Preview document (🔗 origineel)

---

Geachte voorzitter,

Voor de Belastingdienst is het van groot belang dat de bescherming van persoonsgegevens structureel op orde is en blijvend aandacht krijgt. De afgelopen jaren zijn belangrijke stappen gezet om de privacybescherming te versterken en de naleving van de Algemene verordening gegevensbescherming (AVG) verder te verbeteren. In dat kader speelt het toezicht door de Autoriteit Persoonsgegevens een belangrijke rol.

Sinds 2024 hanteert de Autoriteit Persoonsgegevens (AP) een toezichtarrangement bij de Belastingdienst. Dit toezichtarrangement heeft als doel de duurzame verbetering van de bescherming van persoonsgegevens van burgers en bedrijven. Met het toezichtarrangement van de AP wordt een belangrijke volgende stap gezet om de Belastingdienst verder in control te brengen op het gebied van privacy en de naleving van de AVG. Over dit toezichtarrangement en de hieruit voortvloeiende onderzoeken en adviezen hebben mijn ambtsvoorgangers en ik uw Kamer al vaker geïnformeerd. In deze brief informeer ik uw Kamer over het jaarplan van dit toezichtarrangement voor 2026 en geef ik mijn reactie op drie recent ontvangen adviezen.

Jaarplan 2026 toezichtarrangement AP

Ook in 2026 voert de AP onderzoeken uit en levert de AP adviezen over verschillende aspecten van de omgang met persoonsgegevens en privacy bij de Belastingdienst. De aanbevelingen die voortkomen uit deze onderzoeken worden opgepakt, geïmplementeerd en daarna ook gemonitord. De AP kijkt ook naar de opvolging van de aanbevelingen. Deze aanbevelingen helpen de Belastingdienst om meer in control te komen op het gebied van privacy en de AVG. Uw Kamer wordt dus ook in de komende jaren regelmatig geïnformeerd over de onderzoeken en adviezen van de AP. De AP heeft voor 2026 een jaarplan opgesteld.

In bijlage 1 vindt u dit jaarplan. De AP gaat in 2026 aan de slag met de volgende projecten:

• Gegevensdeling: dit betreft een nieuw onderzoek over het delen van persoonsgegevens door de Belastingdienst met andere overheidsorganisaties en in samenwerkingsverbanden.

• Data Protection Impact Assessment (DPIA’s): dit betreft een nieuw onderzoek naar de resultaten van het inhalen van de achterstand van de Belastingdienst voor het uitvoeren van DPIA’s bij risicovolle verwerkingen.

• Geautomatiseerde risicoselectie/discriminatie: dit betreft een reactie van de AP op het plan van aanpak, opgesteld naar een eerder verzoek van de AP. Uw Kamer is hierover geïnformeerd in de Kamerbief van 10 september.

• Cultuur en gedrag: dit betreft een lopend onderzoek over de stappen die de Belastingdienst zet om ervoor te zorgen dat het belang van het grondrecht gericht op de bescherming van persoonsgegevens breed in de organisatie wordt uitgedragen en dat iedereen zich daarvan bewust is.

• Recht op inzage: dit betreft een onderzoek naar de vraag of de Belastingdienst voldoende regie heeft op het proces van het recht op inzage van burgers.

• BSN in betaalkenmerk/vorderingskenmerk: dit betreft een project naar het gebruik van burgerservicenummers in betalingskenmerken en vorderingsnummers.

• Omgang met signalen: dit betreft een advies naar aanleiding van een onderzoek dat inmiddels is afgerond en waarvan de Belastingdienst in januari 2026 de resultaten heeft ontvangen. In deze brief deel ik mijn reactie op dit onderzoek.

Hiernaast zal de AP volgens dit jaarplan ook de acties monitoren die de Belastingdienst naar aanleiding van eerdere onderzoeken heeft genomen. Dit gaat om de acties die zijn ondernomen naar aanleiding van de adviezen over de werking van de privacyorganisatie, het uitfaseren van Klantbeeld Toezicht Applicatie (KTA) en Informatiesjabloon, de Lokaal Ontwikkelde Applicaties (LOA’s), de controle op de logging, het verwerkingsregister en de voorbereiding op de inwerkingtreding van de AI-verordening.

Toezichtarrangement AP en versnelling AVG

Het toezichtarrangement van de AP draagt eraan bij dat de Belastingdienst meer in control komt op het gebied van privacy en de AVG. In de afgelopen jaren heeft de Belastingdienst hier al extra op ingezet. Deze versnelling bestaat gedeeltelijk uit een inhaalactie om met terugwerkende kracht de bestaande privacyrisico’s te mitigeren in het complexe bestaande proces- en applicatielandschap van de Belastingdienst. Hierbij is de AVG zo veel als mogelijk geïntegreerd binnen nieuwe systemen en processen. Tot slot is de juridische kennis geborgd binnen de organisatie via een vaktechnische infrastructuur die uit ruim 70 medewerkers bestaat en wordt er meer centrale regie gevoerd vanuit de Chief Privacy Officer en het ondersteunende team.

Mijn ambtsvoorganger heeft uw Kamer op 2 juli jl. geïnformeerd over de AVG en de privacyorganisatie van de Belastingdienst. Hierbij werd onder andere ingegaan op de ambities voor het jaar 2025. Deze ambities bestonden uit het actualiseren van het verwerkingenregister en het waar het nodig uitvoeren van DPIA’s op hoog risicoverwerkingen. Deze ambities zijn grotendeels behaald, waardoor de basis meer op orde is gebracht. In het eerste kwartaal van 2026 lopen nog enkele verbeteracties door. Bovendien is het verwerkingenregister en het bijhouden van de DPIA’s een continue proces. De AP wordt actief op de hoogte gehouden over de vorderingen rond het register van verwerkingen.

De hierboven genoemde doelstellingen van de Belastingdienst op het gebied van privacy komen ook terug in het jaarplan van de AP. Zo voert de AP komend jaar een onderzoek uit naar de door de Belastingdienst uitgevoerde DPIA’s en monitort de AP de werkzaamheden die de Belastingdienst uitvoert om het verwerkingsregister te actualiseren én actueel te houden. Op deze manier versterkt het toezichtarrangement de inspanningen van de Belastingdienst om sneller meer in control te komen op het gebied van privacy en de AVG.

Onderzoek AP omgang met signalen en meldingen (bijlage 2)

In de brief van de AP inzake het advies omgaan met signalen en meldingen over vermoedens van niet naleving van Belastingwetgeving, adviseert de AP om regie te houden op de verwerking van signalen en meldingen met vermoedens van niet-naleving. Bijvoorbeeld door alle signalen en meldingen bij binnenkomst bij de Belastingdienst op een centraal punt meteen van een eerste beoordeling of classificatie te voorzien op betrouwbaarheid en bruikbaarheid voor de taken van de Belastingdienst. Daarnaast stelt de AP dat de geadviseerde regie dient te bestaan uit duidelijkheid en herleidbaarheid van het meldingenproces, onderbouwd met beleid en werkinstructies. Ik beschouw de brief als een belangrijk advies. Het advies draagt namelijk bij aan de verdere ontwikkeling van de geautomatiseerde ondersteuning van verwerking van deze signalen en meldingen (het meldingenproces). Ook heeft het advies een brede uitwerking voor andereandere overheidsorganisatiesdie uitkeringen verstrekken en die vergelijkbare signalen en meldingen ontvangen over het mogelijk niet-naleven van wet- en regelgeving.

Ik onderschrijf de categorisering die de AP maakt tussen verschillende type signalen en meldingen en de inrichting van de verwerking hiervan. De verwerking van deze signalen en meldingen beperkt zich momenteel tot meldingen die van overheidsorganisaties worden ontvangen. Dit proces is conform de waarborgen van privacy by design ingericht, waarbij eerdere adviezen van de AP over de Tijdelijke Signalenvoorziening en de Functionaris Gegevensbescherming een centrale rol heeft gehad. Voor het meldingenproces zijn drie risicoassessments (DPIA’s) uitgevoerd die met elkaar samenhangen. De inrichting van het proces is conform de aanbevelingen van de AP in het onderhavige advies.

Verdere ontwikkeling van het meldingenproces vindt plaats, waaronder gedeeltelijke automatisering van het proces zodat de verwerkingen robuuster en efficiënter worden.

Voordat uitbreiding van betrokken overheidspartijen bij het meldingenproces plaatsvindt, wordt getoetst of deze uitbreiding voldoet aan de AVG. Op deze wijze waarborgt de Belastingdienst regie op de inrichting en uitvoering van het meldingenproces.

Onderzoek AP naar LOA’s en RTV’s (bijlage 3)

De AP heeft een onderzoek uitgevoerd naar Lokaal Ontwikkelde Applicaties (LOA’s) en Robuuste Tijdelijke Voorziening (RTV’s) bij de Belastingdienst. LOA’s en RTV’s zijn applicaties die buiten de reguliere IV-voortbrenging om zijn ontstaan, vaak om snel in te spelen op operationele behoeften. De AP heeft onderzocht in hoeverre het gebruik van deze applicaties in overeenstemming is met wet- en regelgeving, in het bijzonder de AVG en de BIO. In de begeleidende brief bij het rapport stelt de AP dat de Belastingdienst weliswaar structureel werkt aan het terugdringen van het gebruik van bedrijfskritische LOA’s, maar dat uit het onderzoek blijkt dat verdere verbeteringen noodzakelijk en mogelijk zijn. De AP concludeert dat er onvoldoende wordt gestuurd op het laten voldoen van LOA’s en RTV’s aan wet- en regelgeving over de bescherming van persoonsgegevens en dat er eenduidig richtinggevend beleid en centrale regie ontbreekt.

De Autoriteit Persoonsgegevens adviseert om het gebruik van LOA’s en RTV’s strakker te organiseren. Dat begint met het toetsen of de bestaande applicaties voldoen aan de AVG en de BIO en het uitvoeren van risicoanalyses waar dat nodig is (maatregel 1). Tegelijk moet de centrale regie vanuit de directie IV&D worden versterkt door duidelijke kaders te stellen en een centraal overzicht te creëren van (bedrijfskritische) LOA’s, zodat actief kan worden gestuurd op het terugdringen ervan (maatregel 2). Daarnaast verzoekt de AP om een concreet plan op te stellen en uit te voeren voor het omzetten van deze toepassingen naar reguliere applicaties, inclusief duidelijke criteria wanneer ze moeten worden beëindigd (maatregel 3). Tot slot moet de instroom van nieuwe (bedrijfskritische) LOA’s worden beperkt door gegevensleveringen uit bronsystemen aan banden te leggen en alleen in uitzonderlijke, bestuurlijk vastgestelde gevallen nieuwe LOA’s toe te staan (maatregel 4).

In reactie op deze adviezen van de AP blijft de Belastingdienst ook de komende periode sturen op het terugdringen van LOA’s. Het toetsen van LOA’s en RTV’s, zoals beschreven in maatregel één, zal worden uitgevoerd voor bedrijfskritische LOA’s en RTV’s. Daarbij zal de Belastingdienst het ontstaan van nieuwe bedrijfskritische LOA’s terugdringen, zoals beschreven in maatregel vier. Dit wordt versterkt door medewerkers actief te informeren over het beleid rondom LOA’s. De Belastingdienst werkt momenteel aan een plan van aanpak om deze aanbevolen maatregelen integraal te implementeren. Dit plan van aanpak zorgt voor een centraal overzicht van de momenteel bestaande LOA’s en RTV’s, versterkt de sturing op het vervangen en uitfaseren hiervan en beperkt het ontstaan van nieuwe LOA’s en RTV’s. Uw Kamer wordt via de periodieke stand-van-zakenbrieven geïnformeerd over de vorderingen op dit plan van aanpak.

AP onderzoek logging en monitoring (vertrouwelijke bijlage)

In 2025 heeft de AP een onderzoek naar logging, monitoring en autorisatiebeheer binnen de Belastingdienst uitgevoerd. Centraal in het onderzoek stond de mate waarin de Belastingdienst voldoet aan de verplichting om een passend beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens, specifiek door toepassing van bovengenoemde beveiligingsonderdelen.

Op 7 januari jl. heeft de AP dit onderzoek afgerond en haar bevindingen met mij gedeeld. In het kader van informatiebeveiliging en weerbaarheid ontvangt u de bevindingen van de AP en mijn reactie hierop, als vertrouwelijke bijlage bij deze Kamerbrief. Deze bijlage heb ik bij uw Kamer ter inzage gelegd.

Tot slot wil ik uw Kamer mededelen dat uw Kamer binnenkort mijn reactie ontvangt op het onderzoek van de AP over (geautomatiseerde) selectie-instrumenten, zoals aangekondigd in de Kamerbrief van 10 september jl. Uiteraard blijf ik uw Kamer regelmatig informeren over de AP en privacy bij de Belastingdienst via de stand-van-zakenbrieven. Hierin informeer ik uw Kamer ook over de opvolging van de door de AP gegeven adviezen in het kader van het toezichtarrangement.

Hoogachtend,

de staatssecretaris van Financiën - Fiscaliteit, Belastingdienst en Douane, Eugène Heijnen