking aan andere partijen. Welke stappen zet het kabinet om verbetermogelijkheden, zoals het periodiek evalueren van convenanten, aan te pakken? Ook lezen deze leden dat de naleving van de afspraken over het toezicht op de afspraken voor gegevensdeling binnen de Belastingdienst worden versterkt. Hoeveel fte is nodig voor dit toezicht? Hoeveel fte is nu gevuld voor dit toezicht? Hoe voorkomt het kabinet dat dit voor extra werkdruk zorgt voor de Belastingdienst?

De leden van de VVD-fractie lezen dat indien de noodzakelijkheid en evenredigheid zijn vastgesteld, van andere departementen wordt verlangd dat zij in hun eigen wetgeving voorzien in een grondslag voor de Belastingdienst om gegevens te morgen verstrekken voor dit specifieke doel. Wachten de departementen af totdat noodzakelijkheid en evenredigheid zijn vastgesteld, voordat de departementen in hun eigen wetgeving voorzien in een grondslag voor de Belastingdienst om gegevens te mogen verstrekken? Zo ja, zorgt dat niet voor een vertraging op het proces van gegevensverstrekking?

De leden van de VVD-fractie lezen op het punt van toezicht op fiscaal dienstverleners dat op dit moment een inventarisatie plaats vindt of de waarborgen op grond van de FD-monitor afdoende zijn. Wat is de stand van zaken van deze inventarisatie? Wanneer kan de Kamer een brief over de inventarisatie en de resultaten verwachten?

Vragen en opmerkingen van de leden van de NSC-fractie

De leden van de NSC-fractie danken de staatssecretaris voor de toezending van het KPMG-onderzoek, maar geven tegelijkertijd aan geschrokken te zijn van de bevindingen die het onderzoek van KPMG aan het licht brengen. RAM is jarenlang gebruikt op een wijze die structureel in strijd was met wettelijke eisen op het gebied van gegevensbescherming, beveiliging en archivering. Het gebruik van RAM vond plaats met onvoldoende waarborgen en zonder voldoende inzicht in de gevolgen voor burgers. Deelt de staatssecretaris deze opvatting?

De leden van de NSC-fractie nemen kennis van de reconstructie dat RAM vanaf 1998 groeide van een lokale toepassing tot een landelijk dataplatform met 69 gekoppelde databronnen. RAM-tabellen bevatten bijzondere persoonsgegevens, zo constateren deze leden. In de brief van de staatssecretaris wordt een voorbeeld gegeven van het gebruik van RAM ten behoeve van overheidsbrede samenwerkingsverbanden. De leden van de NSC-fractie vragen of de staatssecretaris kan aangeven in hoeverre RAM-extracties ook buiten de Belastingdienst zijn verspreid? Kan een overzicht worden gemaakt van de samenwerkingsverbanden waarbij RAM werd gebruikt als datavoorziening? In hoeveel procent van de gevallen betreft het hier samenwerkingsverbanden ten behoeve van de uitvoering van socialezekerheidsregelingen? Wat was het doel van deze samenwerkingsverbanden? In hoeverre is het aannemelijk dat de partijen die onderdeel waren van deze samenwerkingsverbanden ook buiten het samenwerkingsverband om gebruik maakten van deze data? Kan een overzicht worden gegeven van de convenanten die golden tussen voor deze samenwerkingsverbanden? Zijn er redenen om aan te nemen dat deze samenwerkingsverbanden onrechtmatig gebruik hebben gemaakt van deze data enkel door gebruikmaking van deze RAM-extracties? Kan de staatssecretaris specificeren welke gegevens wel via RAM beschikbaar waren, maar niet of niet in dezelfde combinatie verstrekt hadden kunnen worden zonder RAM? Betreft dit uitsluitend samengestelde risicoscores of ook bijzondere persoonsgegevens (zoals nationaliteit, fraudesignalen of strafrechtelijke gegevens)? Welke datagegevens zijn enkel in RAM beschikbaar?

De leden van de NSC-fractie merken ten aanzien van het punt van RAM in relatie tot wettelijke eisen en interne kader op dat in 14 van de 1.170 gevonden RAM-spreadsheets nationaliteit als selectiecriterium is gebruikt. Uit het commissiedebat Belastingdienst dat recent is gevoerd bleek bovendien dat deze 14 spreadsheets gezamenlijk circa 50.000 unieke burgerservicenummers (BSN’s) bevatten. Kan de staatssecretaris bevestigen dat deze BSN’s zijn geselecteerd (mede) op basis van nationaliteit? Is overwogen om burgers uit deze spreadsheets hierover te informeren? Wordt onderzocht of intern sprake is geweest van waarschuwingen of signaleringen omtrent het gebruik van deze specifieke spreadsheets?

De leden van de NSC-fractie constateren op het punt vam besluitvorming over RAM dat uit het KPMG-onderzoek naar voren komt dat de formele besluitvorming over RAM jarenlang diffuus is geweest. Eigenaarschap was niet vastgelegd, aansturing vond versnipperd plaats en het uitzetten van het systeem gebeurde zonder formeel besluit. De leden van de NSC-fractie vragen of de staatssecretaris een chronologisch overzicht kan geven van de formele en informele besluitmomenten rond RAM (invoering, uitbreiding, wijziging, uitfasering) en daarbij aangeven welke ambtelijke en/of bestuurlijke actoren daarbij betrokken waren. Is onderzocht of binnen de Belastingdienst waarschuwingen of signaleringen zijn gegeven over RAM die zijn genegeerd of onbeantwoord gebleven?

De leden van de NSC-fractie vragen op het punt van openbaarmaking van artikel 68 (Gw)-verzoek voor hoeveel documenten uiteindelijk de uitzonderingsgrond “tegen het belang van de Staat” is toegepast? Kan de staatssecretaris concreet aangeven welke belangen van de Staat in deze afweging een rol hebben gespeeld? Bijvoorbeeld: betrof dit operationele informatie over toezichtstrategieën, internationale afspraken of iets anders? Is overwogen om de desbetreffende documenten eventueel geanonimiseerd of gedeeltelijk beschikbaar te stellen?

De leden van de NSC-fractie vragen op het punt van het lopende onderzoek door de Autoriteit Persoonsgegevens (AP) of er zicht is op de reikwijdte en planning van het onderzoek van de AP?

De leden van de NSC-fractie zijn tot slot van mening dat het dossier-RAM vraagt om volledige transparantie, bestuurlijke rekenschap en herstel richting mogelijk getroffen burgers. Deze leden zien de beantwoording van deze vragen daarom met belangstelling tegemoet.

Vragen en opmerkingen van de leden van de DENK-fractie

De leden van de DENK-fractie hebben met grote zorg kennisgenomen van de Kamerbrief van 6 maart 2025 en de bijbehorende bijlagen over het Risico Analyse Model (RAM). De uitkomsten van het externe onderzoek, uitgevoerd door KPMG, bevestigen opnieuw dat sprake was van grootschalige onrechtmatige gegevensverwerking, gebrekkige governance en fundamenteel tekortschietend toezicht binnen de Belastingdienst.

Deze leden stellen vast dat het onderzoek opnieuw onderstreept wat zij reeds eerder naar voren brachten: burgers, met name mensen met een migratieachtergrond, zijn stelselmatig blootgesteld aan discriminerende risicoselectie op basis van nationaliteit, postcode en andere indirecte indicatoren. Deze leden vinden het onacceptabel dat dergelijke praktijken jarenlang konden plaatsvinden zonder duidelijke politieke of bestuurlijke verantwoording en vragen een kritische zelfreflectie van het kabinet omtrent deze zorgelijke ontwikkeling.

De leden van de DENK-fractie constateren dat bij het stopzetten van RAM geen adequate waarborgen zijn genomen om het systeem veilig te stellen voor verder onderzoek. Deze leden vragen het kabinet waarom bij het uitschakelen van RAM niet is gekozen voor het veiligstellen van het systeem ten behoeve van nader onderzoek. Wie heeft hierover het besluit genomen en betrof dit een kabinetsbesluit? Deze leden ontvangen graag een gedetailleerde tijdlijn van de afbouw tot en met de definitieve ontmanteling van RAM, inclusief de momenten waarop cruciale besluiten zijn genomen.

De leden van de DENK-fractie achten het essentieel dat de Kamer tijdig en volledig wordt geïnformeerd over eventuele discriminatoire elementen binnen overheidsbeleid. Daarom vragen deze leden op welke momenten de Kamer is geïnformeerd over de werking van RAM, specifiek omtrent het gebruik van nationaliteit als selectiecriterium of risico op vooringenomenheid. Zijn hierover waarschuwingen vanuit de dienst of toezichthouders ontvangen? Kunnen deze leden een exact feitenrelaas ontvangen?

Het feit dat RAM jarenlang zonder ingrijpen heeft kunnen functioneren, wijst volgens de leden van de DENK-fractie op structurele tekortkomingen binnen de Belastingdienst. Welke interne structuren en procedures, die tussen 1998 en 2018 hadden moeten functioneren om dergelijke praktijken te signaleren en te stoppen, hebben gefaald? Op welke momenten had het kabinet moeten ingrijpen en waarom heeft het kabinet dit niet gedaan?

Het onderzoek van KPMG toont aan dat grote hoeveelheden persoonsgegevens werden verwerkt binnen RAM. De leden van de DENK-fractie vragen van welke persoonsgerichte gegevens RAM-spoor 1 precies geschoond is. Kan het kabinet een uitsplitsing geven van hoeveel informatie over personen en bedrijven is verwerkt in RAM-spoor 1, 2 en 3?

De leden van de DENK-fractie constateren dat het kabinet stelt dat RAM deels in gebruik moest blijven voor toezichtdoeleinden, terwijl uit het KPMG-rapport blijkt dat slechts een beperkt aantal mensen toegang had tot de drie sporen van RAM. Hoe verhouden deze bevindingen zich tot elkaar? Uit het onderzoek blijkt dat RAM op verschillende punten niet voldeed aan wettelijke vereisten. Kan het kabinet per spoor (1, 2 en 3) specifiek toelichten aan welke wet- en regelgeving (onder andere de AVG, Archiefwet, Wet GBA en interne beleidsregels) niet werd voldaan?

De leden van de DENK-fractie constateren een zorgpunt uit het onderzoek dat alleen de datalogging vanaf 2017 met KPMG is gedeeld, hoewel RAM dus al langer actief was. Waarom is logging vanaf 2012 niet beschikbaar gesteld? Kan het kabinet garanderen dat hierdoor geen belangrijke constateringen gemist zijn en is zij bereid aanvullend onderzoek uit te voeren? Het "broedkamer"-systeem binnen de Belastingdienst kwam recentelijk in opspraak door een groot datalek,, constateren deze leden. Wat was hierbij de betrokkenheid van RAM?

De leden van de DENK-fractie constateren dat slechts 125 van de 167 aangeschreven personen deelnamen aan de interne enquête. Waarom hebben 42 personen niet deelgenomen en hoeveel van hen zijn nog steeds werkzaam bij de Belastingdienst of Douane?

Verder constateren de leden van de DENK-fractie dat er bij het onderzoek 35 spreadsheets aangetroffen zijn met gegevens over burgers en bedrijven. Waarom zijn deze niet direct meegenomen in het onderzoek? Hoeveel personen en bedrijven staan hierin vermeld? Kan een geanonimiseerde weergave van een representatief voorbeeld worden gedeeld, inclusief uitleg over wat bedoeld wordt met gegevens gebaseerd op postcode en in mindere mate achternaam? Uit het rapport blijkt ook dat bepaalde sectoren, zoals genoemd op pagina 130 (Project Lekkerbek, Beveiligingsbedrijven, Schoonmaakbranche en Taxibedrijven Amsterdam), intensief zijn gecontroleerd. Zijn deze projecten uitgevoerd met voldoende waarborgen tegen directe of indirecte discriminatie? Gezien de gebleken benadeling vragen deze leden ook hoe het kabinet gedupeerden actief informeert en compenseert. Overweegt het kabinet een schadefonds, vergelijkbaar met de toeslagenaffaire?

Om herhaling te voorkomen, vragen de DENK-leden welke maatregelen het kabinet neemt om invoering van vergelijkbare systemen te voorkomen. Wat wordt bijvoorbeeld gedaan om ervoor te zorgen dat in de toekomst alle dataverwerking tijdig en correct wordt gedocumenteerd en vastgelegd in registers? Welke concrete stappen zijn inmiddels gezet om de aanbevelingen van KPMG over privacybescherming en dataminimalisatie te implementeren? Worden nieuwe toezichtsystemen verplicht extern getoetst op discriminatie en proportionaliteit door bijvoorbeeld de Autoriteit Persoonsgegevens of het College voor de Rechten van de Mens? Is het kabinet bereid om periodiek te rapporteren aan de Kamer over de voortgang van de implementatie van deze aanbevelingen?

Tot slot benadrukken de leden van de DENK-fractie dat het RAM-dossier opnieuw aantoont dat fundamentele veranderingen nodig zijn binnen uitvoeringsorganisaties, waarbij transparantie, rechtsgelijkheid en respect voor grondrechten centraal staan. De leden van de DENK-fractie zullen deze inzet voortzetten richting kabinet en samenleving.

II Reactie van de staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane