Belastingdienst verzamelde op grote schaal persoonlijke gegevens, ook op sociale media

Belastingdienst In het omstreden systeem RAM verzamelde de fiscus allerlei gevoelige data van burgers. Het kabinet stelt een onderzoek in naar de gevolgen.

Het hoofdkantoor van de Belastingdienst in Apeldoorn.
Het hoofdkantoor van de Belastingdienst in Apeldoorn. Foto Robin Utrecht/ANP

De Belastingdienst heeft op grote schaal persoonlijke gegevens van belastingbetalers – waaronder uitingen op sociale media – van internet gehaald, in een computersysteem opgeslagen en gebruikt bij haar toezicht en fraudebestrijding. Dit gebeurde ondanks interne twijfels over de rechtmatigheid hiervan en over de „herkomst, juistheid en actualiteit” van de opgeslagen data.

De gegevens werden opgeslagen in de omstreden database RAM, waarvan NRC dit voorjaar de grootschalige inzet onthulde.

De privacyproblemen rond dit jarenlang gebruikte Risico Analyse Model (RAM) zijn nog groter dan in die publicatie omschreven, zo blijkt uit een interne rapportage uit 2017 die demissionair staatssecretaris Marnix van Rij (Fiscaliteit, CDA) na de publicatie van NRC naar de Tweede Kamer heeft gestuurd. Van Rij en collega-staatssecretaris Aukje de Vries (Toeslagen, VVD) hebben besloten een extern onderzoek in te stellen naar het gebruik van RAM en de gevolgen hiervan voor burgers. Ook de mogelijke rol van RAM in het Toeslagenschandaal komt daarbij aan bod.

RAM – dat rond de eeuwwisseling in gebruik werd genomen – werd volgens de interne rapportage gebruikt voor ‘profiling’, onder meer op grond van nationaliteit. RAM leverde ook ‘verwonderadressen’ op, waar volgens de verzamelde data sprake was van mogelijk afwijkende (lees: verdachte) gedragspatronen.

Lees ook: Zo werd de Belastingdienst een veelpleger in het misbruik van persoonsgegevens

Afdeling Toeslagen

RAM werd ook ingezet bij de afdeling Toeslagen, iets wat door Van Rij eerder tegenover de Kamer werd ontkend. In zijn brief aan de Kamer heeft Van Rij dit inmiddels gecorrigeerd. Ook de Douane gebruikte RAM, net als de Fiscale inlichtingen- en opsporingsdienst (FIOD), voor „opsporingsdoeleinden”. De Belastingdienst controleerde met het systeem bovendien de eigen medewerkers, met het oog op „behalen productiedoelen, productiekwaliteit, anonieme geaggregeerde overzichten en integriteitsschendingstoetsing”.

De zelfgebouwde database bevatte „gegevens met een hoog vertrouwelijk karakter, gezien de fiscale, financiële en/of persoonlijke aard van de gegevens,” zo staat in de interne analyse. „Er wordt veel gevoelige data van heel veel personen bij elkaar gebracht.” Via RAM hadden Belastingdienstmedewerkers ook toegang tot informatie over eventuele strafrechtelijke vervolging of opsporing.

De analyses leverden ‘verwonderadressen’ op met mogelijk afwijkende gedragspatronen

De Belastingdienst verzamelde de gegevens uit tientallen bronnen, binnen en buiten de overheid, waardoor per burger honderden verschillende data werden opgeslagen. Niet alleen algemene persoonsgegevens zoals adres en leeftijd, maar ook informatie over iemands (fiscale) partner, de begindatum van de relatie, de nationaliteit van de partner, hoe vaak iemand in de systemen van de Belastingdienst inlogde of bezwaarschriften indiende, alle gegevens over inkomen, vermogen en schuld, hoeveel auto’s, beleggingen en vastgoed iemand had, enzovoort. Via zoekopdrachten was het mogelijk om „nagenoeg alles aan alles te relateren”, staat in de interne analyse. Op die manier konden medewerkers van de dienst personen of groepen in beeld krijgen om nader onderzoek naar te doen.

In 2016 bestonden er binnen de top van de Belastingdienst al zorgen over de wenselijkheid van het „op grote schaal distribueren van data” via RAM, blijkt uit interne mailcorrespondentie. Er waren regelmatig pogingen gedaan om het programma stil te zetten of te vervangen, omdat het niet aan de privacywetgeving voldeed. Maar RAM was intern te populair om uit te zetten. Volgens een vertrouwelijk rapport uit die tijd waren er binnen de dienst „minimaal 2.000” afnemers van RAM-data.

Zonder controle te exporteren

Wie het systeem precies gebruikte, wat eruit werd gehaald en naar wie deze informatie werd gestuurd, werd niet bijgehouden. Medewerkers konden opgevraagde informatie zonder controle exporteren naar Excel-sheets en meenemen op eigen schijven of usb-sticks.

Onder medewerkers was bekend dat via RAM zoekopdrachten mogelijk waren „die als discriminerend kunnen worden beschouwd”.

De Belastingdienst wist dat het opslaan van persoonlijke informatie die burgers op internet deelden („scraping/crawling, al dan niet door tussenkomst van software van derden”) juridisch problematisch was. „De rechtsgrond voor de verwerking van dergelijke gegevens is [..] minimaal onderwerp van discussie en in een aantal gevallen niet toegestaan door de [Autoriteit Persoonsgegevens],” staat in de interne analyse.

Bij de invoering van nieuwe privacywetgeving in mei 2018 werd het systeem officieel uitgezet, maar volgens interne stukken bleef daarna tot januari 2021 in elk geval nog een deel van de database beschikbaar voor medewerkers.

Ook de mogelijke rol van RAM in het Toeslagenschandaal zal in het onderzoek aan bod komen

Het gebruik van RAM en de grote interne zorgen over de privacyschending van burgers die dat opleverde, is altijd verzwegen voor de Kamer. Toen Kamerlid Pieter Omtzigt (destijds CDA) in 2018 vroeg welke interne beoordelingen naar privacyrisico’s er bij de Belastingdienst waren uitgevoerd, verzweeg toenmalig staatssecretaris Menno Snel (D66) het bestaan van de interne analyse naar RAM. Toen Van Rij in maart 2022 de Kamer wel over het bestaan van RAM informeerde, bleef het aanvankelijk bij de summiere mededeling dat er „naar schatting 125 geautoriseerde gebruikers” waren geweest.

Mede hierdoor is over de concrete gevolgen van de grootschalige inzet van RAM nog weinig bekend. Het ministerie van Financiën wilde niet reageren op vragen, omdat er een extern onderzoek aankomt. Het kabinet wil komende maand beginnen met het selecteren van de externe partij die het onderzoek gaat uitvoeren.