Kabinetsreactie op het rapport van de Autoriteit Persoonsgegevens over Fraude Signalering Voorziening (FSV)
Belastingdienst
Brief regering
Nummer: 2021D40670, datum: 2021-10-29, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-31066-911).
Gerelateerde personen:- Eerste ondertekenaar: J.A. Vijlbrief, staatssecretaris van Financiën
- Advies inzake de privacy-organisatie binnen de Belastingdienst
- Advies inzake de privacy-organisatie binnen de Belastingdienst
- Onderzoeksrapport AP 'Verwerkingen van persoonsgegevens in de FSV'
Onderdeel van kamerstukdossier 31066 -911 Belastingdienst.
Onderdeel van zaak 2021Z18955:
- Indiener: J.A. Vijlbrief, staatssecretaris van Financiën
- Volgcommissie: vaste commissie voor Digitale Zaken
- Voortouwcommissie: vaste commissie voor Financiën
- 2021-11-03 10:00: Procedurevergadering Financiën (Procedurevergadering), vaste commissie voor Financiën
- 2021-11-03 14:15: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2021-11-12 12:00: Kabinetsreactie op het rapport van de Autoriteit Persoonsgegevens over Fraude Signalering Voorziening (FSV) (Inbreng feitelijke vragen), vaste commissie voor Financiën
- 2021-12-09 15:00: Fraudeopsporing door de Belastingdienst. (Commissiedebat), vaste commissie voor Financiën
- 2022-01-19 14:15: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2021-2022 |
31 066 Belastingdienst
Nr. 911 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 29 oktober 2021
Mede namens de Staatssecretaris van Financiën – Toeslagen en Douane stuur ik u het rapport van de Autoriteit Persoonsgegevens «Belastingdienst, Verwerkingen van persoonsgegevens in de Fraude Signalering Voorziening (FSV)»1.
In deze brief zal ik eerst toelichten wat FSV was en daarna geef ik mijn reactie op de uitkomsten van het onderzoek. Daarbij geef ik aan welke maatregelen zijn getroffen.
De Belastingdienst2 en Toeslagen verwerken miljoenen belastingaangiften en aanvragen van toeslagen per jaar. Dat kunnen de Belastingdienst en Toeslagen niet met de hand en daarom worden computersystemen gebruikt. In deze systemen staan de gegevens van iedereen die belasting betaalt en of een toeslag krijgt. Zo kunnen alle aangiften en aanvragen zoveel mogelijk geautomatiseerd en dus sneller behandeld worden. De applicatie Fraude Signalering Voorziening (FSV) was een van deze systemen. De Belastingdienst registreerde in FSV of een belastingaangifte misschien niet klopte. Zo’n registratie werd ook wel risicosignaal genoemd. Dit kon aanleiding zijn om een aanvraag of aangifte handmatig te controleren.
Op 27 februari 2020 is de applicatie FSV door de Belastingdienst uitgezet, omdat de applicatie niet voldeed aan de privacywetgeving. De Autoriteit Persoonsgegevens (AP) is in maart 2020 een onderzoek gestart naar het verwerken van persoonsgegevens door de Belastingdienst, waarbij FSV werd gebruikt. De AP heeft dit onderzoek recent afgerond.
Allereerst wil ik mijn waardering uitspreken voor het door de AP uitgevoerde onderzoek en de helder geformuleerde constateringen en conclusies in het rapport. De conclusies van de AP zijn hard en ernstig, maar zijn voor mij geen verrassing. Deze sluiten aan bij eerdere conclusies die hebben geleid tot het uitzetten van de FSV en bieden daarop een waardevolle verdieping. Door de Belastingdienst is op 21 januari 2019 een concept gegevensbeschermingseffectbeoordeling (GEB) opgesteld waaruit naar voren kwam dat te veel medewerkers toegang tot de FSV hadden, er sprake was van summiere logging, er geen archieffunctie was en niet werd geschoond. Zoals ik in mijn brief van 28 april 20203 aangaf, hadden deze conclusies uit 2019 toen al aanleiding moeten zijn om de FSV uit te zetten. Ook heb ik in mijn brief van 28 april 2020 aangegeven dat de functionaris voor gegevensbescherming (FG) te laat is betrokken.
Ik onderschrijf de conclusies van de AP volledig. Nadat de applicatie FSV is uitgezet heeft de Belastingdienst acties ondernomen om uit te zoeken wat er is gebeurd, om herhaling in de toekomst te voorkomen. Ik benut het onderzoek van de AP om het programma Herstellen, verbeteren en borgen (HVB) verder te verbeteren.
Constateringen en conclusies AP
De AP komt in haar rapport tot de volgende constateringen:
1. Er was voor de verwerkingen van persoonsgegevens in FSV geen grondslag;
2. De applicatie FSV had geen welbepaalde en uitdrukkelijk omschreven doeleinden voor het verzamelen van persoonsgegevens;
3. In FSV stonden onjuiste persoonsgegevens en niet-geactualiseerde persoonsgegevens en de Belastingdienst heeft geen maatregelen genomen om de persoonsgegevens te rectificeren of te wissen;
4. Persoonsgegevens werden langer bewaard dan noodzakelijk;
5. Er waren onvoldoende passende technische en organisatorische maatregelen genomen ten aanzien van toegangsbeveiliging; en
6. De functionaris voor gegevensbescherming (FG) was te laat betrokken bij de uitvoering van de gegevensbeschermingseffectbeoordeling van FSV.
De AP komt in het rapport tot de conclusie dat de Belastingdienst door het verwerken van persoonsgegevens in FSV in strijd heeft gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking.
Reactie op rapport AP
De bevindingen van de AP ten aanzien van FSV en de naleving van de Algemene verordening gegevensbescherming (AVG) zijn ernstig, onmiskenbaar en laten nogmaals zien dat fundamentele verbeteringen bij de Belastingdienst noodzakelijk zijn. Op basis van deze bevindingen moet allereerst geconcludeerd worden dat de FSV niet op deze manier ingezet had mogen worden. De conclusies onderschrijven dan ook de noodzaak om de FSV uit te schakelen, wat ook is gebeurd op 27 februari 2020. Ik benut de conclusies om de handhaving en het toezicht via de belasting- en toeslagenwetgeving anders in te richten zodat wordt voldaan aan de wet- en regelgeving.
Geen grondslag voor het verwerken en doeleinden onduidelijk
De AP heeft geconstateerd dat er geen grondslag was voor de wijze van verwerking van persoonsgegevens in FSV. De algemene grondslagen op basis waarvan de Belastingdienst werkt, bij onder andere het handhavingsbeleid, bieden daarvoor onvoldoende ruimte. Ten aanzien van de algemene grondslagen merk ik op dat we al langer van mening zijn dat er stevigere, maar vooral ook transparantere wettelijke grondslagen moeten zijn voor het verwerken van gegevens door de Belastingdienst. Daarom wordt er gewerkt aan een wetsvoorstel: de Wet waarborgen gegevensverwerking Belastingdienst. Dit wetsvoorstel beoogt de grondslagen voor de verwerking van gegevens door de Belastingdienst, Toeslagen en Douane te versterken en toekomstbestendig te maken. Bovendien beoogt het wetsvoorstel een wettelijk kader te scheppen voor de borging van een rechtmatige, behoorlijke en transparante verwerking van gegevens door deze drie uitvoeringsorganisaties. Zo is voor burger en bedrijven duidelijker hoe de drie uitvoeringsorganisaties omgaan met hun gegevens. Uw Kamer is hierover eerder geïnformeerd.4
Het gebruik van FSV is binnen de Belastingdienst door de jaren heen en per dienstonderdeel zeer verschillend geweest. Ik heb uw Kamer op 10 juli 20205 geïnformeerd over de resultaten van het onderzoek van KPMG naar het gebruik van FSV. In FSV zijn de vereisten ten aanzien van toegang, compartimentering, status en bewaren onvoldoende meegenomen, waardoor niet werd voldaan aan de vereisten van de AVG. Na het uitzetten van FSV en het stilleggen van het daarmee samenhangende signalenproces heeft de Belastingdienst dit proces volledig herzien en op alle privacyaspecten doorgelopen. Deze voorbereiding zal opnieuw worden getoetst aan de constateringen uit het rapport van de AP en waar nodig aangepast.
Gevolgen voor betrokkenen die in FSV stonden
Ik hecht er veel belang aan om te achterhalen wat de gevolgen zijn geweest van registratie in FSV. Zoals eerder aan uw Kamer geschreven, doet PricewaterhouseCoopers (PwC) onderzoek naar het effect van een registratie in FSV op deze betrokkenen. Vooruitlopend op deze uitkomsten heeft uw Kamer met de motie van het lid Marijnissen6 de regering verzocht om de betrokkenen die in FSV stonden over hun registratie te informeren. Met een tweede motie van het lid Marijnissen7 heeft de Tweede Kamer de regering verzocht om de betrokkenen die in FSV stonden de reden te laten weten waarom ze hierin stonden en met wie de gegevens uit FSV zijn gedeeld. Ik geef op dit moment uitvoering aan deze moties.
Op 1 februari jl. heeft de Tweede Kamer ook de motie van het lid Snels8 aangenomen. Hierin wordt de regering verzocht in kaart te brengen hoeveel mensen door een vermelding in FSV ten onrechte geschaad zijn en welke schade deze mensen ondervonden hebben en op basis hiervan een mogelijke compensatieregeling uit te werken voor onterecht geraakte burgers. Om hier uitvoering aan te geven loopt op dit moment het hierboven genoemde onderzoek van PwC. Vooruitlopend hierop wordt al nagedacht over mogelijke oplossingen. Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën een technische briefing gegeven aan de vaste commissie voor Financiën van de Tweede Kamer over de mogelijke opties voor het bieden van herstel aan burgers in FSV. De verschillende opties worden de komende periode verder uitgewerkt waarna besluitvorming in afstemming met uw Kamer kan plaatsvinden.
Privacyorganisatie Belastingdienst
De AP heeft eerder haar ernstige zorgen geuit over het gebrek aan naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de Belastingdienst.9 De AP heeft daarbij aangegeven raad en begeleiding (guidance) te verlenen bij de uitvoering van het interne toezicht op de totstandkoming van de vervanging voor FSV. Met haar brief van 27 oktober jl. laat de AP weten nog steeds grote zorgen te hebben over de naleving van de AVG door de Belastingdienst. Niet alleen als het gaat over de vervanging van FSV, maar ook over de naleving van de AVG in de breedte. Vanwege de grote aantallen – veelal gevoelige – persoonsgegevens waarmee de Belastingdienst werkt, is een goede borging van de AVG voor de Belastingdienst essentieel.
De AP wijst op het dringende belang van het opzetten van een degelijke privacyorganisatie binnen de Belastingdienst, ter bevordering van de naleving van de AVG. De AP vraagt aandacht voor de volgende punten:
– Versterken van het interne toezicht binnen de Belastingdienst.
– Integrale beoordeling van risico’s binnen de Belastingdienst en een verbetering van het totaaloverzicht van de keten van verwerkingen door de Belastingdienst.
– Verbetering van de privacyorganisatie binnen de Belastingdienst.
Ook geeft de AP aan dat de FG volledig onafhankelijk van de privacyorganisatie van de Belastingdienst moet kunnen blijven functioneren. De AP acht het van belang dat de ambtelijke en bestuurlijke top van het ministerie daar ook voldoende op stuurt.
Ik dank de AP voor het advies. De Belastingdienst heeft al veel gedaan om het interne toezicht op de naleving van de AVG te verbeteren. Het is echter duidelijk dat de privacyorganisatie en de kennis van AVG door de hele dienst verder versterkt moeten worden. Ook is er meer aandacht nodig voor het totaaloverzicht van verwerkingen door de Belastingdienst heen. In het kader van het programma HVB heb ik onder andere de volgende acties uitgevoerd of in gang gezet:
– De rollen, functies en werkprocessen gegevensbescherming, privacy, databeheersing en beveiliging en aanverwante processen worden verbeterd.
– Het team van de privacyofficer is uitgebreid.
– De procedure voor het uitvoeren van GEB’s wordt geëvalueerd, daarbij wordt bezien op welke wijze de FG beter betrokken kan worden; ook zijn er extra medewerkers ingehuurd om het beoordelen van GEB’s te bespoedigen.
– De bewustwording van medewerkers wordt vergroot.
Programma Herstellen, verbeteren en borgen (HVB)
De Belastingdienst en Toeslagen verwerken elk jaar de gegevens van miljoenen burgers en bedrijven. Deze gegevens zijn cruciaal voor de uitvoering van (fiscale) wet- en regelgeving van de Belastingdienst en Toeslagen. Het gebruik van gegevens is aan regels gebonden. De AVG, de Baseline Informatiebeveiliging Overheid (BIO) en de Archiefwet 1995 stellen eisen aan de verwerking van gegevens. Op basis van de rapportage van de AP is het duidelijk dat deze regels binnen de Belastingdienst niet overal goed geïmplementeerd zijn en dat de Belastingdienst niet zorgvuldig genoeg is omgegaan met de persoonsgegevens van betrokken burgers. Bovendien hebben de juiste waarborgen rond risicoselectie niet altijd centraal gestaan. Om dit op orde te brengen, is de Belastingdienst verschillende onderzoeken en verbetertrajecten gestart, die in oktober 2020 bijeengebracht zijn in het programma HVB. Uw Kamer is een aantal keer hierover geïnformeerd.10
De voortgangsrapportage over HVB zal uw Kamer op korte termijn ontvangen. In de rapportage wordt uitgebreid ingegaan op de stand van zaken van de verschillende trajecten die vanuit HVB plaatsvinden en de voortgang op de beide moties Marijnissen. Voor de inhoud en de stand van zaken wil ik u verwijzen naar de voortgangsrapportage. Ik ga hier graag met uw Kamer over in gesprek.
Tot slot vind ik het van belang om te benadrukken dat dit nooit had mogen gebeuren. Ik zet mij dan ook volledig in om herhaling te voorkomen en uw vertrouwen te herstellen.
De Staatssecretaris van Financiën,
J.A. Vijlbrief
Raadpleegbaar via www.tweedekamer.nl↩︎
Met Belastingdienst wordt gedoeld op de gehele (nog) niet-ontvlochten organisatie. Dit is – voor zover van toepassing – inclusief Douane en Toeslagen.↩︎
Kamerstuk 31 066, nr. 632↩︎
Kamerstuk 32 140, nr. 51; Kamerstuk 35 302, nrs. 6 en 13; Kamerstuk 35 300 IX, nrs. 13 en 16; Kamerstuk 35 572, nrs. 5, 17 en 23; Kamerstuk 31 066, nr. 820 en Kamerstuk 35 925 IX, nr. 4.↩︎
Kamerstuk 31 066, nr. 681↩︎
Kamerstuk 35 510, nr. 21↩︎
Kamerstuk 28 362, nr. 41↩︎
Kamerstuk 31 066, nr. 776↩︎
Brief van AP van 2 juni 2020, niet openbaar↩︎
Kamerstuk 31 066, nrs. 802, 803, 804, 807, 816, 826, 852↩︎