Preview document (🔗 origineel)

---

Geachte voorzitter,

De Belastingdienst werkt met grote aantallen gegevens van burgers en bedrijven. Deze gegevens heeft de Belastingdienst niet alleen nodig om het heffen en innen van belastingen en premies mogelijk te maken en toezicht te houden, maar ook om burgers en bedrijven te kunnen ondersteunen bij hun fiscale vragen. Het is daarbij noodzakelijk dat de Belastingdienst zich houdt aan geldende regelgeving voor de verwerking van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG).

In de stand-van-zakenbrief Belastingdienst van 6 maart jl. is uw Kamer voor het laatste geïnformeerd over de stand van zaken rondom de AVG. Hierbij heb ik uw Kamer toegezegd om u te informeren over de privacyorganisatie van de Belastingdienst. In deze brief zal ik u nader informeren over de stappen die de Belastingdienst zet en heeft gezet in het kader van het versterken van de privacyorganisatie. Ook informeer ik uw Kamer met deze brief over de laatste stand van zaken en ambities op het gebied van de AVG bij de Belastingdienst.

Leeswijzer
Met deze brief wil ik uw Kamer in detail meenemen in hoe de privacyorganisatie is ingericht, welke verbeteringen er zijn doorgevoerd en welke toekomstige ambities de Belastingdienst heeft op dit gebied. Eerst zal ik ingaan op de voortgang die de Belastingdienst heeft geboekt en op de herijking van de privacyorganisatie – onder andere met behulp van adviezen van de Autoriteit Persoonsgegevens (AP). Daarna ga ik in op de ambities die de Belastingdienst heeft op het vlak van de AVG en privacy voor 2025 en verder.

Tot nu toe bereikte resultaten

Sinds 2018 is de AVG van toepassing. De AVG schrijft een zorgvuldige omgang met persoonsgegevens van burgers voor. Vanwege het grote aantal gegevens dat door de Belastingdienst wordt verwerkt en vanwege het deels verouderde ICT-landschap is dit een belangrijke en complexe verplichting. Dit kost tijd, capaciteit en middelen. De afgelopen jaren is er een versnelling in het proces doorgevoerd om zo snel mogelijk in control te komen op AVG-gebied. Dit bestaat gedeeltelijk uit een inhaalactie om met terugwerkende kracht de bestaande privacyrisico’s te mitigeren in het bestaande proces- en applicatielandschap van de Belastingdienst. Ook bestaat deze versnelling uit het proactief integreren van de AVG in nieuwe systemen en processen door middel van ‘privacy by design’.

De privacyorganisatie van de Belastingdienst

Het voldoen aan de AVG en het borgen van privacy is een verantwoordelijkheid van alle medewerkers van de Belastingdienst. Om hen hier zo goed mogelijk in te ondersteunen heeft de Belastingdienst de afgelopen jaren flink geïnvesteerd in de eigen privacyorganisatie. De privacyorganisatie van de Belastingdienst is een aanvulling op de kaders van het besluit CIO-stelsel Rijksdienst en het departementale privacybeleid.

Op 23 december jl. heeft de AP de conclusies van haar onderzoek naar de privacyorganisatie van de Belastingdienst gedeeld. Uw Kamer heeft hier op 13 januari jl. een afschrift van ontvangen.¹ Hierin gaf de AP aan dat er in de afgelopen jaren positieve ontwikkelingen zichtbaar waren, maar dat er ook zorgen waren rondom de beperkte centrale regie, het beleggen van verantwoordelijkheden en de invulling van taken. Daarom adviseerde de AP om de governance van de privacyorganisatie te herijken en versterken.

Op 8 april jl. is de nadere invulling van deze governance door de Belastingdienst vastgesteld. Hierin zijn de taken en verantwoordelijkheden beschreven van de verschillende functionarissen in de organisatie, die allemaal hun eigen rol hebben binnen het vakgebied. Deze governance verduidelijkt de rapportagelijnen en fungeert als een verbindende laag tussen kaderstellers, uitvoering en fiscaliteit. Dit leidt tot meer grip op de bescherming van persoonsgegevens zonder dat heffing-, inning-, en toezichtprocessen onnodig worden beperkt. De centrale regie is nu belegd bij de Chief Privacy Officer. Hiermee wordt een belangrijke randvoorwaarde bereikt voor het meer in control komen op het gebied van de AVG. Uiteraard blijft de Belastingdienst in gesprek met de AP en volgt in het najaar nog een gesprek naar aanleiding van hun brief en de door de Belastingdienst gezette stappen.

Naast het aanscherpen en versterken van de privacyorganisatie heeft de Belastingdienst ook andere belangrijke resultaten bereikt op het gebied van AVG en privacy. De AVG laat zich onderverdelen in de juridische eisen en beginselen, de rechten van betrokkenen en de overige verantwoordelijkheden voor de verwerkingsverantwoordelijke. Daarom worden de behaalde resultaten hieronder langs deze lijnen toegelicht.

Juridische eisen en beginselen

Het voldoen aan de AVG vraagt een continue inspanning van de Belastingdienst en zijn medewerkers. Een van de belangrijkste uitgangspunten is de juridische toetsing op de grondbeginselen van de AVG. Om die goed uit te kunnen voeren is het belangrijk dat er voldoende kennis en expertise op dat vlak aanwezig is. Daarom heeft de Belastingdienst een vaktechnische structuur ingericht waardoor er meer specialistische kennis over de AVG aanwezig is op de werkvloer om aan de juridische beginselen van de AVG te kunnen voldoen. De vaktechnische structuur helpt medewerkers bij juridische vragen op het grensvlak tussen de AVG en de fiscaliteit.

In de afgelopen jaren is deze vaktechnische infrastructuur neergezet, waardoor deze bestaat uit ongeveer 70 medewerkers. Daarnaast werken er bij iedere directie een of meer datacoördinatoren die de verschillende managementteams adviseren over privacymanagementvraagstukken en meer helderheid scheppen over het toepassen van bestaande privacykaders. Tot slot wordt de Chief Privacy Officer, de hoofdverantwoordelijke binnen de Belastingdienst voor privacybeleid en -strategie, ondersteund door tien medewerkers. Dit alles is vastgelegd in de vastgestelde privacygovernance.

De rechten van betrokkenen

Binnen de Belastingdienst wordt op dit moment het huidige proces en de monitoring van het afhandelen van inzageverzoeken in het kader van rechten van betrokkenen (hierna: AVG-verzoeken) verder verbeterd en doorontwikkeld. Deze verbeteracties richten zich voornamelijk op het inrichten van een wijze van het monitoren van de afhandelingstermijnen van de AVG-verzoeken en het stroomlijnen van de binnenkomst van de AVG-verzoeken.

De overige verantwoordelijkheden

De Belastingdienst heeft verschillende stappen ondernomen om de eigen verantwoordelijkheid beter te borgen. Zo is er inmiddels sprake van ‘privacy by design’ bij de voortbrenging van nieuwe processen en systemen. De modernisering leidt er zo toe dat privacy steeds meer geïntegreerd raakt in de bedrijfsvoering.

Ook heeft de Belastingdienst recent het eigen datalekproces herijkt conform het advies hierover van de AP², door de door de AP genoemde aanbevelingen puntsgewijs op te pakken. Zo wordt het BSN van de melder niet meer standaard geregistreerd, wordt de Functionaris Gegevensbescherming (FG) van het ministerie van Financiën intensiever betrokken bij de afhandeling van datalekken en wordt nog meer ingezet op bewustwording bij medewerkers, specifiek naar aanleiding van datalekken.

Tenslotte is de AVG ook verankerd in de Online Security Awareness Game, de voor medewerkers verplichte cursussen over online veiligheid en de omgang met persoonsgegevens.

Bedrijfsprocessen

In de afgelopen jaren heeft er een grote actie plaatsgevonden op alle ruim 700 bedrijfsprocessen van de Belastingdienst. Daarover bent u voor het laatst geïnformeerd in de stand-van-zakenbrief Belastingdienst van 6 maart jl.³ De bedrijfsprocessen zijn allereerst in kaart gebracht en daarna in opzet langs de hoofdlijnen van de AVG getoetst. Hierbij is hoofdzakelijk gekeken naar de procesbeschrijvingen en -documentatie, maar nog niet naar de werking. De Belastingdienst heeft daardoor een helder beeld gekregen over waar binnen de opzet van processen belangrijke aspecten van de AVG nog onvoldoende worden meegenomen. Hiermee ontstaat een duidelijk beeld van de acties die verder nodig zijn om meer in control te komen op de AVG. Waar nodig zijn alle hoog risico tekortkomingen direct in de procesbeschrijvingen gemitigeerd met structurele of tijdelijke maatregelen.

Ambities voor 2025

Uit deze toetsingen en de resterende tekortkomingen blijkt dat, om de privacy-beheersing ook wat betreft werking verder te versterken, de twee belangrijkste volgende stappen zijn: het actualiseren van het verwerkingenregister en het uitvoeren van aanvullende Data Protection Impact Assessments (DPIA’s) op hoog risicoverwerkingen.

Daarom worden door de Belastingdienst in 2025 de volgende acties uitgevoerd:

1. Het actualiseren van het verwerkingenregister. Het verwerkingsregister bevat informatie over de verwerkingen van persoonsgegevens. Dit overzicht draagt bij aan de versterking van de privacybeheersing. Momenteel zijn de verwerkingen per bedrijfsproces uitgevraagd en vindt er hierop een kwaliteitscontrole plaats zodat de Belastingdienst uiteindelijk een centraal, uniform overzicht van de verwerkingen ontstaat. Wanneer dit overzicht definitief is, zal de Belastingdienst het actief onderhouden. De AP kijkt mee op het actualiseren van dit verwerkingenregister. Het gevulde en gecontroleerde verwerkingenregister zal ook worden aangeboden aan de AP en FG in het derde kwartaal van 2025.

2. Ook wordt er gekeken op welke verwerkingen op grond van de AVG een DPIA moet worden uitgevoerd en dit nog niet gedaan is. Dit zijn de verwerkingen waarbij er sprake is van een hoog risico voor de rechten en vrijheden van de betrokkenen.

3. Wanneer deze toetsing is voltooid, wordt indien nodig de DPIA gemaakt, centraal aangeleverd en geregistreerd in het register van verwerkingen, zodat er een centraal inzicht ontstaat op de risico’s voor de betrokkenen. Deze DPIA’s worden vervolgens actief onderhouden, waarbij er om de paar jaar wordt gekeken of de risico’s van de verwerking gewijzigd zijn.

De toekomst van de AVG bij de Belastingdienst

Wanneer deze acties zijn uitgevoerd is de Belastingdienst beter in control op de AVG. Dit betekent dat de Belastingdienst meer gestructureerd inzicht heeft op de meest risicovolle verwerkingen en ook op de te treffen mitigerende maatregelen.

In control komen op AVG-gebied vergt meer dan alleen de uit te voeren acties in 2025. Wanneer er risico’s voortkomen uit de uitgevoerde DPIA’s moeten deze zo snel mogelijk worden gemitigeerd. Deze acties lopen mogelijk door tot na 2025. Ook vraagt het blijvende aandacht voor de AVG in het bijzonder en privacy in het algemeen. Dit doet de Belastingdienst onder andere door middel van bewustwordingscampagnes en opleidingen en het herijken van bestaande beleidskaders en het monitoren van de naleving daarvan.

Uiteraard blijf ik uw Kamer regelmatig informeren over de AVG via de stand-van-zakenbrieven. Hierin informeer ik uw Kamer ook over de opvolging van de door de AP gegeven adviezen in het kader van het toezichtarrangement. Als vervolg en verdieping op deze brief bied ik uw Kamer graag een technische briefing aan over dit onderwerp.

Hoogachtend,

de staatssecretaris van Financiën - Fiscaliteit, Belastingdienst en Douane, T. van Oostenbruggen

---

1. Kamerstukken II, 2024/25, 32761, nr. 311↩︎

2. Kamerstukken II, 2024/25, 32761, nr. 311↩︎

3. Kamerstukken II, 2024/25, 31066, nr. 1463↩︎