[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Lijst van vragen en antwoorden over de Kabinetsreactie op het rapport van de Autoriteit Persoonsgegevens over Fraude Signalering Voorziening (FSV) (Kamerstuk 31066-911)

Belastingdienst

Lijst van vragen en antwoorden

Nummer: 2021D47835, datum: 2021-12-03, bijgewerkt: 2024-02-19 10:56, versie: 3

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-31066-930).

Gerelateerde personen: Bijlagen:

Onderdeel van kamerstukdossier 31066 -930 Belastingdienst.

Onderdeel van zaak 2021Z22548:

Onderdeel van activiteiten:

Preview document (🔗 origineel)


Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2021-2022

31 066 Belastingdienst

Nr. 930 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 7 december 2021

De vaste commissie voor Financiën heeft een aantal vragen voorgelegd aan de Staatssecretaris van Financiën over de brief van 29 oktober 2021 inzake de kabinetsreactie op het rapport van de Autoriteit Persoonsgegevens over Fraude Signalering Voorziening (FSV) (Kamerstuk 31 066, nr. 911).

De Staatssecretaris heeft deze vragen beantwoord bij brief van 3 december 2021. Vragen en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie,
Tielen

De adjunct-griffier van de commissie,
Lips

1

Hoe worden, naast de benoemde verbeterpunten, de benoemde misstanden afgehandeld? Welke processen zullen worden ingezet?

De Autoriteit Persoonsgegevens (AP) heeft op 29 oktober 2021 het onderzoeksrapport «Belastingdienst; verwerkingen van persoonsgegevens in de Fraude Signalering Voorziening (FSV)» gepubliceerd. FSV is in februari 2020 uitgezet. De AP concludeert in het rapport dat de Belastingdienst door het verwerken van persoonsgegevens in FSV in strijd heeft gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking van de Algemene verordening gegevensbescherming (AVG). Daarnaast heeft de Belastingdienst onvoldoende passende technische en organisatorische maatregelen genomen om een passend beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen. Ook is de functionaris voor gegevensbescherming (FG), de interne toezichthouder op het gebied van privacy, niet naar behoren en tijdig betrokken bij de uitgevoerde beoordeling van privacyaspecten van FSV.

De analyse van de implicaties van het onderzoeksrapport van de AP over de verwerking van persoonsgegevens in FSV voor het herziene signalenproces en de daarvoor ontwikkelde tijdelijke ondersteunende applicatie worden op dit moment in kaart gebracht. Waar nodig vindt verwerking in de hiervoor opgestelde gegevensbeschermingseffectbeoordeling (GEB) plaats. Een GEB is een risicoanalyse bij de verwerking van persoonsgegevens. Uw Kamer wordt geïnformeerd nadat de FG en AP hebben getoetst en advies hebben gegeven over deze aanpassingen in overeenstemming met de wet- en regelgeving op het terrein van AVG. Deze voorziening zal niet in gebruik worden genomen voordat deze stappen zijn doorlopen.

Daarnaast heeft de AP in de brief van 27 oktober 2021 laten weten zich ernstige zorgen te maken over de privacyorganisatie van de Belastingdienst. De AP geeft in de brief raad en advies. Naar de overtuiging van de AP is het dringend nodig verdere stappen te zetten, waarbij aandacht wordt gevraagd voor de volgende punten:

• Versterken van het interne toezicht binnen de Belastingdienst;

• Integrale beoordeling van risico’s binnen de Belastingdienst en een verbetering van het totaaloverzicht van de keten van verwerkingen door de Belastingdienst;

• Verbetering van de privacyorganisatie binnen de Belastingdienst.

Naar aanleiding van het rapport van de AP over FSV en van de brief over de privacyorganisatie is een werkgroep ingericht met deelnemers van het beleidsdepartement (o.a. de FG), Belastingdienst, Toeslagen en Douane.

Het doel van de werkgroep is om de privacy-organisatie van Financiën te versterken. De werkgroep zorgt o.a. voor afstemming van actieplannen hiertoe (van Beleidsdepartement, Belastingdienst, Toeslagen en Douane).

In de actieplannen wordt onder andere de rol van Chief Privacy Officer (CPO) uitgewerkt. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld in het privacybeleid van het Ministerie van Financiën.

Verder wordt er gewerkt aan een wetsvoorstel: de Wet waarborgen gegevensverwerking Belastingdienst. Dit wetsvoorstel beoogt de grondslagen voor de verwerking van gegevens door de Belastingdienst, Toeslagen en Douane te versterken en toekomstbestendig te maken. Bovendien beoogt het wetsvoorstel een wettelijk kader te scheppen voor de borging van een rechtmatige, behoorlijke en transparante verwerking van gegevens door deze drie uitvoeringsorganisaties. Uw Kamer is hierover eerder geïnformeerd.1

Een belangrijke vraag naar aanleiding van het rapport zijn de gevolgen voor de in FSV geregistreerde burgers. PwC sinds april 2021 onderzoek naar het effect van FSV. Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën een technische briefing gegeven aan de vaste commissie voor Financiën van uw Kamer over de mogelijke opties voor het bieden van herstel aan burgers in FSV. De verschillende opties worden de komende periode verder uitgewerkt waarna besluitvorming in afstemming met uw Kamer kan plaatsvinden.

2

Welke processen zijn in gang gezet om te bezien in hoeverre dergelijke misstanden elders in de organisatie thans nog voorkomen of in het verleden zijn voorgekomen?

Met het plan Herstellen, Verbeteren, Borgen (HVB) zijn verschillende trajecten in gang gezet op dit vlak. Zo zijn er inventarisaties gedaan van applicaties met nationaliteit en/of medische of strafrechtelijke gegevens en van lijsten met risico- en/of fraudesignalen en nationaliteit in de persoonlijke werkomgeving van de medewerkers. Deze worden nu door een toetsingscommissie beoordeeld. Daarnaast loopt er een onderzoek naar de waarborgen bij risicoselectie. In het project AO/IC op orde (Administratieve Organisatie/Interne Controle) worden de dienstonderdelen geholpen met het beschrijven van hun processen en waar van toepassing met het toetsen van hun processen op het voldoen aan de AVG, de Baseline Informatiebeveiliging Overheid (BIO) en Archiefwet 1995 (hierna Archiefwet). In de kwartaalrapportage HVB 25 november 20212 heeft uw Kamer een overzicht gekregen van de laatste stand van zaken van deze trajecten.

3

Bij welk gedeelte van de 270.000 mensen op de Fraude Signalering Voorziening (FSV) is er ook sprake van terugvorderen van toeslagen?

Bij 105.000 mensen heeft in hetzelfde belastingjaar als het jaar waarin een betrokkene is opgenomen in FSV een terugvordering op de toeslag plaatsgevonden. Bij bijna 165.000 mensen heeft een terugvordering op de toeslag plaatsgevonden, als wordt gekeken vanaf het moment van registratie in FSV tot en met nu.

Dit hoeft geen relatie te hebben met FSV, omdat het terugvorderen verweven is met het huidige toeslagenstelsel.

Er kan om meerdere redenen sprake zijn van terugvorderen van toeslagen. Zo kan er terugvordering volgen uit een correctie op de aangifte inkomstenheffing, maar kan er ook een terugvordering plaatsvinden bij verandering in aantal uren, bij de kinderopvang of andere feitelijke jaarinkomens dan vooraf werd verwacht door de toeslaggerechtigden. Gemiddeld genomen over alle toeslagen, niet alleen voor mensen in FSV, leidde het definitief toekennen van de toeslag tot een terugvordering bij 31% van de aanvragers over toeslagjaar 2012, welk percentage is teruggedrongen tot 20% over 2018.

Tot nu toe komen circa 9700 burgers die zich bij UHT hebben gemeld ook voor in FSV. Hiervan hebben circa 8500 burgers tot en met 2019 minimaal 1 maal te maken gehad met een terugvordering van € 1.500 en meer.

Op vrijdag 3 december 2021 komt het onderzoeksrapport van PricewaterhouseCoopers uit over de effecten van FSV op toeslaggerechtigde burgers die door de toenmalige directie Toeslagen van de Belastingdienst zijn geregistreerd in FSV.

4

Kunt u uiteenzetten of en hoe fraudeleuze signalen door de fiscus op dit moment worden verwerkt en hoe opvolging wordt gegeven aan die signalen?

Ik lees uw vraag zo dat hier met frauduleuze signalen bedoeld wordt de externe meldingen die de Belastingdienst ontvangt en die in het verleden in FSV werden geregistreerd. Nieuw ontvangen meldingen van mogelijke fiscale nalevingstekorten worden momenteel bewaard in de mailpostbussen waar ze binnenkomen. De toegang tot deze postbussen is zeer beperkt en de meldingen worden niet behandeld. Signalen van mogelijke fraude die direct aanleiding geven voor een onderzoek, bijvoorbeeld in het kader van het strafrecht worden wel opgepakt.

Er is een nieuw proces voor de beoordeling van signalen uitgewerkt, met een tijdelijke ondersteunende applicatie, Tijdelijke Signalerings Voorziening (TSV). Voordat het proces en de applicatie in gebruik worden genomen, wordt hierop een GEB uitgevoerd. Om te zorgen dat de omgang met persoonsgegevens aan de vereisten voldoet, bekijkt de Belastingdienst welke implicaties het rapport3 van de Autoriteit Persoonsgegevens over FSV heeft voor het herziene proces en de applicatie. Nadat de GEB hieraan is aangepast, wordt deze opnieuw voor advies voorgelegd aan de FG en vervolgens ook aan de AP. Na verwerking van de adviezen wordt een besluit genomen over het opstarten van het signalenproces. Toezicht is overigens niet alleen afhankelijk van de behandeling van signalen. Zo worden bijvoorbeeld nog steeds boekenonderzoeken uitgevoerd en worden aangiftes behandeld op grond van toepassing van selecties in het massale proces.

5

Kunt u aangeven waaruit het vergroten van de bewustwording onder medewerkers bestaat?

Het is essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. In dit kader krijgen alle nieuwe medewerkers als onderdeel van hun inwerkprogramma een AVG-cursus. Onderdeel van het plan HVB is het beschikbaar stellen van een nieuwe intranetpagina rondom «verantwoord omgaan met gegevens». Sinds oktober 2021 is de Online Security Awareness Game beschikbaar voor alle medewerkers van de Belastingdienst, en voor de medewerkers van Douane en Toeslagen. De spelrondes zullen periodiek worden herhaald, geactualiseerd of worden uitgebreid met actuele thema’s. Door middel van verschillende spelrondes die zijn afgestemd op de Belastingdienst, wordt op een laagdrempelige manier aandacht besteed aan bewustwording op het gebied van beveiliging en AVG.

6

Op welke manier is de privacy van medewerkers bij de Belastingdienst die melding willen maken van schending van privacyregels van burgers, gewaarborgd?

Wanneer een medewerker een vermoeden van een integriteitsschending wil melden, bijvoorbeeld bij een vermoeden van schending van privacyregels van burgers, zijn de meldpunten of medewerkers die meldingen in ontvangst nemen, gehouden om de identiteit van de melder niet bekend te maken. Wanneer een medewerker anoniem wil blijven kan de melder kan zich wenden tot een vertrouwenspersoon, die namens de melder een melding kan doen zonder de identiteit van de melder bekend te maken.

Ook kan een medewerker terecht bij de onafhankelijke Commissie integriteit Financiën (CiF). Deze commissie bestaat uit drie onafhankelijke leden die niet werkzaam zijn bij het Ministerie van Financiën. De commissie zorgt ervoor dat de identiteit van de melder niet verder bekend wordt dan noodzakelijk is voor het onderzoek en de behandeling van de melding. Deze commissie valt onder verantwoording van de Secretaris-generaal van het Ministerie van Financiën4.

7

Op welke manier worden medewerkers van de Belastingdienst actief uitgedaagd om privacyschendingen van burgers in processen, procedures, conversaties en systemen te melden bij de Chief Privacy Officer?

Medewerkers kunnen via twee procedures meldingen doorgeven:

1) Procedure voor het melden van datalekken

2) Procedure voor het melden van incidenten

Daarnaast vind ik het essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. Onderdeel van het plan HVB is, naast het beschikbaar stellen van een nieuwe intranetpagina rondom «verantwoord omgaan met gegevens», de afgelopen periode een Online Security Awareness Game gestart en een AVG-cursus voor nieuwe medewerkers.

De AP heeft de aanbeveling gedaan om een Chief Privacy Officer (CPO) aan te stellen. De Belastingdienst heeft een privacy officer, maar erkent dat deze versterkt kan worden met de aanstelling van een CPO. De Belastingdienst neemt de aanbeveling van de AP voor het aanstellen van een CPO over. De privacy-organisatie van Financiën, waaronder de rol van Chief Privacy Officer wordt uitgewerkt door de werkgroep genoemd in het antwoord op vraag 1. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld in het privacybeleid van het Ministerie van Financiën.

8

Onder wiens verantwoordelijkheid staat de Chief Privacy Officer en aan welke (bewinds-)personen wordt deze persoon geacht te rapporteren?

De AP heeft de aanbeveling gedaan om een Chief Privacy Officer (CPO) aan te stellen. De Belastingdienst heeft een privacy officer, maar erkent dat deze versterkt kan worden met de aanstelling van een CPO. De Belastingdienst neemt de aanbeveling van de AP voor het aanstellen van een CPO over. De privacy-organisatie van Financiën, waaronder de rol van Chief Privacy Officer wordt uitgewerkt door de werkgroep genoemd in het antwoord op vraag 1. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld in het privacybeleid van het Ministerie van Financiën.

De privacy officer van de Belastingdienst maakt onderdeel uit van de ambtelijke organisatie van de Belastingdienst. De privacy officer legt verantwoording af via de reguliere hiërarchische ambtelijke lijnen. Binnen de Belastingdienst wordt aan de directeur-generaal Belastingdienst gerapporteerd via de reguliere planning- en controlcyclus door de privacy officer. Aanvullend maakt de privacy officer een overkoepelende rapportage over de status van privacy binnen de Belastingdienst voor de FG en de CIO van Financiën. De plaatsvervangend secretaris-generaal van Financiën heeft in zijn hoedanigheid van CIO Financiën privacy in portefeuille.

De Minister van Financiën is de verwerkingsverantwoordelijke in de zin van de AVG. Op grond van portefeuilleverdeling zijn de Staatssecretaris van Financiën, Fiscaliteit en Belastingdienst en de Staatssecretaris van Financiën, Toeslagen en Douane interne verwerkingsverantwoordelijken voor het gebruik van persoonsgegevens door de Belastingdienst, Douane en Toeslagen.

9

Kunt u aangeven hoeveel fte's zich binnen de Belastingdienst bezighouden met de privacy-organisatie, hoeveel medewerkers (extern) zijn ingehuurd en welke kosten ermee zijn gemoeid?

De Belastingdienst beschikt over een privacyteam dat bestaat uit zes vaste medewerkers (budget circa € 625.000 per jaar) en vier tijdelijke medewerkers (in 2021 zijn de verwachte kosten € 220.000 en in 2022 € 925.000). Verder beschikt iedere directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket. Het aantal medewerkers en deze kosten voor de hele Belastingdienst zijn onderdeel van de reguliere personeelsbudgetten.

10

Kunt u de privacy-organisatie van de Belastingdienst weergeven in een organigram?

Er is geen apart organogram beschikbaar van de privacyorganisatie van de Belastingdienst. Het team rond de privacy officer van de Belastingdienst maakt onderdeel uit van de concerndirectie Informatievoorziening en databeheersing (IV&D). De concerndirectie IV&D is een van de kaderstellende directies van de Belastingdienst.

11

Worden meldingen en aanbevelingen van de Chief Privacy Officer schriftelijk vastgelegd en wordt hierover periodiek gerapporteerd aan de Kamer? Zo ja, met welke frequentie?

De AP heeft de aanbeveling gedaan om een Chief Privacy Officer (CPO) aan te stellen. De Belastingdienst heeft een privacy officer, maar erkent dat deze versterkt kan worden met de aanstelling van een CPO. De Belastingdienst neemt de aanbeveling van de AP voor het aanstellen van een CPO over. De privacy-organisatie van Financiën, waaronder de rol van Chief Privacy Officer wordt uitgewerkt door de werkgroep genoemd in het antwoord op vraag 1. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld in het privacybeleid van het Ministerie van Financiën.

De privacy officer rapporteert in de planning en control-cyclus, of op verzoek, aan de DG Belastingdienst. Aanvullend maakt de privacy officer een overkoepelende rapportage over de status van privacy binnen de Belastingdienst voor de FG en de CIO van Financiën. De privacy officer stelt geen rapportages op die naar de Kamer gaan.

De privacy officer vervult binnen de Belastingdienst alle adviserende en coördinerende activiteiten op het gebied van gegevensbeschermingsrecht. De privacy officer en het team zijn ondergebracht binnen de concerndirectie Informatievoorziening en Databeheersing van de Belastingdienst.

12

Hoe worden vroegtijdig op operationeel niveau risico’s voor de rechten en vrijheden van mensen gesignaleerd en geadresseerd?

Zoals toegelicht in de antwoorden op vragen 6 en 7 kunnen medewerkers vermoedens van privacyschendingen van burgers op verschillende manieren melden.

Aan uw Kamer is op 13 oktober 2020 (Kamerstuk 31 066, nr. 709) een systematische doorlichting van de processen en applicaties toegezegd. Onderdeel van deze doorlichting is de ontwikkeling van een controlelijst waarin de randvoorwaardelijke wetgeving (AVG, BIO en archiefwet) praktisch is vertaald. Door het opnemen van de vragen van de controlelijst in de methodieken voor het ontwerpen van processen en applicaties, wordt structureel in het voortbrengingsproces geborgd dat nieuw ontworpen processen en aanpassingen aan bestaande processen (inclusief de bijbehorende applicaties) aantoonbaar invulling geven aan de vereisten van de AVG, BIO en Archiefwet. Hiermee wordt beter invulling gegeven aan de privacy by design-principes uit de AVG. In het project AO/IC op orde (Administratieve Organisatie/Interne Controle) worden de dienstonderdelen geholpen met het beschrijven van hun processen en waar van toepassing met het toetsen van hun processen op het voldoen aan de AVG, de BIO en Archiefwet.

Hoewel met deze acties stappen zijn gezet om de kans op herhaling te verkleinen, kan niet worden uitgesloten dat er opnieuw problemen bovenkomen. In zulke gevallen hanteer ik de volgende drieslag: onderzoeken, het waar nodig nemen van maatregelen en de Tweede Kamer hierover informeren.

13

Hoe zijn de verwerkingsverantwoordelijkheden binnen de Belastingdienst helder vastgelegd?

De (algemeen) directeuren van de directies van de Belastingdienst zijn interne verwerkingsverantwoordelijken, namens de Minister van Financiën.

Het gebruik van persoonsgegevens (verwerkingen) is vastgelegd in het register van verwerkingsactiviteiten. In het register is onder andere vastgelegd welke directeur interne verwerkingsverantwoordelijke is.

14

Hoe vindt borging van privacy plaats bij de ontvlechting van Douane en Toeslagen van de Belastingdienst?

De Douane, Toeslagen en Belastingdienst hebben afspraken gemaakt over de borging van privacy bij de ontvlechting. De huidige situatie waarbij de Belastingdienst taken en werkzaamheden voor de Douane en Toeslagen op het terrein van privacy verricht, blijft gehandhaafd tot het moment dat de privacyorganisatie bij de Douane en Toeslagen is ingericht om deze werkzaamheden over te nemen. Douane heeft de eerste stap gezet door per 1 december 2021 een Chief Privacy Officer (CPO) aan te stellen. Bij Toeslagen komt er op termijn ook een eigen CPO. De komende periode wordt de privacyorganisatie van de Douane en Toeslagen verder ingericht. Deze inrichting vindt plaats in samenhang met de actieplannen, om de privacyorganisatie van Financiën te versterken.

15

Waaruit blijkt dat de Functionaris Gegevensbescherming (FG) volledig onafhankelijk functioneert?

De AVG bevat een aantal verplichtingen voor de verwerkingsverantwoordelijke om de onafhankelijkheid van de FG te borgen (art. 38, lid 2, 3, en lid 6, AVG). Dat is onder andere de plicht om de FG te ondersteunen bij zijn taken door hem toegang te verlenen tot persoonsgegevens en verwerkingsactiviteiten, hem de benodigde middelen ter beschikking te stellen voor het vervullen van zijn taken en voor het in stand houden van zijn deskundigheid. Ook is er de plicht om ervoor te zorgen dat de FG geen instructies kan ontvangen, en dat hij niet ontslagen of gestraft kan worden voor de uitvoering van zijn taken. De FG moet kunnen rapporteren aan het hoogste leidinggevende niveau. Eventuele andere taken of plichten van de FG mogen niet tot een belangenconflict leiden.

Bij het Ministerie van Financiën is aan de borging van de onafhankelijkheid onder andere uitwerking gegeven in het aanwijzingsbesluit van de FG. In het aanwijzingsbesluit is bepaald dat de FG wordt betrokken bij privacykwesties, dat er een jaarlijkse toetsing plaatsvindt van de voor zijn taken benodigde middelen, dat tot de FG geen instructies mogen worden gericht, en dat hij rechtstreeks rapporteert aan het hoogste leidinggevende niveau (Aanwijzingsbesluit FG, Stcrt. 2018, nr. 70894). De FG van Financiën is organisatorisch gepositioneerd bij bureau Beveiligingsambtenaar (BVA). In dat bureau zijn diverse taken en functies samengebracht die een vergelijkbare onpartijdige en onafhankelijke positie vereisen binnen Financiën. Het bureau is rechtstreeks gepositioneerd onder de plaatsvervangend SG, dus in een onafhankelijke positie ten opzichte van onder andere de Belastingdienst, Toeslagen en Douane. Aanvullend is expliciet afgesproken en vastgelegd dat zo nodig rechtstreekse toegang tot de ambtelijke en politieke leiding mogelijk is voor de FG. Hij heeft bovendien een fulltime aanstelling zodat geborgd is dat er geen andere taken zijn die tot een belangenconflict kunnen leiden.

16

Welke aanpassingen zijn, gelet op het feit dat na het uitzetten van FSV en het stilleggen van het daarmee samenhangende signalenproces de Belastingdienst dit proces volledig heeft herzien en op alle privacyaspecten doorgelopen, nu doorgevoerd aan de hand van de constateringen uit het rapport van de Autoriteit Persoonsgegevens (AP)?

De implicaties van het onderzoeksrapport van de AP over de verwerking van persoonsgegevens in FSV voor het herziene signalenproces en de daarvoor ontwikkelde tijdelijke ondersteunende applicatie worden op dit moment in kaart gebracht. Waar nodig vindt verwerking in de hiervoor opgestelde GEB plaats. Uw Kamer wordt geïnformeerd nadat de FG en AP-advies hebben gegeven over deze aanpassingen, in overeenstemming met de wet- en regelgeving op het terrein van de AVG (zie ook het antwoord op vraag 4).

17

Wanneer wordt de Wet waarborgen gegevensverwerking Belastingdienst verwacht? Hoe zal deze wet zich verhouden tot andere wetten zoals de Wet openbaarheid van bestuur (Wob)/Wet open overheid (Woo), de Archiefwet en andere vergelijkbare wetten?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane wordt op dit moment voorbereid, in nauwe samenwerking met deze organisaties. De gegevensverwerking door de Belastingdienst, Toeslagen en Douane is omvangrijk en complex, en vraagt om een zorgvuldige voorbereiding van het wetsvoorstel. Daarna volgen nog een internetconsultatie, advisering door de AP, besluitvorming door het kabinet en advisering door de Raad van State. Ik verwacht het wetsvoorstel op zijn vroegst in het najaar van 2022 bij uw Kamer in te dienen.

Het wetsvoorstel beoogt de grondslagen voor de verwerking van gegevens door de Belastingdienst, Toeslagen en Douane te versterken en toekomstbestendig te maken. Bovendien beoogt het wetsvoorstel een wettelijk kader te scheppen voor de borging van een rechtmatige, behoorlijke en transparante verwerking van gegevens door deze drie uitvoeringsorganisaties. In dat kader spelen meerdere wetten die eveneens waarborgen bieden voor de verwerking van gegevens. Het wetsvoorstel is daarmee een aanvulling op de wettelijke plichten uit de Wob, de Woo en de Archiefwet. Naast deze wetten spelen natuurlijk ook de AVG en de Uitvoeringswet AVG een belangrijke rol. In de memorie van toelichting op het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane zal de verhouding tussen de Wob, de Woo, de Archiefwet en andere relevante wetten worden toegelicht.

18

Wanneer wordt het PwC rapport verwacht?

Het onderzoek van PwC naar de effecten van registratie in FSV op burgers en bedrijven is opgesplitst in drie deelonderzoeken: één naar de effecten van het gebruik door de (toenmalige) directie Toeslagen, één voor de directie Particulieren en één voor de directie Midden- en Kleinbedrijf (MKB). Daarnaast heb ik PwC gevraagd aanvullend onderzoek te doen naar de externe gegevensdeling uit FSV en de gebruikte query’s. Het rapport PwC Toeslagen zal uiterlijk 3 december met uw Kamer worden gedeeld, zoals aangegeven in de brief van 30 november 2021. Het onderzoek voor Particulieren is eveneens bijna gereed, maar dat voor MKB duurt langer. Ik streef ernaar de onderzoeken voor het einde van het jaar te laten afronden en zal de bevindingen daar op zo snel mogelijk met uw Kamer delen.

19

Met hoeveel fte is het team van de privacyofficer uitgebreid? Kunt u dit specificeren in toename in fte en in budget?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds maart 2021 uit zes vaste medewerkers (budget circa € 625.000 per jaar). Daarnaast beschikt het team over vier tijdelijke medewerkers (in 2021 zijn de verwachte kosten € 220.000 en in 2022 € 925.000).

Verder beschikt iedere directie van de Belastingdienst minimaal over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

20

Met welke organisaties zijn onderdelen van de zwarte lijst gedeeld?

Ik heb PwC gevraagd te onderzoeken of er informatie uit FSV is gedeeld met andere organisaties. Op de conclusies van dit rapport kan ik niet vooruitlopen.

Zoals ik uw Kamer op 17 juni jl.5 heb geïnformeerd, heeft de Belastingdienst daarnaast voor peiljaar 2019 met een pilot onderzocht of, en zo ja in welke mate, gebruik is gemaakt van informatie uit FSV. Binnen de pilot zijn in relatie tot de onderzochte convenantpartners6 geen aanwijzingen gevonden dat informatie uit FSV structureel is gedeeld.

21

Via welke kliksignalen zijn mensen op de lijst beland? Zijn dit kliksignalen bij Meld Misdaad Anoniem en kliksignalen bij de Belastingdienst? Op welke wijze zijn die gevalideerd?

Tips & Kliks is één van de categorieën in FSV waarin signalen ondergebracht konden worden. In het KPMG rapport van 10 juli 20207 over de werking en gebruik van FSV staan de verschillende soorten Tips & Kliks beschreven die werden ontvangen en geregistreerd.

In het KMPG rapport staat uitgebreid beschreven wat Tips & Kliks waren, welke verschillende meldpunten er waren en op welke manier de signalen bij de verschillende directies beoordeeld behandeld werden.

22

Wat voor een uitvraag van een gemeente leidde tot opname in de lijst, gelet op het feit dat een aantal mensen op de lijst kwam via de gemeentes?

Het betreft hier informatieverzoeken vanuit gemeenten waarmee fiscale gegevens werden opgevraagd op grond van wettelijke verplichtingen van de Belastingdienst om informatie te leveren ten behoeve van de uitvoering van wettelijke taken van gemeenten. Een voorbeeld van een dergelijke verplichting is artikel 64 van de Participatiewet en artikel 5.2.3 van de Wet maatschappelijke ondersteuning.

23

Kunt u alle keren dat de secretaris-generaal, de directeur-generaal, de Staatssecretaris of de Minister in de afgelopen zeven jaar over FSV is geïnformeerd benoemen en de onderliggende documenten aan de Kamer sturen?

In mijn brief van 28 april 2020 ben ik ingegaan op de totstandkoming van FSV en heb ik tevens een tijdlijn FSV toegevoegd.8 Hierin wordt ook ingegaan op de besluitvorming rond FSV.

Daarnaast verwijs ik u naar het Besluit Wob-verzoek FSV/zwarte lijsten dat op 27 januari 2021 openbaar is gemaakt. Als bijlage bij het besluit vindt u de openbaar gemaakte stukken. Bij de brieven van 10 juli 2020 en 27 januari 2021. zijn werkinstructies met betrekking tot FSV openbaar gemaakt. Tevens ben ik bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te delen, zie hiervoor het antwoord op vraag 32, 84 en 85.

24

Wanneer is de eerste gegevensbeschermingseffectbeoordeling (GEB) opgesteld door de Belastingdienst? Wie heeft die GEB gelezen?

Ik neem aan dat u met deze vraag bedoelt wanneer de eerste GEB is opgesteld over FSV. Als bijlage bij de Kamerbrief van 28 april 2020 is een tijdlijn hierover gedeeld.9

25

Is er ooit melding gedaan van een datalek vanuit FSV bij de AP? Zo ja, kunt u dan details hierover verschaffen?

Er is geen melding gedaan van een datalek vanuit FSV bij de AP. De ruime toegang bij het gebruik van de applicatie van FSV is geen datalek. Het ging om geautoriseerde toegang voor de uitvoering van taken van medewerkers. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Volgens deze definitie is er geen sprake van een datalek. De medewerkers die bij de gegevens in FSV mochten, zijn door hun teammanager geautoriseerd voor een vooraf bepaalde taak (rol). Zoals eerder aangegeven en achteraf geconstateerd, hadden wel meer medewerkers toegang tot FSV dan noodzakelijk.

26

Welke strafrechtelijke gegevens zijn door de Belastingdienst in FSV opgenomen? Gaat het om veroordelingen of konden mensen ook op de lijst komen zonder een veroordeling door de rechter? Zo ja, wanneer dan, bijvoorbeeld als gevolg van een strafbeschikking van het Openbaar Ministerie of door seponeren?

Het betreft hier met name bijlagen bij signalen die werden ontvangen van Politie en andere instanties. Het betreft zogenoemde hennepberichten en processen-verbaal van de Politie en vonnissen van de politierechter. Daarnaast zijn vorderingen op grond van artikel 126nd van het Wetboek van Strafvordering als informatieverzoek geregistreerd in FSV. In het rapport van de AP is een overzicht opgenomen van typen strafrechtelijke gegevens die in FSV waren opgenomen.

27

Kunt u, gelet op het feit dat bij de invoering van de Algemene verordening gegevensbescherming (AVG) er bij de Belastingdienst een programma is geweest om de Belastingdienst compliant te maken, aangeven waarom de FSV lijst daarbij niet naar boven is gekomen?

De Belastingdienst heeft in de periode 2017–2018 een programma uitgevoerd om de AVG te implementeren. Uw Kamer is op 28 mei 201910 over de voortgang van de implementatie van de AVG bij de Belastingdienst geïnformeerd. Ik concludeer dat dat het beeld dat eerder met uw Kamer is gedeeld, niet geheel volledig en daarmee te positief is geweest. In mei 2019 heeft de Belastingdienst met name compliantie verklaard over de aanwezigheid van de benodigde AVG-instrumenten, terwijl nog verdere uitwerking nodig was binnen de organisatie. Ik heb dit eerder in mijn Kamerbrief van 10 juli 2020 al aangegeven dat de analyses niet diep genoeg zijn uitgevoerd en heb daarom toegezegd alle bedrijfsprocessen systematisch door te lichten. Zoals eerder aangegeven is hier minimaal drie jaar voor nodig. Het voldoen aan de AVG vergt een permanente inspanning en continu aandacht.

Tijdens de plenaire Kamerbehandeling van het Belastingplan 2022 heeft het lid Omtzigt gevraagd of er eerder, voor de GEB uit 2019, waarschuwingen zijn geweest ten aanzien van FSV. Uit een eerste inventarisatie blijkt dat er eerder interne signalen zijn geweest die onvoldoende zijn opgepakt. Ik laat dit op dit moment verder uitzoeken, bijvoorbeeld op welk niveau deze meldingen zijn gedaan en wat hier mee gedaan is. Ik zal hier met de volgende kwartaalrapportage Herstellen, Verbeteren en Borgen, die ik begin 2022 aan uw Kamer wil sturen, op terugkomen.

28

Hoe groot is het team van de privacy officer na de uitbreiding? is dat voldoende voor een complexe organisatie als de Belastingdienst?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

Naar aanleiding van de brief van de AP van 27 oktober 2021 over de privacyorganisatie van de Belastingdienst worden verbeteracties in gang gezet. Daaruit zal naar voren komen of nadere versterking van het team rond de privacy officer benodigd is.

Ook de kennis en vaardigheden om te voldoen aan de AVG bij de uitvoering moeten op orde zijn. Alleen het versterken van het team van de privacy-officer zal dus niet voldoende zijn.

29

Wanneer is de Belastingdienst AVG-compliant?

De Belastingdienst heeft in de periode 2017–2018 een programma uitgevoerd om de AVG te implementeren. Uw Kamer is op 28 mei 201911 over de voortgang van de implementatie van de AVG bij de Belastingdienst geïnformeerd. Ik concludeer dat het beeld dat eerder met uw Kamer is gedeeld, niet geheel volledig en daarmee te positief is geweest. In mei 2019 heeft de Belastingdienst met name compliantie verklaard over de aanwezigheid van de benodigde AVG-instrumenten, terwijl nog verdere uitwerking nodig was binnen de organisatie. Bij de inventarisatie van gegevensverwerkingen die door het AVG-programma in 2017/2018 is uitgevoerd ten behoeve van de verdere inrichting van het AVG-verwerkingsregister, is ook het proces «analyseren, beoordelen en delen van risicosignalen» naar boven gekomen. Het programma heeft risico’s met betrekking tot het proces gesignaleerd, onder meer over het ontbreken van een GEB (toen nog Privacy Impact Assessment genaamd). Deze risico’s zijn geadresseerd, daaraan is echter onvoldoende opvolging gegeven.

Het rapport van de AP over FSV bevestigt dat het nog niet goed gaat. Naar aanleiding van de problemen met naleving van de AVG is de Belastingdienst in 2020 met het programma HVB gestart. In dat kader wordt onder andere gewerkt aan het op orde brengen van bedrijfsprocessen en de daarbij behorende producten en voorzieningen. Ik heb in mijn Kamerbrief van 10 juli 2020 aangegeven dat hier minimaal drie jaar voor nodig is. Het voldoen aan de AVG vergt een permanente inspanning en continu aandacht.

30

Kunt u een overzicht geven van alle onderzoeken die lopen en gelopen hebben naar FSV en wie die uitvoeren, wat de vraag is (was) en wanneer de onderzoeken naar verwachting klaar zijn?

Op 28 april 2020 heb ik de bevindingen van een intern onderzoek naar FSV met uw Kamer gedeeld1. Intern

T.a.v. FSV is daarbij op het volgende ingegaan:

• Hoe werkte het FSV-systeem en wat merkten burgers en bedrijven hiervan?

• Wat was in het bijzonder de werking van het FSV-systeem bij Toeslagen?

• Welke problemen zijn er met het FSV-systeem?

Op 10 juli 20202 heb ik een onderzoek van KPMG naar FSV met uw Kamer gedeeld. KPMG

KPMG onderzocht drie aspecten:

1. De werking en het gebruik van FSV en vergelijkbare applicaties in risicoselectie- en toezichtprocessen.

2. De verkenning van de inrichting van informatiestromen.

3. De waarborgen rond de behandeling van signalen van mogelijke fraude.

Op 17 juni jl.3 heb ik de conclusies van een intern pilotonderzoek naar gegevensdeling uit FSV met vier convenantpartners4 met uw Kamer gedeeld. Intern De vraag was of en in welke mate informatie uit FSV is gedeeld en hoe die informatie binnen het desbetreffende samenwerkingsverband is gebruikt.
Op 29 oktober jl.5 heeft de Autoriteit Persoonsgegevens (AP) een onderzoek naar FSV gepubliceerd. AP

De AP heeft onderzoek gedaan naar:

1. de rechtsgrond van de verwerking van de persoonsgegevens in de FSV-applicatie;

2. de beveiliging van de applicatie;

3. de bewaartermijnen die werden gehanteerd;

4. de juistheid van de persoonsgegevens;

5. de eisen die de AVG stelt aan een GEB.

Ik heb PwC gevraagd de effecten van registratie in FSV op burgers en bedrijven te onderzoeken. PwC

Onder vraag 18 ga ik in op de verschillende deelonderzoeken en de planning.

De onderzoeksvragen zijn:

1. Wat waren de effecten van een melding in FSV in het proces van selecteren en behandelen voor toeslaggerechtigden?

2. In welke mate hebben deze effecten zich voorgedaan?

3. Wat kan er geconcludeerd worden over de rechtmatigheid van de besluitvorming en het daaruit voortvloeiende handelen die (mede) gebaseerd waren op een melding in FSV?

4. Wat waren de eventuele implicaties van registratie van samenhangende signalen afkomstig van het CAF in FSV?

1 Kamerstuk 31 066, nr. 632.

2 Kamerstuk 31 066, nr. 681.

3 Kamerstuk 31 066, nr. 852.

4 Regionale informatieve en expertisecentra Noord-Nederland, de landelijke stuurgroep interventieteams (LSI), samenwerking onder artikel 64 Suwi en Informatie Knooppunt Zorgfraude (IKZ).

5 Kamerstuk 31 066, nr. 911.

31

Zijn de gegevens van FSV ooit via een automatisch systeem gekoppeld (geweest) aan andere systemen zoals bijvoorbeeld bij het inlichtingenbureau?

Ik versta onder automatische koppelingen, een koppeling met een andere applicatie of «plug-ins». Er is geen sprake geweest van geautomatiseerde koppelingen van FSV met systemen van andere organisaties zoals het Inlichtingenbureau.

32

Kunt u de communicatie en aangeleverde stukken aan de AP vanuit de Belastingdienst/het Ministerie van Financiën openbaar maken?

Ja, ik ben bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te delen. Het samenstellen van dit dossier vraagt echter om een zorgvuldige aanpak. De gevraagde stukken bevatten namelijk vertrouwelijke informatie van medewerkers van de Belastingdienst. Daarnaast geven de gevraagde stukken mogelijk inzicht in de controleaanpak van de AP. Op dit moment vindt over de aan te leveren stukken afstemming plaats tussen de AP en de Belastingdienst. Ik vraag uw Kamer meer tijd om dit dossier samen te stellen.

33

Kunt u garanderen dat de FSV-lijst, de toepassing en de kenmerken vanuit de ICT niet vernietigd zullen worden, ten einde altijd onderzoek te kunnen heropenen?

De Chief Information Security Officer (CISO) heeft een backup van de gegevens van FSV met daarin de situatie per 26 februari 2020 veiliggesteld. Het voornemen is om de gegevens van FSV inclusief de applicatie zolang te bewaren voor onderzoek in de kluis zo lang als verantwoord en technisch haalbaar is.

Ik zal bezien of het mogelijk is de gegevens met betrekking tot FSV onder te brengen bij het Nationaal Archief.

34

Heeft u ooit intern of extern advies gekregen of gevraagd over FSV de afgelopen tien jaar? Zo ja, hoe luidde dat advies?

In mijn brief van 28 april 2020 ben ik ingegaan op de totstandkoming van FSV en heb ik tevens een tijdlijn FSV toegevoegd.12 Hierin wordt ook ingegaan op de besluitvorming rond FSV.

Daarnaast verwijs ik u naar het Besluit Wob-verzoek FSV/zwarte lijsten dat op 27 januari 2021 openbaar is gemaakt. Als bijlage bij het besluit vindt u de openbaar gemaakte stukken. Zoals ik in antwoord op vraag 32 heb aangegeven ben ik bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te delen.

35

Als er op 21 januari 2019 al een GEB is opgesteld, waarin de Belastingdienst zelf de conclusie trok dat niet voldaan werd aan de privacyregels, waarom is de FSV dan pas op 27 februari 2020 uitgeschakeld? Waarom is er dan nog ruim een jaar lang doorgegaan met deze onrechtmatige zwarte lijst?

In november 2018 is binnen de Belastingdienst de opdracht gegeven om een GEB op te stellen over FSV. De concept-GEB is opgeleverd in januari 2019. De reikwijdte van de concept-GEB was te beperkt: alleen de applicatie zelf was onderwerp van onderzoek en niet het volledige gebruik van persoonsgegevens in de toezichtprocessen. Dit had wel gemoeten. Daarnaast had de conclusie van de concept-GEB op dit moment al aanleiding moeten zijn om de privacy officer van de Belastingdienst en de Functionaris voor Gegevensbescherming (FG) te betrekken om een oordeel te kunnen geven of er nog wel zorgvuldig conform de AVG met het systeem gewerkt kon worden. Daar is onvoldoende aandacht voor geweest.

De Belastingdienst heeft in het kader van de AVG-onderzoek uitgevoerd naar applicaties met (ruime) exportmogelijkheden. Naar aanleiding hiervan zijn maatregelen genomen om de risico’s van het gebruik van FSV te beperken. In november 2019 is naar aanleiding van deze risico’s verminderende maatregelen opnieuw onderzoek gedaan naar de conclusies uit de concept-GEB. Dit heeft geleid tot een geactualiseerde GEB in november 2019. Hierin wordt onder andere geconcludeerd dat naar aanleiding van het aanvullend onderzoek al maatregelen zijn genomen, maar dat nog niet alle overige maatregelen uit de concept-GEB zijn doorgevoerd. De conclusie uit de concept-GEB van januari 2019 had aanleiding moeten zijn om de privacy officer van de Belastingdienst en de FG te betrekken. De FG had als interne toezichthouder van het Ministerie van Financiën kunnen adviseren over hoe omgegaan moest worden met de conclusies uit de concept-GEB. De privacy officer en de FG hebben uiteindelijk op 20 februari 2020 kennisgenomen van deze concept-GEB. Vanwege het belang van onder meer het verwerken van signalen voor het toezicht is de bestaande voorziening (FSV) echter niet buiten gebruik gesteld. Achteraf bezien is dit een onjuiste beslissing geweest. Zie ook de tijdlijn bij mijn brief van 28 april 2020.13

36

Hoe zijn de gebreken binnen FSV bij de invoering hiervan over het hoofd gezien?

Bij de ontwikkeling van FSV in 2013 stond het belang van juiste belastingheffing en uitkering van toeslagen voorop. Er is toen onvoldoende aandacht gegeven aan het gebruik en beveiligen van gegevens. Dat het op deze wijze omgaan met gegevens niet gepast is, had echter eerder moeten worden ingezien en tot actie moeten leiden.

37

Wat wordt er concreet gedaan om de toetsing van systemen in de toekomst te verbeteren?

Aan uw Kamer is een systematische doorlichting van de processen en applicaties toegezegd.14 Onderdeel van deze doorlichting is de ontwikkeling van een controlelijst waarin de randvoorwaardelijke wetgeving (AVG, BIO en archiefwet) praktisch is vertaald. Door het opnemen van de vragen van de controlelijst in de methodieken voor het ontwerpen van processen en applicaties, wordt beter geborgd dat nieuw ontworpen processen en aanpassingen aan bestaande processen (inclusief de bijbehorende applicaties) aantoonbaar invulling geven aan de vereisten van de AVG, BIO en Archiefwet. Hiermee wordt beter invulling gegeven aan de privacy by design-principes uit de AVG.

38

Hoe worden de doeleinden voor dergelijke systemen nu opgesteld?

Aan uw Kamer is een systematische doorlichting van de processen en applicaties toegezegd15. Onderdeel van deze doorlichting is de ontwikkeling van een controlelijst waarin de randvoorwaardelijke wetgeving (AVG, BIO en Archiefwet) praktisch is vertaald. Door het opnemen van de vragen van de controlelijst in de methodieken voor het ontwerpen van processen en applicaties, wordt beter geborgd dat nieuw ontworpen processen en aanpassingen aan bestaande processen (inclusief de bijbehorende applicaties) aantoonbaar invulling geven aan de vereisten van de AVG, BIO en Archiefwet. Hiermee wordt beter invulling gegeven aan de privacy by design-principes uit de AVG. Verder wordt om te voldoen aan de AVG bijvoorbeeld ook altijd het doel van de verwerking en het waarom van de daarbij gebruikte applicatie(s) beschreven.

39

Welke oorzaken lagen ten grondslag aan het niet bijhouden, wissen en/of rectificeren van gegevens?

Zoals de AP ook constateerde in haar rapport (paragrafen 3.5 en 3.6) bevatte FSV geen functionaliteit om gegevens (definitief) te verwijderen en werden bevindingen uit onderzoek op grond van signalen niet teruggekoppeld in FSV. Daardoor werden gegevens niet conform de eisen van de AVG geactualiseerd, gewist of gerectificeerd.

40

Welke consequenties zijn er voor het te lang bewaren van gevoelige informatie, zoals persoonsgegevens?

Het te lang bewaren van persoonsgegevens is in strijd met het beginsel van opslagbeperking (artikel 5, eerste lid, aanhef en onder e, van de AVG); dit houdt in dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk. Als dat wel gebeurt, is dat onrechtmatig.

41

Hoe wordt voorkomen dat relevante experts te laat worden betrokken bij dergelijke processen in de toekomst?

Zoals bij het antwoord op vragen 36 en 37 aangegeven, moeten nieuwe processen en de aanpassing op bestaande processen ontworpen worden via het voortbrengingsproces. Het voortbrengingsproces is een beschrijving van wat er nodig is om processen te veranderen. Daar wordt nu, als onderdeel van de ontwerpmethodiek, aan gewerkt zodat relevante experts op de juiste momenten betrokken zijn bij het ontwerpen en toetsen van processen en applicaties.

42

Welke consultants, experts en/of adviezen zijn opgevraagd bij het opstellen en implementeren van FSV?

De externe partij die de opdracht heeft gekregen voor de ontwikkeling en bouw van FSV was CapGemini. In opdracht van de Belastingdienst heeft CapGemini de applicatie PIT omgebouwd tot FSV. De Belastingdienst bleef verantwoordelijk voor de vormgeving van de applicatie.

43

Hoeveel met FSV vergelijkbare lijsten met personen hebben er bestaan? Zijn dit er 211 of nog meer? Hoort de Uitsluitlijst van Toeslagen met 350.000 mensen hier ook bij? Hoeveel met FSV vergelijkbare lijsten met personen zijn nog steeds in gebruik?

FSV was een applicatie. Aan KPMG is, bij het onderzoek naar FSV, tevens gevraagd of er vergelijkbare applicaties zijn. KPMG heeft geen applicaties aangetroffen die in sterke mate vergelijkbaar zijn met FSV16.

In mijn begeleidende brief bij het rapport van KPMG heb ik een inventarisatie van lijsten met nationaliteit en/of risico- of fraudesignalen aangekondigd in de persoonlijke omgeving. In mijn brief van 25 november 202117 geef ik de laatste stand van zaken op dit traject. Zoals daarin wordt uitgelegd zijn er na analyse van de opbrengst van de inventarisatie 132 lijsten overgebleven. Wat betreft gestructureerdheid variëren deze van lokaal ontwikkelde applicaties tot Word- of Excelbestanden uit de persoonlijke omgeving van medewerkers. Het onderzoek naar deze lijsten is nog niet voltooid.

In mijn brief van 10 juli 2020 ben ik ingegaan op het gebruik van FSV bij Toeslagen en de uitsluitlijst. De uitsluitlijst van Toeslagen is niet een van de lijsten die door medewerkers zijn aangeleverd tijdens de inventarisatie, want de lijst was destijds al bekend bij het managementteam Toeslagen. Zo wordt ernaar verwezen in het interim-rapport van de Adviescommissie uitvoering toeslagen van 14 november 201918. Door plaatsing op de uitsluitlijst wordt voorkomen dat er een definitieve beschikking verzonden wordt voor specifieke toeslagen en toeslagjaren. De functie van de uitsluitlijst wordt momenteel ingebed in vaktechnisch gevalideerde behandelplannen.

44

Klopt het dat er een nieuwe signaleringslijst bestaat voor het delen van gegevens rondom fraude? Hoe heet deze lijst en hoe werkt deze? Zijn de AP en de FG bij deze lijst betrokken geweest? Zo ja, op welke wijze?

Er is een nieuw proces ontworpen voor het beoordelen en behandelen van externe signalen en er is een tijdelijke applicatie ontwikkeld ter ondersteuning van dit proces. Dit proces en de applicatie zijn momenteel nog niet in gebruik. Voor de verwerkingen van persoonsgegevens in het proces is een GEB opgesteld die in concept aan de FG is voorgelegd voor advies. Op dit moment worden de implicaties van het AP-rapport voor deze GEB in kaart gebracht. Na aanpassing van de GEB zal deze nogmaals aan de FG en aan de AP worden voorgelegd voor toetsing en advies. Het nieuwe signalenproces en de applicatie zullen niet in gebruik worden genomen voordat de GEB is aangepast aan de adviezen van FG en AP, is vastgesteld door de hiervoor verantwoordelijke directeuren en de in de GEB beschreven maatregelen zijn geïmplementeerd.

45

Wanneer is het wetsvoorstel Wet waarborgen gegevensbescherming Belastingdienst in de Kamer te verwachten?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane wordt op dit moment voorbereid, in nauwe samenwerking met de betrokken onderdelen van de Belastingdienst, Toeslagen en Douane. De gegevensverwerking door de Belastingdienst, Toeslagen en Douane is omvangrijk, en vraagt om een zorgvuldige voorbereiding van het wetsvoorstel. Daarna volgen nog een internetconsultatie, advisering door de Autoriteit Persoonsgegevens, besluitvorming door het kabinet en advisering door de Raad van State. Ik verwacht het wetsvoorstel op zijn vroegst in het najaar van 2022 bij uw Kamer in te dienen.

46

Kunt u een inschatting geven met betrekking tot de termijn van de uitvoering van de aangenomen moties?

In mijn brief van 25 november 202119 ga ik in op de uitvoering van een aantal moties van de leden Marijnissen20, Azarkan21 en Snels22. In het kader van de eerste motie van het lid Marijnissen zijn inmiddels 200.000 brieven aan mensen in FSV verzonden. Begin 2022 verwacht ik de resterende brieven te kunnen verzenden. In dezelfde motie van het lid Marijnissen wordt de regering verzocht onrechtmatige of oneigenlijk gebruikte data binnen de overheid op te ruimen. Over de interdepartementale aanpak van dit verzoek rapporteert de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties23. Voor de uitvoering van de tweede motie van het lid Marijnissen verwacht ik, als de benodigde informatie aanwezig is, voor het eind van 2021 het merendeel van de brieven met de reden van registratie te kunnen verzenden. Wanneer het onder vraag 18 genoemde onderzoek van PwC naar externe gegevensdeling uit FSV is voltooid, zal ik de burgers die in FSV stonden hierover – indien dit mogelijk is – informeren. De motie van het lid Azarkan om inzage in FSV op een laagdrempelige manier mogelijk te maken, is uitgevoerd. Onder vraag 51 ga ik nader in op de uitvoering van de motie van het lid Snels.

47

Is er direct contact met gedupeerden? Hoe wordt dit vormgegeven? Wat wordt hieruit meegenomen?

Ja, er is direct contact. Personen die in de FSV staan kunnen telefonisch contact opnemen met een meldpunt bij de Belastingdienst. Tot nu is ongeveer 14.000 keer contact opgenomen met dit meldpunt. Circa 500 daarvan hadden specifieke vragen die niet in één telefonisch contact konden worden beantwoord. Deze zijn doorgezet naar specialisten. Deze specialisten doen onderzoek op de door betrokkene gestelde vraag of vragen, formuleren een antwoord en bellen betrokkene vervolgens om dit antwoord te geven en desgewenst verder te bespreken.

De tweede stroom direct contact bestaat uit betrokkenen die een klacht indienen. Tot op heden zijn er bijna 200 klachten ontvangen. Klachten worden ook onderzocht door specialisten. Nadat een antwoord is geformuleerd worden betrokkenen gebeld om de klacht te bespreken en te beantwoorden. Tot nu toe kon 90% van alle binnengekomen klachten op deze wijze worden afgehandeld.

48

Hoe breed is het onderzoek naar in welke mate gedupeerden zijn geraakt door de misstanden? Wat is de concrete onderzoeksvraag en welke aspecten worden bekeken?

Onder vraag 30 zijn de onderzoeksvragen van het onderzoek van PwC naar de effecten van FSV op burgers en bedrijven beschreven.

49

Klopt het dat circa 5.000 medewerkers vrijelijk toegang hadden tot de FSV? Klopt het dat zij naar hartenlust nieuwe gegevens konden toevoegen of weghalen? Klopt het dat FSV dus enigszins leek op wikipedia?

Het klopt dat er 5000 autorisaties waren om FSV te raadplegen. Zoals uiteengezet in het rapport van de AP24 was het aantal autorisaties om FSV te raadplegen 160 bij ingebruikname in 2013 en liep dit op naar 5.000 in mei 2019, om daarna tot 1.300 teruggebracht te worden. Zoals beschreven in de beantwoording van Kamervragen van 13 oktober 202025 betreft het genoemde aantal van ruim 5.000 geen medewerkers maar toegekende permissies. Het aantal unieke medewerkers dat toegang had tot FSV, was 4.249. Een medewerker kan meerdere permissies vanwege meerdere rollen hebben. Daardoor is het aantal medewerkers (4.249) lager dan het aantal permissies. 3.319 medewerkers van de 4.249 hadden de permissie om te raadplegen. 930 medewerkers hadden naast de permissie om te raadplegen ook permissie om signalen op te voeren of te wijzigen. Het opvoeren of wijzigen van een signaal werd gelogd. Ten aanzien van het wijzigen is nog wel van belang dat het vastleggen van mutaties in FSV zeer beperkt was.

Mij zijn geen signalen bekend van het naar hartenlust gegevens toevoegen of weghalen. Medewerkers mogen ervan uitgaan dat de hulpmiddelen die door de werkgever ter beschikking gesteld zijn om de complexe taken van de Belastingdienst uit te voeren, veilig zijn en voldoen aan de wettelijke vereisten. Dat was bij FSV niet het geval. FSV leek niet op de openbare internetencyclopedie Wikipedia.

50

Klopt het dat de gegevensbescherming in FSV niet op het niveau van een fatsoenlijke rechtsstaat was? Bestaan dergelijke zwarte lijsten ook in andere landen? Welke landen zijn dit? Zijn dit democratische rechtsstaten of autoritaire staten met een onvolledige rechtsstaat of zelfs dictaturen?

De verwerking van gegevens in FSV voldeed niet aan de eisen van de AVG. Ik heb geen inzicht in de gegevensverwerking in andere landen.

51

Wanneer is er besluitvorming te verwachten over de compensatieregeling voor FSV?

Ik heb PwC gevraagd onderzoek te doen naar de effecten van FSV op burgers en bedrijven. Vooruitlopend op de uitkomsten van het onderzoek wordt al nagedacht over mogelijke oplossingen. Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën een technische briefing gegeven aan de vaste commissie voor Financiën van uw Kamer over de mogelijke opties voor het bieden van herstel aan burgers in FSV. De verschillende opties worden de komende periode verder uitgewerkt waarna, naar verwachting, in de eerste helft van 2022 besluitvorming in afstemming met uw Kamer kan plaatsvinden.

Op 1 februari jl. heeft de Tweede Kamer de motie van het lid Snels c.s.26 aangenomen. Hierin wordt de regering verzocht in kaart te brengen hoeveel mensen door een vermelding in FSV ten onrechte geschaad zijn en welke schade deze mensen ondervonden hebben en op basis hiervan een mogelijke compensatieregeling uit te werken voor onterecht geraakte burgers. Om hier uitvoering aan te geven loopt het onderzoek van PwC en het traject identificatie van benadeling bij afwijzing MSNP.

52

Klopt het dat een notering in FSV niet alleen leidde tot het niet toekennen van minnelijke schuldsaneringen, zoals tot voor kort werd beweerd, maar dat deze gevolgen veel breder waren?

Ik heb PwC gevraagd de effecten van registratie in FSV te onderzoeken. Op de conclusies van dit rapport kan ik niet vooruitlopen. In de technische briefings van 14 en 28 oktober jl. is ingegaan op mogelijke effecten en is er op gewezen dat de effecten vooral een gevolg zijn van de risico-onderzoeken en niet zozeer van registratie in FSV.

53

Klopt het dat veel mensen een notering in FSV ervaren als een stigma in de zin dat zij zijn opgenomen op een fraudelijst en dus zijn beschouwd als fraudeur?

Ik kan mij voorstellen dat mensen een registratie in FSV als stigmatiserend ervaren. Bij het speciale telefoonnummer voor FSV stellen mensen regelmatig de vraag of hun registratie betekent dat zij als fraudeur worden gezien.

FSV was een systeem om verschillende signalen te registreren, niet alleen signalen van risico’s in een aangifte of mogelijke fraude. De naam Fraudesignaleringsvoorziening was daarmee dus ongelukkig gekozen. Ook waar een registratie wel een fraudesignaal betrof, betekent dit niet dat de persoon in kwestie automatisch als fraudeur is gezien; het betekent slechts dat er een signaal is ontvangen. Zoals bekend voldeed FSV niet aan AVG.

54

Hoe en wanneer is de naam Fraude Signalering Voorziening tot stand gekomen? Was dat in de periode (2012–2014) waarin overal fraude werd vermoed?

De naam Fraude Signalering Voorziening (ook wel Fraude Signalen Voorziening) is tot stand gekomen in de periode waarin de applicatie werd ontwikkeld, in 2012/2013. Achteraf gezien had deze naam niet gekozen moeten worden omdat de naam niet aansluit bij de functionaliteit (zie ook vraag 53).

55

Klopt het dat er ook meldingen via Meld Misdaad Anoniem in de FSV staan? Welke filters werden bij meldingen toegepast?

Ja, dat klopt. Zie hierover het antwoord op vraag 21. Er werden geen filters op meldingen toegepast.

56

Kunt u aangeven wat de stand van zaken is aangaande de Wet waarborgen gegevensverwerking Belastingdienst?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane wordt op dit moment voorbereid, in nauwe samenwerking met de betrokken onderdelen van de Belastingdienst, Toeslagen en Douane. De gegevensverwerking door de Belastingdienst, Toeslagen en Douane is omvangrijk, en vraagt om een zorgvuldige voorbereiding van het wetsvoorstel. Daarna volgen nog een internetconsultatie, advisering door de Autoriteit Persoonsgegevens, besluitvorming door het kabinet en advisering door de Raad van State. Ik verwacht het wetsvoorstel op zijn vroegst in het najaar van 2022 bij uw Kamer in te dienen.

57

Klopt het dat het ook ging om het niet toekennen van aftrekposten, afwijken van de belastingaangifte, extra controles, strengere controles dan gebruikelijk, verscherpt toezicht, vertraging in het vaststellen van definitieve aanslagen, niet toekennen van toeslagen, waaronder de kinderopvangtoeslag, het niet toekennen van andere fiscale faciliteiten en betalingsregelingen en het opleggen van boetes en andere straffen? Is dit een volledige opsomming van benadelingseffecten of zijn er nog meer?

Op dit moment verricht PwC onderzoek naar de effecten voor burgers en bedrijven van registratie in FSV. Ik kan nog geen opsomming geven over de effecten en ook geen volledige opsomming geven. In de technische briefings van 14 en 28 oktober jl. is ingegaan op mogelijke effecten.

58

Van welk formaat duidt u de genoemde problemen binnen de Belastingdienst als het gaat om de AVG?

De Belastingdienst voldoet onvoldoende aan de AVG. Deze conclusie is zeer hard en vraagt om een grootschalige verbeteraanpak. Zie voor het plan van aanpak verbeteren privacyorganisatie ook het antwoord op vraag 1.

59

Hoe wordt toegezien op de implementatie van de genoemde adviezen?

In vervolg op de brief van de AP van 27 oktober 2021 worden plannen van aanpak gemaakt. Uw Kamer wordt in het eerste kwartaal 2022 geïnformeerd over de voortgang. Zie hiervoor ook het antwoord op vraag 1.

60

Uit hoeveel fte zal het team van de privacy officer bestaan? Wanneer zal deze personeelscapaciteit zijn gerealiseerd?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

61

Bij welk gedeelte van de 270.000 mensen op de FSV lijst zal de reden niet meer te achterhalen zijn?

Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën een technische briefing gegeven aan de vaste commissie voor Financiën van uw Kamer over de mogelijke opties voor het bieden van herstel aan burgers in FSV. Daarbij is aangegeven dat voor 50–60% van de FSV-geregistreerden een reden waarschijnlijk niet te achterhalen is. Als er geen reden te achterhalen is, komt dit met name omdat veel FSV opnames voortkomen uit PIT (voorganger van FSV). Bij de migratie vanuit PIT naar FSV zijn veel details verloren gegaan, wat analyse en het achterhalen van de reden van registratie moeilijk tot onmogelijk maakt.

62

Bij welk gedeelte van de 270.000 mensen op de FSV lijst is er ook sprake van terugvorderen van toeslagen?

Bij 105.000 mensen heeft in hetzelfde belastingjaar als het jaar waarin een betrokkene is opgenomen in FSV een terugvordering op de toeslag plaatsgevonden. Bij bijna 165.000 mensen heeft een terugvordering op de toeslag plaatsgevonden, als wordt gekeken vanaf het moment van registratie in FSV tot en met nu. Dit hoeft geen relatie te hebben met FSV, omdat het terugvorderen verweven is met het huidige toeslagenstelsel.

Er kan om meerdere redenen sprake zijn van terugvorderen van toeslagen. Zo kan er terugvordering volgen uit een correctie op de aangifte inkomstenheffing, maar kan er ook een terugvordering plaatsvinden bij verandering in aantal uren, bij de kinderopvang of andere feitelijke jaarinkomens dan vooraf werd verwacht door de toeslaggerechtigden. Gemiddeld genomen over alle toeslagen, niet alleen voor mensen in FSV, leidde het definitief toekennen van de toeslag tot een terugvordering bij 31% van de aanvragers over toeslagjaar 2012, welk percentage is teruggedrongen tot 20% over 2018.

De effecten van registratie in FSV en de effecten op toeslagen worden momenteel door PwC onderzocht.

Zie hiervoor het antwoord op vraag 3.

63

Klopt het dat er ook meldingen via ECD-FIOD in de FSV staan? Welke filters werden hierbij toegepast?

Het is mogelijk dat er meldingen in FSV staan via de FIOD. Deze zijn niet door de FIOD zelf in FSV geplaatst, want de FIOD heeft geen mutatierechten in FSV gehad. Indien bij de FIOD een binnengekomen signaal (na beoordeling) is doorgezet naar de Belastingdienst, kan deze melding in FSV zijn opgenomen met een verwijzing naar FIOD. Er zijn hierbij geen aparte filters toegepast.

64

Kunt u schetsen hoe de AP guidance heeft verleend bij de uitvoering van het interne toezicht op de totstandkoming van de vervanging voor het FSV-systeem?

De bedoelde guidance is op initiatief van de AP in een aantal gesprekken verleend aan de FG in het licht van het advies van de FG van 9 juni 2021 over een (concept) GEB betreffende een nieuw proces voor het behandelen van signalen en de daarvoor te gebruiken ondersteunende applicatie. Deze guidance is te plaatsen in het kader van het in de AVG bedoelde overleg tussen de AP en de FG (artikel 39, eerste lid, onderdeel e, AVG). Zoals eerder aangegeven zal een naar aanleiding van het AP-rapport over FSV aangepast concept van deze GEB nogmaals aan de FG, en in het kader van de in de AVG bedoelde voorafgaande raadpleging (artikel 36 AVG), ook aan de AP worden voorgelegd.

65

Hoe staat het, los van het team FG, met het opzetten van een privacy-organisatie binnen de Belastingdienst ter bevordering van de naleving van de AVG?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

66

Hoe is het interne toezicht binnen de Belastingdienst versterkt?

Voor wat het interne toezicht door de FG betreft geldt het volgende. De Belastingdienst valt onder het interne toezicht van de FG van het Ministerie van Financiën. Zie hiervoor ook de beantwoording van vraag 15. Vanaf augustus 2020 heeft de FG van Financiën een team met in totaal 5 personen (4,2 fte). Daarnaast kan de FG de ADR verzoeken om ten behoeve van de FG-audits uit te voeren.

67

Hoe staat het met de integrale beoordelingen van risico’s binnen de Belastingdienst?

Risicomanagement is een continu proces om risico’s inzichtelijk en beheersbaar te krijgen aansluitend op de afgesproken doelstellingen.

Uiteindelijk dienen risicomanagement en risico denken een standaardonderdeel te zijn van de manier van werken bij onze medewerkers.

Sinds 2019 werkt Belastingdienst aan het verbeteren van het risicomanagement in het programma Managementinformatie en Risicomanagement (MI/RM). Het programma MI/RM heeft als doelstelling om een risicomanagement aanpak werkend te krijgen. In voorbereiding op het Jaarplan Belastingdienst 2022 is opnieuw een strategische risicoanalyse (SRA) uitgevoerd.

In 2022 ligt de nadruk op het versterken van de risicobeheersing voor de strategische toprisico's door maatregelen te definiëren om het restrisico te verlagen tot een acceptabel niveau en het monitoren van de ontwikkelingen van de strategische risico’s.

Het informatiebeveiligingsrisico is aangemerkt als toprisico voor de Belastingdienst, waaronder het voldoen een privacy-eisen en wet- en regelgeving.

Met betrekking tot de AVG loopt het project AO/IC op orde en worden de dienstonderdelen geholpen met het beschrijven van hun processen en waar mogelijk met het toetsen van hun processen op het voldoen aan de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO) en de Archiefwet.

68

Is het totaaloverzicht van de keten van verwerkingen door de Belastingdienst verbeterd? Zo, ja op welke manier?

De processen van de ketens van de Belastingdienst zijn in architectuurproducten beschreven. Het verbetertraject voor het register van verwerkingen sluit hierop aan. Hierdoor verbetert het totaaloverzicht van de ketens van verwerkingen gaandeweg. Ik heb in mijn Kamerbrief van 10 juli 2020 aangegeven dat hier minimaal drie jaar voor nodig is.

69

Hoe is de privacy-organisatie binnen de Belastingdienst verbeterd?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

De Belastingdienst heeft in het kader van het plan HVB-activiteiten in gang gezet om kennis en vaardigheden te vergroten, voor de bewustwording is een spel ontwikkeld (Online Security Awareness Game), alle nieuwe medewerkers krijgen in het kader van hun inwerkprogramma een AVG-cursus en verder wordt een vaktechnische infrastructuur voor gegevens ingericht.

70

Heeft de uitbreiding van functies in team FG ervoor gezorgd dat naleving van de AVG op orde is?

Een FG houdt, als intern toezichthouder, op basis van de AVG-toezicht en adviseert over de verplichtingen van de AVG. Het toezicht en het advies van de FG zijn bedoeld om bij te dragen aan de naleving van de AVG. Dit vanuit de zogenaamde «derde lijn» van verantwoordelijkheden. Een versterking van het interne toezicht, hoe groot ook, betekent niet automatisch dat de organisatie daardoor de naleving op orde heeft, maar levert daar wel een grotere bijdrage aan.

71

Om hoeveel middelen beschikt team FG voor de naleving van de AVG?

Het Team FG van Financiën beschikt over 4,2 fte personeel over totaal 5 personen, met daarnaast de mogelijkheid om de Audit Dienst Rijk te verzoeken ten behoeve van de FG audits uit te voeren. Tevens is er de mogelijkheid om in te huren of onderzoeken uit te besteden en beschikt men over een opleidingsbudget.

72

Hoe staat het met de volledige vervanging van FSV? Zijn alle GEB’s in dat kader voorgelegd aan team FG? Zo nee, waarom niet?

Zoals aangegeven in het antwoord op de vragen 4 en 44 zijn een nieuw proces en een nieuwe ondersteunende applicatie voor het beoordelen en behandelen van signalen ten behoeve van het toezicht ontwikkeld. Op de verwerkingen van persoonsgegevens wordt een GEB uitgevoerd. De FG heeft op het concept van de GEB-advies uitgebracht. De vaststelling van de GEB is opgeschort tot de implicaties van het rapport van de AP over FSV in beeld zijn gebracht en verwerkt. Op basis van de aangepaste GEB brengt de FG hernieuwd advies uit. Ook wordt de AP om advies gevraagd over de aangepaste GEB. Het proces en de applicatie worden niet eerder dan na afronding van deze stappen in gebruik genomen.

73

Kunt u, gelet op het feit dat de rollen, functies en werkprocessen gegevensbescherming, privacy, databeheersing en beveiliging en aanverwante processen worden verbeterd, een overzicht geven waaruit die verbeteringen bestaan?

De volgende acties zijn uitgevoerd:

• Het FG-team bij het kerndepartement is uitgebreid met een plaatsvervangend FG een jurist/beleidsmedewerker en een beleidsondersteunend medewerker.

• Het team van de privacy officer van de Belastingdienst is uitgebreid met 2 adviseurs.

• Er is een project «verbeteren register van verwerkingen» met een projectleider.

• Er is een GEB-brigade van 3 personen externe inhuur (onderdeel van de 4 medewerkers tijdelijke inhuur zoals beschreven in vraag 19) die helpen om de achterstanden op de GEB’s weg te werken en tevens te helpen bij het verbeteren van het register van verwerkingen.

• Elke dienstonderdeel binnen de Belastingdienst richt een afdeling informatiehuishouding, data en security in (I&DS), ook ter ondersteuning van de belastingdienst brede ketens.

• Het programma AO/IC op orde is opgezet. Dit programma ondersteunt de dienstonderdelen bij het doorlichten en compliant maken van hun processen. De doelstellingen uit het project BOO (bedrijfsprocessen op orde) zijn in dit programma overgenomen.

• Een evaluatie ter verbetering van de rol van data coördinator is uitgevoerd en acties worden uitgezet.

• Een GEB-procedure voor de Belastingdienst is vastgesteld.

• De Belastingdienst loopt mee in het programma Informatie op orde (IOO) van Financiën en heeft een eigen regieprogramma Informatiehuishouding op Orde Belastingdienst (PRIO BD) ingesteld.

• Een bewustwordingscampagne voor medewerkers is opgezet en loopt momenteel.

• Een ondersteuningsprogramma BIO her-implementatie is opgezet en gestart.

74

Met hoeveel fte is het team van de privacyofficer uitgebreid?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

75

Om hoeveel GEB's ging het, gelet op het feit dat er extra medewerkers zijn ingehuurd om het beoordelen van GEB’s te bespoedigen? Om hoeveel fte aan extra medewerkers inhuur gaat het? Waarom zijn dit geen vaste plekken?

Op peildatum 18 oktober 2021 waren er 38 GEB’s waar nog geen advies op is uitgebracht. De inhuur voor de GEB-werkzaamheden bestaat uit 3 personen (onderdeel van de 4 medewerkers tijdelijke inhuur zoals beschreven in vraag 19). De reden dat dit geen vaste plekken zijn, is dat het om een inhaalslag met een tijdelijk karakter gaat. Structurele inbedding volgt als duidelijk is hoe de privacy-organisatie verbeterd moet worden.

76

Hoe is de procedure voor het uitvoeren van GEB’s?

De GEB-procedure is op 29 oktober 2020 vastgesteld door het Directieteam Belastingdienst (DT BD) en is sindsdien in gebruik. De procedure zal in 2022 worden herijkt.

Deze procedure beschrijft welke stappen altijd moeten worden doorlopen bij een (voornemen) van een nieuwe verwerking, een wijziging in een verwerking die nieuwe risico’s met zich brengt of bij een herijking van een verwerking (elke drie jaar).

De GEB-procedure bestaat uit de stappen:

– Een vooranalyse waarbij de interne verwerkingsverantwoordelijke wordt vastgesteld en wordt beoordeeld of het uitvoeren van een GEB verplicht dan wel noodzakelijk is;

– Juridische toetsing

– Risicoanalyse

– Ontwerp verwerking

– Appreciatie door de concerndirectie Informatievoorziening en Databeheersing

– Corrigerende maatregelen initiëren

– Advies FG

– Verwerken advies FG

– Interne verwerkingsverantwoordelijke tekent voor kennisname advies en besluit opvolging

– Bijwerken van het register van verwerkingen

77

Hoe is de borging van de betrokkenheid van de FG geformaliseerd?

Zie het antwoord op vragen 15 en 76. Daarnaast is het voorschrift om bij het uitvoeren van een GEB het advies van de FG in te winnen, opgenomen in de GEB-procedures van het Ministerie van Financiën en van de Belastingdienst. De FG is bij Financiën bovendien de (functioneel) beheerder van het register van verwerkingsactiviteiten, waardoor hij rechtstreeks inzicht heeft in de ontwikkeling van het register, van welke intern verwerkingsverantwoordelijke de verantwoordelijkheid voor welke in het register te vermelden gegevensverwerking geaccepteerd heeft. Daarnaast regelt het privacybeleid van Financiën de betrokkenheid van de FG bij verschillende overleggremia.

De verplichting om de FG om advies te vragen volgt uit de AVG.

Uitgevoerde GEB’s worden door de Belastingdienst voor advies voorgelegd aan de FG. Verder vinden structureel overleggen plaats over bijvoorbeeld het verbeteren van de kwaliteit van het register van verwerkingsactiviteiten en over datalekken.

78

Hoe is de bewustwording van medewerkers vergroot? Waaruit bestaat het plan?

Het is essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. In dit kader krijgen alle nieuwe medewerkers als onderdeel van hun inwerkprogramma een AVG-cursus. Onderdeel van het plan HVB is het beschikbaar stellen van een nieuwe intranetpagina rondom «verantwoord omgaan met gegevens». Sinds oktober 2021 is de Online Security Awareness Game beschikbaar voor alle medewerkers van de Belastingdienst, en voor de medewerkers van Douane en Toeslagen. De spelrondes zullen periodiek worden herhaald, geactualiseerd of worden uitgebreid met actuele thema’s. Door middel van verschillende spelrondes die zijn afgestemd op de Belastingdienst, wordt op een laagdrempelige manier aandacht besteed aan bewustwording op het gebied van beveiliging en AVG.

79

Op welke wijze wordt de «bewustwording van medewerkers vergroot» zoals aangegeven onderaan op pagina 4 van uw brief?

Het is essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. In dit kader krijgen alle nieuwe medewerkers als onderdeel van hun inwerkprogramma een AVG-cursus. Onderdeel van het plan HVB is het beschikbaar stellen van een nieuwe intranetpagina rondom «verantwoord omgaan met gegevens». Sinds oktober 2021 is de Online Security Awareness Game beschikbaar voor alle medewerkers van de Belastingdienst, en voor de medewerkers van Douane en Toeslagen. De spelrondes zullen periodiek worden herhaald, geactualiseerd of worden uitgebreid met actuele thema’s. Door middel van verschillende spelrondes die zijn afgestemd op de Belastingdienst, wordt op een laagdrempelige manier aandacht besteed aan bewustwording op het gebied van beveiliging en AVG.

80

Worden de risico’s voor de rechten en vrijheden beschouwd vanuit de gehele keten? En waaruit blijkt dat?

Ik lees uw vraag zo, dat u vraagt naar de risico’s voor de rechten en vrijheden bij het nieuwe signalenproces. Er is een nieuw proces voor de beoordeling van signalen uitgewerkt, met een tijdelijke ondersteunende applicatie, Tijdelijke Signalerings Voorziening (TSV). Voordat de applicatie in gebruik wordt genomen, wordt op het signalenproces een GEB uitgevoerd. Om te zorgen dat de omgang met persoonsgegevens aan de vereisten voldoet, bekijkt de Belastingdienst welke implicaties het recent verschenen rapport van de Autoriteit Persoonsgegevens over FSV heeft voor het herziene proces en de applicatie. Nadat deze implicaties zijn beoordeeld en de GEB hierop is aangepast, getoetst door de FG en vervolgens voorgelegd voor advies aan de AP, wordt een besluit genomen over het hervatten van het signalenproces.

81

Klopt het dat PwC vijf onderzoeken uitvoert? Wanneer zijn deze onderzoeken te verwachten?

Het klopt dat er drie deelonderzoeken en twee aanvullende opdrachten zijn. Onder vraag 18 ben ik nader ingegaan op de planning van deze onderzoeken.

82

Hoe ziet de privacy organisatie binnen de Belastingdienst zelf er op dit moment uit (functionarissen, rollen, part-time/full-time, plek in het organogram en doorzettingsmacht)? Acht u dit voldoende?

Het team rond de privacy officer is uitgebreid met twee personen en bestaat sinds maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket. Ik ben van mening dat dit niet voldoende is, dit zou verder uitgewerkt moeten worden in de nieuwe privacyorganisatie.

83

Is er een privacy organisatie binnen de Douane en binnen de Belastingdienst/Toeslagen? Zo ja, hoe ziet die eruit?

De Douane maakt, tot het moment dat de privacyorganisatie bij de Douane zelf is ingericht, onderdeel uit van de privacyorganisatie van de Belastingdienst. Intern heeft de Douane het op dit moment zo georganiseerd dat op centraal en decentraal niveau privacy medewerkers als vraagbaak dienen voor privacyvraagstukken vanuit de organisatie. De centrale datacoördinator bij de Douane is aangesloten bij het Belastingdienst brede privacy overleg en voert structureel overleg met de FG en met de privacy officer van de Belastingdienst.

Binnen DG Toeslagen is de privacyorganisatie in oprichting. Toeslagen maakt, tot het moment dat de privacyorganisatie bij Toeslagen is ingericht, onderdeel uit van de privacyorganisatie van de Belastingdienst. Intern heeft Toeslagen het op dit moment zo georganiseerd dat op centraal en decentraal niveau privacy medewerkers als vraagbaak dienen voor privacyvraagstukken vanuit de organisatie. De datacoördinatoren bij Toeslagen zijn aangesloten bij het Belastingdienst brede privacyoverleg. Daarbij voert de Privacycoördinator structureel overleg met de FG en met de privacy officer van de Belastingdienst.

De Douane, Toeslagen en Belastingdienst hebben afspraken gemaakt over de borging van privacy bij de ontvlechting. De huidige situatie blijft gehandhaafd tot het moment dat de privacyorganisatie bij de Douane en Toeslagen is ingericht om de werkzaamheden en taken die de Belastingdienst op dit moment voor hen verricht op het terrein van privacy over te nemen. De eerste stap heeft de Douane gezet door per 1 december 2021 een Chief Privacy Officer (CPO) aan te stellen. Bij Toeslagen komt er op termijn ook een eigen CPO. De komende periode wordt de privacyorganisatie van de Douane en Toeslagen verder ingericht. Deze inrichting vindt plaats in samenhang met de actie, en actieplannen, om de privacy-organisatie van Financiën te versterken.

84

Kunt u het «verslag verklaringen medewerkers Belastingdienst werking FSV» afgelegd op 30 juni 2020 aan de Kamer doen toekomen, eventueel na overleg met de AP?

Ja, ik ben bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te delen. Het samenstellen van dit dossier vraagt echter om een zorgvuldige aanpak. De gevraagde stukken bevatten namelijk vertrouwelijke informatie van medewerkers van de Belastingdienst. Daarnaast geven de gevraagde stukken mogelijk inzicht in de controleaanpak van de AP. Op dit moment vindt over de aan te leveren stukken afstemming plaats tussen de AP en de Belastingdienst. Ik vraag uw Kamer meer tijd om dit dossier samen te stellen.

85

Kunt u een lijst maken van de stukken die u heeft aangeleverd aan de AP? Zijn die stukken openbaar? Zo nee, waarom niet?

Ja, ik ben bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te delen. Het samenstellen van dit dossier vraagt echter om een zorgvuldige aanpak. De gevraagde stukken bevatten namelijk vertrouwelijke informatie van medewerkers van de Belastingdienst. Daarnaast geven de gevraagde stukken mogelijk inzicht in de controleaanpak van de AP. Op dit moment vindt over de aan te leveren stukken afstemming plaats tussen de AP en de Belastingdienst. Ik vraag uw Kamer meer tijd om dit dossier samen te stellen.

86

Welke verzoeken heeft het Ministerie van Financiën ontvangen in februari 2021 van de AP? Welke activiteiten zijn hierop in gang gezet?

Op 25 februari 2021 heeft de AP aan de Staatssecretarissen van Financiën twee (dezelfde) brieven gestuurd, waarin de Belastingdienst wordt gewezen op het recht op inzage voor betrokkenen in FSV. In vervolg op het notaoverleg van 1 februari 2021 (Kamerstuk 31 066, nr. 784) en de tijdens het overleg gedane toezegging om burgers die voorkomen in FSV-uitsluitsel te gaan geven, verzoekt de AP dringend om bij het informeren van de betrokkenen expliciet te wijzen op de mogelijkheid tot het indienen van een inzageverzoek in FSV bij de Belastingdienst. De AP geeft aan dat betrokkenen op deze manier actief gefaciliteerd worden in het uitoefenen van hun privacyrecht. Deze brief is op 25 maart 2021 aan uw Kamer gestuurd.

De Belastingdienst heeft gehoor gegeven aan het verzoek van de AP. In de informatiebrieven aan betrokken burgers die in FSV staan, worden zij gewezen op hun recht op inzage. Ook is dit laagdrempelig mogelijk via de website.


  1. Kamerstuk 32 140, nr. 51; Kamerstuk 35 302, nrs. 6 en 13; Kamerstuk 35 300 IX, nrs. 13 en 16; Kamerstuk 35 572, nrs. 5, 17 en 23; Kamerstuk 31 066, nr. 820 Kamerstuk 35 925 IX, nr. 4.↩︎

  2. Kamerstuk 31 066, nr. 920.↩︎

  3. Kamerstuk 31 066, nr. 911.↩︎

  4. Kamerstuk 31 066, nr 632.↩︎

  5. Kamerstuk 31 066, nr. 852.↩︎

  6. Regionaal informatie en expertisecentrum(RIEC) Noord-Nederland, de landelijke stuurgroep interventieteams (LSI), samenwerking onder artikel 64 Suwi en Informatie Knooppunt Zorgfraude (IKZ).↩︎

  7. Kamerstuk 31 066, nr. 681.↩︎

  8. Kamerstuk 31 066, nr. 632.↩︎

  9. Kamerstuk 31 066, nr. 632.↩︎

  10. Kamerstuk 31 066, nr 485.↩︎

  11. Kamerstuk 31 066, nr. 485.↩︎

  12. Kamerstuk 31 066, nr. 632.↩︎

  13. Kamerstuk 31 066, nr. 632.↩︎

  14. Kamerstuk 31 066, nr. 709.↩︎

  15. Kamerstuk 31 066, nr. 709.↩︎

  16. Kamerstuk 31 066, nr. 681.↩︎

  17. Kamerstuk 31 066, nr. 920.↩︎

  18. Kamerstuk 31 066, nr. 546.↩︎

  19. Kamerstuk 31 066, nr 920.↩︎

  20. Kamerstuk 35 510, nr. 21 en Kamerstuk 28 362, nr. 41.↩︎

  21. Kamerstuk 31 066, nr. 840.↩︎

  22. Kamerstuk 31 066, nr. 776.↩︎

  23. Kamerstukken, 26 643 en 32 761, nr. 751.↩︎

  24. Kamerstuk 31 066, nr. 911.↩︎

  25. Kamerstuk 31 066, nr. 710.↩︎

  26. Kamerstuk 31 066, nr. 776.↩︎