Noot van Niels Kolste in NTFR 2025/1334
Samenvatting
De Autoriteit Persoonsgegevens (AP) gebiedt de Belastingdienst om twee systemen zo snel mogelijk te vervangen, en vier andere systemen zo snel mogelijk aan te passen. In een reactie schrijft staatssecretaris Van Oostenbruggen dat hij de Belastingdienst heeft opgedragen om maatregelen te nemen.
De AP heeft vastgesteld dat meerdere systemen van de Belastingdienst niet voldoen aan de privacywetgeving. Deze conclusie trekt de AP na vijf systemen van de Belastingdienst en één systeem van de Douane te hebben onderzocht.
Aanleiding voor dit onderzoek was het rapport van KPMG van 7 februari 2025 over het Risico Analyse Model (RAM). Met dat systeem overtrad de Belastingdienst tot 25 mei 2018 de privacywetgeving op grote schaal. De door de AP onderzochte systemen werden door KPMG als ‘met RAM vergelijkbaar’ gekwalificeerd en hadden daarom de aandacht van de AP.
De AP draagt de Belastingdienst op om uiterlijk 15 oktober 2025 voor de systemen ‘Klant Toezicht Model’ (KTA) en ‘Informatiesjabloon’ een gedegen plan in te dienen om beide op korte termijn uit te faseren. Voor de andere vier systemen moeten de Belastingdienst en de Douane de tekortkomingen zo snel mogelijk oplossen of de systemen vervangen.
Overtredingen bij RAM
Aanleiding voor het onderzoek naar deze systemen van de Belastingdienst waren de overtredingen met RAM. Daarover concludeert de AP dat de Belastingdienst tot 25 mei 2018:
- op onrechtmatige wijze persoonsgegevens verwerkte met RAM, waaronder bijzondere persoonsgegevens en strafrechtelijke gegevens;
- onderscheid heeft gemaakt tussen personen, waaronder op basis van nationaliteit, waarvoor tot op heden geen objectieve rechtvaardigingsgronden bekend zijn. Met RAM zijn, gelet hierop, discriminerende verwerkingen uitgevoerd;
- onvoldoende maatregelen trof om de persoonsgegevens in RAM te beveiligen. Gegevens konden vrij uit RAM worden geëxporteerd;
- zich jarenlang heeft onttrokken aan het toezicht door wettelijk verplichte meldingen van verwerking van persoonsgegevens niet te doen. Toezichthouders konden hierdoor hun werk niet doen.
In een reactie schrijft staatssecretaris Van Oostenbruggen dat hij de bevindingen uiterst serieus neemt. Hij heeft de Belastingdienst opgedragen om mitigerende maatregelen te nemen. Op basis van de bevindingen rond KTA en het Infosjabloon zijn op dit moment reeds vierduizend autorisaties van medewerkers ingetrokken. Daarnaast worden nog vijfduizend autorisaties ingetrokken. De Belastingdienst werkt op dit moment met urgentie een plan uit op welke termijn, met welke consequenties en op welke wijze de Belastingdienst deze systemen uit kan faseren en overlegt dit plan met de AP uiterlijk 15 oktober 2025, conform het verzoek van de AP.
Noot
Naar aanleiding van een onderzoek van KPMG heeft de Autoriteit Persoonsgegevens (AP) onderzoek gedaan naar het Risico Analyse Model (RAM), een database bij de Belastingdienst waarin (fiscale) gegevens van burgers en bedrijven waren opgenomen. De conclusies over RAM sluiten aan bij de eerdere conclusies dat RAM niet voldeed aan de destijds geldende privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Tot zover wat mij betreft slechts een herbevestiging.
Interessanter is dat er binnen de Belastingdienst en de Douane naast RAM nog zes systemen blijken te zijn die qua functionaliteit vergelijkbaar zijn met RAM. Twee systemen vormen wat betreft de AP een hoog risico en zouden wat betreft de AP op korte termijn moeten worden uitgezet: Informatiesjabloon, waarmee Excelbestanden met gegevens over een selectie van belastingplichtigen gemaakt kunnen worden en Klantbeeld Toezicht Applicatie (KTA), met uitgebreide informatie over individuele belastingplichtigen. De staatssecretaris heeft aangegeven dat deze systemen weliswaar niet zijn uitgezet, maar dat wel onder meer een groot aantal autorisaties is ingetrokken en dat de Belastingdienst aan de uitfasering van de systemen werkt.
Verder stelt de staatssecretaris dat er voor de heffing van belasting nu eenmaal bepaalde gegevens, waaronder bijzondere persoonsgegevens, zullen moeten worden verwerkt. Wat mij betreft ligt hier ook precies het spanningsveld. Voor effectieve belastingheffing en invordering zal de Belastingdienst nu eenmaal over afdoende gegevens moeten beschikken en naar mijn mening zelfs in staat moeten zijn om deze gegevens te combineren en op basis van deze gegevens te selecteren. Zonder deze mogelijkheid lijkt het mij voor de Belastingdienst erg lastig om effectief toezicht te houden en burgers effectief te informeren. Ik snap vanuit de achtergrond van de AP en haar rol dat dit niet wenselijk wordt geacht, maar een beperkte inbreuk lijkt mij gezien de rol van de Belastingdienst in de samenleving acceptabel. Ook de staatsecretaris lijkt deze mening toegedaan, gezien de nodige kanttekeningen bij de opmerkingen van de AP. Wordt ongetwijfeld vervolgd.