Zo werd de Belastingdienst een veelpleger in het misbruik van persoonsgegevens

Posted on May 19, 2023 by admin

N.B. Het kan zijn dat elementen ontbreken aan deze printversie.

Onderzoek De Belastingdienst beloofde al meerdere keren zorgvuldiger om te gaan met de data van burgers. Maar er is nog altijd weinig verbeterd.

Alle topambtenaren van de Belastingdienst krijgen op vrijdagavond 10 februari 2017 een bezorgde mail. Een dag eerder heeft hun staatssecretaris Eric Wiebes (VVD) in de Tweede Kamer iets beweerd wat niet klopt, zo blijkt uit de mail. Hij heeft daar gereageerd op de „uiterst onplezierige en pijnlijke uitzending” van onderzoeksprogramma Zembla, anderhalve week eerder. Die ging over slordige en slecht beveiligde omgang met de gegevens van miljoenen belastingbetalers.

Kamerlid Pieter Omtzigt, dan nog CDA’er, is kritisch geweest. De Belastingdienst heeft „alle informatie over alle Nederlanders en alle Nederlandse bedrijven”. Achttien medewerkers hadden „jaar in jaar uit” de mogelijkheid usb-sticks mee naar huis te nemen, misschien wel met informatie van hun buurman of ex-partner. „Dit is echt een verschrikkelijke manier van omgaan met zeer elementaire persoonsgegevens”, zegt Omtzigt.

Maar volgens de staatssecretaris is er geen „actief risico”. Medewerkers hebben heus geen toegang tot alle informatie. Ontheffingen om met usb-sticks te werken worden alleen „in uiterste gevallen” verleend, er wordt binnen de Belastingdienst „uiterst spaarzaam” mee omgegaan.

Maar dat klopt niet, blijkt uit de mail die de avond daarop verstuurd wordt. „Uit een afgelopen week uitgevoerde inventarisatie is […] gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.” Een medewerker met deze ontheffing kan data – en dus mogelijk gegevens van belastingbetalers – vanaf een werkcomputer naar een usb-stick kopiëren en meenemen.

In reactie op de mail geeft de top van de Belastingdienst bliksemsnel opdracht alle ontheffingen in te trekken. Maar lang duurt die voorzichtigheid niet. Tot schrik van de ambtelijke top blijkt na een half jaar dat lagere leidinggevenden alweer meer dan vierduizend medewerkers een usb-ontheffing hebben gegeven. Die hebben ze simpelweg nodig om hun werk te doen.

Het illustreert de ongemakkelijke omgang met de enorme berg data die de Belastingdienst van zowat álle Nederlanders bezit. Dat zijn niet alleen financiële gegevens, zoals inkomen, schuld en vermogen. Voor het uitvoeren van de vaak ingewikkelde belastingwetgeving heeft de dienst ook informatie over bijvoorbeeld familierelaties, strafblad, gezondheid, religie, vakbondslidmaatschap, eigendommen (huizen, boten, motorrijtuigen, etc.), eventuele kinderopvang, faillissementen, vertrekvergoedingen, land van herkomst, de gebruikersnaam bij het online gokken, en ga zo maar door. Waardevolle informatie, ook voor wie er kwaad mee wil.

Lees en luister ook: Het omkopen van ambtenaren is een verdienmodel geworden, waarschuwt de Rijksrecherche

Wat er mis kan gaan, bleek toen het Toeslagenschandaal aan het licht kwam. RTL Nieuws en Trouw onthulden in 2019 dat de Belastingdienst jarenlang gebruikmaakte van een ‘zwarte lijst’ met daarop de gegevens van mogelijke toeslagenfraudeurs. Deze zogenaamde Fraudesignaleringsvoorziening (FSV) groeide uit tot een slordig bijgehouden register met de gegevens van naar schatting bijna 250.000 burgers.

Duizenden ouders van jonge kinderen stonden zonder goede aanleiding op deze ‘zwarte lijst’. Hierbij kon ook dubbele nationaliteit een rol spelen – alsof iemands afkomst al reden was om verdacht te zijn. Ouders werden hard aangepakt: toeslagen werden stopgezet of teruggevorderd, vaak zonder dat hun zaak goed was onderzocht. Velen van hen kwamen in grote financiële problemen. In nog ernstigere gevallen verloren mensen hun baan en huis, werden kinderen uit huis geplaatst of leidde het tot psychische problemen.

Delen van de ‘zwarte lijst’ worden nog steeds gebruikt

De lijst bevatte veel verouderde, ongecontroleerde of foutieve informatie, maar werd toch gebruikt. Richtlijnen voor het gebruik ervan waren er nauwelijks, controle ook niet.

Net als na Zembla beloofde de Belastingdienst ook na het Toeslagenschandaal beterschap. De slordige en onwettige omgang met persoonsgegevens was „zeer ernstig”, zo vatte het kabinet het eind 2021 samen. De Belastingdienst moest „zich natuurlijk houden aan wet- en regelgeving en aan de kaders van de rechtsstaat” en dat „zo snel mogelijk” in orde maken.

Toch is er nauwelijks verbetering. Binnen de Belastingdienst was er de afgelopen jaren een patroon van slordige omgang met persoonsgegevens, zo blijkt uit onderzoek van NRC. Regelmatig bleek slecht geregeld wie wanneer toegang heeft tot welke data. Het gebruik van risicovolle, informele fraudelijsten bleek wijdverspreid in de dienst. Burgergegevens werden jarenlang breed gedeeld in de dienst, waarbij vaak niet of slecht werd bijgehouden wat er met die data gebeurde. De gevolgen daarvan zijn nog nauwelijks onderzocht. Volgens betrokkenen zijn het patronen die wegens de gebrekkige systemen en de werkcultuur moeilijk te veranderen zijn.

Ook blijkt dat de Tweede Kamer enkele keren verkeerd is geïnformeerd over deze problemen, door ze niet te melden of een te rooskleurige gang van zaken weer te geven.

Acht maanden nadat Wiebes onterecht heeft gemeld dat usb-ontheffingen „uiterst spaarzaam” werden verleend, vraagt weer Pieter Omtzigt wat de staatssecretaris ervan vindt dat bij de Belastingdienst „meer dan veertig mensen data met een usb-stick konden downloaden”. Wiebes antwoordt: „De usb-ontheffingen zijn inmiddels in de hele Belastingdienst ingetrokken en er geldt een zeer stringent beleid voor het verstrekken van nieuwe ontheffingen.”

Dat er al voor 2017 véél meer dan veertig medewerkers zo’n ontheffing hadden en dat na het intrekken het aantal ontheffingen al snel weer naar de vierduizend was opgelopen, zegt Wiebes niet.

Op dit moment, mei 2023, zijn er nog zo’n duizend usb-ontheffingen bij de dienst. Monitoren welke data medewerkers naar die usb-sticks schrijven of ervan aflezen, is volgens de Belastingdienst nog steeds „technisch niet mogelijk”, dat is in de zes jaar sinds Zembla niet veranderd.

Sluiproute

Begin april 2021 mailt een medewerker van de Belastingdienst zijn collega. Hij heeft een tip binnengekregen over mogelijke fraude en wil weten wat er over deze belastingbetaler in de FSV staat. Dat is een probleem: de zwarte lijst is onwettig verklaard, is ruim een jaar eerder uitgezet en kan formeel niet worden ingezien.

Maar de medewerker heeft gehoord dat er misschien een sluiproute is. Hij mailt: „Nu weet ik uiteraard dat FSV ‘dicht’ zit maar volgens [naam] zou jij mogelijk nog kunnen achterhalen wat de inhoud van de tip bij ons was…” Niet veel later krijgt hij de formeel niet beschikbare informatie per mail opgestuurd.

Deze gang van zaken is geen uitzondering, blijkt uit onderzoek van accountantsbureau PWC, dat in opdracht van het ministerie onderzoek deed naar het gebruik van de FSV. Het bureau vond onder meer bovengenoemde mail. „Tevens hebben wij exports van FSV aangetroffen op de lokale schijven (Q-schijven) van MKB-kantoren dat actief gebruik indiceert. De mate van raadpleging van FSV […] is niet vastgelegd en daarmee niet te kwantificeren.”

Delen van de FSV worden ook op andere plekken gevonden. Staatssecretaris Vijlbrief moet in december 2021 aan de Kamer toegeven dat PWC „meer dan 25 lokaal opgeslagen (deel)extracties van FSV gevonden [had] op netwerkschijven van Toeslagen”. Erger nog: volgens PWC heeft informatie uit de FSV ook op grote schaal zijn weg gevonden naar andere systemen bij de dienst.

Het resultaat, aldus PWC: informatie uit de FSV is „tot op heden” in te zien door medewerkers van de Belastingdienst. Anders gezegd: onjuiste informatie uit een zwarte lijst die duizenden ouders in grote problemen bracht, die onwettig is en daarom formeel is uitgezet, wordt nog actief gebruikt – en er is geen makkelijke manier om daar een eind aan te maken.

En zelfs als ‘corrupte’ FSV-informatie wel uit de systemen geschoond zou kunnen worden, zou dat de problemen niet oplossen. Want de losse omgang met burgergegevens eindigt daar niet.

Patserproject

In de zomer van 2016, tijdens een dancefestival in Venlo, ziet een MKB-medewerker van de Belastingdienst een Mercedes CL500 rijden. Een dure auto, en hij vindt dat de inzittenden zich „nogal showend” gedragen, schrijft hij in een mail aan een collega. „Ze rijden ook op en neer.” Hij haalt het kenteken door de systemen van de Belastingdienst en verzamelt zo allerlei informatie: dat de eigenaar een voormalig asielzoeker uit Irak is die gedurende de jaren verschillende tweedehands auto’s heeft gekocht die „niet al te goedkoop” waren, terwijl zijn vrouw niet werkt en hij drie kleine kinderen heeft. De man heeft weliswaar „een redelijk vast salaris”, maar de medewerker vindt de zaak „toch vreemd”. Hij polst bij de collega of verder onderzoek nodig is. „Wellicht is dit iets voor het Patser Project?”

Dat de Belastingdienst via analyses van haar data gericht zoekt naar mensen die bewust of onbewust te weinig belasting betalen, is vanzelfsprekend. Jaarlijks ontvangt de dienst miljoenen belastingaangiften en die kunnen onmogelijk allemaal worden gecontroleerd. Daarom maken belastinginspecteurs ‘risicoselecties’. Dat zijn lijsten met aangiften waarvan een inspecteur de kans het grootst acht dat er fouten inzitten. Zo kan de altijd schaarse inspectiecapaciteit zo effectief mogelijk worden ingezet.

Een Irakese man in een dure auto? Dat vindt de medewerker „toch vreemd”

Maar die selecties moeten wel zorgvuldig gemaakt worden, zodat ze bijvoorbeeld niet discriminerend zijn, of gebaseerd op vooroordelen. Burgers moeten gelijk behandeld worden en niet worden overgeleverd aan de grillen van een belastingmedewerker die een dure auto ziet. En wat er daarna met die selecties gebeurt moet ook transparant zijn, zodat later voor de dienst zelf en burgers te achterhalen valt waaróm ze zijn aangepakt.

Juist die controles ontbraken de afgelopen jaren vaak. Als gevolg van verouderde ict-systemen knutselden Belastingdienstmedewerkers zelf programma’s in elkaar om risicoselecties te maken. Wat er vervolgens met die selecties gebeurde, werd niet bijgehouden.

Verschillende goed ingevoerde bronnen vertellen NRC dat het „onderbuikgevoel” van inspecteurs regelmatig een belangrijke rol speelde, iets wat wordt bevestigd door de onderzoeken van PWC. Na de uitkomsten daarvan, vorig jaar, moest staatssecretaris Marnix van Rij toegeven dat er in de Belastingdienst sprake is geweest van „institutioneel racisme”.

Medewerkers gebruikten structureel burgergegevens buiten de formele ict-systemen om. In 2015 bestonden er volgens een intern onderzoek 1.555 zogenaamde lokaal ontwikkelde applicaties (LOA’s), verspreid over de hele dienst. In de jaren daarna nam dat af, tot zo’n 600. Meer dan vijfhonderd medewerkers hielden zich bezig met het analyseren van burgergegevens, zo bleek uit een ander onderzoek uit 2015. Volgens een interne schatting van enkele jaren terug circuleerden er in de Belastingdienst op een gegeven moment een half miljoen Excel-bestanden. Zo zwierven ontelbare hoeveelheden burgergegevens in de Belastingdienst rond. Achterhalen wat daar allemaal mee is gebeurd, is onbegonnen werk. Of ze ook een weg naar buiten vonden, is niet te achterhalen.

Na het Toeslagenschandaal kwam er opeens grote publieke en politieke aandacht voor onzorgvuldig gebruik van data. Medewerkers moesten op hun computers, tablets en smartphones zoeken naar lijsten „met risicosignalen, fraudeverdenkingen en verwijzingen naar nationaliteit”. Deze „veegactie” leverde bijna honderd lijsten op met een „risico op (onterechte) nadelige gevolgen voor burgers”.

De namen van sommige lijsten illustreren de vrije omgang met burgergegevens: ‘LXX bestand Monaco’, ‘handelaren RuneScape gamecoins’, ‘zorgcowboys’, ‘Bulgarenbestand’, ‘Antillianen’, ‘Ledenlijst Hells Angels’.

Volgens een inschatting van de Belastingdienst zelf was bij 39 van die lijsten het risico op verkeerd gebruik „hoog” en de kans op nadelige gevolgen voor burgers „waarschijnlijk”. Bij nog eens 24 lijsten was die kans „aanwezig”.

Wat het precieze doel van die lijsten was, hoeveel burgers erop stonden en of die, zoals Toeslagenouders, onterecht in de problemen kwamen, is onbekend. Staatssecretaris Vijlbrief had in 2020 beloofd met „grote spoed” onderzoek te doen naar risicolijsten bij de dienst. Toch is dit onderzoek pas „recent aangevangen”, laat het ministerie weten.

Alle lijsten zouden na het onderzoek buiten gebruik zijn gesteld, aldus het ministerie. Of deze afsluiting waterdicht is, valt te betwijfelen. Net als bij de FSV hebben medewerkers de mogelijkheid gehad kopieën van zulke risicoselecties te maken, voor op persoonlijke schijven, om onderling te delen via e-mail of om op te slaan op een usb-stick.

Opvallend is dat in de openbaar gemaakte inventarisaties van problematische lijsten en applicaties er één ontbreekt. Dat is omdat juist deze veel gebruikte applicatie voor risicoselecties zowat alle privacyregels overtrad – en daarom door de Belastingdienst zelf in 2018 in stilte werd uitgezet.

Vrij knutselen

In de nazomer van 2015 zijn vertegenwoordigers van vijftien uitvoeringsorganisaties uitgenodigd om te horen over een bijzondere applicatie van de Belastingdienst. Dit Risico-Analyse Model (RAM) is vanaf het begin van de eeuw opgebouwd door een Limburgse belastinginspecteur zonder ict-opleiding en het is binnen de dienst inmiddels onmisbaar voor het toezicht op belastingbetalers.

Medewerkers van onder meer UWV, de SVB, de Kamer van Koophandel en de IND horen wat een prachtig stuk gereedschap RAM is. Met deze applicatie en de bijbehorende databases kun je zowat alle gegevens waar de Belastingdienst over beschikt makkelijk en snel combineren, rangschikken en analyseren.

Belastinginspecteurs kunnen ook op een andere manier aan dit soort data komen: via de centrale administratie in Apeldoorn. Na een ‘query’, een verzoek om specifieke informatie, krijgen ze die opgestuurd. „Maar voor zulke queries bestond altijd een lange wachtrij”, vertelt een hooggeplaatste belastingmedewerker uit die tijd. „RAM was altijd beschikbaar, snel, en je kon er als inspecteur zelf in alle vrijheid mee knutselen.” Als een inspecteur vaststelde dat bij een aantal kapperszaken in zijn regio werd zwartgewerkt, kon hij bijvoorbeeld informatie opvragen van andere kappers die een hoge omzet maar lage personeelskosten opgaven.

Te populair om uit te zetten

In 2016, zo blijkt uit interne mailcorrespondentie, bestaan er binnen de top van de Belastingdienst al zorgen over de wenselijkheid van het „op grote schaal distribueren van data” via RAM. Volgens een vertrouwelijk rapport uit die tijd zijn er „minimaal 2.000” afnemers van RAM-data. Er zijn dan al regelmatig pogingen gedaan om het programma stil te zetten of te vervangen, zeggen verschillende betrokkenen. Maar RAM is intern te populair om uit te zetten.

Een van de databases die voor RAM is gemaakt, Kernsofi, bevat van iedereen met een bsn-nummer 450 verschillende gegevens, tot zes jaar terug, verzameld vanuit alle hoeken van de Belastingdienst, inclusief de FIOD en de Douane, zo blijkt uit interne stukken over de applicatie. Niet alleen persoonsgegevens zoals adres en leeftijd, maar ook de gegevens van de (fiscale) partner, de begindatum van de relatie, welke nationaliteit de partner heeft, wanneer die geëmigreerd is, hoe vaak iemand in de systemen van de Belastingdienst heeft ingelogd of bezwaarschriften heeft ingediend, alle gegevens over inkomens, vermogens en schuld, hoeveel auto’s, beleggingen en vastgoed iemand heeft, en nog eens honderden andere gegevens.

Je kan ook opzoeken wie er op de FSV-lijst staat, of voor wie een AKI geldt; dat is een ander label waarmee een Belastingdienstmedewerker kan aangeven of iemand een frauderisico is.

Slim datagebruik is dan helemaal in, politici zijn enthousiast om belastingontwijking op die manier aan te pakken. En het appelleert aan de beroepseer van de inspecteurs: zo kunen ze hun werk beter doen.

Het systeem biedt ongekende mogelijkheden. Beperkingen van het gebruik zijn er nauwelijks. Jarenlang kunnen duizenden Belastingdienstmedewerkers via RAM naar hartelust uiterst gevoelige informatie van belastingbetalers inzien en combineren. Dat kunnen ook discriminerende analyses zijn, waarschuwt een Belastingdienstmedewerker in een interne mail. Al die informatie kan ook eenvoudig worden verspreid, door bepaalde selecties naar Excel te exporteren, die weer makkelijk op persoonlijke schijven of usb-sticks kunnen worden weggeborgen.

Of dat is gebeurd, en hoe vaak, is niet te achterhalen. Wie het systeem gebruikt, wat er uit wordt gehaald en naar wie het wordt gestuurd, wordt niet bijgehouden. En dat is niet het enige probleem, zo stelt de top van de dienst in 2018 vast in een interne memo die NRC heeft ingezien. De wettelijk verplichte controle of de gegevensverwerking wel rechtmatig, noodzakelijk en proportioneel is, ontbreekt. De database waar RAM mee werkt is volgens die memo niet beveiligd en staat ook niet op een beveiligde server, terwijl er softwarecomponenten voor worden gebruikt die notoir kwetsbaar zijn voor hacks.

Deze intern bekende risico’s komen na de Zembla-uitzending weer op de agenda van de top van de Belastingdienst. Net als bij de usb-ontheffingen worden ook de meeste gebruikersrechten op RAM ingetrokken. Maar al snel mogen tientallen mensen er toch weer mee werken. Om datalekken te voorkomen komt er wel een extra slot op: wie RAM gebruikt, mag niet meer extern mailen en krijgt geen toegang tot internet.

Niet te redden

Na anderhalf jaar wikken en wegen besluit de top dat RAM uit moet. Op 25 mei 2018 gaat de nieuwe privacywetgeving in, de Algemene Verordening Gegevensbescherming (AVG). RAM voldoet daar op zoveel punten niet aan, dat de applicatie niet te redden is.

Het leidt direct tot weerstand uit de organisatie: het toezicht op belastingaangiften en de fraudebestrijding komen in gevaar, zo benadrukt een topambtenaar in een interne notitie uit april 2018. Zonder de mogelijkheid die RAM biedt om risicovolle aangiften te selecteren voor boekenonderzoek zou de dienst per jaar zo’n half miljard euro minder aan „correctieopbrengsten” binnenhalen. Zo zijn er voor verschillende branches „profielen” gemaakt om ondernemers te selecteren waar de kans op een verkeerde aangifte groter is, zoals de goudhandel, de schoonmaakbranche, autohandel, bouw en horeca.

De samenwerking met politie en Openbaar Ministerie bij de aanpak van georganiseerde criminaliteit zou eronder lijden, omdat het bijvoorbeeld minder makkelijk wordt een snel overzicht te maken van de vennootschappen, de auto’s, de bankrekeningen en het vastgoed van veelplegers. Er kan niet meer gericht worden gezocht naar klanten van fiscaal dienstverleners (accountants, belastingadviseurs) die aangiften indienen met bovengemiddeld veel fouten.

De Kamer wordt niet over de grote zorgen rond het bestaan en ongecontroleerde gebruik van RAM geïnformeerd. Als wederom Omtzigt in juni 2018 vragen stelt over de nieuwe privacywetgeving, wordt met geen woord over de database gerept, hoewel die op dat moment binnen de dienst als groot privacyrisico wordt gezien.

Vanwege het grote belang voor het toezicht blijft er een soort uitgeklede versie van RAM bestaan. Zo’n twintig medewerkers houden toegang tot de applicatie – als noodoplossing, tot er een vervangend programma is gebouwd dat wél aan de privacyeisen voldoet.

„De Belastingdienst gaat zorgvuldig om met uw persoonsgegevens”, staat op de website. Dat klopt niet

Het duurt tot maart 2022 voor de huidige staatssecretaris Marnix van Rij in twee alinea’s iets over het bestaan van RAM aan de Kamer meldt – en dat is alleen omdat RAM in het onderzoek van accountantsbureau PWC is opgedoken. Volgens de staatssecretaris is in januari 2021, een jaar voor het uitkomen van het rapport, „ontdekt dat (een deel van de) RAM-data na het uitzetten nog beschikbaar is geweest” ondanks dat het in 2018 werd afgesloten. Volgens Van Rij zijn alle autorisaties voor het gebruik van RAM daarop alsnog ingetrokken. Over de grote interne zorgen rond het jarenlange grootschalige gebruik van RAM schrijft Van Rij niets aan de Kamer.

„De Belastingdienst gaat zorgvuldig om met uw persoonsgegevens”, zo staat op de website van de dienst. Een geruststellende mededeling, maar hij klopt niet. De Belastingdienst weet nog steeds niet „of persoonsgegevens adequaat beschermd zijn”, schreef de Auditdienst Rijk eind vorig jaar nog.

Staatssecretaris Menno Snel had de Kamer in 2019 gemeld dat de Belastingdienst grotendeels aan de AVG voldeed. Maar dat kon na alle onthullingen rond het Toeslagenschandaal niet meer worden volgehouden. Vijlbrief, de opvolger van Snel, gaf eind 2021 toe „dat het beeld dat eerder met uw Kamer is gedeeld, niet geheel volledig en daarmee te positief is geweest.” Voldoen aan de privacywetgeving zou nog tot eind 2023 duren, zo meldde de staatssecretaris.

Om dat voor elkaar te krijgen, en om te voorkomen dat er ooit nog zoiets als het Toeslagenschandaal kon plaatsvinden, was er inmiddels een ambitieus programma gepresenteerd met de naam Herstellen, Verbeteren en Borgen.

In de tussentijd vielen wat lijken uit de kast. Naast het voortbestaan van FSV en RAM en het circuleren van bijna veertig andere problematische fraudelijsten bleken bij de Douane drie applicaties de tweede nationaliteit van 1,17 miljoen Nederlanders te bevatten. Dit had onmogelijk moeten zijn: in 2015 had de dienst alle gegevens over dubbele nationaliteit al gewist uit het systeem waarin zij alle persoonsgegevens van belastingplichtigen bijhoudt. Maar de Douane maakte gebruik van een kopie van dit systeem, waar die informatie nog wel in stond. Waarom die kopie bestond, en waarom die in 2015 niet was opgeschoond, wist de Belastingdienst niet.

In 2020 werd de Databank Auto stilgezet: dit was een lokale applicatie waarin sinds 2006 uit 22 verschillende bronnen autogegevens waren verzameld, waaronder bijvoorbeeld informatie van politiecamera’s met kentekenherkenning, boetes, militaire nummerplaten, verzekeringen, leasegegevens, maar ook openstaande belastingschulden, inkomens en toeslagen. Tot 2016 konden daar zo’n 1.900 medewerkers in.

Veelpleger

De Autoriteit Persoonsgegevens legde de Belastingdienst eind 2021 een historisch hoge boete op van 2,75 miljoen euro, vanwege het „onrechtmatige en discriminerende” gebruik van de dubbele nationaliteit van toeslagenouders. En er was meer: de AP liet weten „nog steeds grote zorgen te hebben over de naleving van de AVG in de breedte”. Het was „dringend nodig verdere stappen te zetten”.

Nog geen half jaar later kwam er een nóg hogere boete. De Belastingdienst moest 3,7 miljoen euro betalen „vanwege de jarenlange illegale verwerking van persoonsgegevens in de FSV”. Zo werd de Belastingdienst in het misbruik van persoonsgegevens een veelpleger.

In een reactie op die boete schreef Van Rij aan de Kamer: „Burgers hebben er recht op dat de overheid zorgvuldig met hun gegevens omgaat. De Belastingdienst zal er alles aan doen om overtreding van de privacywetgeving in de toekomst te voorkomen.”

Maar een goed overzicht van welke persoonsgegevens worden gebruikt en hoe die worden verwerkt, heeft de Belastingdienst nog steeds niet. Dit wettelijk verplichte Verwerkingsregister is al minstens anderhalf jaar niet bijgewerkt. „Door het ontbreken van een actueel verwerkingsregister heeft de Belastingdienst niet alle verwerkingen in beeld en weet zij ook niet of er voldoende maatregelen getroffen zijn en of de persoonsgegevens adequaat zijn beschermd”, zo schreef de Auditdienst Rijk.

Lees ook: De problemen bij de Belastingdienst zijn nog ernstiger dan gedacht

De eerste stap is het doorlichten van zo’n zeshonderd ‘bedrijfsprocessen’. Aan de hand van zogenoemde controlelijsten wordt uitgezocht welke persoonsgegevens de dienst gebruikt en of dat netjes gebeurt. Volgens goed ingevoerde bronnen was eind vorig jaar van geen enkele van die zeshonderd bedrijfsprocessen een controlelijst formeel vastgesteld.

Toch verklaarde Marnix van Rij het speciale programma om de omgang met persoonsgegevens te verbeteren twee maanden geleden „afgerond”. Om in diezelfde Kamerbrief te melden dat het voldoen aan de AVG met nog eens drie jaar was vertraagd. Dat zou tot eind 2027 duren, en niet tot eind 2023, zoals eerder aan de Kamer was verteld.

Zo weet de Belastingdienst eigenlijk nog altijd niet goed waar alle privacyrisico’s zitten, laat staan dat ze die risico’s al heeft geneutraliseerd. Het roept een beeld op van een organisatie die de gecontroleerde en veilige omgang met burgergegevens als een hinderlijke onderbreking van het échte werk ziet, en die nog steeds te weinig controle heeft over wat er met al die gevoelige data precies gebeurt.

Deels komt het door de structureel verouderde ict, zeggen voormalig topambtenaren en betrokkenen bij de privacyorganisatie binnen de dienst. Zolang medewerkers zich gedwongen voelen te improviseren met eigen lijstjes en noodoplossingen zullen er steeds weer nieuwe privacyrisico’s ontstaan.

Maar het is ook cultuur: jarenlange problemen binnen de dienst, bezuinigingen, politieke druk en incidentmanagement hebben geleid tot vermoeidheid en cynisme in de organisatie. Dat maakt de bereidheid, en meer nog het vermogen om anders te werken, klein.

„Wat je ziet”, zegt een voormalig topambtenaar van de Belastingdienst, „is hoe krachtig de onderhuidse beweging van de 25.000 medewerkers van de dienst is, van wie een groot deel niet wil dat er iets verandert.”

Wederhoor

Reactie Belastingdienst
Dat de deadlines voor het voldoen aan de privacywetgeving een paar keer zijn opgeschoven komt „omdat het een zeer omvangrijke opgave is die gedurende het traject meer tijd bleek te kosten. […] We hebben hier nog wel een uitdaging liggen, waar elke dag hard aan gewerkt wordt.”

Wel is „de privacy-organisatie versterkt”, zijn „de processen in kaart gebracht” en is „geïnvesteerd in opleiding en awareness”. Nieuwe processen en systemen worden vanaf het begin privacyproof gemaakt. „Het beeld dat wordt geschetst wordt dan ook niet herkend voor nieuwe processen.” Bij bestaande processen „moet nog wel een inhaalslag worden gemaakt”.

Dat er in de toekomst nog andere probleemlijsten of applicaties worden ontdekt „is niet uit te sluiten”.

Usb-sticks en RAM
Dat er nog zo’n duizend ontheffingen voor usb-sticks zijn, is omdat ze volgens de Belastingdienst nog steeds nodig zijn voor het uitwisselen van bestanden die vanwege de omvang of vertrouwelijkheid niet via de mail kunnen. Waarom de Kamer niet in 2018 over de grote hoeveelheid usb-ontheffingen en de zorgen over RAM is geïnformeerd, is volgens het ministerie „in de gegeven termijn niet te reconstrueren”.

FSV
Volgens de dienst wordt FSV alleen nog ingezien voor de afhandeling van alle problemen die de lijst heeft veroorzaakt. Daarvoor hebben 79 medewerkers autorisaties, die weer worden ingetrokken als hun werkzaamheden zijn afgerond.

Beeld: Foto’s Getty, bewerking NRC

En wéér beloont Michelin de dotjes, uitgestoken blaadjes en welgepositioneerde sausvegen

admin
October 7, 2024
0

Nederland is een „werkelijk gastronomisch vitaal land”. Zo werd de bekendmaking van de Michelinsterren voor 2024 in Maastricht afgesloten. Desalniettemin zijn er meer sterren verdwenen dan bijgekomen dit jaar. De nieuwe hoofdinspecteur van Michelin Benelux – die op last van zijn organisatie anoniem de pers te woord staat, we weten sinds vandaag enkel zeker dat het een man is met een Vlaams accent – haast zich daarbij te vermelden dat het bij de verloren sterren in de meeste gevallen gaat om sluitingen of wisselingen van ‘concept’. Desalniettemin was het, met 11 nieuwe één-sterren en een enkele tweede (ten opzichte van 18 nieuwe sterren in 2023), maandag geen spetterende sterrenregen.

De grote teleurstelling was dat geen van de tweesterrenrestaurants in de hoofdstad Amsterdam een derde ster ontving. Amsterdam staat al enkele jaren te boek als dynamische internationale culinaire bestemming, die zich kan meten aan Antwerpen of Kopenhagen, beaamt ook de hoofdinspecteur: „Ik ben ervan overtuigd dat Amsterdam een wereldstad is, zeker ook op culinair gebied. Daar hoort een topgastronomie bij. We merken een mooie evolutie op in Amsterdam. Maar drie sterren zijn nooit een evidentie. Dat is de ultieme bekroning, ook voor ons. Dat gaat nooit over één jaar ijs.”

Uit New York

Die ultieme bekroning kan veel betekenen voor de gastronomische ontwikkeling van een stad als geheel. „Dan stappen er mensen uit New York op het vliegtuig, speciaal om in zo’n restaurant te gaan eten. Die hebben vaak veel geld te besteden, die laten in de reviews achter dat ze 450 euro een heel goede prijskwaliteitverhouding vinden. Voor die prijzen kun je je keuken weer naar een hoger niveau trekken”, zegt Richard van Oostenbrugge, chefkok van tweesterrenrestaurant 212. „Die gasten maken er vaak ook een stedentripje van en komen op veel meer plekken terecht in de stad, ook in restaurants zonder ster, daar profiteert de hele horeca van”, zegt ook Onno Kokmeijer, die jarenlang twee sterren kookte in restaurant Ciel Bleu in het Okurahotel in Amsterdam.

De grote kanshebbers op een derde ster in Amsterdam waren Spectrum van chefkok Sidney Schutte – een leerling van Jonnie Boer – die laatste gaat met de Librije in Zwolle het 21e aaneengesloten jaar met drie sterren in, het enige restaurant met drie sterren op dit moment in Nederland – en 212 van chefs Van Oostenbrugge en Thomas Groot. „Het is nogal een verantwoordelijkheid als mensen speciaal voor jou in het vliegtuig stappen. Dan moet de ervaring zich kunnen meten met de beste internationale restaurants. Het gaat dan allang niet meer alleen om wat er op het bord ligt, alles moet kloppen: de ontvangst, de ambiance, de entourage”, aldus Van Oostenbrugge.

Of in de woorden van de hoofdinspecteur: ,,Een bezoek aan een driesterren zaak, moet een life changing experience zijn.” Beiden zaken zijn dus volgens Michelin nog niet zo ver.

‘Derde ster is de droom’

Daartoe hebben Groot en Van Oostenbrugge afgelopen jaar evenwel ingrijpende veranderingen doorgevoerd. Ze hebben het aantal couverts gehalveerd en het aantal koks juist verhoogd. Er staan nu negen koks op zestien gasten te koken. „Alles om rust te creëren, om de focus te waarborgen. Maar we hebben ook het interieur volledig vernieuwd, langetermijninvesteringen gedaan in de wijnkelder. Tonnen hebben we geïnvesteerd. We hebben de luxe dat we andere goedlopende zaken in de stad hebben. Dat geeft ons de mogelijkheid om te zeggen: als we quitte draaien met 212, zijn we tevreden. Als we iets met witte truffel willen doen, hoeven we geen seconde over marges na te denken. Die derde ster is de droom. Daar gaan we voor. Als niet volgend jaar, dan het jaar erop.”

Dat Jeroen Achtien, die afgelopen jaar driesterrenbastion Inter Scaldes in Kruiningen overnam van Jannis Brevet en daarmee in feite weer op nul begon, nu in één keer twee sterren heeft teruggekregen, is knap, maar niet onverwacht.

In het rijtje met nieuwe één-sterren zitten ook geen grote verrassingen. Wie de Instagram-feeds van de bekroonde restaurants naast elkaar legt, ziet veel overeenkomsten in de esthetiek: uitgestoken blaadjes, dotjes, tuilles, quenelles, welgepositioneerde sausvegen, het betere pincetwerk – kortom enorm binnen ‘de Michelijntjes’ gekleurd. Daarmee lijkt Michelin een nieuwe generatie grootstedelijke chefs, die zeker niet minder smaakvol maar voor het oog een wat robuustere stijl hanteert, met minder geijkte luxeproducten en in sommige gevallen een minder geijkt carrièrepad, nog altijd links te laten liggen.

Nieuwe generatie chefs

Ook in België was eerder dit jaar al opgevallen dat Michelin Benelux nog altijd conservatief is in haar beoordelingen. „We hadden veel groene [voor duurzaamheid, red] sterren verwacht in grote steden als Gent en Antwerpen, waar ontzettend veel plantaardig en vegan wordt gekookt door een nieuwe generatie chefs, die evenwel zijn opgeleid in klassieke restaurantkeukens”, zegt Femke Vandevelde, restaurantrecensent van de Vlaamse krant De Morgen. „Maar we hebben er slechts één bijgekregen. Dat is helemaal krankjorum!”

Ook over de nieuwe restaurants met één ster zegt ze: „Het zijn allemaal klassieke product-gebaseerde keukens, met een Franse inslag. Daar lijkt het alsof we een beetje terug in de tijd gaan, in plaats van dat de visionaire pioniers worden bekroond.”

Ook in Nederland laat Michelin een aantal visionaire vertegenwoordigers van die nieuwe grootstedelijke generatie topkoks onbekroond. Zoals Tres in Rotterdam en Choux, Kaagman & Kortekaas en restaurant Europa in Amsterdam. „Dat zijn topzaken met een heel duidelijke eigen signatuur”, zegt oud-tweesterrenchef Kokmeijer. „Die maken zowel internationale gasten als locals ontzettend blij. Die móét je belonen.”

Van Oostenbrugge is het er niet helemaal mee eens dat Michelin conservatief zou zijn. „Als je kijkt naar de entourage van enkele nieuwe sterrententen, dan zijn ze echt wel afgestapt van dat ouderwetse driedubbelgedekte, ieder slokje water bijvullen en twintig amuses.”

Uiteindelijk is het laatste woord aan de hoofdinspecteur: „We hebben inderdaad restaurants die qua look in dezelfde lijn zitten. Chefs stelen met de ogen, dat weten we allemaal, daarmee doen ze inspiratie op. Maar het is zeker geen voorwaarde voor ons. Smaak blijft het allerbelangrijkste. Als een chef met een meer robuuste stijl of een wekelijks wisselend menu het talent bezit én de kwaliteit én de consistentie van zijn keuken kan waarborgen. Dan kan die chef een ster verdienen. Waarom niet?”

De sterren zijn weer verdeeld. Dit vond NRC van zes Michelin-restaurants

admin
October 7, 2024
0

In totaal zijn dit jaar 122 Nederlandse restaurants bekroond met één of meerdere befaamde Michelinsterren. Hoe kies je welke je het liefst wil bezoeken? De culinaire journalisten van NRC helpen je op weg met hun culinaire gidsen en restaurantrecensies. Zes Michelinrestaurants waarover zij in het afgelopen jaar hebben geschreven, op een rij.

Apeldoorn | 2024
Eetbare stillevens bij Zenith

„Chef Joey blinkt uit in soepele, evenwichtige gerechten”, schreef culinair recensent Hassnae Bouazza dit jaar over Zenith. Het restaurant krijgt dit jaar voor het eerst een Michelinster.

Zwolle | 2023
De Librije behoudt drie sterren

Volgens culinair recensent Joel Broekaert is „De Librije het toonbeeld van ongedwongen luxe, gastvrijheid op het hoogste niveau zonder opgedirkt te voelen”. Het restaurant behaalt als enige restaurant in Nederland voor de 21ste keer drie sterren, de hoogst haalbare onderscheiding.

Eindhoven | 2022
Zarzo: spannende ingrediënten

Zarzo is „een goed voorbeeld van zo’n kneiterchique zaak die het geld dubbel en dwars waard is”, schreef Joël Broekaert vorig jaar in oktober. Het Eindhovense restaurant houdt zijn ster.

Utrecht | 2023
Stijlvol Maeve vol verfijning

Maeve is een restaurant van verfijnde smaken, schrijft criticus Hassnae Bouazza over dit restaurant in haar geliefde Utrecht. De „wereldse inspiratie” levert het restaurant opnieuw een Michelinster.

Nijmegen | 2019
Vegan eten van het hoogste niveau bij De Nieuwe Winkel

De Nieuwe Winkel behoort tot „de absolute internationale voorhoede van de plantaardige gastronomie”, volgens Joël Broekaert. Dat is beloond met twee Michelinsterren.

Den Hoorn
Texelse keuken bij Bij Jef

Texels lam en vis uit de Waddenzee: Bij Jef biedt alle smaken van het eiland. Culinair recensent Joël Broekaert roemt de „herkenbare eigen stijl” op Michelin-niveau – goed voor een ster.

Nederland gaat drones maken met Oekraïne, wat komt daarbij kijken? ‘Het onderscheid civiel en militair vervaagt’

admin
October 7, 2024
0

Voor de militaire samenwerking met Oekraïne stelt Nederland 400 miljoen euro beschikbaar. Dat maakte minister Ruben Brekelmans (VVD, Defensie) zondag bekend tijdens zijn eerste bezoek als bewindsman aan het land. Wat kan Nederland bieden en hoe ver is de industrie?

Een overzicht.

1. Om wat voor verbeteringen gaat het?

Laagvliegende drones moeten veel minder dan de huidige toestellen gevoelig worden voor Russische stoorzenders (‘jamming’); deze brengen de Oekraïense toestellen nu nog (te) vaak van hun koers. Ook moeten ze langer kunnen vliegen, bijvoorbeeld om meer doelen in Rusland te kunnen raken, zoals Oekraïne graag wil. Verder passen technici steeds meer drones aan om te dienen als luchtafweer tegen zeer bloedige Russische drone-aanvallen op hun steden. Daartoe worden Oekraïense drones met een explosief uitgerust om Russische aanvalsdrones neer te halen.

Hoogvliegende drones zijn nu nog kwetsbaar voor Russische radars, en krijgen wellicht meer stealth-technologie, om onzichtbaar te zijn voor de radar. De optische instrumenten voor de hoog vliegende drones worden verder verfijnd om hun verkenningscapaciteit te vergroten.

Het gaat in de kern om de ontwikkeling en productie van „de meest geavanceerde drones”, aldus Brekelmans. Wat hij daarmee bedoelde, werd niet duidelijk, vermoedelijk om militaire redenen. Maar inmiddels is de lijst van kwetsbaarheden en beperkingen van de huidige generatie drones lang en bekend genoeg om aanknopingspunten te bieden voor verbeteringen.

2. Hoe ziet de taakverdeling eruit tussen Nederland en Oekraïne?

„Bijna de helft” van de betrokken ontwikkeling en productie van de drones vindt plaats in Nederland, aldus de minister. Nederland levert geld, know how en halffabrikaten voor de nieuwe generaties drones. Van zijn kant maakt Oekraïne deze halffabrikaten af en neemt ze in massaproductie. Daarvoor zijn inmiddels bijna tien fabrieken beschikbaar, verspreid over Oekraïne.

Een deel van de samenwerking loopt wellicht via samenwerkingen (joint ventures) van Nederlands-Oekraïense wapenbedrijven. Vorig jaar al werd een model uitgewerkt en opgetuigd voor de samenwerking tussen Europese en Oekraïense bedrijven. Daarbij was het Franse bedrjjf Thales betrokken dat een grote vestiging in Nederland (Hengelo) heeft.

3. Heeft Nederland een eigen drone industrie?

Er zijn tientallen bedrijven en start-ups die drones voor de commerciële markt produceren (Deltaquad, Zenith, Avalor AI) Een deel daarvan, zoals Avalor en Deltaquad, reisde vorig jaar mee met toenmalig minister van Defensie Kajsa Ollongren (D66). Die ‘nam’ toen 60 miljoen euro ‘mee’ naar Oekraïne voor verbetering van – ook al – drones.

Daarnaast zijn er instellingen als de TU Delft en TNO die over nuttige kennis beschikken voor de ontwikkeling van militaire toepassingen voor drones. Bedrijven als Nedinsco in Venlo verkopen optische apparatuur die ook voor militaire drones kan worden gebruikt.

„Nederland heeft nu nog geen echte industriesector voor militaire drones”, zegt defensiespecialist Peter Wijninga van The Hague Centre for Strategic Studies (HCCS). „Maar door de afspraken met Oekraïne zou die er wel kunnen komen.” Dat komt doordat het onderscheid civiel en militair vervaagt, zegt Wijninga. „Dat zag je de afgelopen jaren al in Oekraïne. Daar werden drones die wij hier bij de MediaMarkt kopen, massaal en effectief omgebouwd voor militair gebruik.”

4. Gaat deze nieuwe forse uitgave voor Oekraïne ten koste van de eigen defensie?

Geld is tegenwoordig minder een probleem voor Defensie. De omvang van Defensie-uitgaven steeg van iets meer dan zeven miljard in 2014 naar 21 miljard euro dit jaar.

De recente Defensienota 2024 van minister Brekelmans kondigde vorige maand allerlei initiatieven op het gebied van drones en robots. Daarvan zou onder meer de landmacht moeten profiteren. Zo maakt de nota melding van een nieuw op te richten nieuwe tankbataljon, „voorzien van onbemenste platformen voor verschillende functies, zoals verkenning, logistiek en bescherming van de tanks tegen drones.”

Defensie gaat ervan uit dat de samenwerking met Oekraïne ook de Nederlandse (militaire) dronetak stimuleert en bijdraagt aan verbetering en het integreren van nieuwe systemen in de krijgsmacht. Vorig jaar zei Ollongren bij haar bezoek aan Oekraïne: „Deze hoogtechnologische innovaties zijn ook voor Nederland belangrijk, zowel voor de onderlinge industriesamenwerking als lessons learned voor onze eigen krijgsmacht.”

5. Welke haken en ogen zitten er aan de afspraken?

Dat zijn er best een aantal. Tijdens een rondetafelgesprek van vertegenwoordigers van de wapenindustrie (Rheinmetall Defence Nederland, Defenture, Robin Radar) met de Tweede Kamer, in juni, kwam een aantal problemen aan het licht dat zich waarschijnlijk ook voordoet bij het ontwikkelen en produceren van nieuwe drones.

Het ministerie van Defensie betaalt volgens veel bedrijven slecht – en laat. Ook is er te weinig kennis bij de financiële afdeling van het ministerie die nodig is voor het begeleiden van omvangrijke en ingewikkelde deals als deze.

Belangrijk struikelblok ook: de overheid, ook Defensie, biedt onvoldoende financiële garantstellingen voor de industrie. Bedrijven willen die wel graag hebben. Ze moeten eerst flink investeren in ontwikkeling en productie en zien pas op termijn de opbrengsten terug. „Tegen die tijd is de oorlog in Oekraïne misschien wel voorbij”, zegt expert Peter Wijninga van HCSS.

Verder zijn veel – maar soms schaarse – grondstoffen nodig voor massaproductie van drones en de bijbehorende wapens. Voor de bouw van de frames van de onbemande toestellen is bijvoorbeeld sterk behoefte aan grondstoffen als titanium en aluminium . Dat is een lastig rijtje. Zo is China de grootste titaniumproducent ter wereld. Vorig jaar nog legde Beijing de export van grondstoffen voor drones (inclusief chips) aan banden. Eveneens vorig jaar kelderde de aluminiumproductie in het Westen toen er een paar fabrieken dicht gingen (ook in Nederland) en elders werd gestaakt.

Een ander probleem is dat veel Nederlandse bedrijven hun eigen organisatie niet optimaal hebben ingericht voor omschakeling van het leveren van prototypes naar massaproductie (‘opschaling’). „Dat probleem geldt overigens voor heel Europa”, zegt expert Wijninga. „Toen de Europese Commissie vorig jaar aan Oekraïne 1 miljoen stuks munitie beloofde, kon ze slechts de helft leveren.”

6. Wanneer gaan de eerste nieuwe drones boven Oekraïne vliegen?

Dat zal sterk afhangen van de beschikbaarheid van productielijnen in Nederland, en de financiële afspraken die tussen de Nederlandse overheid en de industrie worden gemaakt, zegt Peter Wijninga. „Als hier bedrijven zijn met goede producten en een kant-en -klare productielijn, en als met Defensie goede financiële afspraken kunnen worden gemaakt, dan kan het snel gaan.”

Luister naar