Noot van Niels Kolste in NTFR 2026/809 over de brief van de Staatsecretaris vanFinanciën naar aanleiding van de herbeoordeling van de privacy-organisatie van debelastingdienst door de Autoriteit Persoonsgegevens (AP).
Samenvatting
De AP heeft het functioneren van de privacy-organisatie van de Belastingdienst opnieuw onderzocht. Dit gebeurde in het kader van het toezichtarrangement, waarbij de AP eerder in december 2024 het dringende advies gaf om de organisatie te herijken en te versterken. In het najaar van 2025 is het huidige functioneren opnieuw beoordeeld.
De AP constateert zichtbare verbeteringen in de privacy-organisatie van de Belastingdienst, maar ziet ook aanhoudende knelpunten. Staatssecretaris Eerenberg licht de bevindingen toe en schetst de vervolgstappen.
Zichtbare verbeteringen
De AP constateert dat er zichtbare en merkbare verbeteringen zijn opgetreden. Zo is een Nota privacy-governance opgesteld waarin op hoofdlijnen de taken en verantwoordelijkheden zijn vastgelegd. Ook is de positionering van de Chief Privacy Officer (CPO) en haar office verbeterd en is de zichtbaarheid van vaktechnische aanspreekpunten en coördinatoren toegenomen.
Daarnaast heeft de Belastingdienst het verwerkingenregister geactualiseerd en gecontroleerd en werkprocessen vastgelegd. Er is tevens beoordeeld voor welke verwerkingen een Data Protection Impact Assessment (DPIA) nodig is, waarbij ontbrekende DPIA’s alsnog zijn uitgevoerd en een structureel onderhoudsproces is ingericht.
Aanhoudende knelpunten
Ondanks deze verbeteringen concludeert de AP dat er nog steeds knelpunten zijn die een goed functioneren in de weg staan. Deze zien, net als eerder, op onduidelijkheid over taken en verantwoordelijkheden en een gebrekkige centrale regie. De huidige inrichting, waarin verantwoordelijkheden verdeeld zijn over de vaktechnische as en de CPO-as, voegt volgens de AP extra complexiteit toe.
De AP heeft de Belastingdienst opgedragen deze knelpunten uiterlijk 1 juni 2027 op te lossen en zal daarna opnieuw evalueren.
Vervolgstappen
De Belastingdienst herkent de gesignaleerde knelpunten en is gestart met maatregelen om deze adequaat te verhelpen. Nog vóór de zomer wordt besloten over aanpassingen in de inrichting, met als doel de knelpunten vóór de zomer van 2027 op te lossen. De AP wordt geïnformeerd over de voortgang en de gemaakte keuzes.
Noot
De herbeoordeling door de AP laat zien dat de Belastingdienst, ondanks zichtbare verbeteringen, nog steeds onvoldoende ‘in control’ is. De AP erkent dat er aantoonbare stappen zijn gezet in het vastleggen van governance, DPIA‑processen en privacy-structuren, maar constateert tegelijkertijd dat wezenlijke tekortkomingen blijven bestaan.
Opvallend is dat de door de AP geconstateerde kritiekpunten inhoudelijk nauwelijks afwijken van die uit december 2024 (vgl. NTFR 2025/183). Nog steeds ontbreekt een heldere en eenduidige toedeling van verantwoordelijkheden en is er onvoldoende effectieve centrale regie op de naleving van de AVG en de Wet politiegegevens. Daarmee blijft onduidelijk wie binnen de Belastingdienst daadwerkelijk eindverantwoordelijk is voor privacy-organisatie.
De AP uit bovendien expliciete kritiek op (delen van) de gekozen verbeteringsrichting. De ingevoerde scheiding tussen een vaktechnische as en een CPO‑as vergroot volgens de AP de organisatorische complexiteit en leidt tot onduidelijke escalatielijnen en vertraagde besluitvorming. Juist deze inrichting maakt het intern diffuus wie binnen de Belastingdienst aanspreekbaar is.
Veelzeggend is dat de AP de tekortkomingen inmiddels als structureel kwalificeert en de Belastingdienst een nieuwe hersteltermijn gunt tot 1 juni 2027. Daarmee geeft de toezichthouder impliciet aan dat de fundamenten van de privacy-organisatie nog steeds onvoldoende op orde zijn.
De reactie van de staatssecretaris is vooral procedureel. Omdat de AP nog steeds uitdrukkelijk structurele tekortkomingen vaststelt, had naar mijn mening een meer inhoudelijke en richtinggevende interventie door de staatssecretaris voor de hand gelegen. Zonder duidelijke keuzes en versterkte regie door de staatsecretaris lijkt het mij weinig aannemelijk dat de Belastingdienst op korte termijn wél aantoonbaar ‘in control’ zal zijn op de eigen privacy-organisatie en vermoed ik dat het nog wel even duurt voor het laatste woord hierover is gezegd.
