Bij brief van 29 oktober 2021 heeft mijn ambtsvoorganger uw Kamer geïnformeerd over het onderzoek van de Autoriteit Persoonsgegevens (AP) naar verwerkingen van persoonsgegevens in de Fraudesignaleringsvoorziening (FSV) van de Belastingdienst (1). In vervolg op het onderzoeksrapport heeft de AP heden 12 april het aangekondigde handhavingsbesluit openbaar gemaakt (een ‘Besluit tot boeteoplegging’). Ik bied dat handhavingsbesluit als bijlage aan uw Kamer aan en geef hieronder een toelichting. Alvorens ik inga op de inhoud van het handhavingsbesluit, vat ik kort de bevindingen van de AP samen.
Het oordeel dat de AP in oktober 2021 gaf over de gegevensverwerking in FSV was hard en is in lijn met andere rapporten (2). De ernst van de bevindingen komt terug in het nu bekendgemaakte handhavingsbesluit. Ik respecteer dit besluit en beschouw het als bevestiging van de noodzaak om de waarborgen rondom het gebruik van persoonsgegevens binnen de Belastingdienst te verbeteren.
Samengevat concludeert de AP dat de minister van Financiën als verwerkingsverantwoordelijke voor de verwerkingen van de Belastingdienst van 4 november 2013 tot en met 27 februari 2020 door het verwerken van persoonsgegevens in FSV in strijd heeft gehandeld met de op grond van de Algemene verordening gegevensbescherming (hierna: AVG) geldende beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking.
Naast het overtreden van de vier genoemde beginselen concludeert de AP dat de Belastingdienst onvoldoende passende technische en organisatorische maatregelen heeft genomen ten aanzien van de toegangsbeveiliging, logging en controle op de logging om een passend beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen. Tot slot heeft de AP geconcludeerd dat de Belastingdienst de functionaris voor gegevensbescherming niet naar behoren en tijdig heeft betrokken bij de uitvoering van de gegevensbeschermingseffectbeoordeling (GEB) van FSV.
De AP heeft de bevoegdheid om bestuurlijke boetes op te leggen. De AP heeft in het handhavingsbesluit 6 bestuurlijke boetes opgelegd aan de verwerkingsverantwoordelijke - de Minister van Financiën - voor overtreding van de artikelen 5, 6, 32 en 35 van de AVG. Omdat FSV een applicatie van de Belastingdienst was ben ik beleidsmatig verantwoordelijk.
De AP heeft op grond van de wet beleidsruimte om de hoogte van op te leggen boetes te bepalen. De AP heeft bij het bepalen van de hoogte van de boetes de aard, de ernst en de duur van de onrechtmatige verwerkingen (inbreuken) meegewogen (3). De AP acht de overtredingen gezien de omvang en het gevoelige karakter van de persoonsgegevens, waaronder bijzondere persoonsgegevens, bijzonder ernstig.
Ook heeft de AP bij het bepalen van de hoogte van de boetes eerdere relevante inbreuken in aanmerking genomen, zoals overtreding van artikel 13 van de Wbp en artikel 32 van de AVG wegens de logging, controle op de logging en de toegangsbeveiliging bij de afdeling Datafundamenten & Analytics, het gebruik van BSN in het btw-identificatienummer en de onrechtmatige verwerking van (de dubbele) nationaliteit van aanvragers van kinderopvangtoeslag. Dit wijst volgens de AP op aanhoudende problemen van structurele aard en daarbij verwijst de AP naar voorbeelden uit het onderzoek van de Belastingdienst (4). Deze kan volgens de AP tot geen andere conclusie leiden dan dat bij de Belastingdienst, de ambtelijke leiding van het departement en de minister jarenlang sprake is (geweest) van een brede onachtzaamheid, nalatigheid, het hanteren van een discriminatoire werkwijze en daarmee onbehoorlijk handelen bij de toepassing van wettelijke regels omtrent gegevensbescherming.
De AP heeft het totale bedrag van de opgelegde boetes vastgesteld op € 3.700.000. De AP heeft de hoogte van de boete – kort gezegd- als volgt onderbouwd:
een boete ten bedrage van € 1.000.000, omdat er voor de verwerking van persoonsgegevens in FSV geen wettelijke grondslag was.
een boete ten bedrage van € 750.000, omdat de persoonsgegevens in FSV in strijd met het beginsel van doelspecificatie zijn verwerkt.
een boete ten bedrage van € 750.000, omdat de persoonsgegevens in FSV in strijd met het beginsel van juistheid zijn verwerkt.
een boete ten bedrage van € 250.000, omdat de persoonsgegevens in FSV in strijd met het beginsel van opslagbeperking zijn verwerkt.
een boete ten bedrage van € 500.000, omdat voor de persoonsgegevens in FSV een onvoldoende passend beveiligingsniveau gewaarborgd is.
een boete ten bedrage van € 450.000, omdat het advies van de FG niet tijdens het uitvoeren van de GEB is ingewonnen.
Het oordeel van de AP ten aanzien van FSV is hard en onmiskenbaar en laat nogmaals zien dat fundamentele verbeteringen bij de Belastingdienst noodzakelijk zijn. Zoals mijn voorgangers en ik al vaker hebben aangegeven deel ik het oordeel van de AP dat FSV nooit op deze manier ingezet had mogen worden. De opgelegde boetes ervaar ik als een pijnlijke, maar begrijpelijke gevolgtrekking gezien de ernst van de bevindingen. Ik zal mij niet verzetten tegen de boetes en deze voldoen.
Ik beschouw het handhavingsbesluit als bevestiging van de noodzaak om de gegevensverwerking in het signalenproces voor het toezicht anders in te richten, zodat wordt voldaan aan de wet- en regelgeving. De verwerking van persoonsgegevens bij het signalenproces moet passen binnen de wettelijke grondslagen.
Bovendien hebben de juiste waarborgen rond risicoselectie niet altijd centraal gestaan. Om dit op orde te brengen, is de Belastingdienst verschillende onderzoeken en verbetertrajecten gestart, die in oktober 2020 bijeengebracht zijn in het programma Herstellen, Verbeteren, Borgen (HVB). Uw Kamer is hierover een aantal keer geïnformeerd (5). Binnenkort ontvangt u de volgende voortgangsrapportage.
Het signalenproces waarin FSV werd gebruikt is begin 2020 stilgelegd. Als onderdeel van het programma HVB is er een nieuw proces ontwikkeld met een ondersteunende tijdelijke signalenvoorziening. Hiervoor is een GEB opgesteld. Deze is aangeboden aan de FG en tevens voorgelegd aan de AP ten behoeve van voorafgaande raadpleging. Op basis van de reactie van de AP worden het proces en de GEB zo nodig aangepast voordat het signalenproces hervat wordt.
FSV had nooit gebruikt mogen worden op de manier waarop dat gebeurd is. Om de mogelijke gevolgen te bepalen die dit heeft gehad voor burgers en bedrijven die in FSV geregistreerd stonden, heeft mijn ambtsvoorganger extern onderzoek laten uitvoeren. Op 10 juli 2020 is de eerste fase van dit onderzoek opgeleverd met het rapport van KPMG (6). Voor de tweede fase zijn op 3 december 2021 en op 25 januari en 29 maart jl. in totaal vijf rapporten van PwC gepubliceerd (7) (8) (9).
Op 6 december 2021 heeft uw Kamer de contouren van een tegemoetkomingsregeling voor onterechte gevolgen van FSV-registratie ontvangen (10). Nu het onderzoek naar de gevolgen voltooid is kunnen deze contouren verder ingevuld worden. Ik betrek alle bevindingen uit de verschillende rapporten bij de vormgeving hiervan. Ik doe dat in samenspraak met uw Kamer en met inachtneming van het budgetrecht van het parlement. Ik verwacht mijn voorstellen op korte termijn nader uiteen te kunnen zetten.
Om af te sluiten, wil ik aangeven hoezeer ik het betreur dat de AP dit handhavingsbesluit heeft moeten nemen. Burgers hebben er recht op dat de overheid zorgvuldig met hun gegevens omgaat. De Belastingdienst zal er alles aan doen om overtreding van de privacywetgeving in de toekomst te voorkomen
(1) Kamerstukken II 2021/2022, 31 066, nr. 911
(2) Kamerstukken II 2019/2020, 31 066, nr. 681, 2021/2022, 31 066, nr. 935, nr. 957, nr. 992
(3) Boetebeleidsregels Autoriteit Persoonsgegevens 2019, Stcrt. 2019,14586,14 maart 2019
(4) Kamerstukken II 2021/22, 31 066, nr. 977.
(5) Kamerstukken II 2020/2021, 31 066, nr. 709, 802, 803, 804, 807, 816, 826, 852, 920
(6) Kamerstukken II 2019/2020, 31 066, nr. 681
(7) Kamerstukken II 2021/2022, 31 066, nr. 935
(8) Kamerstukken II 2021/2022, 31 066, nr. 957
(9) Kamerstukken II 2021/2022, 31 066, nr. 992
(10) Kamerstukken II 2021/2022, 31 066, nr. 937
