Brief regering : Concept plan van aanpak ‘Herstellen, Verbeteren en Borgen’
31 066 Belastingdienst
Nr. 709 BRIEF VAN DE STAATSECRETARISSEN VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 13 oktober 2020
Met deze brief sturen we uw Kamer het concept plan van aanpak «Herstellen, Verbeteren
en Borgen»1. Over de voortgang zullen we uw Kamer bij de voortgangsrapportages over het jaarplan
informeren. Na een bespreking met uw Kamer zullen wij de uitkomsten daarvan onderdeel
laten zijn van de operationele uitwerking van dit plan.
In onze brief van 10 juli jl.2 hebben we uw Kamer geïnformeerd over het onderzoek naar de Fraude Signalering Voorziening
(FSV) en toegezegd dit concept plan van aanpak ter bespreking naar u toe te sturen.
De bevindingen uit het onderzoek waren ernstig. Er wordt niet voldaan aan wettelijke
vereisten, waaronder de Algemene verordening gegevens (AVG) en noodzakelijke waarborgen
rond risico-selectieprocessen en behandeling van fraudesignalen zijn onvoldoende.
Dit heeft potentieel gevolgen voor burgers en bedrijven. De basis voor het toezicht
door de Belastingdienst moet op orde zijn. In het concept plan van aanpak kiezen wij
ervoor om de processen rond risicoselectie en signalen van mogelijke fraude direct
aan te pakken. In het eerste kwartaal van 2021 moeten de risico’s in deze processen
in kaart zijn gebracht, hernieuwde kaders bekend zijn en de implementatie gestart.
Hierbij wordt specifiek aandacht gegeven aan het gebruik van nationaliteit en projectcode 1043.
Dit is van belang omdat de kans op negatieve effecten voor burgers en bedrijven hier
het grootst is.
In het concept plan van aanpak kondigen we aan dat we daarnaast ook alle andere applicaties
en processen zullen toetsen aan de eisen van de AVG, Baseline Informatiebeveiliging
Overheid (BIO) en de Archiefwet. Gezien de omvang van deze actie (ongeveer 600 primaire
processen en 800 applicaties) vergt dit meer tijd. Voor dit alles is het essentieel
dat de medewerkers van de Belastingdienst zich – ook gedurende dit proces – bewust
zijn van de regels op grond van de AVG, BIO en de Archiefwet en dat zij het melden
als zij dingen tegen komen die niet conform deze wetgeving zijn. Daarom zullen wij
per direct starten met een bewustheids-campagne rond de AVG. Nieuwe medewerkers hebben
bij indiensttreding nu de verplichting een e-learning module AVG te volgen. Vanaf
2021 zal dit voor alle medewerkers elke twee jaar worden herhaald. Daarnaast zal het
management van de Belastingdienst permanent aandacht blijven besteden aan het bewust
omgaan met persoonsgegevens. Zodat medewerkers zich blijvend bewust zijn van het belang
van voldoen aan deze regelgeving.
Daarnaast zijn we vooruitlopend op het concept plan van aanpak nadere interne onderzoeken
gestart. Wij inventariseren de lijsten die binnen de Belastingdienst worden ingezet
in het toezicht en onderzoeken het gebruik van vrije tekstvelden. Daarnaast zijn we
bezig om de bedrijfsprocessen, waarin de applicaties die we hebben stilgezet werden
gebruikt, aan te passen, zodat ze voldoen aan de AVG. Zoals eerder aangekondigd gaan
we tevens onderzoek doen naar de vraag of een vermelding in FSV effect heeft gehad
op de selectie en behandeling van burgers en bedrijven en zo ja wat dit effect is
geweest en hoe dit effect gekwalificeerd moet worden. Het is mogelijk dat uit deze
(lopende) onderzoeken en met de uitvoering van de acties uit het concept plan van
aanpak nieuwe bevindingen boven tafel komen. Na beoordeling van de feiten zullen wij
dan, indien nodig, beheersmaatregelen nemen. Uiteraard zullen we uw Kamer daar dan
zo spoedig mogelijk over informeren. De drieslag van onderzoeken, daar waar nodig
het nemen van maatregelen en informeren van uw Kamer, is en blijft onze aanpak.
Bij het behandelen van de inzageverzoeken eind september in FSV kwam het volgende
boven. Bij het verwijderen van risicosignalen van het soort «aangiftefraude», «kliks
en tips meldingen» en «overige projecten» uit FSV werden deze niet fysiek verwijderd
maar kwamen deze in een voor de gebruikers van FSV niet zichtbaar «archief» terecht.
Deze gegevens konden niet meer geraadpleegd worden en konden ook niet meer worden
gebruikt in processen. Zoals u weet kan FSV sinds 27 februari jl. niet meer gebruikt
worden en kunnen er dus ook geen nieuwe signalen in worden opgenomen en signalen uit
worden verwijderd.
Een eerste inventarisatie leert dat sinds de start van FSV in 2014, tot het uitschakelen
van FSV op 27 februari jl., er ongeveer 4000 signalen (van ongeveer 400 unieke BSN’s)
verwijderd zijn en daarmee in dit «archief» opgeslagen zijn. Een deel van de signalen
in dit «archief» lijken testgevallen3 te zijn. Er loopt nog een onderzoek naar het exacte aantal risicosignalen van burgers/bedrijven
die opgenomen zijn in dit archief. Als gevolg van deze functionaliteit hebben we nu
een met aan zekerheid grenzende waarschijnlijkheid compleet overzicht van alle in
FSV opgevoerde risicosignalen. Hierdoor kunnen we burgers en bedrijven zekerheid geven
bij de afhandeling van een inzageverzoek FSV. Als deze gegevens ontsloten zijn zullen
de reeds afgehandelde inzageverzoeken opnieuw worden vergeleken met de nieuwe gegevens
waarbij waar nodig een nieuw besluit op het inzageverzoek genomen kan worden. Daarnaast
wordt onderzocht of deze informatie leidt tot aanpassing van de in eerdere beantwoording
van schriftelijke Kamervragen genoemde aantallen in FSV geregistreerde burgers en/of
bedrijven.
Omdat de Autoriteit Persoonsgegevens (AP) onderzoek doet naar FSV, hebben wij de AP
op 6 oktober 2020 geïnformeerd over het bestaan van dit «archief».
In deze brief beantwoorden wij tevens de verzoeken van de vaste commissie voor Financiën
zoals opgenomen in de brief 10 september jl. en sturen we u als bijlage de beantwoording
op door uw Kamer gestelde schriftelijke vragen van 18 september 2020.
Verzoeken brief 10 september
Bij brief van 10 september heeft u verzocht om de stand van zaken met betrekking tot
het vervolgonderzoek FSV en het afhandelen van de inzageverzoeken. Tevens heeft u
verzocht om informatie over het schonen van systemen.
Stoppen met schonen
Wij hebben al aangegeven, in antwoorden op vragen van het lid Omtzigt4, dat wij de lopende vernietigingsactiviteiten door Doc-Direkt voor wat betreft toeslagendossiers
hebben stopgezet en dat de dossiers die voor vernietiging in aanmerking zouden komen
apart zijn opgeslagen. Ook is, ten aanzien van Toeslagen, besloten om managementverslagen,
mails en overige zaakgebonden informatie tot nader order niet te vernietigen.
Wij gaan dit ook doen ten aanzien van het FSV dossier, de omgang met risico-selectie
en fraudesignalen. Wij zullen de niet-gestructureerde informatie, zoals mails en afdelingsschijven,
bewaren voor verder onderzoek. Uiteraard worden de juiste juridische en technische
waarborgen hierbij in acht genomen. Voor de ondersteunende systemen ten behoeve van
de handhaving- en toezichtprocessen onderzoeken we hoe we kunnen waarborgen dat de
informatie uit deze systemen beschikbaar blijft voor verder onderzoek.
Update inzageverzoeken FSV
Zoals in de brief van 28 april jl.5 aan uw Kamer is aangegeven, is de applicatie FSV op 27 februari 2020 geschoond. Op
dezelfde dag is de applicatie ook uitgezet. Er is toen een reservebestand (back-up)
bewaard van de situatie van 26 februari 2020, dus van vóór de schoning. Daarnaast
is er ook een reservebestand bewaard van de situatie op het moment van uitzetten,
dus van ná de schoning. Beide reservebestanden staan in een beveiligde omgeving ten
behoeve van nader onderzoek, onder andere door de Autoriteit Persoonsgegevens. Daarnaast
is half juli 2020 aan een beperkt aantal medewerkers van de Belastingdienst autorisatie
verleend om het niet-geschoonde reservebestand van FSV te gebruiken ten behoeve van
het behandelen van verzoeken om inzage in FSV.
De Belastingdienst heeft tot medio september 245 verzoeken om inzage in FSV ontvangen.
Verzoekers hebben hun verzoeken om inzage in FSV regelmatig gecombineerd met verzoeken
over andere onderwerpen of klachten. Dit heeft invloed op de wijze waarop een verzoek
behandeld wordt. Zo combineert een deel van de verzoekers het verzoek om inzage met
een meeromvattend verzoek om inzage in het persoonlijk dossier van Toeslagen in plaats
van de reguliere inzageverzoeken. In dat geval wordt het inzageverzoek opgepakt door
de zogenoemde persoonlijke behandelaar van de Uitvoeringsorganisatie Herstel Toeslagen
(UHT). De persoonlijke behandelaar gaat dan in gesprek met de verzoeker. Als een ouder
aangeeft aanspraak te willen maken op de compensatieregeling of als een ouder er specifiek
naar vraagt, zal UHT in de opbouw van het dossier altijd nagaan of die persoon was
opgenomen in FSV.
Inmiddels is op 139 verzoeken om inzage een beslissing genomen. In dertien gevallen
is tegen de beslissing een bezwaarschrift ingediend; drie bezwaarprocedures zijn weer
ingetrokken. In drie gevallen is er een beroep aanhangig; in één geval gaat het daarbij
om een beroep wegens het niet tijdig beslissen op het verzoek.
Vervolgonderzoek
In de brief van 10 juli is aangegeven dat verder onderzoek nodig is. In het concept
plan van aanpak is aangegeven dat er onderzoek gedaan zal worden naar:
• De mogelijke effecten van FSV op burgers en bedrijven. Er komt onderzoek naar de vraag
of een vermelding in FSV effect heeft gehad op de selectie en behandeling van burgers
en bedrijven en zo ja wat dit effect is geweest en hoe dit effect gekwalificeerd moet
worden. Bij Toeslagen worden de bevindingen van het rapport over FSV meegenomen in
de hersteloperatie.
• De andere applicaties die tot bevindingen hebben geleid in het onderzoek van KPMG,
om nog beter inzicht krijgen of er daadwerkelijk sprake is geweest van negatieve effecten
op burgers en bedrijven.
• De gevolgen van projectcode 1043. Het aanvullend onderzoek met projectcode 1043 ziet
op de structurele werking van het uitvoeringsproces projectcode 1043, de daarin opgenomen
waarborgen ten aanzien van selectie en aangiftebehandeling en de besluitvorming daarover.
• Het aan CAF te relateren onderhanden werk. In de brief van 10 juli jl. aan uw Kamer
is gemeld dat de werkzaamheden van het CAF-team per 3 juli jl. zijn opgeschort. Het
onderhanden werk dat voortvloeide uit CAF-onderzoeken wordt in beeld gebracht. Dit
zal worden beoordeeld op de noodzaak om dit op te schorten. Als de zaak al bij de
rechter ligt, zal er een signaal aan de rechter gegeven worden mocht het inhoudelijk
blijken dat er gewichtige redenen aangegeven kunnen worden die duiden op aanleiding
voor opschorting. De keuze om daadwerkelijk op te schorten is aan de rechter.
• De samenhang tussen de bevindingen ten aanzien van FSV, projectcode 1043 en de fraudeaanpak
van de Belastingdienst.
Voor verdere informatie over het vervolgonderzoek FSV verwijzen wij u naar het meegestuurde
concept plan van aanpak Herstellen, Verbeteren en Borgen. We betrekken uw Kamer graag
bij de verdere uitwerking van de opzet en vraagstelling van het vervolgonderzoek.
Stand van zaken applicaties en processen uit het KPMG-rapport
Zoals in de brief van 10 juli jl. is aangegeven zijn er acht applicaties/informatievoorzieningen
die tot bevindingen hebben geleid in het onderzoek van KPMG; daarnaast is er nog één
applicatie (Databank Auto) naar voren gekomen in eigen onderzoek van de Belastingdienst.
Hierbij geven we u een stand van zaken ten aanzien van de negen applicaties. In de
beantwoording van de feitelijke vragen die uw Kamer op 18 september jl. heeft gesteld
over de brief van 10 juli jl. gaan wij hierop uitgebreider in (Kamerstuk 31 066, nr. 710). We zullen hieronder de stand van zaken ten aanzien van deze applicaties en processen
toelichten. De voor de applicaties en processen uitgevoerde GEB’s worden alle, conform
het daarvoor ingerichte proces, beoordeeld door de privacy-officer van de Belastingdienst
en de Functionaris voor de Gegevensbescherming van het Ministerie van Financiën (FG).
De applicaties worden pas weer in gebruik genomen nadat de GEB is vastgesteld en eventuele
beheersmaatregelen zijn geïmplementeerd.
1. Interne en externe signalen ten behoeve van het toezichtproces MKB: dit betrof het
proces rond het verwerken van risicosignalen die oorspronkelijk in FSV werden vastgelegd.
In juli 2020 is dit proces stilgelegd, aangezien volledige conformiteit met de eisen
van de AVG niet verzekerd was. Voor dit proces wordt een gegevensbeschermingseffectbeoordeling
(GEB) opgesteld. Het wordt niet eerder hervat dan nadat de GEB is vastgesteld en naar
aanleiding daarvan eventueel te nemen beheersmaatregelen zijn geïmplementeerd. Er
is geen specifieke datum voor hervatting van het proces bepaald.
2. Risicoclassificatie Toeslagen: bij dit risicomodel (en het proces van toepassing)
was mogelijk sprake van gegevensverwerking die niet voldeed aan de eisen van de AVG
de reden waarom het is stilgelegd. Ook voor dit risicomodel is een GEB in procedure.
Ook hier geldt dat het risicomodel in gebruik wordt genomen nadat de GEB is afgerond
en eventuele beheersmaatregelen zijn geïmplementeerd. Het streven is dit traject begin
december 2020 af te ronden.
3. Verwerken van fraudesignalen Toeslagen: ook in dit proces was overeenstemming van
de gegevensverwerking met de AVG niet zeker. Daarom is het proces stilgelegd. Voor
dit proces is een GEB in procedure en geldt dat het niet eerder wordt hervat dan dat
de GEB is vastgesteld en eventuele beheersmaatregelen zijn genomen. Het streven is
om het proces half november te hervatten.
4. Databank Auto: deze applicatie is door de Belastingdienst aan de acht door KPMG geïdentificeerde
applicaties toegevoegd. De inrichting van deze databank was blijkens een concept-GEB
niet conform de eisen van de AVG op het punt van onder meer subsidiariteit, proportionaliteit
en informatiebeveiliging. Op grond van deze constatering is de databank direct stopgezet.
Inmiddels zijn drie workflowapplicaties voor de processen heffen autobelastingen,
verklaring privégebruik auto en verklaring uitsluitend zakelijk gebruik bedrijfswagen,
die een beperkte set gegevens gebruikten uit de Databank auto eind augustus 2020 weer
in gebruik genomen. Dit op basis van een beoordeling van deze workflowapplicaties
door FG. In zijn advies heeft de FG meegewogen dat geen bijzondere persoonsgegevens
worden verwerkt en er geen sprake is van risicoselectie of profilering op basis van
deze gegevens. Mede op basis van de beoordeling door de FG zijn wel verbetermaatregelen
de workflowapplicaties in gang gezet. De Databank auto zelf blijft buiten gebruik
voor heffings- en toezichtsdoeleinden. Mocht inzet van de databank voor de genoemde
doeleinden in de nabije toekomst noodzakelijk zijn, dan zal dat niet gebeuren dan
na opstelling van een nieuwe GEB en beoordeling daarvan door de privacy-officer en
de FG.
5. Aanpak Team Veelplegers: voor dit proces bestond op basis van de uitgevoerde GEB geen
indicatie van onrechtmatige verwerking van gegevens. Het is daarom niet stilgelegd.
6. Afgifte OB identificatienummer: voor dit risicomodel is op grond van een begin juli
2020 opgestelde nieuwe GEB geconstateerd dat mogelijk sprake was van een onrechtmatigheid
in de gegevensverwerking, waarvoor direct een beheersmaatregel is getroffen. Het model
is daarom niet buiten gebruik gesteld.
7. Datafundament Fraude Risico Indicatoren (FRI): ten aanzien van de verwerking van gegevens
in deze applicatie waren er twee bevindingen die mogelijk tot onrechtmatig gebruik
van gegevens zouden kunnen leiden. Deze zijn inmiddels opgelost. Het streven is het
datafundament half oktober weer in gebruik te nemen.
8. OB Carrouselfraude: in dit risicomodel was door een combinatie van persoonsgegevens
informatie over (niet-)Nederlanderschap af te leiden. Vanwege het risico op niet rechtmatige
verwerking van dit gegeven is dit aangepast. Het model is daarvoor twee weken stilgelegd
en sinds 13 juli 2020 weer in gebruik.
9. Innovatie OB positief op het omzetdeel: dit betrof een innovatief risicomodel voor
effectief en efficiënt toezicht op afdracht van omzetbelasting. Het model was nog
niet in gebruik genomen, zodat op basis hiervan geen gegevens van belastingplichtigen
zijn of worden verwerkt. Indien dit model alsnog in gebruik wordt genomen, zal daarvoor
eerst het volledige GEB-proces worden doorlopen.
Inventarisatie lijsten die worden ingezet in het toezicht
De afgelopen weken heeft naar aanleiding van het KPMG-rapport, zoals aangegeven in
de brief van 10 juli jl. en vooruitlopend op het concept plan van aanpak Herstellen,
Verbeteren en Borgen, bij alle medewerkers van de Belastingdienst, Douane en Toeslagen
een uitvraag plaatsgevonden naar lijsten in gedeelde bestanden, in delen van samenwerkingsgebieden
en op papier, die worden ingezet bij werkzaamheden in het toezicht. Hierbij zijn inmiddels
217 bestanden veiliggesteld. Dat betekent dat deze niet meer kunnen worden gebruikt
voor het toezicht, dat deze in een afgeschermde omgeving worden bewaard en dus ook
niet zullen worden geschoond. Daarnaast zijn zes lokale applicaties gemeld. Het vergt
een nadere analyse van de bestanden en applicaties om te kunnen vaststellen of daarin
sprake is van verwerking van gegevens die niet in lijn is met wettelijke kaders, of
waaraan geen objectieve rechtvaardiging ten grondslag ligt. De nadere analyse en daaruit
voortvloeiende acties zullen deel uit gaan maken van het hiervoor genoemde concept
plan van aanpak Herstellen, Verbeteren en Borgen. Wij zullen uw Kamer over de uitkomsten
en eventueel te nemen maatregelen informeren in de voortgangsrapportages over het
concept plan van aanpak.
De Staatssecretaris van Financiën, J.A. Vijlbrief
De Staatssecretaris van Financiën, A.C. van Huffelen
Ondertekenaars
-
Eerste ondertekenaar
J.A. Vijlbrief, staatssecretaris van Financiën -
Mede ondertekenaar
A.C. van Huffelen, staatssecretaris van Financiën