De Belastingdienst wederom onder de loep van de Autoriteit Persoonsgegevens

Op 20 mei 2019 heeft de Autoriteit Persoonsgegevens (AP) in een nieuwsbericht naar buiten gebracht dat er onderzoek wordt gedaan naar de verwerking van nationaliteit bij de Belastingdienst. Uit onderzoek van Trouw en RTL blijkt dat de fiscus een overzicht van de tweede nationaliteit van mensen in bezit heeft en wordt gebruikt om fraude met kinderopvangtoeslagen aan te pakken. Hoewel het tegengaan van ieder vorm van fraude op zichzelf is toe te juichen, kan de vraag gesteld worden of de werkwijze van de Belastingdienst door de beugel kan.

Nationaliteit een bijzonder persoonsgegeven?

Volgens de Algemene Verordening Gegevensbescherming (AVG) is het verwerken van zogeheten bijzondere persoonsgegevens in principe verboden. Bijzondere persoonsgegevens zijn gevoelige gegevens over iemands ras of etnische afkomst, politieke opvatting, godsdienst of levensovertuiging, lidmaatschap van een vakbond, genetische of biometrische gegevens met oog op unieke identificatie, gezondheid en seksuele leven. Alleen in uitzonderingsgevallen mogen bijzondere persoonsgegevens worden verwerkt (artikel 9 AVG).

De AP heeft de afgelopen tijd vragen beantwoord van Trouw en RTL die gaan over het verwerken van de ‘tweede nationaliteit’ door de Belastingdienst. De AP benadrukt dat de AVG expliciet heeft verboden om gegevens omtrent ras en/of etniciteit te verwerken. Dit is opmerkelijk, omdat het gaat over het verwerken van een ‘tweede nationaliteit’. Zegt ‘nationaliteit’ iets over ras en/of etniciteit? Dat kan, maar lang niet altijd. Zo kan een Aziaat naar Frankrijk emigreren en de Franse nationaliteit aannemen. De Franse nationaliteit zegt in dat geval niets over het ras. Immers, niet iedere Fransman is een Aziaat. Had de wetgever ‘nationaliteit’ niet opgenomen als bijzonder persoonsgegeven indien het de bedoeling was geweest om nationaliteit onder het strengere regime te laten vallen? Het is afwachten of de AP ‘nationaliteit’ schaart onder bijzondere persoonsgegevens.

Profilering

Nu het onderzoek van de AP nog loopt is vooralsnog niet geheel boven water gekomen wat de Belastingdienst precies met de gegevens doet. De Fiscus zegt gegevens over nationaliteit te gebruiken in een automatische risicoselectie voor fraude. Het lijkt er daarom op dat er sprake is van profilering in de zin van de AVG. Oftewel, het automatisch verwerken van persoonsgegevens aan de hand waarvan bepaalde persoonlijke aspecten worden geëvalueerd (artikel 4 (4) AVG).

Profileren ‘an sich’ is toegestaan. Wordt er gewerkt met profilering in combinatie met automatische besluitvorming, dan moet de toeslagaanvrager daarover actief worden geïnformeerd (artikel 13 lid 2 (f) AVG). Daarbij dient in ieder geval de onderliggende logica, het belang en de verwachte gevolgen voor de betrokkene te worden vermeld.

Volgens de privacyverklaring van de Belastingdienst worden er geen automatische besluiten genomen op basis van profilering. Dossiers die op basis van de automatische risicoselectie zijn geselecteerd worden altijd door een mens beoordeeld en die persoon neemt ook het besluit, aldus de Belastingdienst. Als we de berichtgeving mogen geloven was dat eerder wel anders. Toeslagen van buitenlandse ouders werden in gevallen automatisch (onterecht) stopgezet.

Een woordvoerder van de Belastingdienst heeft hierover vermeld: “Als er meerdere indicatoren zijn die opvallen, kan dat leiden tot een ‘uitworp’. Maar de behandelaar weet dan niet waarom dat zo is”. Uit het onderzoek zal moeten blijken of er automatische besluiten worden genomen op basis van profilering. Als dat zo is, en de Belastingdienst kan de uitkomst niet verklaren aan de hand van de werking van het systeem, dan is dat gelet op de informatieplicht een probleem.

Privacy Impact Assessment

De AVG heeft de zogeheten ‘gegevensbeschermingseffectbeoordeling’ – of in de volksmond: de Privacy Impact Assessment (PIA) – in het leven geroepen. De verwerkingsverantwoordelijke is verplicht om een PIA uit te voeren voor verwerkingen die waarschijnlijk een hoog risico met zich meebrengen voor de betrokkenen. De AP heeft deze open norm ingevuld door een lijst op te stellen met verwerkingen waarvoor een PIA verplicht is. Op deze lijst staan respectievelijk fraudebestrijding en profilering genoemd. Aangezien hoogstwaarschijnlijk van zowel fraudebestrijding als profilering sprake is, dient de Belastingdienst in dat geval een PIA uit te voeren, voor zover dat nog niet is gebeurd. Naar verwachting zal het onderzoek van de AP ook hier meer informatie over verschaffen.

Autoriteit Persoonsgegevens actiever

Waar 2018 vooral in het teken stond van ‘voorlichting’, heeft de AP te kennen gegeven in 2019 steviger te gaan inzetten op handhaving. Het is in ieder geval een goede zaak dat de AP de werkwijze van de Belastingdienst, die toch al niet bekend staat als het braafste jongetje van de klas als het gaat om privacy, onder de loep neemt. We wachten de resultaten van het onderzoek met smart af.

 

 

 

 

Terug naar overzicht