Brief regering : Rapporten PwC over Fraudesignaleringsvoorziening (FSV) – Particulieren en externe gegevensdeling

Nr. 957 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 25 januari 2022

Conform de planning uit de brief van 16 december 20211 stuur ik uw Kamer hierbij de rapporten van twee onderzoeken van PwC naar de Fraudesignaleringsvoorziening
(FSV) van de Belastingdienst2; het eerste over de effecten van FSV voor burgers die door de directie Particulieren
geregistreerd zijn, het tweede over de deling van gegevens uit FSV met externe partijen.
Ik wil PwC hartelijk danken voor de zorgvuldigheid waarmee het beide onderwerpen in
kaart heeft gebracht. De rapporten volgen op het rapport over FSV-registraties door
Toeslagen3 en gaan vooraf aan die voor registraties door de directie MKB en «query’s aan de
poort». De conclusies in de rapporten zijn hard en bevestigen dat FSV fundamentele
tekortkomingen vertoonde. Ik weeg de bevindingen mee bij de vormgeving van een tegemoetkomingsregeling
voor onterechte gevolgen van FSV. Ik zal hieronder per rapport de bevindingen kort
en zo feitelijk mogelijk beschrijven. Vervolgens zal ik mijn appreciatie geven en
op de genomen beheersmaatregelen ingaan.

Onderzoek naar gevolgen FSV-registraties door directie Particulieren 2014–2019

PwC constateert dat FSV in het toezichtproces van Particulieren een registratie- en
raadpleegfunctie vervulde en daarmee een beperkt direct effect had, maar dat geregistreerde
burgers niettemin effecten hebben ondervonden – van de registratie in FSV zelf of
van het afhandelingsproces waarvan FSV deel uitmaakte. De grootste effecten traden
op wanneer een signaal de directie van opvoer verliet. Hoewel in een klein deel (6%)
van de door toezicht onderzochte dossiers behandelverslagen ontbreken, concludeert
PwC dat de directie Particulieren zorgvuldig te werk ging bij het vastleggen van onderzoeken
en het onderbouwen van conclusies. Volgens PwC lijkt FSV geen rol te hebben gespeeld
bij het trekken van conclusies over aangiften.

Verschillende waarnemingen duiden echter op gebrekkige borging van de algemene beginselen
van behoorlijk bestuur, waaronder enkele constateringen ten aanzien van het gebruik
van nationaliteit door het Combiteam Aanpak Facilitators (CAF). Daarnaast hebben de
onderzoekers voorbeelden aangetroffen in communicatie binnen en met de Belastingdienst over de signalering
van risico’s waarbij het risico op fraude werd gebaseerd op persoonskenmerken zoals
nationaliteit en uiterlijk voorkomen. Deze keur ik ten strengste af.

Effecten van FSV: invordering

In lijn met bevindingen die eerder met uw Kamer zijn gedeeld en besproken4 concludeert PwC dat het zeer aannemelijk is dat burgers zijn uitgesloten van minnelijke
schuldsanering natuurlijke personen (MSNP), kwijtschelding van belastingschuld of
een persoonlijke betalingsregeling voor een toeslagenschuld wanneer bij hun registratie
in FSV het «1x1-vinkje» aanstond. Naar schatting 4% van de onderzoekspopulatie heeft
een dergelijk verzoek gedaan. Het 1x1-vinkje duidde op mogelijke fraude, maar kon door de afdeling Invordering worden geïnterpreteerd als bewezen fraude.

Effecten van FSV: privacyschending

Net als in het rapport van de Autoriteit Persoonsgegevens (AP) over FSV5, concluderen de onderzoekers dat de privacy van de in FSV geregistreerde burgers
geschonden is. Zo werden registraties vrijwel nooit verwijderd en schat PwC dat bij
een deel (11%) van de populatie bijzondere persoonsgegevens of informatie over nationaliteit
vermeld staan. De verwerking van deze gegevens in FSV was onrechtmatig.

Afhandelingsproces rondom FSV: intensief toezicht na analyse aan de poort

In het proces «analyse aan de poort» kunnen aangiften inkomstenbelasting worden geselecteerd
voor controle op mogelijke onjuistheden6. Tot begin 2018 werden de hierin betrokken burgers ook in FSV geregistreerd. Net
als in het eerdere onderzoek door de Belastingdienst zelf naar «analyse aan de poort»7 concludeert PwC dat een deel (6% van FSV-registraties) van deze burgers langer met intensief toezicht te maken heeft gehad
dan volgens de interne voorschriften had gemoeten. Daarnaast zijn bestanden die gebruikt
zijn om de uitkomsten van het proces «analyse aan de poort» in FSV te registreren
niet verwijderd van de schijven van de Belastingdienst.

Waarnemingen rondom Combiteam Aanpak Facilitators (CAF)

PwC schat dat zo’n 5% van de onderzochte populatie is geregistreerd in FSV op basis
van een signaal van CAF. Uit de dossieranalyse op basis van deze registraties is een
aantal zorgpunten gekomen. PwC constateert dat in verschillende CAF-onderzoeken analyses
op nationaliteit zijn gedaan om zicht te krijgen op groepen die vermoedelijk gebruik
maakten van facilitators. Mijn voorganger heeft 15 november 20198 soortgelijke signalen met uw Kamer gedeeld en daar zeer terecht afstand van genomen.
De onderzoekers hebben documentatie aangetroffen waarin lijkt te worden gesuggereerd
dat onderzoek naar burgers werd gestart om als pressiemiddel in het onderzoek naar
een facilitator te gebruiken.

Onderzoek naar externe deling gegevens uit FSV

PwC heeft circa 300.000 e-mails geanalyseerd vanuit de functionele postbussen waarin
signalen die in FSV werden geregistreerd bij de Belastingdienst binnenkwamen. PwC
heeft hierin 536 keer deling met een derde partij waargenomen. Daarbij onderscheidt
PwC grofweg drie typen: exports, informatie over registraties en losse signalen.

Exports

Er zijn vier e-mails gevonden met lijsten van bij elkaar opgeteld meer dan 11.000
BSN’s. Bij deze waarneming heb ik toelichting op het rapport gevraagd en gekregen:
één e-mail was gericht aan de softwareontwikkelaar betrokken bij de bouw van FSV.
Een keer is een lijst met burgers verzonden aan het privé e-mailadres van een medewerker
met autorisatie tot FSV. De lijst werd verzonden met het verzoek om de BSN’s in FSV
op te nemen. Twee keer gaat het om een consultancybedrijf dat een analytische opdracht
voor de Belastingdienst uitvoerde.

Informatie over FSV-registraties

In 343 e-mails zijn in totaal 576 BSN’s vermeld met informatie over registratie in
FSV. Dat kan direct zijn, zoals wanneer gemeld wordt dat de betrokken burger in FSV
stond. Het kan ook indirect zijn, bijvoorbeeld in de reactie op een melding van een
andere organisatie waarin een collega van de Belastingdienst in de cc wordt gevraagd
de melding in FSV te registreren.

Separate signalen

In 189 e-mails zijn losse signalen doorgestuurd die ook in FSV voorkwamen of voor
konden komen. Hierin zijn 275 burgers genoemd.

Met wie is informatie gedeeld?

Er vond deling plaats met overheidspartijen als UWV, de SVB, gemeenten, de strafrechtketen
en het Ministerie van Justitie en Veiligheid. In 25 gevallen is informatie gedeeld met private partijen als zorgverzekeraars en consultancybureaus,
in 21 gevallen met maatschappelijke organisaties (bijvoorbeeld voor bewindvoering)
en 20 keer met overige partijen, zoals de privémail van onder andere Belastingdienstmedewerkers.

Scope

De vraag waarom informatie is gedeeld en of hiervoor een grondslag is valt buiten
de scope van het onderzoek. PwC treft in een eerste analyse echter geen basis voor
het waargenomen type gegevensdeling in drie onderzochte convenanten met uitvoeringsorganisaties
aan. De onderzoekers wijzen erop dat er nog circa 80 andere, mogelijk relevante functionele
postbussen zijn, die buiten de scope van het onderzoek vielen. Ook zijn zakelijke e-mailboxen van individuele medewerkers niet geanalyseerd.

Reactie en beheersmaatregelen voor beide onderzoeken

De bevindingen uit beide rapporten zijn ernstig en bevestigen dat de aanwezige waarborgen
rondom toezicht en gegevensbescherming bij de Belastingdienst onvoldoende zijn geweest.
De conclusies over MSNP, privacy en «analyse aan de poort» waren reeds bekend9, en er zijn al verbeteringsacties voor in gang gezet. Op andere punten tonen de rapporten
aan dat nadere actie noodzakelijk is. Ik ga op beide in.

Eerdere maatregelen

Privacy: ontwikkeling vervangende signalenvoorziening, wetsvoorstel waarborgen gegevensverwerking

De geconstateerde privacyschending bevestigt dat de beslissing om de voorziening in
februari 2020 uit te zetten terecht was10. Het signalenproces waarin FSV werd gebruikt, ligt momenteel stil. Om het proces
te ondersteunen is een nieuwe voorziening ontwikkeld. Deze wordt in gebruik genomen
na advies van de functionaris voor gegevensbescherming (FG) en de AP op de gegevensbeschermingseffectbeoordeling
(GEB).

Verder wordt er, zoals eerder11 gecommuniceerd, gewerkt aan een wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst,
Toeslagen en Douane. Dit wetsvoorstel beoogt de grondslagen voor de verwerking van
gegevens te versterken, toekomstbestendig te maken en een wettelijk kader te scheppen
voor de borging van een rechtmatige, behoorlijke en transparante verwerking van gegevens.

Invordering: zoekactie MSNP en tegemoetkomingsregeling

In januari 2021 is de Belastingdienst een analyse begonnen om vast te stellen van
welke burgers de verzoeken tot schuldsanering mogelijk onterecht zijn afgewezen. Met
de kwartaalrapportage HVB van 25 november 202112 is uw Kamer over de laatste stand ingelicht. Ik laat de signalen dat de 1x1-registratie
in FSV mogelijk ook bij de beoordeling van verzoeken tot kwijtschelding is gebruikt
onderzoeken. Op basis hiervan zal ik ook hiervoor het aantal getroffen burgers vaststellen
en hen identificeren en benaderen. Mijn uitgangspunt is dat wie onterecht geen minnelijke
schuldsanering, kwijtschelding of persoonlijke betalingsregeling heeft gekregen in
aanmerking komt voor de tegemoetkomingsregeling die ik met inachtneming van het budgetrecht
van uw Kamer ontwikkel.

Intensief toezicht na analyse aan de poort: aanvullende waarborgen

De resultaten van het proces «analyse aan de poort» worden sinds begin 2018 niet meer
in FSV opgenomen. Daarnaast zijn aanvullende waarborgen ingericht om te voorkomen
dat de aangiften van burgers onnodig lang in intensief toezicht worden betrokken13. De Auditdienst Rijk (ADR) heeft de aanwezigheid en werking hiervan getoetst en beschreven14. PwC doet op dit moment onderzoek naar de gebruikte query’s (zoekopdrachten) in «analyse
aan de poort». Ik verwacht dat rapport begin maart 2022 met uw Kamer te kunnen delen.
De door PwC op de schijven aangetroffen bestanden met de uitkomsten van het proces
«analyse aan de poort» hadden niet toegankelijk mogen zijn, behalve voor onderzoeksdoeleinden.
Om eventueel toekomstig onderzoek niet te verstoren worden ze niet verwijderd, maar
wel veiliggesteld in een afgeschermde omgeving.

Externe gegevensdeling: beheersmaatregelen postbussen

Externe informatie-uitwisseling is nodig om effectief toezicht te houden, maar moet
wel op de juiste manier plaatsvinden. PwC adviseert om de waarborgen rondom de verspreiding
van risicosignalen na te gaan. De toegang voor medewerkers tot de postbussen waar
informatieverzoeken binnen komen is nu sterk beperkt en de autorisaties worden gemonitord.
Voor het relevante proces van informatieverzoeken is een GEB opgesteld. Voor de lange
termijn wordt gewerkt aan de brede verbetering van het proces van de informatiestromen,
waaronder signalen en informatieverzoeken, ook om uitvoering te geven aan de visie
van de overheid over het delen van informatie via veilige platforms.

Nationaliteit in handhaving: alleen met expliciete grondslag

Het baseren van het risico op fraude op nationaliteit of uiterlijk voorkomen vind
ik onacceptabel. De waarnemingen van PwC zijn dan ook buitengewoon zorgelijk. Mijn
voorganger heeft eerder aangegeven15 dat nationaliteit alleen gebruikt mag worden in handhaving mits daar een expliciete
wettelijke grondslag voor is. Ik sluit me hierbij aan. De Belastingdienst is een veegactie
naar applicaties en lijsten met onder andere nationaliteitsgegevens gestart. In de
kwartaalrapportage HVB is uw Kamer geïnformeerd over de laatste stand16.

Aanvullende maatregelen

CAF: stopzetting en verder onderzoek

Op 27 januari 202117 meldde mijn voorganger uw Kamer dat het werk van CAF definitief is beëindigd. Ik
acht het wenselijk dat er volledige duidelijkheid komt over de onderzoeken en werkwijze
van CAF en de sturing daarop vanuit bijvoorbeeld het MT Fraude. Eerder heeft mijn
voorganger aan het lid Omtzigt onderzoek toegezegd. Ik laat dit extern uitvoeren.
Omdat het onderzoek moet worden aanbesteed, zal het helaas niet lukken om uw Kamer
zoals eerder toegezegd nog deze maand te informeren. Wanneer een externe partij is
geselecteerd zal ik uw Kamer via de kwartaalrapportage HVB informeren over de planning
en opzet.

Externe gegevensdeling: verder onderzoek en benaderen andere organisaties

PwC wijst erop dat mogelijk meer informatie uit FSV extern gedeeld is dan uit het
bijgaande onderzoek naar voren is gekomen; het heeft aanvullende e-mailboxen geïdentificeerd
van waaruit mogelijk ook gegevens uit FSV zijn gedeeld. Ik vind het belangrijk dat
burgers een zo volledig mogelijk beeld krijgen van met wie hun gegevens zijn gedeeld
en wil ook de geïdentificeerde functionele postbussen laten onderzoeken. In dat kader
zal ook nader worden bezien in hoeverre voor de geconstateerde gegevensdelingen een
voldoende rechtsgrondslag bestond. De Belastingdienst treedt bovendien in overleg
met de organisaties waarmee gegevens zijn uitgewisseld.

Externe gegevensdeling: informeren betrokkenen en AP

De AP heeft de Belastingdienst verzocht om nieuwe informatie over externe gegevensdeling
met haar te delen. Ik heb het rapport over de deling van gegevens uit FSV met externe
partijen daarom aan de AP verstrekt. In lijn met de motie van het lid Marijnissen18 zal de Belastingdienst waar mogelijk de burgers informeren over wie informatie uit
of over een FSV-registratie is gedeeld.

Tot slot

Zoals ook al door mijn voorganger is aangegeven had FSV fundamentele tekortkomingen
en had de voorziening nooit op deze wijze gebruikt mogen worden. Tegelijkertijd is
het de verantwoordelijkheid van de Belastingdienst om toe te zien op de juistheid
en volledigheid van aangiften. Risicoselectie en het verwerken van signalen vormen
hier een wezenlijk onderdeel van. De weg naar de juiste waarborgen in toezicht en
gegevensbescherming is door mijn voorganger ingezet met het plan van aanpak Herstellen,
Verbeteren, Borgen19. Ik zet de trajecten daarvan voort en zal in de volgende kwartaalrapportage HVB terugkomen
op de hierboven beschreven beheersmaatregelen.

Het beeld van de effecten van FSV is met deze twee onderzoeken nog niet compleet.
PwC voert meerdere onderzoeken uit. Op 3 december 2021 heeft uw Kamer het eerste rapport
ontvangen20, waarin de effecten van registraties door Toeslagen zijn beschreven. Verder loopt
momenteel één onderzoek naar de effecten van registraties door de directie MKB en
één naar de gebruikte «query’s aan de poort» -zoekopdrachten die tot opname in FSV
konden leiden. Helaas moet ik de planning die mijn voorganger op 16 december 202121 heeft uiteengezet enigszins bijstellen. Omdat de oplevering vertraagd is, verwacht
ik het rapport voor MKB eind februari, en dat voor query’s begin maart 2022 met uw
Kamer te kunnen delen.

Ik zal alle bevindingen in de bijgaande en komende rapporten gebruiken bij de verdere
uitwerking van een tegemoetkomingsregeling voor onterechte gevolgen van FSV, zoals
door uw Kamer gevraagd in de motie van het lid Snels22. In zijn brief van 6 december 202123 is mijn voorganger ingegaan op de contouren van een dergelijke regeling en op de
dilemma’s die hierbij spelen.

Belangrijke vraagstukken hierbij zijn onder andere de vraag of, en zo ja hoe, het
schenden van de privacy op zichzelf een grond is voor een vorm van tegemoetkoming,
wie een dergelijke regeling moet uitvoeren en de gewenste en uitvoerbare mate van
maatwerk bij de uitvoering van een dergelijke regeling. Ik zal in het eerste kwartaal
van 2022 terugkomen op de uitwerking.

De Staatssecretaris van Financiën,
M.L.A. van Rij