Aanleiding
De Autoriteit Persoonsgegevens (AP) heeft vandaag het onderzoeksrapport gepubliceerd over de Fraude Signalering Voorziening (FSV) van de Belastingdienst. De eindconclusie uit het rapport is dat de Belastingdienst nooit persoonsgegevens had mogen verwerken in de FSV op de manier waarop dit jarenlang is gebeurd. De Belastingdienst heeft in strijd gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. Daarnaast heeft de Belastingdienst onvoldoende technische en organisatorische maatregelen getroffen om de persoonsgegevens in FSV goed te beveiligen. Ook is de Functionaris voor Gegevensbescherming (FG) te laat betrokken bij het uitvoeren van een Data Protection Impact Assessment (DPIA). Een onderzoeksrapport is altijd een eerste formele stap in een handhavingstraject.
Bevindingen AP
Waar gaat het om? In de periode van 4 november 2013 tot en met 27 februari 2020 zijn er door de Belastingdienst signalen van vermeende en vastgestelde fraude en informatieverzoeken in FSV over in ieder geval 244.273 personen geregistreerd, gewijzigd, geraadpleegd, gebruikt, gecombineerd en buiten FSV verspreid. Het gaat hier onder andere om persoonsgegevens over gezondheid, nationaliteit en strafrechtelijke persoonsgegevens.
De Belastingdienst nam in FSV voornamelijk personen op die fraude hadden gepleegd en personen waarvan het vermoeden bestond dat ze mogelijk belasting- of toeslagenfraude zouden hebben gepleegd. Signalen kwamen van zowel buiten als binnen de Belastingdienst, bijvoorbeeld van Meld Misdaad Anoniem-meldingen, tips van burgers en bedrijven, meldingen vanuit de politie en andere overheden zoals gemeenten. Daarnaast werden ook de uitkomsten van de door de Belastingdienst ontwikkelde algoritmes gericht op het detecteren van fraude met belastingaangiftes en toeslagaanvragen in FSV opgenomen. De applicatie FSV kon worden gebruikt bij de beoordeling van belastingaangiftes en aanvragen voor toeslagen en werd gebruikt voor het registreren van informatieverzoeken vanuit andere overheden. Daarnaast werd FSV als register geraadpleegd in andere werkzaamheden, bijvoorbeeld door medewerkers van de FIOD, in het proces van invorderen van schulden en in enkele modellen gericht op het inschatten van fraude door ondernemers.
Voor personen kon een registratie in FSV grote gevolgen hebben, zoals stigmatisering, onderworpen worden aan intensiever toezicht door de Belastingdienst en financiële gevolgen. Concrete voorbeelden hiervan zijn dat personen geen hypotheek konden krijgen of ten onrechte een uitkering werd geweigerd. Personen wisten bovendien meestal niet dat zij geregistreerd stonden in FSV – ook niet als zij naar aanleiding van een signaal vragen kregen van de Belastingdienst.
In strijd gehandeld met het beginsel van rechtmatigheid
De AP concludeert dat er voor de verwerkingen van persoonsgegevens in FSV geen grondslag was. De Belastingdienst kon geen beroep doen op de grondslag ‘wettelijke verplichting’ omdat er geen verplichting was om signalen van (mogelijke) fraude en informatieverzoeken als contra-informatie te verwerken. Daarnaast kon de Belastingdienst de verwerking niet baseren op de grondslag ‘noodzakelijk voor de vervulling van een taak van algemeen belang’. Primair omdat er geen sprake was van een voldoende precieze wettelijke grondslag die kon dienen als rechtsgrond voor de verwerking van persoonsgegevens in FSV door de Belastingdienst en secundair omdat de verwerkingen in FSV niet noodzakelijk waren voor de vervulling van de publieke taak van de Belastingdienst om toezicht te houden op de naleving van het bepaalde bij of krachtens de belasting- en toeslagenwetgeving.
In strijd gehandeld met het beginsel van doelspecificatie
De AP constateert dat vanaf het begin het doel van de verwerkingen in FSV onduidelijk was. Wat de Belastingdienst met FSV wilde bereiken is vooraf niet specifiek omschreven, met als gevolg dat medewerkers allerlei, soms gedetailleerde, informatie over personen in FSV opsloegen en FSV door de verschillende onderdelen van de Belastingdienst anders werd gebruikt.
In strijd gehandeld met het beginsel van juistheid
De AP constateert dat er onjuiste en niet-geactualiseerde persoonsgegevens in FSV stonden en de Belastingdienst niet de redelijke maatregelen heeft genomen om deze persoonsgegevens te rectificeren of te wissen. In sommige gevallen kreeg een persoon het stempel ‘fraudeur’ zonder dat dit volgde uit gedegen onderzoek. En als na onderzoek was gebleken dat er geen sprake was van fraude werd dit vaak niet in FSV genoteerd, waardoor het vermoeden van fraude in FSV bleef staan.
In strijd gehandeld met het beginsel van opslagbeperking
De Belastingdienst heeft persoonsgegevens in FSV langer bewaard dan noodzakelijk was. Omdat signalen uit een oudere applicatie waren overgenomen in FSV en eenmaal geregistreerde signalen niet werden gewist, groeide FSV door de jaren heen uit tot een applicatie met een half miljoen signalen afkomstig uit de jaren 2000-2020 over in ieder geval 244.273 personen.
Onvoldoende passende technische en organisatorische maatregelen getroffen
De beveiliging van de persoonsgegevens in FSV voldeed op meerdere punten niet aan de beveiligingsstandaarden die verplicht zijn voor overheden. Zo hadden er meer medewerkers van de Belastingdienst toegang tot FSV dan nodig voor hun werk en hadden ook niet geautoriseerde medewerkers toegang tot de persoonsgegevens omdat signalen uit FSV werden geëxporteerd in Excel. Ook heeft de AP geconstateerd dat de Belastingdienst in mei 2019 op gebrekkige wijze de toegang tot FSV heeft teruggebracht, namelijk door alleen de interne link naar de applicatie te wijzigen. Tot slot werd niet gelogd door wie welke persoonsgegevens werden ingezien, aangepast en geëxporteerd.
De FG te laat betrokken bij het uitvoeren van een DPIA
De DPIA van FSV is uitgevoerd in de periode van 6 november 2018 tot en met 21 januari 2019. De conclusie was dat gegevensverwerkingen in FSV niet voldeden aan de AVG en dat de risico’s voor de betrokkenen die voorkwamen in FSV zodanig waren dat FSV diende te worden uitgefaseerd en worden vervangen voor een nieuwe applicatie. De FG was op 26 februari 2020 – naar aanleiding van persvragen – gevraagd hierover te adviseren, meer dan een jaar nadat de DPIA was uitgevoerd en ook al was besloten tot uitvoering van de bouw van een nieuwe applicatie.
De Belastingdienst heeft de AVG op meerdere punten ernstig overtreden. “Veel van de kernbeginselen van de privacywet AVG werden door de Belastingdienst op ernstige wijze geschonden. Zo ontstond een gat in de rechtsbescherming. Veroorzaakt door de overheid, nota bene!”, aldus de voorzitter van de AP.
De Belastingdienst mag nu reageren op het onderzoeksrapport, daarna volgt de beslissing van de AP over een eventuele sanctie.
Schending grondrechten hardnekkig en structureel?
Dat het onderzoeksrapport voor veel verontwaardiging zorgt, is een paar uur na het verschijnen ervan overduidelijk en ook begrijpelijk. Het is onthutsend om te lezen in hoeverre de Belastingdienst de AVG heeft overtreden. Dat de Belastingdienst de bescherming van grondrechten jarenlang niet serieus heeft genomen, bleek ook al in juli 2020 uit het onderzoek van de AP naar de verwerking van gegevens in de Toeslagaffaire. Het onderzoeksrapport van vandaag laat helaas zien dat schending van de bescherming van grondrechten door de Belastingdienst hardnekkig en structureel lijkt te zijn.
Vragen?
Heeft u naar aanleiding van deze blog vragen? Neem gerust contact met ons op via +31 (70) 392 22 09 of info@duthler.nl.