Intern rapport: Belastingdienst krijgt privacyschendingen met huidige aanpak niet opgelost

Privacy De Belastingdienst, die de meest gevoelige gegevens van Nederlandse burgers heeft, schendt al jaren de privacyregels. Plannen voor verbetering gaan niet werken, aldus een intern rapport.

Illustratie Pepijn Barnard

De Belastingdienst voldoet nog altijd niet aan de meest basale aspecten van de privacywet, ruim vijf jaar na de invoering ervan. Met de huidige aanpak lukt het ook niet om, zoals gepland, vanaf 2027 aan die wetgeving te voldoen. Dat constateert een intern onderzoeksteam van de Belastingdienst in een evaluatie die in handen is van NRC.

Alle Nederlandse organisaties en bedrijven moeten sinds mei 2018 aan de Algemene verordening gegevensbescherming (AVG) voldoen, beter bekend als de privacywet. Hierin is vastgelegd dat instanties transparant moeten zijn over welke gegevens ze precies bewaren, en met welk doel. Die gegevens moeten juist en actueel zijn, het mogen er niet meer zijn dan strikt noodzakelijk en organisaties moeten de informatie verwijderen zodra die niet meer nodig is.

In de evaluatie, die dateert van afgelopen juli, concludeert een team medewerkers na zes maanden onderzoek dat de Belastingdienst nog altijd veel te weinig grip heeft op de gegevens die hij van burgers gebruikt. Zo is voor de meeste werkprocessen niet bekend welke persoonsgegevens precies verwerkt worden, waardoor „de basis voor compliantie” [voldoen aan de privacywetgeving] ontbreekt. Er is geen beleid om fouten in de gebruikte persoonsdata te herkennen en te corrigeren. Verouderde gegevens worden vaak niet op tijd gearchiveerd of vernietigd.

De Belastingdienst houdt ook niet bij welke medewerkers precies toegang hebben tot bepaalde applicaties. Hierdoor overtreedt de dienst het ‘need to know-principe’ uit de privacywet, staat in de interne evaluatie. Duizenden medewerkers kunnen bij persoonsgegevens die ze voor hun werk niet nodig hebben – het woonadres van bekende Nederlanders, bijvoorbeeld. Meerdere bronnen binnen de dienst bevestigen dit. Dat het gebruik van de computersystemen niet gelogd (bijgehouden) wordt, erkende staatssecretaris Marnix van Rij (CDA, Fiscaliteit) eind vorig jaar na een publicatie in NRC. Daaruit bleek dat doorspelen van informatie door corrupte ambtenaren aan criminelen door dit gebrek aan logging moeilijk te traceren was.

De Belastingdienst houdt volgens het interne stuk bovendien te weinig rekening met de privacyrechten van burgers, waaronder het recht op inzage, correctie en verwijdering van data. Eerder meldde NRC al dat de Belastingdienst te traag reageert op meer dan de helft van de inzageverzoeken van burgers.

Ook nieuwe applicaties worden niet zo gebouwd dat ze voldoen aan de privacyregels, hoewel Van Rij dit wel zo aan de Tweede Kamer heeft gemeld.

Gevoelige data

De interne conclusies zijn pijnlijk. Van alle overheidsdiensten heeft de Belastingdienst de meeste gevoelige persoonsgegevens van Nederlandse burgers. Niet alleen financiële gegevens, zoals inkomen, schuld en vermogen, maar ook informatie over bijvoorbeeld familierelaties, strafblad, gezondheid, religie, vakbondslidmaatschap, eigendommen (huizen, boten, motorrijtuigen et cetera), eventuele kinderopvang, faillissementen, vertrekvergoedingen, land van herkomst, tot de gebruikersnaam bij het online gokken.

Dat veel medewerkers bij die informatie kunnen, is logisch. Een burger die de Belastingtelefoon belt, verwacht dat alle relevante details uit zijn of haar dossier direct beschikbaar zijn. Ook voor controle van belastingaangiften is vanwege de complexiteit van de belastingwetgeving veel verschillende informatie nodig.

Lees ook: Zo werd de Belastingdienst een veelpleger in het misbruik van persoonsgegevens

In het verleden ging de dienst hiermee veelvuldig in de fout, met het Toeslagenschandaal als bekendste voorbeeld. Op basis van vaak onjuiste informatie en onzorgvuldige data-analyses registreerde de dienst ouders als mogelijke fraudeurs, waarna hun toeslagen werden stopgezet en teruggevorderd. Duizenden gezinnen kwamen hierdoor in grote problemen. De Autoriteit Persoonsgegevens (AP) legde in 2021 en 2022 historisch hoge boetes op. Inmiddels heeft de informatiehuishouding volgens de Belastingdienst zelf „de allerhoogste prioriteit”.

Desondanks blijken binnen de dienst ook grote twijfels te bestaan over het huidige plan om vanaf 2027 wél volledig aan de AVG te voldoen. Van Rij wil alle 791 bedrijfsprocessen vóór eind 2024 toetsen aan de hand van zogenoemde controlelijsten, om daarna per proces de tekortkomingen op het gebied van privacy te verhelpen.

Volgens de interne evaluatie gaat die aanpak niet werken. De controlelijsten zijn onvolledig, niet alle aspecten uit de privacywet komen erin aan bod en de grootste risico’s worden er niet mee geïdentificeerd. „Er is geen sprake van een volledige compliantie als de controlelijst wordt doorgevoerd,” staat in de evaluatie. Bovendien zijn er twijfels over de planning: op dit moment zijn volgens interne informatie van de dienst nog maar veertig processen getoetst, terwijl het project al drie jaar loopt.

Voorbeeldfunctie

„Het is schokkende informatie, en dat woord gebruik ik zelden”, zegt José van Dijck, universiteitshoogleraar media en digitale samenleving in Utrecht, in reactie op de interne stukken. De Belastingdienst heeft blijkbaar, zegt ze, „de meest elementaire zaken” niet op orde. „Een beeld van welke data je hebt, wie daar bij kan, en hoe je dat goed regelt.”

Terwijl de Belastingdienst volgens haar juist een voorbeeldfunctie heeft: „Hij heeft toegang tot de meeste en meest vertrouwelijke informatie van praktisch de hele bevolking. Dat geeft een maatschappelijke plicht om extra voorzichtig te zijn.”

Bart Jacobs, hoogleraar security, privacy en identity aan de Radboud Universiteit Nijmegen: „Het is een situatie waarvan de moed je in de schoenen zakt. Ik ben geneigd om te zeggen: alles moet opnieuw ontworpen worden om aan de AVG te voldoen. Tegelijkertijd zie ik dat zoiets onrealistisch is – de zaak moet blijven draaien – en enorm veel geld zou kosten.”

Volgens het ministerie van Financiën citeert NRC uit een „intern concept-discussiestuk”, dat „geen officieel standpunt over de voortgang bij de Belastingdienst” bevat. „Het stuk laat zien dat er binnen de Belastingdienst de afgelopen maanden is gewerkt om de processen in kaart te krijgen en risico’s en verbeteracties te identificeren. Hierbij worden verschillende perspectieven meegenomen vanuit de dienst”, stelt het ministerie in een reactie.

Volgens Financiën is voldoen aan de AVG „complex” en bestaat het „uit meer dan alleen het toetsen van bedrijfsprocessen”. Zo krijgen medewerkers awareness-cursussen over gebruik van persoonsgegevens. „Het klopt dat de AVG-compliantie een omvangrijk proces is dat tijd en capaciteit kost, en dus ook veel vraagt van de organisatie die hierin lerende is. De Belastingdienst voelt de urgentie om dit zo snel mogelijk op orde te krijgen, naast het uitvoeren van alle reguliere werkzaamheden.”

Het ministerie spreekt tegen dat Van Rij de Kamer verkeerd informeerde over nieuwe systemen die al aan de privacyregels zouden voldoen. „We houden er sinds 2015 rekening mee, maar de implementatie van systemen kost tijd. Het wil dus niet zeggen dat het overal al is toegepast.”