Brief regering : Voortgang implementatie AVG bij Belastingdienst en toesturen rapport ADR
31 066 Belastingdienst
Nr. 485
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 28 mei 2019
In de recente halfjaarsrapportage1 heb ik toegezegd uw Kamer eind mei 2019 nader te informeren over de voortgang van
de implementatie van de Algemene verordening gegevensbescherming (AVG) bij de Belastingdienst.
Daarnaast heb ik toegezegd het rapport van de Auditdienst Rijk (ADR) over de implementatie
van de AVG binnen het Ministerie van Financiën en de Belastingdienst aan uw Kamer
te sturen, inclusief de wijze waarop de aanbevelingen van de ADR zullen worden opgevolgd.
Met deze brief geef ik gevolg aan deze toezeggingen.
Voortgang implementatie AVG
In juni 2018 heb ik uw Kamer geïnformeerd over de implementatie van de AVG bij de
Belastingdienst, de zogenaamde basispositie.2 De Belastingdienst moest toen nog een aantal maatregelen uitvoeren om de AVG te implementeren.
De Belastingdienst heeft in het vervolgtraject inmiddels de maatregelen kunnen realiseren,
met uitzondering van de maatregel «verwijderen van verouderde gegevens».
Ten aanzien van het verwijderen van verouderde gegevens is geconstateerd dat het niet
lukt voor eind mei 2019 de achterstand bij het verwijderen van verouderde gegevens
weg te werken. Dit wordt veroorzaakt door twee problemen. Ten eerste is het voor een
aantal oude systemen niet mogelijk om de verouderde gegevens op basis van de AVG-normen
te verwijderen. De benodigde systeemaanpassingen zijn dusdanig ingrijpend gebleken,
dat dit op korte termijn niet mogelijk is. Ten tweede speelt het probleem dat digitale
documenten stuk voor stuk op basis van de inhoud handmatig beoordeeld moeten worden
op de aanwezigheid van persoonsgegevens. Een bestandsnaam of bestandsformaat zegt
namelijk onvoldoende over de inhoud van een bestand.
Om te voorkomen dat de niet-tijdig verwijderde gegevens onrechtmatig kunnen worden
verwerkt door medewerkers van de Belastingdienst, heeft de Belastingdienst mitigerende
maatregelen genomen. De verouderde documenten worden in een zogenoemde datakluis geplaatst
waardoor de toegang tot de persoonsgegevens wordt weggenomen. De (digitale) datakluis
is een afgeschermde omgeving waar medewerkers van de Belastingdienst geen toegang
toe hebben; alleen daartoe aangewezen beheerders hebben toegang. De Belastingdienst
neemt actie om de gegevens uit de datakluis nader te beoordelen en, als de gegevens
geen permanente waarde hebben of verouderd zijn, daadwerkelijk te verwijderen.
Hierna zal ik toelichten hoe de Belastingdienst uitvoering heeft gegeven aan de maatregelen
om de AVG te implementeren.
– Transparantie en informatieverplichting
De Belastingdienst heeft op zijn eigen webpagina een privacyverklaring gepubliceerd.
De privacyverklaring geeft informatie over de persoonsgegevens die de Belastingdienst
verwerkt van burgers, bedrijven en eigen personeel, waar die gegevens vandaan komen
en aan wie ze eventueel geleverd worden. Het continu actualiseren van de verklaring
is onderdeel van het reguliere beheerproces.
– Inzage- en correctieverzoeken
De Belastingdienst heeft een proces ingericht voor het indienen van onder andere inzage-
en correctieverzoeken. In de privacyverklaring staat op welke manier en via welk postadres
een betrokken persoon zijn inzage- of correctieverzoek bij de Belastingdienst kan
indienen.
– Register van verwerkingen
De Belastingdienst heeft een register van verwerkingen. In het register zijn ongeveer
400 verwerkingen van de Belastingdienst opgenomen. Hoewel de AVG dat niet voorschrijft,
streeft de Belastingdienst naar publicatie van het register. Op dit moment is een
samenvatting van het register gepubliceerd als bijlage bij de privacyverklaring. Actualisering,
zoals het registreren van nieuwe verwerkingen, en kwaliteitsverbetering van het register
zijn onderdeel van het reguliere beheersproces.
– Datalekken
De Belastingdienst heeft het proces voor het melden van datalekken in verband met
de AVG aangepast. Actualisering en kwaliteitsverbetering van het proces zijn onderdeel
van het reguliere beheersproces.
– Geautomatiseerde besluitvorming
De Belastingdienst maakt binnen de kaders van de AVG en Uitvoeringswet AVG gebruik
van geautomatiseerde besluitvorming. Vanwege de complexiteit van het onderwerp is
in de privacyverklaring vooralsnog een algemene uitleg van de rekenregels en logica
die aan geautomatiseerde besluiten ten grondslag liggen, opgenomen. De Belastingdienst
is betrokken bij de rijksbrede ontwikkelingen in dit kader.
– Gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen
(privacy by default)
Er is een handleiding voor architecten en ontwerpers opgesteld over de principes van
gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen.
Bij wijziging of vernieuwing van systemen wordt aan de hand van risicoanalyses bepaald
hoe hieraan concreet invulling wordt gegeven. Het verder ontwikkelen van deze principes
is onderdeel van het reguliere beheersproces. Ook bij activiteiten rond bewustwording
komen de principes aan de orde.
– Informatiebeveiliging; autorisaties
Het actualiseren van autorisaties voor toegang tot persoonsgegevens is afgerond. Het
actueel houden van autorisaties is onderdeel van het reguliere beheersproces.
De Belastingdienst heeft verder mitigerende maatregelen genomen om het intern oneigenlijk
delen van gegevens te voorkomen. Het gaat daarbij onder andere om het uitfaseren van
gegevensexport faciliteiten in applicaties en het vooraf toetsen aan de AVG van een
opvraging vanuit de data-analyseomgeving.
– Functionaris voor gegevensbescherming
Het Ministerie van Financiën, waaronder de Belastingdienst, heeft een functionaris
voor gegevensbescherming aangesteld.
– Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
De Belastingdienst heeft een handleiding voor het uitvoeren van GEB/DPIA opgesteld.
Bij nieuwe verwerkingen wordt getoetst of het nodig is om een GEB/DPIA uit te voeren.
Bij bestaande verwerkingen wordt periodiek, in een cyclus van ongeveer drie jaar,
getoetst of de risico’s en de genomen maatregelen bij een verwerking geactualiseerd
moeten worden en of het uitvoeren van een GEB/DPIA nodig is.
– Verwerkers
De Belastingdienst heeft waar nodig verwerkersovereenkomsten geactualiseerd. Het actueel
houden is onderdeel van het reguliere beheersproces.
– Verantwoording
De Belastingdienst heeft de verantwoording voor de naleving van de AVG in de nieuwe
topstructuur belegd bij de directeuren van de dienstonderdelen. Bij de concerndirectie
Informatievoorziening en databeheersing zijn de functies van privacyofficer en chief
information security officer ingericht. Verder heeft iedere directie een contactpersoon
voor gegevensbescherming, een zogenoemde datacoördinator. Samen met de functionaris
voor gegevensbescherming van het Ministerie van Financiën en de Belastingdienst wordt
in het reguliere beheersproces de naleving van de AVG getoetst en zo nodig geactualiseerd.
Om de bewustwording en de kennis over de AVG bij medewerkers te vergroten heeft de
Belastingdienst verschillende activiteiten ontwikkeld en uitgevoerd. Er zijn workshops
gehouden over het verantwoord omgaan met gegevens; de campagne «Allemaal veilig digitaal»
is gevoerd; er zijn verschillende webinars gehouden. Ook hebben alle medewerkers verplicht
de basiscursus privacy en AVG moeten volgen. De Belastingdienst zet de bewustwordings-
en opleidingsactiviteiten voort in het beheersproces.
Rapport ADR
Begin 2019 heeft de ADR in opdracht van de plv. secretaris-generaal van Financiën
een onderzoek uitgevoerd naar het op schema liggen van de opgestelde implementatietrajecten
van de AVG voor zowel het kerndepartement van Financiën als de Belastingdienst. De
doelstelling van het onderzoek was om het kerndepartement van Financiën en de Belastingdienst
extra inzicht te geven in de stand van zaken van een aantal maatregelen uit de implementatieplannen
om zodoende op 25 mei 2019 aantoonbaar (op een adequaat niveau) aan de AVG te kunnen
voldoen. Als bijlage bij deze brief stuur ik uw Kamer het onderzoeksrapport «Implementatie
AVG bij het Ministerie van Financiën»3.
Ten aanzien van de Belastingdienst heeft de ADR een aantal thema’s onderzocht:
− archiveren, schonen en verwijderen;
− beoordelen en actualiseren autorisaties;
− delen van gegevens; en
− verwerkersovereenkomsten.
De ADR heeft de stand van zaken van een aantal geselecteerde maatregelen uit de implementatieplannen
onderzocht en de factoren die van invloed zijn op een goede en tijdige realisatie
van de nog uit te voeren geselecteerde maatregelen. Op basis van de bevindingen heeft
de ADR aanbevelingen gedaan.
Als reactie op het rapport van de ADR geeft de Belastingdienst aan de door de ADR
benoemde risico’s met betrekking tot de implementatie te herkennen. Het rapport van
de ADR geeft de situatie van februari 2019 weer. De periode februari-mei 2019 heeft
de Belastingdienst gebruikt om de bevindingen van de ADR weg te nemen. De Belastingdienst
meldt dat de bevindingen inmiddels zijn opgelost, met uitzondering van het verwijderen
van oude gegevens.
De Belastingdienst heeft op de volgende manier opvolging gegeven aan de aanbevelingen
van de ADR.
1. Heroverweging/hertoets van alle issues (AVG-acties)
De Belastingdienst heeft in april/mei 2019 de maatregelen uit de risico- en issueanalyse
nogmaals bezien. De uitkomst is dat een deel van de acties ziet op het actualiseren
of verbeteren van processen binnen de Belastingdienst. De uitvoering van die acties
maakt onderdeel uit van het reguliere beheersproces en de borging van de opvolging
gebeurt via de planning & control cyclus. De Belastingdienst heeft door actief te
sturen de maatregelen die noodzakelijk zijn om de AVG te implementeren, gerealiseerd.
Zoals eerder in deze brief aangegeven, gaat het verwijderen van oude gegevens op korte
termijn niet lukken.
2. Een meer projectmatige aanpak om strakker te kunnen sturen
De sturing rond de implementatie van de AVG is bij de Belastingdienst belegd bij de
concerndirectie Informatievoorziening en databeheersing; naast de reguliere lijnsturing.
Vanaf begin 2019 heeft de concerndirectie de regie op de uitvoering geïntensiveerd
door de betrokken medewerkers van de dienstonderdelen frequenter bijeen te roepen
voor inhoudelijke afstemming. Het gaat daarbij om medewerkers die projectmatig ingezet
zijn voor de implementatie van de AVG en om structurele contactpersonen voor de AVG,
zogenoemde datacoördinatoren. Ook is er «op maat» geadviseerd bij dienstonderdelen
met specifieke vragen en is een aantal centraal aangestuurde acties uitgevoerd; zoals
het opstellen van maandrapportages voor het inzicht op de voortgang en het ontwikkelen
van een centrale aanpak voor het schonen van netwerkschijven. Daarmee is bereikt dat
sneller en uniform bijgestuurd is.
3. Pro-actievere rol van het CIO-office van de Belastingdienst en privacyofficer
Het CIO-office van de Belastingdienst en de privacyofficer maken onderdeel uit van
de concerndirectie Informatievoorziening en databeheersing. Vanaf begin 2019 stuurt
de privacyofficer de maandelijkse overleggen van datacoördinatoren aan. Het doel van
deze overleggen is het delen van kennis over inhoudelijke en uitvoeringsonderwerpen
op het gebied van gegevensbescherming, waaronder de AVG. Daarnaast hebben het CIO-office
en de privacyofficer in deze periode aan dienstonderdelen ondersteuning «op maat»
geboden op specifiekere onderwerpen. De maandelijkse overleggen en de ondersteuning
worden voortgezet en maken onderdeel uit van de reguliere werkwijze.
4. Opstellen beleidskaders in samenwerking met de uitvoerende dienstonderdelen
Nadere analyse van deze aanbeveling leert dat het niet zozeer om het opstellen van
beleidskaders lijkt te gaan, maar meer om begeleiding bij het uitwerken van bestaande
kaders naar uitvoeringsrichtlijnen voor individuele directies van de Belastingdienst;
en het toepassen daarvan. Onder andere in de maandelijkse overleggen onder leiding
van de privacyofficer wordt hier invulling aan gegeven.
5. Inrichten project voor structurele verbeteracties voor naleving van de AVG, maar met
breder bereik
De Belastingdienst heeft de afgelopen twee jaar hard gewerkt om de AVG te implementeren.
Verbeteracties die een breder bereik hebben, zoals het toepassen van de selectielijsten
en het op orde brengen van de informatiehuishouding, worden op basis van interne controles,
audits en gedane aanbevelingen (leercirkel) uitgevoerd in het reguliere beheersproces.
6. Aandachtspunten voor de aantoonbare naleving van de AVG
− De Belastingdienst werkt aan het verbeteren van het inzicht in het gebruik van persoonsgegevens
in de keten door het actualiseren en het verbeteren van de kwaliteit van het register
van werkingen en het uitvoeren van GEB/DPIA’s.
− De prioriteitstelling in de informatievoorziening om functionaliteiten aan te kunnen
brengen in applicaties ten behoeve van het schonen en verwijderen maakt onderdeel
uit van het IV-portfolioproces.
− Het Ministerie van Justitie en Veiligheid heeft het initiatief genomen om (interdepartementaal)
een voor het rijk te gebruiken voldoende dekkend normenkader op het gebied van gegevensbescherming
c.q. AVG te ontwikkelen. De CIO-offices van het kerndepartement van Financiën en de
Belastingdienst hebben zich hierbij aangesloten.
Om de uitvoering van de aanbevelingen door de Belastingdienst te toetsen, zal ik de
ADR vragen een aanvullende audit te doen op de implementatie van de AVG bij de Belastingdienst.
De uitkomst van de aanvullende audit zal ik te zijner tijd aan uw Kamer te sturen.
De Belastingdienst heeft een grote inspanning geleverd om te kunnen voldoen aan de
AVG en blijft dat doen. Dit laat onverlet dat in een bepaalde situatie de Belastingdienst
alsnog in strijd met de AVG kan handelen. Denk bijvoorbeeld aan het oordeel van de
Autoriteit Persoonsgegevens over het gebruik van het BSN in het btw-identificatienummer.4 Ook kan niet worden uitgesloten dat zich in de toekomst een datalek voordoet. De
Belastingdienst handelt deze situaties conform de normen van de AVG af. Zoals ik eerder
heb aangegeven, is naleving van de AVG geen statisch gegeven, maar een proces dat
voortdurend aandacht vergt. De genomen maatregelen en de gestelde kaders moeten worden
onderhouden. De Belastingdienst blijft dus doorlopend werken aan maatregelen en kaders
en streeft daarmee naar een duurzame naleving van de AVG.
De Staatssecretaris van Financiën,
M. Snel
Indieners
-
Indiener
M. Snel, staatssecretaris van Financiën