Deze blog gaat niet over de populaire serie The Blacklist, maar over de geheime zwarte lijst die de Belastingdienst jarenlang bijhield. De Belastingdienst is natuurlijk al vaker op de vingers getikt door de Autoriteit Persoonsgegevens. Ditmaal zijn mensen soms onterecht als fraudeur bestempeld, waardoor ze financiële consequenties konden ervaren. En nog erger: mensen wisten niet eens dat ze op die lijst stonden. In deze blog leggen we uit wat er precies gebeurde.
Inderdaad: het gaat weer fout bij de Belastingdienst, heeft de Autoriteit Persoonsgegevens (‘AP’) vastgesteld. Ditmaal vanwege de zogenaamde Fraude Signalering Voorziening (‘FSV’). FSV was bedoeld om fraude te signaleren binnen de kerntaken Belastingen en Toeslagen, kortom: een zwarte lijst. En wat ging hiermee precies fout? Veel. Vrijwel elk basisbeginsel uit de AVG is gedurende lange tijd geschonden. ‘Ongekend in deze omvang’, aldus Aleid Wolfsen, voorzitter van de AP. Dit is daarom meteen de meest omvangrijke overtreding die de AP tot nu toe heeft vastgesteld. Hieronder beschrijven we de bevindingen.
Het startpunt bij een verwerking is altijd om jezelf de vraag te stellen of de verwerking wel is toegestaan, oftewel of er een wettelijke grondslag aanwezig is. FSV werd sinds 2013 gebruikt, diens voorganger dateerde van 2001. Gezien de overheidstaak die de Belastingdienst heeft, kan zij over het algemeen alleen een beroep doen op de grondslagen ‘wettelijke verplichting’ of ‘publiek taak’. Aangezien de Belastingdienst geen specifieke wettelijke bepaling uit de Algemene wet inzake rijksbelastingen (‘AWR’) of de Algemene wet inkomensafhankelijke regelingen (‘Awir’) heeft aangedragen – en de AP deze ook niet heeft gevonden – kan dit niet als grondslag gelden. Ook een beroep op de ‘publieke taak’ gaat niet op: de relevante wetgeving is onvoldoende precies voor een verregaande mate van informatieverzameling en privacyinbreuk, die én onbekend is voor betrokkenen én mogelijk financiële consequenties tot gevolg had.
Dit leidt ook meteen tot het volgende probleem: iedereen binnen de Belastingdienst leek van FSV te weten (iedereen leek het ook te gebruiken), maar burgers hadden geen idee. Omdat dit ook niet in wetgeving terugkwam, was transparantie ver te zoeken.
Van tevoren moet het duidelijk zijn voor welk doel persoonsgegevens gebruikt gaan worden. In dit geval was dat niet zo. Er waren weliswaar vijf hoofddoelen vastgesteld, maar deze doorstaan niet de toets van ‘welbepaaldheid’. De AP stelt vast dat het met dergelijk vage doelen niet duidelijk wordt welke persoonsgegevens waarvoor gebruikt (gaan) worden. FSV werd door verschillende takken binnen de Belastingdienst gebruikt, waarbij elke tak gaandeweg zijn eigen doelen bepaalde.
De gegevens in FSV waren zowel onjuist als niet-geactualiseerd. Een bepaalde periode was het de standaardwerkwijze om personen met een signaal van mogelijke fraude ook meteen het stempel ‘fraude’ te geven, zonder nader onderzoek. Zo’n signaal kon de uitkomst van een algoritme voor fraudedetectie zijn, een kale melding van een andere overheidsorganisatie, maar ook een melding bij Meld Misdaad Anoniem of tips van burgers en bedrijven. Stel je voor: jouw buren ‘tippen’ de Belastingdienst omdat je in een dure patserbak rijdt. Misschien wel omdat je een goede baan hebt, maar het kan ook zo zijn dat ze je verdenken van illegale zaken. Uitkomsten van onderzoeken werden anderzijds niet genoteerd, waardoor vermoedens onterecht konden blijven staan.
FSV bevat signalen over de afgelopen 20 jaar. Bij ingebruikname in 2013 zijn de gegevens uit de voorloper van het systeem – welke teruggaat tot 2000 – namelijk overgenomen. Deze gegevens zijn behouden tot het stopzetten van het systeem in 2020. Sinds 2000 is de bewaartermijn van 7 jaar niet geïmplementeerd geweest: de eerste gegevens zijn pas in februari 2020 verwijderd.
Ook was de beveiliging niet op orde. Een korte greep uit de gebreken: veel te veel medewerkers hadden toegang, exports werden niet gelogd, bewerkingen van persoonsgegevens werden niet gelogd, en toegangsrechten werden niet periodiek beoordeeld.
Tot slot merkt de AP op dat de interne privacytoezichthouder – de Functionaris Gegevensbescherming (‘FG’) niet op tijd betrokken was. De FG wist in eerste instantie niet van het bestaan van FSV af, en werd pas een jaar na de in begin 2019 uitgevoerde DPIA betrokken. Toen was intern al besloten dat FSV niet AVG-compliant was en dat er een nieuwe applicatie moest komen.
De Autoriteit Persoonsgegevens heeft met het publiceren van het rapport de eerste fase van het onderzoekstraject afgerond. De Minister van Financiën heeft nu de kans om hierop te reageren. Daarna beoordeelt de AP of een sanctie passend is, waarbij een boete tot de mogelijkheden behoort. Wel heeft de Belastingdienst, op aandringen de AP, al ‘verschillende activiteiten’ in gang gezet om betrokkenen te wijzen op hun recht op inzage. To be continued dus.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.