Verslag van een schriftelijk overleg over Uitkomsten extern onderzoek Risico Analyse Model (RAM) (Kamerstuk 31066-1465)

Belastingdienst

Verslag van een schriftelijk overleg

Nummer: 2025D24068, datum: 2025-05-26, bijgewerkt: 2025-05-28 13:36, versie: 2 (versie 1)

Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.

Gerelateerde personen:

Eerste ondertekenaar: J.M. Nijhof-Leeuw, voorzitter van de vaste commissie voor Financiën (PVV)
Mede ondertekenaar: W.A. Lips, adjunct-griffier

Bijlagen:

Beslisnota bij Antwoorden op vragen commissie over Uitkomsten extern onderzoek Risico Analyse Model (RAM) (Kamerstuk 31066-1465)
KPMG-1
KPMG-2-1
KPMG-2-2
KPMG-3
KPMG-4
KPMG-5
KPMG-6
KPMG-7-1
KPMG-7-2
KPMG-8-1
KPMG-9-1
KPMG-8-2
KPMG-9-2
KPMG-10
KPMG-11-1
KPMG-11-2
KPMG-12-1
KPMG-12-2
KPMG-13-1
KPMG-13-2
KPMG-14
KPMG-15-1
KPMG-15-2 a
KPMG-15-2 b
KPMG-16-1
KPMG-16-2
KPMG-17-1
KPMG-17-2
KPMG-18
KPMG-19
KPMG-20
KPMG-1-1 a
KPMG-1-1 b
KPMG-1-2
KPMG-2-1
KPMG-2-2
KPMG-3
KPMG-4
KPMG-5-1
KPMG-5-2
KPMG-6
KPMG-7
KPMG-8
KPMG-9
KPMG-10
KPMG-11
KPMG-1
KPMG-2
KPMG-3
KPMG-4
KPMG-5
KPMG-6
KPMG-8
KPMG-7

Onderdeel van kamerstukdossier 31066 -1505 Belastingdienst.

Onderdeel van zaak 2025Z10527:

Indiener: T. van Oostenbruggen, staatssecretaris van Financiën
Voortouwcommissie: vaste commissie voor Financiën

Onderdeel van activiteiten:

2025-05-28 13:15: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
2025-07-03 10:00: Procedurevergadering Financiën (Procedurevergadering), vaste commissie voor Financiën

Preview document (🔗 origineel)

31 066 Belastingdienst

Nr. 1505 Verslag van een schriftelijk overleg

Vastgesteld 26 mei 2025

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd aan de staatssecretaris van Financiën over de brief van 6 maart 2025 over de uitkomsten extern onderzoek Risico Analyse Model (RAM) (Kamerstuk 31 066, nr. 1465).

De vragen en opmerkingen zijn op 4 april 2025 aan de staatssecretaris van Financiën voorgelegd. Bij brief van 26 mei 2025 zijn de vragen beantwoord.

De voorzitter van de commissie,

Nijhof-Leeuw

Adjunct-griffier van de commissie,

Lips

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de stukken en hebben hierover vragen en opmerkingen. Deze zullen deze per punt uit de Kamerbrief uiteenzetten. In algemeenheid stellen de leden voorop dat de overheid altijd zorgvuldig met persoonsgegevens moet omgaan.

De leden van de GroenLinks-PvdA-fractie delen ten aanzien van Wat was RAM de analyse van de staatssecretaris dat de Belastingdienst RAM nooit had moeten en mogen gebruiken. Dit wordt duidelijk in de geschiedenis die de staatssecretaris schetst van RAM. De staatssecretaris schrijft dat ‘gevoelde maatschappelijke en politieke druk’ hebben geleid tot het gebruik en de datahonger van de overheid, waar de Kamer volgens deze leden en het rapport ‘Ongekend onrecht’ mede verantwoordelijk voor is geweest. Is het politieke bestel volgens de staatssecretaris voldoende bestand tegen soortgelijke patronen? Welke garanties kan de staatssecretaris geven dat dit niet nog een keer zal gebeuren?

De leden van de GroenLinks-PvdA-fractie menen ten aanzien van de bevindingen van KPMG dat het verzamelen van grote hoeveelheden persoonsgegevens standaard zal leiden tot het gebruiken van deze gegevens. Het beschikbaar stellen van gekoppelde persoonsgegevens in één overzicht en het onzorgvuldig delen van deze datasets zet de deur in de ogen van deze leden altijd open voor oneigenlijk gebruik. Deelt de staatssecretaris de mening dat het bestaan van een dergelijk totaaloverzicht als RAM met selectiemogelijkheden in essentie een risico vormt?

De leden van de GroenLinks-PvdA-fractie zijn benieuwd hoe wordt bepaald wat de ‘minimale hoeveelheid gegevens’ is die nodig is voor subjectgerichte controle, zoals beschreven in spoor 3 na het uitzetten van RAM. Hoe wordt dataminimalisatie daarin toegepast?

Volgens de leden van de GroenLinks-PvdA-fractie is ten aanzien van het punt van belastingplichtigen in RAM het massaal verzamelen van persoonsgegevens van burgers in essentie een risico. Daarmee is enkel het feit dat men hierin staat opgenomen op zichzelf al een reden tot zorg, met name voor burgers met een nationaliteit die buitenproportioneel hard is benadeeld. Deelt de staatssecretaris die analyse? Kan de staatssecretaris daarnaast uitleggen hoe het kan dat het nut, de noodzaak en het gebruik van risicoscores in spreadsheets die KPMG aan heeft getroffen niet beschikbaar waren? Is de staatssecretaris het ermee eens dat het verwerken van persoonsgegevens altijd gemotiveerd moet zijn?

De leden van de GroenLinks-PvdA-fractie twijfelen op het punt van gebruik van selectie-instrumenten op basis van risico-indicatoren aan de objectiviteit van selectie-instrumenten. In de analyse van deze leden heeft het algoritmisch selecteren van burgers, met modellen die discriminatoire vooroordelen bevestigen, ook invloed op de handmatige controles die daaruit volgen. Een waarborgenkader ‘waarbinnen gewerkt dient te gaan worden’ is volgens de leden van de GroenLinks-PvdA-fractie te vrijblijvend en te vaag om dit risico te ondervangen. Hoe gaat de staatssecretaris ervoor zorgen dat dit kader breed wordt nageleefd? Op welke termijn en schaal wordt dit kader ingezet? Soortgelijke zorgen hebben deze leden over de verschillende mensenrechtentoetsen die worden uitgevoerd bij algoritmes. Is er een wetenschappelijke norm voor deze toetsen? Worden alle risicomodellen die reeds in gebruik zijn ook voorzien van zo’n toets? Wat is het gevolg als een toets aantoont dat een model risicovol is?

De leden van de GroenLinks-PvdA-fractie willen graag weten wat de precieze taken zijn van het ethisch team dat werkt aan de inzet van algoritmes. Hoe wordt dit team samengesteld en welk mandaat heeft het team om ethisch gebruik van algoritmes af te dwingen? Ook zijn deze leden benieuwd naar het vullen van het Algoritmeregister door de Belastingdienst. Welk aandeel van de gebruikte algoritmes zijn op dit moment geregistreerd? Zijn deze algoritmes altijd toegankelijk uitgelegd, zodat meteen duidelijk is met welk doel deze worden gebruikt?

De leden van de GroenLinks-PvdA-fractie schrikken op het punt van de gevonden spreadsheets uit RAM van het grote aantal RAM-spreadsheets dat is gevonden in het onderzoek van KPMG. Dit wijst op een slordige informatiehuishouding, waarin vervuilde data blijft hangen en mogelijk wordt hergebruikt. Op welke termijn gaat de Belastingdienst andere omgevingen doorzoeken om RAM spreadsheets op te sporen en te verwijderen? Hoe groot acht de staatssecretaris de kans dat er alsnog gebruik is gemaakt van deze data nadat RAM is stopgezet door het bewaard blijven van RAM spreadsheets?

De leden van de GroenLinks-PvdA-fractie zijn niet verrast dat vernietigingstermijnen van datasets op grote schaal niet worden nageleefd. Deze leden achten het noodzakelijk dat dit alsnog gebeurt en wijzen op de verantwoordelijkheid om hier beter op te handhaven. Waarom worden vernietigingstermijnen op grote schaal niet nageleefd? Wat is het doel van deze termijnen en wat zijn de kwalijke gevolgen als dit niet gebeurt? Deze leden vragen de staatssecretaris om duidelijk uit te leggen wat hij bedoelt met het ‘naar een hoger volwassenheidsniveau’ brengen van de Belastingdienst per 2026.

De leden van de GroenLinks-PvdA-fractie zien op het punt van het verstrekken van gegevens uit RAM aan andere organisaties in het ontbreken van informatie over verstrekte gegevens uit RAM wederom bevestigd dat het de overheid ontbreekt aan eenduidig databeleid. Op welke termijn verwacht de staatssecretaris van de Belastingdienst dat zij de door hem genoemde verbetermogelijkheden volledig heeft uitgevoerd? Hoe helpt de staatssecretaris de dienst hierbij? Kan de Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD) ook voorzien in het recht van burgers om proactief te worden geïnformeerd over de persoonsgegevens die de overheid van hen verwerkt, of hier op aanvraag inzage in te krijgen?

De leden van de GroenLinks-PvdA-fractie snappen ten aanzien van het punt van lokaal ontwikkelde applicaties (LOA) de overweging om bepaalde specialistische applicaties lokaal te ontwikkelen en gebruiken. Deze leden lezen echter ook dat de staatssecretaris erkent dat het breder gebruiken van zo’n LOA riskant kan zijn, wegens het gebrek aan ethische kaders. Sinds wanneer houdt de Belastingdienst deze applicaties zelf in beheer? Hoe zorgt de staatssecretaris ervoor dat de ICT-kennis in huis is én blijft om deze applicaties goed te blijven managen, ook als de originele ontwikkelaar(s) niet meer in dienst is (zijn)?

De leden van de GroenLinks-PvdA-fractie hebben ten aanzien van de bevindingen van KPMG over RAM in relatie tot wettelijke eisen en interne kaders zorgen over het gebrek aan beveiliging van RAM-gegevens. Door gebrekkig beleid is het niet duidelijk hoe en op welke schaal RAM-gegevens zich door de overheid hebben verspreid, waarbij privacy- en archiveringswetgeving niet is nageleefd. Is de staatssecretaris het met deze leden eens dat doelbinding een basisprincipe is van het privacyrecht? Welke gevolgen heeft het voor burgers dat hun persoonsgegevens zijn gebruikt voor andere doeleinden dan waar zij toestemming voor hebben gegeven?

De leden van de GroenLinks-PvdA-fractie erkennen op het punt van beheersing van gegevensbescherming de meerwaarde van interne expertise opbouwen over het privacyrecht. Bewustwording is in de ogen van deze leden echter nog geen structurele oplossing, zolang de systemen die worden gebruikt het toestaan dat data oneigenlijk wordt gekoppeld en verwerkt. Zijn er sinds de bewustwordings- en bijscholingscampagnes minder privacyschendingen geweest? In hoeverre is dit de individuele verantwoordelijkheid van werknemers?

De leden van de GroenLinks-PvdA-fractie vragen de staatssecretaris om uit te leggen waarom het nodig is dat ‘de Belastingdienst beziet welke maatregelen kunnen bijdragen aan het verantwoorden over toegang tot specifieke informatie,’ als logging en monitoring hiertoe effectieve methoden zijn. Ook zijn deze leden benieuwd waarom de Belastingdienst nu pas is ‘begonnen met de realisatie van het “need to know” principe en dataminimalisatie.’ Was dat tot nu toe niet het geval? Welke maatregelen worden er de komende jaren concreet genomen om hier aan bij te dragen?

Verder vragen de leden van de GroenLinks-PvdA-fractie om niet alleen de ambitie te stellen dat medewerkers de gegevens kunnen inzien die zij nodig hebben voor hun taak, maar ook om burgers het recht te geven om te weten hoe hun gegevens worden verzameld en verwerkt voor in het toezicht.

De leden van de GroenLinks-PvdA-fractie zijn op het punt van de bevindingen van KPMG ten aanzien van profilering teleurgesteld over het gebrek aan duidelijkheid over hoe nationaliteit als persoonsgegeven is verwerkt. Eén van de meest discriminatoire aspecten van het Toeslagenschandaal is daardoor moeilijk te controleren. Is de staatssecretaris het eens met KPMG dat het onmogelijk is om te achterhalen of er nadelige effecten voor belastingplichtigen hebben plaatsgevonden door risicoselecties te doen op basis van nationaliteit of ziet de staatssecretaris mogelijkheden om dit alsnog te doen?

De leden van de GroenLinks-PvdA-fractie vinden de reactie van de staatssecretaris op het punt van mogelijk sprake zijn van ongelijke behandeling op de kans dat er ongelijke behandeling heeft plaatsgevonden door RAM mild. Deze leden lezen dat selectie op basis van nationaliteit niet mag en dat de Belastingdienst eventuele gevolgen die dit heeft gehad dient terug te draaien. Hoe verenigt de staatssecretaris dit met zijn constatering dat hij niet kan vaststellen of er wel of geen ongelijke behandeling heeft plaatsgevonden? Wat gaat de staatssecretaris doen om de Belastingdienst te ondersteunen in haar terechte poging om uit te zoeken of hier wél sprake van is geweest? Wanneer is volgens de staatssecretaris voldoende onderbouwd dat er definitief wel of geen sprake is geweest van ongelijke behandeling?

De leden van de GroenLinks-PvdA-fractie vragen de staatssecretaris op het punt van verwerking van nationaliteit of fiscaal strafrechtelijke- of medische gegevens welke consequenties de staatssecretaris eraan verbindt dat RAM bijzondere persoonsgegevens over nationaliteit beschikbaar stelde, terwijl dit niet was toegestaan. Wat betekent dit voor de acties die zijn genomen op basis van deze dataset? Zijn deze acties niet per definitie onrechtmatig?

De leden van de GroenLinks-PvdA-fractie vragen op het punt van de bevindingen van KPMG ten aanzien van besluitvorming over RAM de staatssecretaris om een nadere reflectie op waarom er, ondanks bekende risico’s, meermaals is gekozen om RAM niet stop te zetten. Hoe is het belang van toezicht afgewogen tegenover het risico dat grondrechten worden geschonden? Waarom zijn er destijds geen alternatieve systemen uitgewerkt die RAM hadden kunnen vervangen met een hogere mate van beveiliging?

De leden van de GroenLinks-PvdA-fractie benadrukken op het punt van de besluitvorming door de Belastingdienst dat signalen over mogelijk risicovolle algoritmen altijd serieus moeten worden genomen. Veelal worden signalen wel intern afgegeven, maar vervolgens niet gecommuniceerd naar de politieke leiding. Waarom is dit destijds niet gebeurd? Welke maatregelen zijn er nu genomen om signalen wél politiek bespreekbaar te maken, ook als het ongemakkelijk is? Merkt de staatssecretaris dat de bereidheid om signalen te melden is toegenomen en wordt hier effectief op gehandeld?

De leden van de GroenLinks-PvdA-fractie vragen de staatssecretaris op het punt van omgang met RAM vergelijkbare analysesystemen of in het onderzoek naar de vijf systemen ook is gekeken naar strategische autonomie als onderdeel van de informatiebeveiliging. Zijn er in de verwerking, uitwisseling of opslag van gegevens in deze systemen strategische afhankelijkheden van één (niet-Europese) leverancier? Zo ja, wat doet de staatssecretaris om deze afhankelijkheden te verminderen?

De leden van de GroenLinks-PvdA-fractie vragen waarom het toepassen van logging en monitoring op (de meest risicovolle) systemen slechts een voornemen is en geen harde doelstelling. Vindt de staatssecretaris het wenselijk dat deze methoden worden gebruikt om zo verantwoording af te kunnen leggen over het verwerken van persoonsgegevens? Welke reden is er om deze methoden niet te gebruiken? Erkent de staatssecretaris dat het ontbreken van logging en monitoring in het onderzoek naar RAM zorgde voor gebrekkig inzicht? Is dat niet genoeg reden om dit nu als harde eis te hanteren bij soortgelijke systemen?

De leden van de GroenLinks-PvdA-fractie ontvangen over het onderzoek van de Autoriteit Persoonsgegevens graag meer informatie over het voorgenomen onderzoek van de Autoriteit Persoonsgegevens zodra de toezichthouder dit kan aanleveren.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met interesse kennisgenomen van de brief ‘Uitkomsten extern onderzoek Risico Analyse Model (RAM)’. Deze leden hebben nog enkele vragen.

De leden van de VVD-fractie lezen ten aanzien van lopende onderzoeken dat de Autoriteit Persoonsgegevens heeft aangegeven verder onderzoek te verrichten naar RAM. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schendig van de grondrechten heeft geleid. Wat is de stand van zaken van deze twee onderzoeken? Wanneer kan de Kamer de resultaten van deze twee onderzoeken verwachten?

De leden van de VVD-fractie lezen ten aanzien van de bevindingen van KPMG dat RAM mede is ontworpen om de controle van midden- en kleinbedrijven efficiënter en effectiever plaats te laten vinden, wegens een beperkte controlecapaciteit en het groeiende aantal MKB-bedrijven. Betekent dit dat er voornamelijk gegevens van MKB-bedrijven in RAM konden worden gevonden? Is RAM voornamelijk gebruikt om MKB-bedrijven te controleren? Heeft het gebruik van RAM geleid tot een effectievere en efficiëntere manier van controle? In welke mate heeft dit geleid tot extra administratieve lasten en/of regeldruk voor MKB-bedrijven?

De leden van de VVD-fractie lezen op het punt van verstrekken van gegevens uit RAM aan andere organisaties dat de Belastingdienst tegenwoordig beter zicht houdt op de gegevensverstrekking aan andere partijen. Welke stappen zet het kabinet om verbetermogelijkheden, zoals het periodiek evalueren van convenanten, aan te pakken? Ook lezen deze leden dat de naleving van de afspraken over het toezicht op de afspraken voor gegevensdeling binnen de Belastingdienst worden versterkt. Hoeveel fte is nodig voor dit toezicht? Hoeveel fte is nu gevuld voor dit toezicht? Hoe voorkomt het kabinet dat dit voor extra werkdruk zorgt voor de Belastingdienst?

De leden van de VVD-fractie lezen dat indien de noodzakelijkheid en evenredigheid zijn vastgesteld, van andere departementen wordt verlangd dat zij in hun eigen wetgeving voorzien in een grondslag voor de Belastingdienst om gegevens te morgen verstrekken voor dit specifieke doel. Wachten de departementen af totdat noodzakelijkheid en evenredigheid zijn vastgesteld, voordat de departementen in hun eigen wetgeving voorzien in een grondslag voor de Belastingdienst om gegevens te mogen verstrekken? Zo ja, zorgt dat niet voor een vertraging op het proces van gegevensverstrekking?

De leden van de VVD-fractie lezen op het punt van toezicht op fiscaal dienstverleners dat op dit moment een inventarisatie plaats vindt of de waarborgen op grond van de FD-monitor afdoende zijn. Wat is de stand van zaken van deze inventarisatie? Wanneer kan de Kamer een brief over de inventarisatie en de resultaten verwachten?

Vragen en opmerkingen van de leden van de NSC-fractie

De leden van de NSC-fractie danken de staatssecretaris voor de toezending van het KPMG-onderzoek, maar geven tegelijkertijd aan geschrokken te zijn van de bevindingen die het onderzoek van KPMG aan het licht brengen. RAM is jarenlang gebruikt op een wijze die structureel in strijd was met wettelijke eisen op het gebied van gegevensbescherming, beveiliging en archivering. Het gebruik van RAM vond plaats met onvoldoende waarborgen en zonder voldoende inzicht in de gevolgen voor burgers. Deelt de staatssecretaris deze opvatting?

De leden van de NSC-fractie nemen kennis van de reconstructie dat RAM vanaf 1998 groeide van een lokale toepassing tot een landelijk dataplatform met 69 gekoppelde databronnen. RAM-tabellen bevatten bijzondere persoonsgegevens, zo constateren deze leden. In de brief van de staatssecretaris wordt een voorbeeld gegeven van het gebruik van RAM ten behoeve van overheidsbrede samenwerkingsverbanden. De leden van de NSC-fractie vragen of de staatssecretaris kan aangeven in hoeverre RAM-extracties ook buiten de Belastingdienst zijn verspreid? Kan een overzicht worden gemaakt van de samenwerkingsverbanden waarbij RAM werd gebruikt als datavoorziening? In hoeveel procent van de gevallen betreft het hier samenwerkingsverbanden ten behoeve van de uitvoering van socialezekerheidsregelingen? Wat was het doel van deze samenwerkingsverbanden? In hoeverre is het aannemelijk dat de partijen die onderdeel waren van deze samenwerkingsverbanden ook buiten het samenwerkingsverband om gebruik maakten van deze data? Kan een overzicht worden gegeven van de convenanten die golden tussen voor deze samenwerkingsverbanden? Zijn er redenen om aan te nemen dat deze samenwerkingsverbanden onrechtmatig gebruik hebben gemaakt van deze data enkel door gebruikmaking van deze RAM-extracties? Kan de staatssecretaris specificeren welke gegevens wel via RAM beschikbaar waren, maar niet of niet in dezelfde combinatie verstrekt hadden kunnen worden zonder RAM? Betreft dit uitsluitend samengestelde risicoscores of ook bijzondere persoonsgegevens (zoals nationaliteit, fraudesignalen of strafrechtelijke gegevens)? Welke datagegevens zijn enkel in RAM beschikbaar?

De leden van de NSC-fractie merken ten aanzien van het punt van RAM in relatie tot wettelijke eisen en interne kader op dat in 14 van de 1.170 gevonden RAM-spreadsheets nationaliteit als selectiecriterium is gebruikt. Uit het commissiedebat Belastingdienst dat recent is gevoerd bleek bovendien dat deze 14 spreadsheets gezamenlijk circa 50.000 unieke burgerservicenummers (BSN’s) bevatten. Kan de staatssecretaris bevestigen dat deze BSN’s zijn geselecteerd (mede) op basis van nationaliteit? Is overwogen om burgers uit deze spreadsheets hierover te informeren? Wordt onderzocht of intern sprake is geweest van waarschuwingen of signaleringen omtrent het gebruik van deze specifieke spreadsheets?

De leden van de NSC-fractie constateren op het punt vam besluitvorming over RAM dat uit het KPMG-onderzoek naar voren komt dat de formele besluitvorming over RAM jarenlang diffuus is geweest. Eigenaarschap was niet vastgelegd, aansturing vond versnipperd plaats en het uitzetten van het systeem gebeurde zonder formeel besluit. De leden van de NSC-fractie vragen of de staatssecretaris een chronologisch overzicht kan geven van de formele en informele besluitmomenten rond RAM (invoering, uitbreiding, wijziging, uitfasering) en daarbij aangeven welke ambtelijke en/of bestuurlijke actoren daarbij betrokken waren. Is onderzocht of binnen de Belastingdienst waarschuwingen of signaleringen zijn gegeven over RAM die zijn genegeerd of onbeantwoord gebleven?

De leden van de NSC-fractie vragen op het punt van openbaarmaking van artikel 68 (Gw)-verzoek voor hoeveel documenten uiteindelijk de uitzonderingsgrond “tegen het belang van de Staat” is toegepast? Kan de staatssecretaris concreet aangeven welke belangen van de Staat in deze afweging een rol hebben gespeeld? Bijvoorbeeld: betrof dit operationele informatie over toezichtstrategieën, internationale afspraken of iets anders? Is overwogen om de desbetreffende documenten eventueel geanonimiseerd of gedeeltelijk beschikbaar te stellen?

De leden van de NSC-fractie vragen op het punt van het lopende onderzoek door de Autoriteit Persoonsgegevens (AP) of er zicht is op de reikwijdte en planning van het onderzoek van de AP?

De leden van de NSC-fractie zijn tot slot van mening dat het dossier-RAM vraagt om volledige transparantie, bestuurlijke rekenschap en herstel richting mogelijk getroffen burgers. Deze leden zien de beantwoording van deze vragen daarom met belangstelling tegemoet.

Vragen en opmerkingen van de leden van de DENK-fractie

De leden van de DENK-fractie hebben met grote zorg kennisgenomen van de Kamerbrief van 6 maart 2025 en de bijbehorende bijlagen over het Risico Analyse Model (RAM). De uitkomsten van het externe onderzoek, uitgevoerd door KPMG, bevestigen opnieuw dat sprake was van grootschalige onrechtmatige gegevensverwerking, gebrekkige governance en fundamenteel tekortschietend toezicht binnen de Belastingdienst.

Deze leden stellen vast dat het onderzoek opnieuw onderstreept wat zij reeds eerder naar voren brachten: burgers, met name mensen met een migratieachtergrond, zijn stelselmatig blootgesteld aan discriminerende risicoselectie op basis van nationaliteit, postcode en andere indirecte indicatoren. Deze leden vinden het onacceptabel dat dergelijke praktijken jarenlang konden plaatsvinden zonder duidelijke politieke of bestuurlijke verantwoording en vragen een kritische zelfreflectie van het kabinet omtrent deze zorgelijke ontwikkeling.

De leden van de DENK-fractie constateren dat bij het stopzetten van RAM geen adequate waarborgen zijn genomen om het systeem veilig te stellen voor verder onderzoek. Deze leden vragen het kabinet waarom bij het uitschakelen van RAM niet is gekozen voor het veiligstellen van het systeem ten behoeve van nader onderzoek. Wie heeft hierover het besluit genomen en betrof dit een kabinetsbesluit? Deze leden ontvangen graag een gedetailleerde tijdlijn van de afbouw tot en met de definitieve ontmanteling van RAM, inclusief de momenten waarop cruciale besluiten zijn genomen.

De leden van de DENK-fractie achten het essentieel dat de Kamer tijdig en volledig wordt geïnformeerd over eventuele discriminatoire elementen binnen overheidsbeleid. Daarom vragen deze leden op welke momenten de Kamer is geïnformeerd over de werking van RAM, specifiek omtrent het gebruik van nationaliteit als selectiecriterium of risico op vooringenomenheid. Zijn hierover waarschuwingen vanuit de dienst of toezichthouders ontvangen? Kunnen deze leden een exact feitenrelaas ontvangen?

Het feit dat RAM jarenlang zonder ingrijpen heeft kunnen functioneren, wijst volgens de leden van de DENK-fractie op structurele tekortkomingen binnen de Belastingdienst. Welke interne structuren en procedures, die tussen 1998 en 2018 hadden moeten functioneren om dergelijke praktijken te signaleren en te stoppen, hebben gefaald? Op welke momenten had het kabinet moeten ingrijpen en waarom heeft het kabinet dit niet gedaan?

Het onderzoek van KPMG toont aan dat grote hoeveelheden persoonsgegevens werden verwerkt binnen RAM. De leden van de DENK-fractie vragen van welke persoonsgerichte gegevens RAM-spoor 1 precies geschoond is. Kan het kabinet een uitsplitsing geven van hoeveel informatie over personen en bedrijven is verwerkt in RAM-spoor 1, 2 en 3?

De leden van de DENK-fractie constateren dat het kabinet stelt dat RAM deels in gebruik moest blijven voor toezichtdoeleinden, terwijl uit het KPMG-rapport blijkt dat slechts een beperkt aantal mensen toegang had tot de drie sporen van RAM. Hoe verhouden deze bevindingen zich tot elkaar? Uit het onderzoek blijkt dat RAM op verschillende punten niet voldeed aan wettelijke vereisten. Kan het kabinet per spoor (1, 2 en 3) specifiek toelichten aan welke wet- en regelgeving (onder andere de AVG, Archiefwet, Wet GBA en interne beleidsregels) niet werd voldaan?

De leden van de DENK-fractie constateren een zorgpunt uit het onderzoek dat alleen de datalogging vanaf 2017 met KPMG is gedeeld, hoewel RAM dus al langer actief was. Waarom is logging vanaf 2012 niet beschikbaar gesteld? Kan het kabinet garanderen dat hierdoor geen belangrijke constateringen gemist zijn en is zij bereid aanvullend onderzoek uit te voeren? Het "broedkamer"-systeem binnen de Belastingdienst kwam recentelijk in opspraak door een groot datalek,, constateren deze leden. Wat was hierbij de betrokkenheid van RAM?

De leden van de DENK-fractie constateren dat slechts 125 van de 167 aangeschreven personen deelnamen aan de interne enquête. Waarom hebben 42 personen niet deelgenomen en hoeveel van hen zijn nog steeds werkzaam bij de Belastingdienst of Douane?

Verder constateren de leden van de DENK-fractie dat er bij het onderzoek 35 spreadsheets aangetroffen zijn met gegevens over burgers en bedrijven. Waarom zijn deze niet direct meegenomen in het onderzoek? Hoeveel personen en bedrijven staan hierin vermeld? Kan een geanonimiseerde weergave van een representatief voorbeeld worden gedeeld, inclusief uitleg over wat bedoeld wordt met gegevens gebaseerd op postcode en in mindere mate achternaam? Uit het rapport blijkt ook dat bepaalde sectoren, zoals genoemd op pagina 130 (Project Lekkerbek, Beveiligingsbedrijven, Schoonmaakbranche en Taxibedrijven Amsterdam), intensief zijn gecontroleerd. Zijn deze projecten uitgevoerd met voldoende waarborgen tegen directe of indirecte discriminatie? Gezien de gebleken benadeling vragen deze leden ook hoe het kabinet gedupeerden actief informeert en compenseert. Overweegt het kabinet een schadefonds, vergelijkbaar met de toeslagenaffaire?

Om herhaling te voorkomen, vragen de DENK-leden welke maatregelen het kabinet neemt om invoering van vergelijkbare systemen te voorkomen. Wat wordt bijvoorbeeld gedaan om ervoor te zorgen dat in de toekomst alle dataverwerking tijdig en correct wordt gedocumenteerd en vastgelegd in registers? Welke concrete stappen zijn inmiddels gezet om de aanbevelingen van KPMG over privacybescherming en dataminimalisatie te implementeren? Worden nieuwe toezichtsystemen verplicht extern getoetst op discriminatie en proportionaliteit door bijvoorbeeld de Autoriteit Persoonsgegevens of het College voor de Rechten van de Mens? Is het kabinet bereid om periodiek te rapporteren aan de Kamer over de voortgang van de implementatie van deze aanbevelingen?

Tot slot benadrukken de leden van de DENK-fractie dat het RAM-dossier opnieuw aantoont dat fundamentele veranderingen nodig zijn binnen uitvoeringsorganisaties, waarbij transparantie, rechtsgelijkheid en respect voor grondrechten centraal staan. De leden van de DENK-fractie zullen deze inzet voortzetten richting kabinet en samenleving.

II Reactie van de bewindspersoon

Inleiding

Bijgaand treft u mijn inbreng voor het schriftelijk overleg dat de vaste commissie voor Financiën op 4 april 2025 voorlegde over mijn brief van 6 maart 2025 inzake de uitkomsten extern onderzoek Risico Analyse Model (RAM).

Daarnaast maak ik van de gelegenheid gebruik om in te gaan op de motie Van Vroonhoven en Inge van Dijk¹ over onder andere het informeren van burgers indien hun gegevens de afgelopen zes jaar onrechtmatig zijn verwerkt door de Belastingdienst. In mijn brief van 6 maart 2025 noemde ik dat de Belastingdienst om te voldoen aan de AVG, vanaf 2018 is gestart met de inzet van verbeteringen. Dat was te laat om aan de AVG te voldoen en de Belastingdienst zet nu ook nog steeds stappen om deze achterstand in te lopen. Dit zou kunnen betekenen dat een groot deel van de belastingplichtige burgers conform deze motie geïnformeerd moeten worden. Daarbij is nog wel bepalend welke definitie van “een onrechtmatige verwerking” van gegevens in systemen van de Belastingdienst gehanteerd wordt en wat de uitkomst is van onderzoek naar RAM-achtige systemen bij de Belastingdienst, zoals het onderzoek van de Autoriteit Persoonsgegevens hiernaar.

De motie verzocht daarnaast te onderzoeken of UWV algoritmes gebruikt vergelijkbaar met RAM en deze te beoordelen op rechtmatigheid. Dit verzoek is overgebracht aan de bewindspersoon van Sociale Zaken en Werkgelegenheid en hij zal u hierover informeren.

Ook licht ik toe hoe de Belastingdienst te werk gaat om mijn toezegging aan uw Kamer gestand te doen om binnen de Belastingdienst te onderzoeken of er nog spreadsheets van RAM bestaan die niet in het KPMG onderzoek naar voren zijn gekomen, deze spreadsheets veilig te stellen en ontoegankelijk te maken voor gebruik door medewerkers. De Belastingdienst maakt een plan hoe alle bestanden/data binnen de Belastingdienst effectief doorzocht kunnen worden op RAM spreadsheets. Zo wordt uitgezocht of de huidige software waarmee gezocht kan worden voldoende is om zo'n grote hoeveelheid data te analyseren of dat andere software nodig is. Om een beeld te geven: de Belastingdienst heeft alleen al op de plekken waar data in gedeelde werkomgevingen kan worden opgeslagen meer dan 1 miljard documenten. Dit is exclusief de persoonlijke werkomgevingen waar medewerkers ook hun werk kunnen opslaan. Om een zo zorgvuldig mogelijke zoekslag naar RAM-spreadsheets te doen, heb ik opdracht gegeven om ook in persoonlijke werkomgevingen van medewerkers deze zoekslag te doen. Voor deze zoekslag moet een traject met de Ondernemingsraad worden gestart, dat enige maanden in beslag neemt. Ik zal u informeren als dit traject is afgerond en een specifiekere doorlooptijd verbonden kan worden aan deze zoekslag.

Tot slot heb ik in de Kamerbrief ‘Uitkomsten extern onderzoek Risico Analyse Model’ van 6 maart jl. aan uw Kamer toegezegd om documenten die door KPMG zijn genoemd in het externe onderzoek met de Kamer te delen. De documenten vindt u in de bijlage van deze beantwoording. Daarmee rond ik het artikel 68 verzoek naar RAM zo volledig en transparant mogelijk af. Enkele documenten genoemd in het externe onderzoek kan ik vanwege het beschermen van de persoonlijke levenssfeer en toezicht- of inspectiegevoelige informatie niet (volledig) delen.

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

Met interesse heb ik kennisgenomen van de gemaakte opmerkingen en gestelde vragen van de leden van de fracties van GroenLinks-PvdA, VVD, NSC en DENK over de uitkomsten van het extern onderzoek naar het Risico Analyse Model (RAM). Ik ga hier onderstaand op in. Ik heb de vragen en opmerkingen opgedeeld in:

Algemeen
AVG-aspecten
Besluitvorming ten tijde van RAM
Gegevensverstrekking
Onderzoek naar gevolgen voor burgers van het gebruik van RAM
Verduidelijkende vragen over het KPMG onderzoek
Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD)
Onderzoek door Autoriteit Persoonsgegevens

Algemeen

De leden van de GroenLinks-PvdA fractie merken op dat de staatssecretaris schrijft dat ‘gevoelde maatschappelijke en politieke druk’ hebben geleid tot het gebruik en de datahonger van de overheid, waar de Kamer volgens deze leden en het rapport ‘Ongekend onrecht’ mede verantwoordelijk voor is geweest. Is het politieke bestel volgens de staatssecretaris voldoende bestand tegen soortgelijke patronen? Welke garanties kan de staatssecretaris geven dat dit niet nog een keer zal gebeuren?

Het rapport “Ongekend onrecht” heeft patronen blootgelegd die samen konden leiden tot de toeslagenaffaire. Na dit rapport zijn veel maatregelen genomen om tegen te gaan dat dergelijke patronen zich nogmaals voltrekken. Hierbij kan gedacht worden aan de wijze waarop signalen de ambtelijke- en politieke top en het parlement bereiken, behoorlijk bestuur, verbetering van de transparantie, informatiehuishouding, beleid en wetgeving. Met die genomen maatregelen lijkt het politieke bestel meer robuust om zoveel mogelijk te voorkomen dat een patroon van maatschappelijke en politieke druk tot fouten of ongewenste keuzes in de uitvoering leidt.

De leden van de GroenLinks-PvdA fractie vragen of de staatssecretaris de mening deelt dat het bestaan van een dergelijk totaaloverzicht als RAM met selectiemogelijkheden in essentie een risico vormt?

In het KPMG onderzoek naar RAM is niet vastgesteld dat burgers met een bepaalde nationaliteit buitenproportioneel hard zijn benadeeld, daar deel ik uw analyse niet. Ik deel wel met u dat massaal verzamelen van data in essentie een risico vormt, zeker als waarborgen ontbreken, zoals bij RAM. Om dat risico te verkleinen, moet er sprake zijn van doelbinding en dataminimalisatie, zodat alleen data wordt verzameld en gebruikt die nodig is voor de uitvoering van een specifieke taak.

De leden van de VVD fractie vragen of er voornamelijk gegevens van MKB-bedrijven in RAM konden worden gevonden? Is RAM voornamelijk gebruikt om MKB-bedrijven te controleren? Heeft het gebruik van RAM geleid tot een effectievere en efficiëntere manier van controle? In welke mate heeft dit geleid tot extra administratieve lasten en/of regeldruk voor MKB-bedrijven?

De leden van de VVD-fractie vragen of in RAM voornamelijk gegevens van MKB-bedrijven zijn opgenomen en of RAM is gebruikt om MKB-bedrijven te controleren en of dit heeft geleid tot een effectievere en efficiëntere manier van controle en tot extra administratieve lasten of regeldruk voor MKB-bedrijven.

Uit het KPMG onderzoek blijkt inderdaad dat RAM mede is ontworpen om de controle van MKB-bedrijven effectiever en efficiënter plaats te laten vinden, wegens een beperkte controlecapaciteit en het groeiende aantal MKB-bedrijven. RAM beperkte zich echter niet tot MKB bedrijven. Uiteindelijk was nagenoeg iedere belastingplichtige, burgers en bedrijven, in RAM vindbaar.

De manier waarop RAM daadwerkelijk is gebruikt heeft KPMG niet kunnen vaststellen wegens de lange historie van RAM, het feit dat het gebruik van RAM reeds zes jaar voor aanvang het onderzoek is stopgezet en het feit dat het RAM-systeem inclusief bijbehorende gegevens niet meer beschikbaar is. De vraag of RAM heeft geleid tot een effectievere en efficiëntere manier van controle is niet onderzocht. Het risicogericht combineren van meerdere bronnen in één systeem zal in ieder geval hebben geleid tot een beter en sneller overzicht van beschikbare informatie over belastingplichtigen. Of RAM heeft geleid tot extra administratieve lasten en/of regeldruk voor MKB-bedrijven is niet te beantwoorden, dit ligt onder andere aan de definitie van extra administratieve lasten en de manier waarom de Belastingdienst RAM heeft gebruikt, hetgeen niet is vastgesteld door KPMG.

Ik deel de opvatting van de NSC-fractie dat de bevindingen van KPMG over RAM ernstig zijn. In het commissiedebat Belastingdienst van 13 maart 2025 hebben we daar ook in soortgelijke termen met elkaar over gesproken. Het is onacceptabel dat de Belastingdienst RAM heeft gebruikt en zoals ik eerder heb aangegeven, betreur ik dat.

Het verleden kan ik niet veranderen. Als met RAM fouten zijn gemaakt die tot ernstige gevolgen voor burgers hebben geleid, zoals een schending van grondrechten, dan vind ik dat ik daar een verantwoordelijkheid heb. In paragraaf 5 ga ik in op het onderzoek dat nu naar een mogelijke schending van grondrechten gedaan wordt. In september van dit jaar verwacht ik u daar nader over te kunnen informeren. Daarnaast wil ik mij graag richten op het heden en de toekomst. Daar is nog veel werk te doen, onder andere op het gebied van de AVG, dit zal leiden tot een betere Belastingdienst voor burgers en bedrijven. Onder andere in de volgende paragraaf over AVG-aspecten komt dit aan bod.

AVG-aspecten

De leden van de fracties van GroenLinks-PvdA, VVD, NSC en DENK stellen diverse vragen over aspecten die gelieerd zijn aan AVG. In dit hoofdstuk zal ik deze beantwoorden. De vragen zal ik per onderwerp beantwoorden.

AVG en de omgang met gegevens

De leden van de GroenLinks-PvdA-fractie vragen of de staatssecretaris kan uitleggen hoe het kan dat het nut, de noodzaak en het gebruik van risicoscores in spreadsheets die KPMG aan heeft getroffen niet beschikbaar waren? Is de staatssecretaris het ermee eens dat het verwerken van persoonsgegevens altijd gemotiveerd moet zijn?

Bij de Belastingdienst wordt veel gewerkt met de gegevens van burgers en bedrijven. Daarbij is het natuurlijk essentieel dat de Belastingdienst zich houdt aan de geldende regelgeving met betrekking tot gegevensverwerking.

De leden van de GroenLinks-PvdA-fractie vragen of de staatssecretaris het met eens is dat doelbinding een basisprincipe is van het privacyrecht?

Doelbinding is een wettelijk vastgelegd principe, dit betreft Artikel 5 lid 1 sub b van de AVG. Ik deel uw opvatting dat het verwerken van persoonsgegevens altijd gemotiveerd moet zijn. Alle verwerkingen van persoonsgegevens moeten – zoals voorgeschreven door de AVG – een duidelijke grondslag en doel hebben en daarmee dus worden gemotiveerd. Bij de ontwikkeling van risicomodellen en selectieregels worden tegenwoordig dan ook bias- en fairnesstoetsen, mensenrechtentoetsen, en toetsen aan de AVG uitgevoerd door de Belastingdienst.

De leden van de GroenLinks-PvdA-fractie vragen welke gevolgen het heeft gehad voor burgers dat hun persoonsgegevens zijn gebruikt voor andere doeleinden dan waar zij toestemming voor hebben gegeven?

De Belastingdienst mag gegevens verzamelen die nodig zijn voor de uitvoering van zijn wettelijke taken en bevoegdheden, namelijk het heffen en innen van rijksbelasting en het uitvoeren van toezicht. Er is dan ook geen sprake van het geven van toestemming voor het verwerken van persoonsgegevens.

De Belastingdienst onderschrijft de ambitie om een gelijkwaardige informatiepositie te creëren tussen medewerkers enerzijds en burgers anderzijds volledig. Concreet wordt hier invulling aan gegeven door de realisatie van inzage in het fiscaal dossier, het programma dat voortvloeit uit het amendement Omtzigt op artikel 66a en in kader van het Belastingplan 2024 is aangenomen en actief inzagerecht voor burgers mogelijk maakt. Hierbij is het de ambitie van de Belastingdienst om ultimo 2025 voor burgers inzage te creëren in de gegevens van het belastingmiddel Inkomensheffing-Niet Winst. Tot aan 2030 wordt dit vervolgens via een ingroeimodel uitgebouwd naar de ontsluiting van alle belastingmiddelen.

KPMG heeft in haar onderzoek niet kunnen achterhalen welk nadeel burgers hebben ondervonden door gebruik van gegevens in RAM. Dit door het ontbreken van gestructureerde vastlegging in RAM en/of controledossiers van individuele belastingplichtigen. In paragraaf 5 “Onderzoek naar gevolgen voor burgers van het gebruik van RAM” van dit schriftelijke overleg ga ik daar nader op in.

De leden van de GroenLinks-PvdA-fractie vragen of er sinds de bewustwordings- en bijscholingscampagnes minder privacyschendingen zijn geweest? In hoeverre is dit de individuele verantwoordelijkheid van werknemers?

De leden van de DENK-fractie vragen welke concrete stappen er inmiddels zijn gezet om de aanbevelingen van KPMG over privacybescherming en dataminimalisatie te implementeren?

Het voldoen aan de AVG vraagt een continue inspanning van de Belastingdienst en zijn medewerkers. Daarom heeft de AVG afgelopen jaren binnen de organisatie veel aandacht gekregen. De Belastingdienst heeft een vaktechnische structuur ingericht waardoor er meer specialistische kennis over de AVG aanwezig is op de werkvloer. Van iedere medewerker bij de Belastingdienst wordt zorgvuldige omgang met gegevens in lijn met wet- en regelgeving verwacht. Medewerkers worden bij deze verantwoordelijkheid waar nodig geholpen vanuit de vaktechnische structuur privacy en door datacoördinatoren.

Ook het vergroten van bewustzijn over de omgang met gegevens heeft veel aandacht gekregen. Iedere medewerker volgt verplicht de trainingen voor het veilig en zorgvuldig omgaan met gegevens.² De leden van de GroenLinks-PvdA-fractie vragen of er sinds de bewustwordings- en bijscholingscampagnes op het gebied van de AVG minder privacyschendingen zijn geconstateerd. Dit is niet eenduidig te beantwoorden. Doordat de bewustwording met behulp van deze campagnes groter wordt, worden privacyschendingen mogelijk sneller gesignaleerd en zijn medewerkers beter geïnformeerd over hoe zij om moeten gaan met persoonsgegevens.

Waarborgenkader

De leden van de GroenLinks-PvdA-fractie informeren naar het waarborgenkader. Een waarborgenkader ‘waarbinnen gewerkt dient te gaan worden’ is volgens de leden van de GroenLinks-PvdA-fractie te vrijblijvend en te vaag om dit risico te ondervangen. Hoe gaat de staatssecretaris ervoor zorgen dat dit kader breed wordt nageleefd? Op welke termijn en schaal wordt dit kader ingezet?

In 2023 is het waarborgenkader selectie-instrumenten vastgesteld en zijn pilots uitgevoerd ten behoeve van het implementatietraject. Doel van dit waarborgenkader is het beter borgen van de rechtmatigheid en transparantie van de inzet van selectie-instrumenten. Het waarborgenkader kijkt onder andere naar de doelbinding, de methodiek en de evenredigheid van de inzet van het selectie-instrument. Het waarborgenkader is ook bedoeld om beter te voldoen aan de AVG- en BIO (Baseline Informatiebeveiliging Overheid) bij de inzet van selectie-instrumenten.

Door (recente) ontwikkelingen, zoals het algoritmeregister en de inwerkingtreding van de AI Act, is een actualisatie nodig van het waarborgenkader selectie-instrumenten. Het voornemen is om dit waarborgenkader van toepassing te laten zijn op alle vormen van gegevensverwerkingen, in plaats van alleen op selectie-instrumenten. Hiermee bewerkstelligt de Belastingdienst dat alle soorten van gegevensverwerking aan dezelfde kwaliteitseisen voldoen met eenzelfde interne beheersing en naleving van dit kader.

Ontwikkeling tot dit waarborgenkader kwaliteit gegevensverwerkingen gebeurt stapsgewijs, er is geen termijn gekoppeld aan wanneer dit volledig geïmplementeerd is. Startpunt is de kwaliteitszorg die nu al binnen de Belastingdienst is geïmplementeerd. Een voorbeeld hiervan is het kwaliteitsmanagementsysteem van de directie Datafundamenten en Analytics (DF&A) en de kwaliteitseisen uit het voortbrengingsproces van directie Informatievoorziening & Databeheersing (IV&D). Het kwaliteitsmanagementsysteem waarborgt dat de analytics producten die DF&A in opdracht voor de andere dienstonderdelen ontwikkelt, voldoen aan wetgeving en beleid, kwaliteits-, privacy- en architectuur-vereisten. Het IV&D voortbrengingsproces is zodanig georganiseerd dat (technologische) oplossingen pas kunnen worden ontwikkeld als voldaan is aan alle startvoorwaarden. Voorbeelden hiervan zijn de 'privacy vereisten' (zoals het maken van een dPIA), eisen vanuit integrale beveiliging en eisen ten aanzien van het gegevenstyperingsbeleid en de kwaliteitseisen aan gegevens.

Verwerkingenregister

De leden van de DENK-fractie vragen wat er bijvoorbeeld wordt gedaan om ervoor te zorgen dat in de toekomst alle dataverwerking tijdig en correct wordt gedocumenteerd en vastgelegd in registers?

Op dit moment wordt gewerkt aan het actualiseren, verbeteren en completeren van een centraal register van verwerkingen. Het streven is om het vernieuwde verwerkingenregister, dat eenvoudiger is bij te houden, nog dit jaar in gebruik te nemen. Ook wordt voor alle hoog risico gegevensverwerkingen een DPIA uitgevoerd, voor zover dit nog niet is gebeurd.

Logging & monitoring

Allereerst zal ik antwoorden op de vraag over het ontbreken van logging en monitoring in RAM. De Belastingdienst erkent dat het ontbreken van logging en monitoring in RAM resulteerde in gebrekkig inzicht. Daarom implementeert de Belastingdienst – waar passend – logging en monitoring in de systemen. Voor de geïdentificeerde “RAM-achtige” systemen wordt momenteel onderzocht welke technische (on)mogelijkheden bestaan ten aanzien van monitoring en logging. Voor één systeem (Klantbeeld Toezicht Applicatie) wordt de reeds beschikbare logging en monitoring direct geïmplementeerd.

Wel benadruk ik dat logging en monitoring niet per definitie in alle gevallen de meest efficiënte en effectieve methode is in het kader van het verantwoorden over toegang tot informatie. Het is namelijk voor de Belastingdienst op dit moment helaas niet haalbaar om voor alle applicaties logging en monitoring in te richten gezien het omvangrijke en deels verouderde applicatielandschap. Het inrichten van logging en monitoring op de meest risicovolle systemen is echter – waar technisch mogelijk - een harde doelstelling. Hierbij wordt gekeken naar methodes met zo min mogelijk impact op het ICT-portfolio. Daarbij wordt een aantal van die systemen binnenkort uitgefaseerd, waarmee andere tijdelijke mitigerende maatregelen effectiever zijn.

In het algemeen geldt dat de Belastingdienst per informatiesysteem– op basis van een risicoanalyse - kijkt welke maatregelen met betrekking tot de beveiliging effectief en efficiënt zijn. Dit is onder andere afhankelijk van de kenmerken van (soms verouderde) systemen en de daarin beschikbare gegevens. Op basis hiervan wordt vervolgens een combinatie van preventieve (zoals toegang op basis van need-to-know) en detectieve (zoals monitoring en logging) maatregelen getroffen. Bij het ontwikkelen van nieuwe systemen en processen wordt in het kader van “compliance en privacy by design” standaard de mogelijkheid tot loggen en monitoren geïmplementeerd.

Toegang tot informatie

De leden van de GroenLinks-PvdA-fractie zijn benieuwd waarom de Belastingdienst nu pas is begonnen met de realisatie van het need-to-know-principe en dataminimalisatie en vragen welke maatregelen er de komende jaren concreet genomen worden om hier aan bij te dragen.

De Belastingdienst hanteert het need-to-know-principe al een langere tijd. In 2017 is de Belastingdienst gestart met het programma “Need to know” met als doel een generieke voorziening te ontwikkelen die de Belastingdienst en zijn medewerkers kan ondersteunen bij het hanteren van het need-to-know-principe. Doordat er doorlopend (technische) ontwikkelingen plaatsvinden op het vlak van cloudgebruik, ondermijning en toezichtsprocessen zorgt de Belastingdienst ervoor dat hier continu aandacht voor is.

Om burgers en bedrijven beter te kunnen helpen en de dienstverlening verder te verbeteren kregen medewerkers in het verleden ruimer toegang tot systemen en gegevens. Dit maakte de Belastingdienst en zijn werknemers echter kwetsbaar voor ondermijning, zo bleek uit het rapport “Een weerbare Belastingdienst” van KPMG uit 2024 dat ook met uw Kamer is gedeeld.³ In dit kader zijn er diverse maatregelen genomen die onder te verdelen zijn in preventieve (bewustwording, autorisatieheer, etc) en detectieve (logging en monitoring) maatregelen. Overigens zijn niet alle (vaak verouderde) systemen ingericht vanuit dit principe. Met de moderniseringsopgaaf worden dit soort type systemen vervangen door systemen die in het ontwerp moeten voldoen aan dit principe.

De Belastingdienst heeft in het kader van het versterken van de weerbaarheid reeds duizenden autorisaties ingetrokken. Dit heeft met name plaatsgevonden op de risicovolle systemen. Daarnaast wordt er bij het verlenen van nieuwe autorisaties strenger gekeken of deze wel nodig zijn voor de betreffende functie. Ook vindt er – waar mogelijk - compartimentering plaats in de systemen. Het uitgangspunt is – om ervoor te zorgen dat medewerkers alleen gegevens kunnen inzien die zij nodig hebben voor de uitoefening van hun werkzaamheden.

Werken met algoritmen
De leden van de GroenLinks-PvdA fractie vragen of er een wetenschappelijke norm is voor deze toetsen? Worden alle risicomodellen die reeds in gebruik zijn ook voorzien van zo’n toets? Wat is het gevolg als een toets aantoont dat een model risicovol is?

De leden van de DENK-fractie vragen of nieuwe toezichtsystemen verplicht extern getoetst worden op discriminatie en proportionaliteit door bijvoorbeeld de Autoriteit Persoonsgegevens of het College voor de Rechten van de Mens?

De Belastingdienst ziet het belang en de urgentie in van duidelijke regels en richtlijnen op het gebied van de ontwikkeling en het beheer van algoritmes. Juist de verantwoorde inzet van risicoprofileringsalgoritmes binnen de overheid is gebaat bij gestandaardiseerde beheersmaatregelen. Dit is rijksbreed een gedragen inzicht. Hierom is wordt er ook vanuit het Nederlands Normalisatie Instituut (NEN) een Nederlands Technische Afspraak⁴ opgesteld.

De Belastingdienst heeft een ethisch team dat bestaat uit een Ethiek Officer, een Ethisch adviseur, een Business Analist, en twee Datascientists. Het team heeft als taak de directie DF&A van de Belastingdienst te adviseren en te ondersteunen, zodat de ethische kwaliteit van analytics producten geborgd wordt. Dat houdt in dat er bijvoorbeeld bij algoritmes wordt gekeken dat deze zo worden ontwikkeld en toegepast dat ze veilig, transparant en eerlijk functioneren.

Daarnaast is het team ambassadeur voor ethiek binnen de Belastingdienst. Vanuit die rol biedt het team ondersteuning en advies aan de organisatie. Ook wordt ondersteuning geboden in de vorm van aanbevelingen om de voorwaarden voor de inzet van een algoritme inzichtelijk te maken.

Binnen de Belastingdienst loopt momenteel een pilot om onbedoelde discriminerende effecten te voorkomen bij de ontwikkeling en inzet van algoritmes binnen de Belastingdienst. Daarin worden diverse instrumenten betrokken, zoals het model Impact Assessment Mensenrechten en Algoritmes (IAMA), het Rijksmodel DPIA en de handreiking Non-Discrimination by Design. De in de pilot geïntegreerde methode voor bias-analyse is ontwikkeld op basis van wetenschappelijke literatuur en kennisuitwisseling. Deze is voor advies voorgelegd aan de Adviescommissie Analytics van het Ministerie van Financiën⁵. De afgelopen twee jaar hebben verschillende modellen een bias- en fairnesstoets doorlopen. De Adviescommissie Analytics van het Ministerie van Financiën adviseert de Belastingdienst over bias- en fairnesstoetsing, omdat de ethische kwaliteit van een algoritme afhankelijk is van het bedrijfsproces waarin het wordt gebruikt.

De ethische kwaliteit van een algoritme kan daarbij niet los worden gezien van het bedrijfsproces waarin een algoritme gebruikt wordt. De impact van selectie door een algoritme, hangt immers sterk samen met het proces dat volgt op deze selectie en hoe dit mensen raakt. De uitkomst van een bias- en fairnesstoets dient interdisciplinair gewogen te worden. Er is daarmee geen eenduidig antwoord te geven op de vraag welke gevolgen verbonden worden aan de uitkomst dat een model mogelijk risicovol is.

Algoritmeregister
De leden van de GroenLinks-PvdA-fractie zijn benieuwd naar het vullen van het Algoritmeregister door de Belastingdienst. Welk aandeel van de gebruikte algoritmes zijn op dit moment geregistreerd? Zijn deze algoritmes altijd toegankelijk uitgelegd, zodat meteen duidelijk is met welk doel deze worden gebruikt?

De stand van zaken begin mei is dat met 35 publicaties 39 van de 86 publicatieplichtige algoritmes van de Belastingdienst zijn gepubliceerd. Voor de publicatie van de overige algoritmes is een planning opgesteld. De gepubliceerde algoritmes zijn te vinden in het algoritmeregister op algoritmes.overheid.nl.

Jaarlijks rapporteren alle departementen via het Jaarverslag Bedrijfsvoering Rijk (JBR) in het voorjaar over de voortgang van de vulling van het Algoritmeregister. Daarnaast zijn er dit jaar twee aanvullende rapportagemomenten op verzoek van uw Kamer. Elk departement stuurt voor de zomer een brief over de voortgang en BZK doet dat voor het geheel voor het einde van het jaar.

Bij elk algoritme in het register wordt gezorgd voor een begrijpelijke uitleg over het doel, de werking en de impact. Ook wordt er aandacht besteed aan de wettelijke basis en de verwerkte gegevens, waarbij de herkomst van die gegevens wordt benoemd.

Archiefwet

De leden van de GroenLinks-PvdA-fractie vragen waarom vernietigingstermijnen op grote schaal niet worden nageleefd? Wat is het doel van deze termijnen en wat zijn de kwalijke gevolgen als dit niet gebeurt? Deze leden vragen de staatssecretaris om duidelijk uit te leggen wat hij bedoelt met het ‘naar een hoger volwassenheidsniveau’ brengen van de Belastingdienst per 2026.

De aangetroffen spreadsheets uit RAM stonden als documenten op netwerkschijven waarop geen actief en/of geautomatiseerd archiefbeheer werd toegepast en/of stonden in niet toegankelijke archieven. Zoals toegelicht in mijn brief van 6 maart 2025, bevestigt de aanwezigheid van spreadsheets uit RAM in de archieven van de Belastingdienst dat de Belastingdienst zijn archiefbeheer niet op orde had. Het voldoen aan de Archiefwet moet dergelijke situaties voorkomen. Daarnaast zijn er inmiddels kaders vastgesteld voor de architectuur van de Belastingdienst die borgen dat bij de ontwikkeling van toekomstige systemen het creëren van spreadsheets uit reguliere applicaties niet meer mogelijk is. Huidige systemen met de mogelijkheid om spreadsheets te creëren worden zoveel als mogelijk uitgefaseerd.

Om te voldoen aan de Archiefwet en dus ook de vernietigingstermijnen dienen de vastgestelde en met het Nationaal Archief afgestemde selectielijsten integraal toegepast te worden. Het doel van deze termijnen is om lang genoeg over overheidsinformatie te beschikken zodat de werkprocessen uitgevoerd kunnen worden, de dienstverlening gegarandeerd is en hierover verantwoording afgelegd kan worden. Na het verstrijken van een in een selectielijst vastgestelde termijn moeten gegevens vernietigd worden. Vernietiging is van belang bij het voorkomen van onrechtmatig gebruik van persoonsgegevens en daarmee de naleving van de Archiefwet en de AVG. Ook blijft de hoeveelheid informatie beheersbaar, waardoor opgeslagen informatie sneller gevonden kan worden bij Woo verzoeken.

Onder het Rijksbrede programma Open op Orde voeren rijksorganisaties elk jaar een volwassenheidsmeting uit voor hun informatiehuishouding. De meting bestaat uit 32 vragen over de thema’s professionals, volume aan aard van informatie, informatiesystemen en bestuur en naleving. Dit resulteert in een volwassenheidsscore per vraag en thema van 1 tot 4 (ad hoc, herhaalbaar, gedefinieerd of gemanaged). Het streven is dat iedere rijksoverheidsorganisatie gemiddeld op niveau 3 tot 4 uitkomt. De Belastingdienst heeft als doel om in 2026 een volwassenheidscore van 3 (gedefinieerd) te realiseren. Dit betekent dat gewerkt wordt volgens de vereiste kaders.

Overig

Het ontstaan van LOA’s kwam voort uit ontoereikende digitale ondersteuning van medewerkers. Het bestaan van LOA’s ziet de Belastingdienst als onwenselijk. De Belastingdienst neemt de nog bestaande LOA’s voor bedrijfskritische processen via architectuur in beheer, waarbij ook de benodigde kennis voor het managen ervan wordt geborgd.

Deze bedrijfskritische LOA’s worden omgebouwd tot zogenoemde Robuuste Tijdelijke Voorzieningen waarbij de voorwaarden gelden uit het voortbrengingsproces van de informatievoorziening. Dit betekent dat de Belastingdienstbrede kaders en wet- en regelgeving ook op deze applicaties moeten worden toegepast en meer zicht moet ontstaan op de naleving hiervan. Zo wordt via de architectuur gegevensextractie uit systemen zeer beperkt toegestaan en expliciet beoordeeld.

In het onderzoek naar de vijf RAM-achtige systemen bij de Belastingdienst is niet gekeken naar strategische autonomie als onderdeel van de informatiebeveiliging. Overigens zal nagenoeg altijd een afhankelijkheid bestaan van een niet Europese leverancier.

Voor het handhaven en het bijbehorende toezichtsproces op Fiscaal Dienstverleners gebruikt de Belastingdienst de FD-monitor. De eerste inventarisatie naar het gebruik van de FD-monitor is recent afgerond. Hieruit komt naar voren dat het gebruik van de FD-monitor nog niet volledig aantoonbaar aan de wettelijke vereisten voldoet. Twee uitgevoerde “deep dives” geven het inzicht dat de restrisico's acceptabel zijn. Op basis van bevindingen in deze “deep dives” is besloten de FD-Monitor in gebruik te houden voor de dienstverlenende activiteiten (gesprekken door accountmanagers en relatiebeheerders met FD-kantoren), waarvoor de FD-monitor binnen de FD-benadering wordt ingezet. Verder is besloten de FD-monitor tot nader order niet te gebruiken voor de aanpak van niet-compliante Fiscaal Dienstverleners. Deze activiteit kan – in tegenstelling tot de hiervoor genoemde (dienstverlenende) activiteiten - wel leiden tot rechtsgevolgen voor burgers en bedrijven. Deze activiteit wordt weer opgestart wanneer het gebruik van de FD-Monitor in dit proces aantoonbaar in control is. De komende periode wordt gewerkt aan het beschrijven van de werkprocessen waarin de FD-monitor wordt gebruikt conform het kader Administratieve Organisatie en Interne Controle (AO/IC), om zodoende de werking van de processen aan te kunnen tonen. Daarbij zal ook nader advies gevraagd worden van medewerkers die werkzaam zijn in de AVG-vaktechnische lijn. In de volgende Stand-van-zakenbrief Belastingdienst die dit najaar aan uw Kamer wordt aangeboden zal een update worden gegeven rondom het gebruik van de FD-monitor.

De leden van de DENK-fractie vragen of het kabinet bereid is om periodiek te rapporteren aan de Kamer over de voortgang van de implementatie van deze aanbevelingen?

De afgelopen jaren heeft de Belastingdienst stappen gezet om meer beheersing te krijgen op AVG aspecten en privacybescherming. In de laatste stand-van-zakenbrief Belastingdienst van 6 maart 2025⁶ ben ik ingegaan op deze stappen. Daar heb ik ook aangegeven dat uw Kamer voor de zomer een separate brief ontvangt over de privacy-organisatie van de Belastingdienst.

Besluitvorming ten tijde van RAM

De leden van de NSC-fractie vragen of de staatssecretaris een chronologisch overzicht kan geven van de formele en informele besluitmomenten rond RAM (invoering, uitbreiding, wijziging, uitfasering) en daarbij aangeven welke ambtelijke en/of bestuurlijke actoren daarbij betrokken waren. Is onderzocht of binnen de Belastingdienst waarschuwingen of signaleringen zijn gegeven over RAM die zijn genegeerd of onbeantwoord gebleven?

De leden van de DENK-fractie vragen het kabinet waarom bij het uitschakelen van RAM niet is gekozen voor het veiligstellen van het systeem ten behoeve van nader onderzoek. Wie heeft hierover het besluit genomen en betrof dit een kabinetsbesluit? Deze leden ontvangen graag een gedetailleerde tijdlijn van de afbouw tot en met de definitieve ontmanteling van RAM, inclusief de momenten waarop cruciale besluiten zijn genomen.

De leden van de DENK-fractie vragen op welke momenten de Kamer is geïnformeerd over de werking van RAM, specifiek omtrent het gebruik van nationaliteit als selectiecriterium of risico op vooringenomenheid. Zijn hierover waarschuwingen vanuit de dienst of toezichthouders ontvangen? Kunnen deze leden een exact feitenrelaas ontvangen?

De leden van de DENK-fractie vragen welke interne structuren en procedures, die tussen 1998 en 2018 hadden moeten functioneren om dergelijke praktijken te signaleren en te stoppen, hebben gefaald? Op welke momenten had het kabinet moeten ingrijpen en waarom heeft het kabinet dit niet gedaan?

KPMG heeft circa één jaar onderzoek gedaan naar RAM, 1.500 documenten bekeken, enquête en interviews gehouden om de hoofdvragen uit het onderzoek te beantwoorden. Hoofdvraag twee betrof: “Een reconstructie van de besluitvorming die ten grondslag ligt aan de ontwikkeling, het gebruik en de beëindiging van RAM, de eventuele functionele voorgangers en opvolgers van RAM, alsook een inventarisatie van mogelijke vergelijkbare risicoanalysesystemen die nog niet aan een eerder (extern) onderzoek onderworpen zijn.”

In hoofdstuk 5 van het KPMG rapport is de besluitvorming beschreven, voor zover nog te achterhalen. Hiervoor zijn interviews gehouden met voormalige directeuren en directeuren-generaal van de Belastingdienst, andere betrokkenen bij de Belastingdienst en heeft documentonderzoek plaatsgevonden.

Over de besluitvorming inzake het uitschakelen van RAM en de ontwikkeling van opvolgers schrijft KPMG onder andere: “Vanaf 2016 nam de frequentie en inhoudelijke diepgang van overleg en besluitvorming over RAM op directieniveau toe, zijn verschillende onderzoeken naar RAM gestart, zijn beheersingsmaatregelen voorgesteld en is de komst van opvolgers van RAM besproken. In 2017 is besloten RAM in ieder geval uit te faseren voorafgaand aan de inwerkingtreding van de AVG. Uit de documentatie is naar voren gekomen dat RAM op 24 mei 2018, een dag voor de inwerkingtreding van de AVG, is uitgezet om te voorkomen dat met het gebruik van RAM niet werd voldaan aan de toentertijd aanstaande wettelijke privacyvereisten. Dat een risico bestond dat RAM mogelijk ook al lange tijd niet voldeed aan de vigerende Wbp hebben wij alleen in bovengenoemd “CDO Risico” document voor de concerndirecteuren in januari 2017 aangetroffen.

Medewerkers hebben destijds op directieniveau aangegeven dat RAM “onmisbaar” was. Alle in het kader van besluitvorming geïnterviewde leidinggevenden hebben aangegeven dat RAM niet eerder is uitgeschakeld, aangezien geen alternatief beschikbaar was voor gebruik in het toezicht en dat de continuïteit van het toezicht, bij afwezigheid van RAM ernstig, in het geding zou komen. Er is door het Directieteam Belastingdienst in april 2018 besloten tot het laten uitwerken van noodscenario’s en het uitschakelen van RAM direct voorafgaand aan de inwerkingtreding van de nieuwe privacywetgeving AVG.”

In het KPMG onderzoek is niet naar voren gekomen welke interne structuren en procedures hadden kunnen voorkomen dat RAM jarenlang in deze vorm gebruikt is. Wel zijn er factoren naar voren gekomen die bijgedragen kunnen hebben. Van 1998 tot 2010 was de beslissingsbevoegdheid over RAM decentraal belegd binnen de Belastingdienst, terwijl RAM inmiddels niet meer alleen een lokale applicatie betrof, maar landelijk werd gebruikt. Daarnaast prevaleerde het toezichtsbelang binnen de Belastingdienst. Beide maakte dat verschillende collectieve belangen, waar ook voldoen aan de wettelijke vereisten onder valt, moeilijk integraal afgewogen konden worden.

In mijn brief van 6 maart 2025 over RAM noemde ik reeds dat de Belastingdienst had kunnen signaleren dat het beperkingen in het toezicht ervoer en dit (politiek) bespreekbaar kunnen maken. Uit het KPMG rapport blijkt niet dat bewindspersonen of het Kabinet zijn betrokken in besluitvorming over RAM en blijkt evenmin of signalen hen bereikt hebben.

Uit een zoekslag in het archiefsysteem van het Ministerie van Financiën (Digidoc) blijkt dat in 2018 en 2019 RAM in een andere context naar voren kwam, namelijk bij het inzichtelijk krijgen van het ICT-portfolio van de Belastingdienst. RAM werd in die overzichten opgenomen als één van de vele applicaties onder de noemer dat het uitgefaseerd werd. Over het ICT-portfolio zijn bewindspersonen van het ministerie van Financiën geïnformeerd. In 2019 is de Tweede Kamer geïnformeerd⁷ over het ICT-portfolio van de Belastingdienst, waarbij in de bijlage “Zonnewijzers Belastingdienst” RAM als “te migreren” stond aangemerkt. Daarna is de Tweede Kamer geïnformeerd over RAM in relatie tot de FSV met een brief van 10 maart 2022⁸ en 29 maart 2022⁹ en bijbehorend onderzoek van PwC “Onderzoek effecten van FSV-registraties door directie MKB 2014-2019”. Logischerwijs is de Tweede Kamer geïnformeerd naar aanleiding van diverse vragen over RAM van leden van de Tweede Kamer en is de Tweede Kamer meermaals geïnformeerd over de aanbesteding en de uitvoering van het onderzoek naar RAM door KPMG. Voordien lijkt er geen specifieke communicatie met de Tweede Kamer over RAM te zijn geweest.

Ik besef dat enkele van uw vragen niet met het KPMG rapport beantwoord kunnen worden en daarnaast stel ik vast dat ik ook geen mogelijkheid zie om die antwoorden alsnog te krijgen. RAM speelde immers over een lange tijdsperiode en het uitgebreide onderzoek dat KPMG heeft gedaan, zie ik als ultieme poging om nog naar boven te halen wat bekend is over RAM, zeker gegeven het besluitvormingsproces een hoofdvraag in het KPMG onderzoek betrof.

Graag sta ik met u stil bij de verbeteringen die de Belastingdienst en het Ministerie van Financiën hebben doorgevoerd, die zoveel mogelijk helpen voorkomen dat we ons nogmaals gesteld zien voor een dergelijke situatie als met RAM. Allereerst zijn dit verbeteringen die zijn getroffen naar aanleiding van het rapport “Ongekend onrecht”, zoals in paragraaf 1 aangehaald. Met uitvoeringstoetsen heeft de Belastingdienst ruimte om aan te geven in hoeverre wetgeving uitvoerbaar is en met invoeringstoetsen of dit ook na invoering daadwerkelijk het geval bleek. De kwaliteit van wetgeving kent meer oog voor menselijke maat en het Integraal Afwegingskader voor beleid en regelgeving (IAK) vormt een waarborg voor die kwaliteit. Daarnaast is het herkennen, erkennen en opvolgen van signalen uit de uitvoeringspraktijk een belangrijk element. Daarvoor is onder andere het Loket Rechtsstatelijkheid opgezet bij de Belastingdienst en is er het Stella-team dat met een verbeterde werkwijze complexe casuïstiek behandelt. Ook zijn er manieren afgesproken om signalen onder de aandacht te brengen bij de ambtelijke en politieke top en zijn er wijzen van rapporteren aan de Tweede Kamer over dergelijke signalen afgesproken, zoals met de Stand van de uitvoering en met de Staat van de uitvoering. Tot slot is veel aandacht gegeven aan het realiseren van een cultuurverandering bij medewerkers van de Belastingdienst, onder andere met de leerlijn “Inzicht in eigen vooroordeel”, “Ruimte in het Recht door middel van de dialoog” en door teams te ondersteunen om een dialoog over uiteenlopende onderwerpen te voeren.

Met het programma besturing Belastingdienst en bijbehorende herinrichting van de topstructuur is de besturing van de Belastingdienst vereenvoudigd en verbeterd. De top van de Belastingdienst stuurt op strategische onderwerpen en er worden sneller besluiten genomen met een evenwichtige afweging tussen de verschillende collectieve belangen. Hierdoor worden Belastingdienst brede onderwerpen, zoals vaak met ICT-systemen of processen het geval is, aan de juiste tafel besproken en met hen die hierover een beslissing kunnen nemen.

In de dagelijkse praktijk ervaar ik dat regelmatig met de Belastingdienst spreek over zaken die goed gaan, maar ook zaken die minder goed gaan. Daar komen ook signalen aan bod. Afhankelijk van de impact van een signaal op burgers en bedrijven, treft u deze bijvoorbeeld aan in de stand-van-zakenbrief Belastingdienst die twee maal per jaar aan uw Kamer wordt gezonden.

De leden van de NSC-fractie vragen op het punt van openbaarmaking van artikel 68 (Gw)-verzoek voor hoeveel documenten uiteindelijk de uitzonderingsgrond “tegen het belang van de Staat” is toegepast? Kan de staatssecretaris concreet aangeven welke belangen van de Staat in deze afweging een rol hebben gespeeld? Bijvoorbeeld: betrof dit operationele informatie over toezichtstrategieën, internationale afspraken of iets anders? Is overwogen om de desbetreffende documenten eventueel geanonimiseerd of gedeeltelijk beschikbaar te stellen?

Alle documenten die binnen de scope van het artikel 68 verzoek vallen zijn verstrekt en er is daarmee geen beroep gedaan op de uitzonderingsgrond “tegen het belang van de Staat”. In een aantal documenten zijn specifieke passages gelakt vanwege toezicht- of inspectiegevoelige informatie. Dit is per gelakte passage aangegeven.

In de bij deze beantwoording gevoegde documenten genoemd door KPMG in het externe onderzoek zijn twee documenten niet gedeeld, omdat deze documenten volledig inspectie-, controle- of toezichtgevoelig zijn. Voor negen wel gedeelde documenten geldt dat er specifieke passages zijn gelakt onder dezelfde weigeringsgrond.

Gegevensverstrekking

De leden van de NSC-fractie vragen of de staatssecretaris kan aangeven in hoeverre RAM-extracties ook buiten de Belastingdienst zijn verspreid?

De leden van de NSC-fractie vragen of een overzicht kan worden gemaakt van de samenwerkingsverbanden waarbij RAM werd gebruikt als datavoorziening? In hoeveel procent van de gevallen betreft het hier samenwerkingsverbanden ten behoeve van de uitvoering van socialezekerheidsregelingen? Wat was het doel van deze samenwerkingsverbanden? In hoeverre is het aannemelijk dat de partijen die onderdeel waren van deze samenwerkingsverbanden ook buiten het samenwerkingsverband om gebruik maakten van deze data?

De leden van de NSC-fractie vragen of een overzicht kan worden gegeven van de convenanten die golden voor deze samenwerkingsverbanden?

In mijn brief van 6 maart 2025 heb ik aangegeven dat ik uit het KPMG onderzoek opmaak dat RAM een vehikel was om projecten die overheidsbreed werden uitgevoerd van data te voorzien. Er zijn gegevensverstrekkingen naar voren gekomen aan (KPMG rapport, paragraaf 3.3.4.2):

de Landelijke Aanpak Adreskwaliteit (LAA),
het Financieel Expertise Centrum (FEC),
de Regionale Informatie- en Expertisecentra (RIEC’s),
het Landelijk Informatie- en Expertisecentrum (LIEC),
de Landelijke Stuurgroep Interventieteams (LSI),
Infobox Crimineel & Onverklaarbaar Vermogen (iCOV),
Samenwerking op het gebied van BIBOB,
Citydeal Zicht op ondermijning,
Contraterrorisme (CT) infobox,
Knooppunt Zorgfraude.

Voor deze verstrekkingen zijn convenanten gesloten die ingezien kunnen worden op de website van de Belastingdienst¹⁰.

In de samenwerkingsverbanden RIEC, LIEC, LSI, iCOV en CT infobox zijn het ministerie van SZW, UWV of SVB deelnemer. Deze samenwerkingsverbanden zouden daarmee kunnen bijdragen aan de uitvoering van regelingen in het domein van de sociale zekerheid.

De tijdspanne van 20 jaar waarin RAM gebruikt is maakt het niet meer mogelijk om over die periode vast te stellen welke gegevens gedeeld zijn, met welke frequentie en aan welke samenwerkingsverbanden. Ook kunnen geen uitspraken gedaan worden in hoeverre de gegevens buiten een samenwerkingsverband gebruikt zijn.

De leden van den NSC-fractie vragen of er redenen zijn om aan te nemen dat deze samenwerkingsverbanden onrechtmatig gebruik hebben gemaakt van deze data enkel door gebruikmaking van deze RAM-extracties? Kan de staatssecretaris specificeren welke gegevens wel via RAM beschikbaar waren, maar niet of niet in dezelfde combinatie verstrekt hadden kunnen worden zonder RAM? Betreft dit uitsluitend samengestelde risicoscores of ook bijzondere persoonsgegevens (zoals nationaliteit, fraudesignalen of strafrechtelijke gegevens)? Welke datagegevens zijn enkel in RAM beschikbaar?

In mijn brief van 6 maart 2025 noem ik dat het gebruik van RAM beperkt voldeed aan waarborgen rondom gegevensbescherming, maar dat dit niet betekent dat verondersteld moet worden dat een dataverstrekking aan andere partijen per definitie onrechtmatig was. Voor een verstrekking van data aan deze en andere partijen waren – ook destijds – convenanten gesloten waarin is opgenomen welke data verstrekt kunnen worden en welke wet- en regelgeving daaraan ten grondslag lag. KPMG heeft overigens geen onderzoek gedaan naar deze convenanten. Zonder RAM hadden grotendeels dezelfde data verstrekt kunnen zijn als met RAM (uitgezonderd met RAM gegenereerde gegevens), alleen hadden dan data uit één of meerdere systemen van de Belastingdienst gecombineerd moeten worden. Naast een verantwoordelijkheid bij de verstrekkende partij, rust ook een verantwoordelijkheid bij de ontvangende partij als verwerkingsverantwoordelijke om ontvangen data te beoordelen op proportionaliteit en subsidiariteit.

Data die uitsluitend in RAM beschikbaar waren betroffen berekende velden met totalen en risicoscores die voor een fiscaal dienstverlener werden berekend. Alhoewel deze totalen en risicoscores zijn aangetroffen door KPMG in spreadsheets, heeft KPMG niet kunnen vaststellen of deze benut zijn en op welke wijze. Gezien de verstreken tijd en het feit dat KPMG het gebruik niet heeft kunnen vaststellen, zie ik geen mogelijkheid om dat inzicht alsnog te krijgen. Dat geldt ook voor de vraag of gegevens in een bepaalde combinatie al dan niet verstrekt konden worden.

De Belastingdienst heeft de ambitie de informatiehuishouding in 2026 op orde te hebben. Daartoe stuurt de Belastingdienst onder andere op de implementatie van de Wet open overheid (Woo), de implementatie van de (nieuwe) Archiefwet, de realisatie van een generiek platform voor document- en archiefbeheer (GDA) en een content service platform (CSP) voor de beleids- en ondersteunende processen.

De Belastingdienst heeft (in lijn met rijksbrede afspraken) een Chief Data Officer (CDO) die erop stuurt dat efficiënt en verantwoord wordt omgegaan met gegevens. Deze CDO geeft invulling aan datamanagement en borgt dat taken, bevoegdheden en verantwoordelijkheden helder zijn voor elke set van gegevens. De CDO stelt beleid, kaders, richtlijnen op en doet verbetervoorstellen voor de gehele levenscyclus (van creatie tot vernietiging) van gegevens.

De leden van de VVD-fractie vragen welke stappen het kabinet zet om verbetermogelijkheden, zoals het periodiek evalueren van convenanten, aan te pakken? Ook lezen deze leden dat de naleving van de afspraken over het toezicht op de afspraken voor gegevensdeling binnen de Belastingdienst worden verstrekt. Hoeveel fte is nodig voor dit toezicht? Hoeveel fte is nu gevuld voor dit toezicht? Hoe voorkomt het kabinet dat dit voor extra werkdruk zorgt voor de Belastingdienst?

Alle nieuwe convenanten zullen gaan voldoen aan het vastgestelde kader. Daarbij wordt expliciet aandacht gegeven aan evaluaties, wijzigingen of escalaties. Daarnaast zullen alle bestaande convenanten worden doorgelicht om te zien of ze voldoen aan het kader en waar nodig volgen aanpassingen. Verder zal worden geanalyseerd wat de stand van zaken is ten aanzien van de in de bestaande convenanten genoemde evaluaties. De verwachting is dat deze analyses voor 2026 zijn afgerond. U wordt in de stand-van-zakenbrief Belastingdienst in het najaar van dit jaar geïnformeerd over de actuele stand van deze analyse.

Onderzoek naar gevolgen voor burgers van het gebruik van RAM

De leden van de GroenLinks-PvdA fractie vragen of de staatssecretaris het eens is met KPMG dat het onmogelijk is om te achterhalen of er nadelige effecten voor belastingplichtigen hebben plaatsgevonden door risicoselecties te doen op basis van nationaliteit of ziet de staatssecretaris mogelijkheden om dit alsnog te doen?

De leden van de GroenLinks-PvdA fractie lezen dat selectie op basis van nationaliteit niet mag en dat de Belastingdienst eventuele gevolgen die dit heeft gehad dient terug te draaien. Zij vragen hoe de staatssecretaris dit verenigt met zijn constatering dat hij niet kan vaststellen of er wel of geen ongelijke behandeling heeft plaatsgevonden? Wat gaat de staatssecretaris doen om de Belastingdienst te ondersteunen in haar terechte poging om uit te zoeken of hier wél sprake van is geweest? Wanneer is volgens de staatssecretaris voldoende onderbouwd dat er definitief wel of geen sprake is geweest van ongelijke behandeling?

De leden van de VVD-fractie merken op dat de Belastingdienst onderzoekt of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schendig van de grondrechten heeft geleid. Wat is de stand van zaken van deze twee onderzoeken? Wanneer kan de Kamer de resultaten van deze twee onderzoeken verwachten?

De leden van de DENK-fractie constateren dat er bij het onderzoek 35 spreadsheets aangetroffen zijn met gegevens over burgers en bedrijven. Waarom zijn deze niet direct meegenomen in het onderzoek? Hoeveel personen en bedrijven staan hierin vermeld? Kan een geanonimiseerde weergave van een representatief voorbeeld worden gedeeld, inclusief uitleg over wat bedoeld wordt met gegevens gebaseerd op postcode en in mindere mate achternaam?

KPMG stelt dat eventuele nadelige effecten van het gebruik van RAM niet te duiden zijn. De Belastingdienst wil dit toch proberen uit te zoeken, omdat een schending van een grondrecht vergaand is. Ik zal toelichten welke gegevens in RAM spreadsheets zijn aangetroffen waar nader vervolgonderzoek door de Belastingdienst naar wordt verricht en wanneer ik verwacht de resultaten hiervan met uw Kamer te kunnen delen. Het onderzoek valt uiteen in twee delen: naar de 14 spreadsheets met een selectie op nationaliteit en naar 35 spreadsheets met een selectie op postcode.

De Belastingdienst gaat bij de 14 aangetroffen spreadsheets met een selectie op nationaliteit (dus niet louter het aanwezig zijn nationaliteit in een spreadsheet) na of aangiften van belastingplichtigen zijn geselecteerd op voor het (fiscale) toezicht relevante en objectief gerechtvaardigde gronden, mits er sprake is van een correctie op de aangifte of een navordering. Daarbij merk ik op dat het gebruik van nationaliteit slechts in een zeer beperkt aantal specifieke gevallen fiscaal relevant is, maar dat op dit moment niet is vastgesteld dat grondrechten zijn geschonden, dat zal het onderzoek moeten uitwijzen. Om dit te onderzoeken gebruikt de Belastingdienst de werkwijze die ontleend is aan de werkwijze om de Wet compensatie wegens selectie aan de poort uit te voeren en bestaat uit de volgende stappen:

Totstandkoming onderzoekspopulatie – Hierbij wordt inzichtelijk gemaakt welke burgers uit de populatie daadwerkelijk een correctie in hun nadeel op hun aangifte hebben gehad van het aangiftejaar in scope. Daarmee wordt de totale populatie van de veertien spreadsheets verkleind naar die groep die een nadelig effect heeft gehad.
Steekproef – Trekken van steekproef om inzicht te krijgen in de onderzoekspopulatie.

Geautomatiseerde analyse – Aan de hand van selectiecriteria (zoals aftrekposten vanuit de inkomensheffing, uitworpredenen (AKI-codes), e.d.) wordt inzichtelijk gemaakt of er fiscale en/of objectieve gronden zijn voor de selectie van aangiften. Dit gebeurt op het totaal van de onderzoekspopulatie. Ook wordt vastgesteld of de aangiften in de onderzoekspopulatie onderdeel zijn van een casus¹¹ waarvoor fiscale en/of objectieve gronden zijn vastgesteld.
Handmatige Analyse – Beoordelingskader – Het beoordelingskader wat toegepast is in de analyse bij Selectie aan de Poort wordt geactualiseerd en opnieuw toegepast in de handmatige beoordeling.
Handmatige Analyse – Herbeoordeling aangiften – Alle aangiften uit de steekproef waarvoor in de geautomatiseerde analyse (nog) geen fiscale en/of objectieve grond is geconstateerd worden handmatig herbeoordeeld aan de hand van het beoordelingskader.
Rapportage – Op basis van de uitkomsten van de analyse wordt inzichtelijk gemaakt of en zo ja, hoeveel aangiften uit de onderzoekspopulatie geen fiscale en/of objectieve gronden hebben. Dit biedt inzicht in de mogelijkheden en eventuele noodzaak van herstel.

Daarnaast verricht de Belastingdienst een juridische analyse waarbij het nagaat of 35 volgens KPMG aangetroffen spreadsheets met een selectie op postcode (eventueel in combinatie met huisnummer) mogelijk heeft geleid tot een schending van grondrechten of dat aannemelijk is dat sprake is van een fiscale en/of objectieve rechtvaardiging. Indien er sprake is van een dergelijke rechtvaardiging, worden de spreadsheets niet verder onderzocht. Indien er geen rechtvaardiging is, dan wordt het hierboven beschreven proces gevolgd dat ook toegepast wordt voor de 14 spreadsheets met een selectie op nationaliteit.

De Auditdienst Rijk bekijkt als onafhankelijke partij deze beide analyses naar spreadsheets waarbij is geselecteerd op nationaliteit en afhankelijk van de juridische analyse op postcode (eventueel in combinatie met huisnummer). De Autoriteit Persoonsgegevens heeft aangegeven deze analyses te volgen. In september 2025 verwacht ik uw Kamer over de uitkomst van deze analyse, de mogelijkheden en de eventuele noodzaak voor herstel te informeren.

De leden van de DENK-fractie vragen of gezien de gebleken benadeling hoe het kabinet gedupeerden actief informeert en compenseert. Overweegt het kabinet een schadefonds, vergelijkbaar met de toeslagenaffaire?

Bij gebleken noodzaak voor herstel, hoort ook een voorstel voor dekking hiervan. Het kabinet ziet geen noodzaak hiervoor een schadefonds te overwegen.

Medische gegevens behoeft een nadere uitleg. Dit betrof informatie die een belastingplichtige aanleverde ter onderbouwing van een aftrekpost voor specifieke zorgkosten. Hieruit konden medische gegevens worden afgeleid, bijvoorbeeld als een belastingplichtige aangaf de kosten van medicijnen tegen een bepaalde aandoening op te voeren. Daarmee is deze informatie fiscaal relevant indien het binnen de context van het beoordelen van een aftrekpost gebruikt werd. Overigens heeft KPMG in hun rapportage aangegeven dat er geen spreadsheets met deze gegevens zijn aangetroffen. Voor de beschikbaarheid van fiscaal strafrechtelijke gegevens geldt hetzelfde. Die zijn relevant in bepaalde uitvoeringsprocessen, maar irrelevant buiten die context. Daarmee is het beschikbaar zijn van deze gegevens op zichzelf bezien niet onrechtmatig.

De leden van de NSC-fractie vragen of de staatssecretaris kan bevestigen dat deze BSN’s zijn geselecteerd (mede) op basis van nationaliteit? Is overwogen om burgers uit deze spreadsheets hierover te informeren? Wordt onderzocht of intern sprake is geweest van waarschuwingen of signaleringen omtrent het gebruik van deze specifieke spreadsheets?

In mijn brief van 6 maart 2025 heb ik reeds bevestigd dat in 14 van de 1.170 aangetroffen spreadsheets gebruik gemaakt werd van eerste en/of tweede nationaliteit als selectiecriterium. Aangezien het niet duidelijk is waarvoor deze spreadsheets zijn opgesteld en of het gebruik van deze spreadsheets tot een schending van een grondrecht van een burger heeft geleid, zijn burgers die in deze spreadsheet voorkomen, (nog) niet geïnformeerd. In het KPMG rapport wordt geen melding gemaakt dat binnen de Belastingdienst waarschuwingen of signalen over deze specifieke spreadsheets zouden bestaan. Hier vindt geen aanvullend onderzoek naar plaats.

De leden van de GroenLinks-PvdA-fractie vragen op welke termijn de Belastingdienst andere omgevingen gaat doorzoeken om RAM spreadsheets op te sporen en te verwijderen? Hoe groot acht de staatssecretaris de kans dat er alsnog gebruik is gemaakt van deze data nadat RAM is stopgezet door het bewaard blijven van RAM spreadsheets?

De Belastingdienst werkt momenteel een aanpak uit om deze omgevingen te doorzoeken met als doel “RAM-spreadsheets” veilig te stellen en op de oorspronkelijke locatie ontoegankelijk te maken voor medewerkers. Om de enorme hoeveelheid bestanden te kunnen doorzoeken op de aanwezigheid van deze spreadsheets is het noodzakelijk om specifieke software in te zetten die nog moet worden ingericht. De Belastingdienst maakt hiervoor een plan en informeert u als een doorlooptijd aan de zoekslag verbonden kan worden.

Het gebruik van achtergebleven RAM-spreadsheets is niet uit te sluiten, mede doordat het gebruik van RAM-gegevens niet gestructureerd en/of in controledossiers van individuele belastingplichtigen is vastgelegd. Aangezien RAM in 2018 is uitgezet, was de achtergebleven data verouderd en heeft daarmee zijn waarde in het gebruik verloren.

Verduidelijkende vragen over het KPMG onderzoek

De leden van de DENK-fractie vragen van welke persoonsgerichte gegevens RAM-spoor 1 precies geschoond is. Kan het kabinet een uitsplitsing geven van hoeveel informatie over personen en bedrijven is verwerkt in RAM-spoor 1, 2 en 3?

De leden van de DENK-fractie merken op dat uit het onderzoek blijkt dat RAM op verschillende punten niet voldeed aan wettelijke vereisten. Kan het kabinet per spoor (1, 2 en 3) specifiek toelichten aan welke wet- en regelgeving (onder andere de AVG, Archiefwet, Wet GBA en interne beleidsregels) niet werd voldaan?

Voordat ik in ga op de drie sporen past eerst enige algemene achtergrond. Nadat RAM in mei 2018 is uitgezet bleef de behoefte aan een systeem als RAM dat wél voldeed aan de geldende wetten en regels rond informatiebeveiliging en gegevensdeling. Om alsnog aan deze toezichtstaak te voldoen, heeft de Belastingdienst vervangende voorzieningen voor RAM opgezet. Daarbij is steeds het uitgangspunt geweest dat deze vervangende sporen moesten voldoen aan de geldende wetten en regels, zoals de AVG. Daarom zijn drie verschillende scenario’s gelijktijdig uitgewerkt die hieronder worden toegelicht, het gaat om de zogenoemde sporen 1 t/m 3.

Over het proces van spoor 1 t/m 3

Het doel van Spoor 1 was het inrichten van een AVG-compliant en geschoonde kopie van de RAM-database. De in RAM opgenomen velden, die niet waren toegestaan op basis van de AVG, werden verwijderd. Desondanks bleef spoor 1 een uitgeklede kopie van RAM waar dezelfde bezwaren bleven gelden als bij RAM. Spoor 1 is daarom uitgeschakeld per mei 2019.

Binnen Spoor 2 werd uitsluitend gebruik gemaakt van de actuele gegevens uit een aantal transactiesystemen van de Belastingdienst. Daarom was de gedachte toentertijd dat dit aansloot op de AVG. Bij de ontwikkeling van Spoor 3 werd ingespeeld op de AVG-regels en werden niet meer gegevens opgenomen dan toegestaan. Toch is bij deze sporen onvoldoende voldaan aan randvoorwaarden rond vastlegging en documentatie, ook in relatie tot de AVG. Spoor 2 en Spoor 3 zijn daarom ook voortijdig beëindigd.

Over de informatie binnen spoor 1 t/m 3

Spoor 1 en Spoor 2 bevatten informatie uit meerdere transactiesystemen van de Belastingdienst. De verwerking van gegevens was gericht op het continueren van analyses voor toezicht binnen de Verhuurdersheffing, beoordelen van de belastingplicht van stichtingen en verenigingen, toezicht binnen ANBI-instellingen, toezicht op startende ondernemers en de controle op het ondernemerschap van MKB bedrijven. Ook werden beide sporen gebruikt om incidentele selecties te maken, ten behoeve van de van het toezicht.

Spoor 3 was een dataset met fiscale kerngegevens, bedoeld voor tactische en strategische analyses ter ondersteuning van het toezichtproces binnen de Belastingdienst rond onder andere branches. Dataminimalisatie vond verder plaats door de afbakening van de datagebieden, waarbij de analisten alleen toegang kregen tot data die paste bij de werkzaamheden die ze moesten uitvoeren. In Spoor 3 konden geen selecties gemaakt worden ten behoeve van gerichte controles.

Van Spoor 1 en Spoor 3 zijn (beschrijvingen van) de datasets nog beschikbaar, maar niet de bevragingen (scripts/queries) die op deze datasets werden gedaan. Welke data van die sets daarmee feitelijk is verwerkt, is daardoor niet meer te achterhalen. Voor Spoor 2 zijn zowel de (beschrijving van) datasets als de bevragingen niet meer beschikbaar.

Gegevenslevering aan medewerkers in het toezicht verliep bij RAM en bij de sporen 1, 2 en 3 op dezelfde wijze. Een beperkt aantal gebruikers had toegang tot deze systemen en zij maakten de gegevensleveringen voor de medewerkers in het toezicht.

De leden van de DENK-fractie vragen waarom logging vanaf 2012 niet beschikbaar is gesteld? Kan het kabinet garanderen dat hierdoor geen belangrijke constateringen gemist zijn en is zij bereid aanvullend onderzoek uit te voeren?

De logging van RAM is niet beschikbaar gesteld, omdat geen logbestanden beschikbaar zijn.

De leden van de DENK-fractie constateren dat het "broedkamer"-systeem binnen de Belastingdienst recentelijk in opspraak kwam door een groot datalek. Wat was hierbij de betrokkenheid van RAM?

Ik herken niet dat het project Broedkamer recentelijk in opspraak is gekomen wegens een datalek, gezien de Broedkamer sinds 2016 is opgehouden te bestaan. In het KPMG rapport is opgenomen dat sprake was van een datalek bij de Broedkamer. De Broedkamer en RAM maakten gebruik van dezelfde AWS-omgeving die gevoelig bleek voor datalekken. De directeur-generaal van de Belastingdienst besloot in juli 2017 om die reden tot het intrekken van alle RAM-autorisaties, waarna uitsluitend via een ontheffingsverzoek autorisatie kon worden verkregen.

Zoals de leden van de DENK-fractie opmerken is de enquête naar 167 personen verstuurd. Daaronder waren ook twee oud-medewerkers die zich zelf hebben aangemeld voor de enquête. In totaal hebben 125 medewerkers de enquête ingevuld. Er is door de 40 personen die de enquête niet hebben ingevuld niet aangegeven waarom zij dat niet hebben gedaan. Omdat de enquête anoniem en vrijwillig is afgenomen is niet bekend om welke reden medewerkers niet hebben deelgenomen aan de enquête en of zij nog werkzaam zijn bij de Belastingdienst, Toeslagen of Douane.

De leden van de DENK-fractie merken op dat uit het rapport blijkt dat bepaalde sectoren, zoals genoemd op pagina 130 (Project Lekkerbek, Beveiligingsbedrijven, Schoonmaakbranche en Taxibedrijven Amsterdam), intensief zijn gecontroleerd. Zijn deze projecten uitgevoerd met voldoende waarborgen tegen directe of indirecte discriminatie?

Over het project Lekkerbek heeft de Belastingdienst nadere informatie kunnen achterhalen. Over de andere genoemde projecten is geen nadere informatie beschikbaar gekomen. Daarbij moet in ogenschouw worden genomen dat deze projecten zich naar schatting 10 tot 15 jaar geleden hebben afgespeeld.

Project Lekkerbek betrof een lokaal project dat was gericht op mobiele viskramen. Het werkgebied van het betreffende kantoor van de Belastingdienst en de beperkte hoeveelheid bedrijven binnen deze branche bepaalde de keuze voor deze branche. Hierbij stond de (vrijwillige) naleving van fiscale verplichtingen centraal. Bij dit project zijn verschillende voorlichtingsbijeenkomsten voor de ondernemers georganiseerd. Daarna zijn er ook vraagbrieven verstuurd en hebben er bedrijfsbezoeken en boekenonderzoeken plaatsgevonden. RAM is in eerste instantie gebruikt om de regionale populatie actieve mobiele viskramen in kaart te brengen. Hiervoor is de branchecode gebruikt. Vervolgens zijn aan het populatiebestand gegevens uit RAM toegevoegd. Dit betreft aangifte-, betaal- en verzuimgegevens. Dit betreft met name de volgende gegevens:

Naam
Vestigingsadres
Rechtsvorm (EMZ, VOF, BV, etc.)
Fiscaal nummer (BSN, RSIN, BTW-nummer)
Gegevens winstaangifte IB/VPB (omzet, inkoopwaarde, kosten, investeringen)
Loongegevens (loonsom, aantal werknemers)
Verhoudingscijfers zoals loon/omzet en brutowinstpercentage (inkoopwaarde)
Aangifte- en betaalgedrag

In het regionale populatiebestand over de mobiele viskramen zijn vervolgens gegevens toegevoegd op basis van de antwoorden op de verzonden vragenbrieven en de rapportages van de bedrijfsbezoeken. Dit betreft informatie over de (kwaliteit van de) administratieve organisatie/interne beheersing, administratie- en bewaarplicht, personeelsbezetting, fiscaal dienstverlener en assortiment. Op basis van de gegevens uit RAM en de hiervoor genoemde gegevens is bepaald welke mobiele viskramen in aanmerking komen voor een boekenonderzoek. Dit betreft een beperkt aantal ondernemers van de regionale populatie. De selectie voor boekenonderzoek is gebaseerd op een combinatie van fiscale gegevens, bedrijfseconomische gegevens en gegevens over de kwaliteit van de gevoerde administratie, rekening houdend met aard en omvang van de onderneming en schaarse controlecapaciteit. Het doel was om deze keuze zo objectief mogelijk te bepalen en de beschikbare controlemiddelen efficiënt en effectief in te zetten (toepassen handhavingsregie). Naar het zich laat aanzien is dit project met waarborgen uitgevoerd en zie ik, mede gezien de gebruikte gegevens, geen aanleiding om (in)directe discriminatie te vermoeden.

Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD)

De leden van de GroenLinks-PvdA-fractie vragen of de Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD) ook voorziet in het recht van burgers om proactief te worden geïnformeerd over de persoonsgegevens die de overheid van hen verwerkt, of hier op aanvraag inzage in te krijgen?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD) beoogt een drieledig doel te dienen. Met de WGBTD wordt versteviging bereikt van de wettelijke grondslagen voor de gegevensverwerking door de genoemde uitvoeringsdiensten. Daarnaast voorziet het voorstel in aanvullende waarborgen bij die gegevensverwerking. Bovendien vergroot het voorstel de transparantie bij die gegevensverwerking. De aanvullende waarborgen die zullen worden geregeld met de WGBTD hangen hoofdzakelijk samen met de versteviging van wettelijke grondslagen om gegevens te verwerken. Binnen het kader van de ontwikkeling van dit wetsvoorstel is een analyse uitgevoerd. Uit die analyse is naar voren gekomen dat voor bepaalde (soorten) gegevensverwerkingen door de Belastingdienst versteviging van de grondslagen is gewenst¹². De voorgestelde WGBTD voorziet niet rechtstreeks in een inzagerecht. Recht op inzage in de verwerking van eigen persoonsgegevens vloeit voort uit de AVG. Wel zullen de aanvullende waarborgen die worden bepaald met de WGBTD eraan bijdragen dat de verwerking van persoonsgegevens door de genoemde uitvoeringsdiensten geschiedt op basis van preciezere grondslagen, met helderdere kaders. Dat brengt onder andere met zich dat verwerking van persoonsgegevens transparanter plaatsvindt, ten gevolge waarvan het recht op transparantie beter kan worden geëffectueerd, zoals met een verzoek om inzage.

De leden van de VVD-fractie vragen of de departementen afwachten totdat noodzakelijkheid en evenredigheid zijn vastgesteld, voordat de departementen in hun eigen wetgeving voorzien in een grondslag voor de Belastingdienst om gegevens te mogen verstrekken? Zo ja, zorgt dat niet voor een vertraging op het proces van gegevensverstrekking?

Een wettelijke grondslag om tot verstrekking van gegevens over te kunnen gaan dient noodzakelijk, evenredig, en voldoende specifiek te zijn. Bovendien is de fiscale geheimhoudingsplicht een zeer strikte. Doorbreking ervan is in beginsel niet geïndiceerd, behoudens in uitzonderlijke gevallen dat – onder andere – noodzaak en proportionaliteit van de verwerking van gegevens van de Belastingdienst voor niet-fiscale doeleinden zijn gemotiveerd. Het ligt hierbij in de rede dat het beleidsdepartement dat verantwoordelijk is voor de beoogd ontvanger van gegevens van de Belastingdienst die noodzaak en evenredigheid voldoende kan duiden, alvorens over te gaan tot ontwikkeling van een wettelijke verstrekkingsbasis. Aldus wordt de onwenselijke situatie uit de weg gegaan dat zeer privacygevoelige fiscale gegevens worden gedeeld zonder dat het beoogde doel duidelijk is geformuleerd. Bovendien zal de vraag naar ontvangst van gegevens in de regel eerst opkomen nadat de noodzaak ertoe is gebleken. Van vertraging zal dus geen sprake zijn, nu zonder vaststelling van noodzaak en proportionaliteit gegevensverstrekking immers nog niet aan de orde kan zijn.

Onderzoek door Autoriteit Persoonsgegevens

De leden van de NSC-fractie vragen op het punt van het lopende onderzoek door de Autoriteit Persoonsgegevens of er zicht is op de reikwijdte en planning van het onderzoek van de AP?

Deze verzoeken zijn overgebracht aan de AP en hij reageert als volgt:

“De AP voert een onderzoek uit naar RAM en de RAM-achtigen. De bevindingen worden naar verwachting voor de zomer openbaar gemaakt.

Voor RAM neemt de AP het rapport van KPMG als uitgangspunt. Nagegaan wordt in hoeverre is voldaan aan de Wet bescherming persoonsgegevens, uitgaande van de bevindingen uit het KPMG rapport.

De AP heeft daarnaast inzage verzocht in vijf applicaties van de Belastingdienst en één applicatie van de Douane die in het KPMG rapport als RAM-achtigen worden gekenmerkt en nog in gebruik zijn. Voor deze applicaties is de AP onder meer nagegaan welke (bijzondere) persoonsgegevens worden verwerkt, of er risicoselecties kunnen worden gemaakt, of een klantbeeld kan worden opgeleverd, of exports mogelijk zijn, hoe de juistheid van de gegevens wordt geborgd, of een DPIA is opgesteld en hoe de informatiebeveiliging is geregeld. Aan de bevindingen wordt de AVG norm gekoppeld die mogelijk geschonden is.”

Kamerstuk 31 066, nr. 1469↩︎
Inmiddels heeft meer dan 90% van de medewerkers van de Belastingdienst de hiervoor bestemde trainingen gevolgd.↩︎
Kamerstuk 31 066, nr. 1379↩︎
https://www.nen.nl/nieuws/actueel/start-ontwikkeling-nta--beheersmaatregelen-ten-behoeve-van-de-verantwoorde-inzet-van-risicoprofileringsalgoritmen-/↩︎
Kamerstuk 31 066, nr. 1463, bijlage Advies Datafundamenten

& Analytics↩︎
Kamerstuk 31 066, nr. 1465↩︎
Kamerstuk 31 066, nr. 486↩︎
Kamerstuk 31 066, nr. 982↩︎
Kamerstuk 31 066, nr. 992↩︎
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/intermediairs/toezicht/convenanten/convenanten_met_afnemers_van_informatie/convenanten_met_afnemers_van_informatie_van_de_belastingdienst ↩︎
Een casus betrof bijvoorbeeld een intermediair die aangiften voor belastingplichtigen (zijn klanten) indient met daarin hoge aftrekposten die niet onderbouwd konden worden door de intermediair en zijn klant.↩︎
Zie Kamerstuk 32 761, nr. 281↩︎