Brief regering : Handhavingsbesluit Autoriteit Persoonsgegevens FSV

Nr. 1001 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 april 2022

Bij brief van 29 oktober 20211 heeft mijn ambtsvoorganger uw Kamer geïnformeerd over het onderzoek van de Autoriteit
Persoonsgegevens (AP) naar verwerkingen van persoonsgegevens in de Fraudesignaleringsvoorziening
(FSV) van de Belastingdienst. In vervolg op het onderzoeksrapport heeft de AP heden
12 april het aangekondigde handhavingsbesluit openbaar gemaakt (een «Besluit tot boeteoplegging»).
Ik bied dat handhavingsbesluit als bijlage2 aan uw Kamer aan en geef hieronder een toelichting. Alvorens ik inga op de inhoud
van het handhavingsbesluit, vat ik kort de bevindingen van de AP samen.

Het oordeel dat de AP in oktober 2021 gaf over de gegevensverwerking in FSV was hard
en is in lijn met andere rapporten.3 De ernst van de bevindingen komt terug in het nu bekendgemaakte handhavingsbesluit.
Ik respecteer dit besluit en beschouw het als bevestiging van de noodzaak om de waarborgen
rondom het gebruik van persoonsgegevens binnen de Belastingdienst te verbeteren.

Rapport van bevindingen

Samengevat concludeert de AP dat de Minister van Financiën als verwerkingsverantwoordelijke
voor de verwerkingen van de Belastingdienst van 4 november 2013 tot en met 27 februari
2020 door het verwerken van persoonsgegevens in FSV in strijd heeft gehandeld met
de op grond van de Algemene verordening gegevensbescherming (hierna: AVG) geldende
beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking.

Naast het overtreden van de vier genoemde beginselen concludeert de AP dat de Belastingdienst
onvoldoende passende technische en organisatorische maatregelen heeft genomen ten
aanzien van de toegangsbeveiliging, logging en controle op de logging om een passend
beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen. Tot slot heeft de
AP geconcludeerd dat de Belastingdienst de functionaris voor gegevensbescherming niet
naar behoren en tijdig heeft betrokken bij de uitvoering van de gegevensbeschermingseffectbeoordeling
(GEB) van FSV.

Handhavingsbesluit AP

De AP heeft de bevoegdheid om bestuurlijke boetes op te leggen. De AP heeft in het
handhavingsbesluit 6 bestuurlijke boetes opgelegd aan de verwerkingsverantwoordelijke
– de Minister van Financiën – voor overtreding van de artikelen 5, 6, 32 en 35 van
de AVG. Omdat FSV een applicatie van de Belastingdienst was ben ik beleidsmatig verantwoordelijk.

De AP heeft op grond van de wet beleidsruimte4 om de hoogte van op te leggen boetes te bepalen. De AP heeft bij het bepalen van
de hoogte van de boetes de aard, de ernst en de duur van de onrechtmatige verwerkingen
(inbreuken) meegewogen. De AP acht de overtredingen gezien de omvang en het gevoelige
karakter van de persoonsgegevens, waaronder bijzondere persoonsgegevens, bijzonder
ernstig.

Ook heeft de AP bij het bepalen van de hoogte van de boetes eerdere relevante inbreuken
in aanmerking genomen, zoals overtreding van artikel 13 van de Wbp en artikel 32 van
de AVG wegens de logging, controle op de logging en de toegangsbeveiliging bij de
afdeling Datafundamenten & Analytics, het gebruik van BSN in het btw-identificatienummer
en de onrechtmatige verwerking van (de dubbele) nationaliteit van aanvragers van kinderopvangtoeslag.
Dit wijst volgens de AP op aanhoudende problemen van structurele aard en daarbij verwijst
de AP naar voorbeelden uit het onderzoek van de Belastingdienst.5 Deze kan volgens de AP tot geen andere conclusie leiden dan dat bij de Belastingdienst,
de ambtelijke leiding van het departement en de Minister jarenlang sprake is (geweest)
van een brede onachtzaamheid, nalatigheid, het hanteren van een discriminatoire werkwijze
en daarmee onbehoorlijk handelen bij de toepassing van wettelijke regels omtrent gegevensbescherming.

De AP heeft het totale bedrag van de opgelegde boetes vastgesteld op € 3.700.000.
De AP heeft de hoogte van de boete – kort gezegd – als volgt onderbouwd:

I. een boete ten bedrage van € 1.000.000, omdat er voor de verwerking van persoonsgegevens
in FSV geen wettelijke grondslag was.

II. II een boete ten bedrage van € 750.000, omdat de persoonsgegevens in FSV in strijd
met het beginsel van doelspecificatie zijn verwerkt.

III. een boete ten bedrage van € 750.000, omdat de persoonsgegevens in FSV in strijd met
het beginsel van juistheid zijn verwerkt.

IV. een boete ten bedrage van € 250.000, omdat de persoonsgegevens in FSV in strijd met
het beginsel van opslagbeperking zijn verwerkt.

V. een boete ten bedrage van € 500.000, omdat voor de persoonsgegevens in FSV een onvoldoende
passend beveiligingsniveau gewaarborgd is.

VI. een boete ten bedrage van € 450.000, omdat het advies van de FG niet tijdens het uitvoeren
van de GEB is ingewonnen.

Reactie op het handhavingsbesluit

Het oordeel van de AP ten aanzien van FSV is hard en onmiskenbaar en laat nogmaals
zien dat fundamentele verbeteringen bij de Belastingdienst noodzakelijk zijn. Zoals
mijn voorgangers en ik al vaker hebben aangegeven deel ik het oordeel van de AP dat
FSV nooit op deze manier ingezet had mogen worden. De opgelegde boetes ervaar ik als
een pijnlijke, maar begrijpelijke gevolgtrekking gezien de ernst van de bevindingen.
Ik zal mij niet verzetten tegen de boetes en deze voldoen.

Verbetermaatregelen

Ik beschouw het handhavingsbesluit als bevestiging van de noodzaak om de gegevensverwerking
in het signalenproces voor het toezicht anders in te richten, zodat wordt voldaan
aan de wet- en regelgeving. De verwerking van persoonsgegevens bij het signalenproces
moet passen binnen de wettelijke grondslagen.

Bovendien hebben de juiste waarborgen rond risicoselectie niet altijd centraal gestaan.
Om dit op orde te brengen, is de Belastingdienst verschillende onderzoeken en verbetertrajecten
gestart, die in oktober 2020 bijeengebracht zijn in het programma Herstellen, Verbeteren,
Borgen (HVB). Uw Kamer is hierover een aantal keer geïnformeerd.6 Binnenkort ontvangt u de volgende voortgangsrapportage.

Het signalenproces waarin FSV werd gebruikt is begin 2020 stilgelegd. Als onderdeel
van het programma HVB is er een nieuw proces ontwikkeld met een ondersteunende tijdelijke
signalenvoorziening. Hiervoor is een GEB opgesteld. Deze is aangeboden aan de FG en
tevens voorgelegd aan de AP ten behoeve van voorafgaande raadpleging. Op basis van
de reactie van de AP worden het proces en de GEB zo nodig aangepast voordat het signalenproces
hervat wordt.

Gevolgen voor betrokkenen die in FSV stonden

FSV had nooit gebruikt mogen worden op de manier waarop dat gebeurd is. Om de mogelijke
gevolgen te bepalen die dit heeft gehad voor burgers en bedrijven die in FSV geregistreerd
stonden, heeft mijn ambtsvoorganger extern onderzoek laten uitvoeren. Op 10 juli 20207 is de eerste fase van dit onderzoek opgeleverd met het rapport van KPMG. Voor de
tweede fase zijn op 3 december 20218 en op 25 januari9 en 29 maart10 jl. in totaal vijf rapporten van PwC gepubliceerd.

Op 6 december 202111 heeft uw Kamer de contouren van een tegemoetkomingsregeling voor onterechte gevolgen
van FSV-registratie ontvangen. Nu het onderzoek naar de gevolgen voltooid is kunnen
deze contouren verder ingevuld worden. Ik betrek alle bevindingen uit de verschillende
rapporten bij de vormgeving hiervan. Ik doe dat in samenspraak met uw Kamer en met
inachtneming van het budgetrecht van het parlement. Ik verwacht mijn voorstellen op
korte termijn nader uiteen te kunnen zetten.

Tot slot

Om af te sluiten, wil ik aangeven hoezeer ik het betreur dat de AP dit handhavingsbesluit
heeft moeten nemen. Burgers hebben er recht op dat de overheid zorgvuldig met hun
gegevens omgaat. De Belastingdienst zal er alles aan doen om overtreding van de privacywetgeving
in de toekomst te voorkomen.

De Staatssecretaris van Financiën, M.L.A. van Rij