Brief regering : Voortgang wetstraject Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (herdruk)

Nr. 259 HERDRUK1

BRIEF VAN DE STAATSSECRETARISSEN VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 december 2022

Zoals aangekondigd in de aanbiedingsbrief bij het pakket Belastingplan 2023 d.d. 20 september
jl. informeren wij uw Kamer graag over de voortgang van het wetstraject Wet waarborgen
gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD).2 Daartoe volgt in deze brief eerst de stand van zaken met betrekking tot de voortgang
van het wetstraject. Daarna volgt een korte uiteenzetting van de acties ter verbetering
van de gegevensverwerking die de afgelopen tijd zijn uitgevoerd door de Belastingdienst,
Toeslagen en Douane (hierna gezamenlijk genoemd: onze uitvoeringsdiensten).

Bij de uitvoering van wettelijke taken verwerken onze uitvoeringsdiensten op grote
schaal gegevens. Zo zijn er in 2021 bijna 10 miljoen aangiften inkomstenbelasting
verwerkt door de Belastingdienst, ongeveer 1,1 miljoen nieuwe aanvragen verwerkt door
Toeslagen en ongeveer 700 miljoen aangifteregels verwerkt door de Douane. Gelet op
de inhoud en aard van dit soort aangifteregels is de gegevensverwerking van de Douane
in deze van een andere orde dan de gegevensverwerking door de Belastingdienst en Toeslagen.3 De aantallen nemen ieder jaar fors toe, en een steeds groter deel van de aangiften
en aanvragen wordt digitaal verwerkt. Om daarbij de grote stromen gegevens beheersbaar
te houden, wordt steeds vaker gebruik gemaakt van digitale technieken en geautomatiseerde
processen. Digitalisering biedt steeds meer mogelijkheden voor onze uitvoeringsdiensten
bij het efficiënt uitvoeren van wettelijke taken en bevoegdheden. Tegelijkertijd is
in de huidige relevante wet- en regelgeving niet op gestructureerde wijze rekening
gehouden met privacyaspecten die gemoeid zijn met gegevensverwerking. Er lopen verschillende
trajecten ter verbetering van de gegevensverwerking en ter (verdere) implementatie
van de Algemene Verordening Gegevensbescherming (AVG). Uw Kamer wordt daarover via
voortgangsrapportages geïnformeerd4.

Wetstraject WGBTD

Doelen van het wetstraject

Al geruime tijd wordt gewerkt aan het wetstraject WGBTD. Het wetstraject heeft drie
doelen: (1) het verstevigen van de wettelijke grondslagen voor de gegevensverwerking;
(2) voorzien in waarborgen bij de gegevensverwerking in aanvulling op de waarborgen
die reeds voortvloeien uit de AVG, Baseline informatiebeveiliging overheid (BIO) en
de Archiefwet; en (3) het vergroten van de transparantie bij de gegevensverwerking.

De aanleiding van het wetstraject

Continue juridische, technologische en maatschappelijke ontwikkelingen maken dat het
verwerken van gegevens door overheidsdiensten in een steeds dynamischere context gebeurt.
Daarbij neemt de aandacht voor gegevensverwerking toe. Het inwilligen van maatschappelijke
wensen en het in acht nemen van juridische kaders, in relatie tot (nieuwe) technische
mogelijkheden, brengen uitdagingen met zich mee. Zo is het aantal verwerkingen van
persoons- en bedrijfsgegevens door onze uitvoeringsdiensten toegenomen, terwijl het
ICT-landschap waar de verwerking van deze gegevens op leunt complex en veelal verouderd
is. Tegelijkertijd proberen we de veranderende wensen van de politiek, burgers en
bedrijven snel en zorgvuldig te accommoderen en evenwel miljoenen aangiften, verzoeken
en aanvragen te verwerken. Daarbij worden de juridische kaders op het gebied van gegevensverwerking
steeds duidelijker door uitspraken van de Hoge Raad en de Afdeling Bestuursrechtspraak
van de Raad van State en door adviezen van de Autoriteit Persoonsgegevens en de afdeling
Advisering van de Raad van State.

Door de inwerkingtreding van de AVG, jurisprudentie, de opkomst van nieuwe digitale
technieken, het toegenomen belang van transparantie en voortschrijdende inzichten
lijken de nu geldende wettelijke kaders te moeten worden verstevigd. Het gebruik van
persoonsgegevens door onze uitvoeringsdiensten moet voldoende precies zijn voorzien
bij wet. Een aantal dingen moet duidelijk zijn: hoe onze uitvoeringsdiensten aan gegevens
komen, voor welke doeleinden deze gegevens worden verkregen, wat onze uitvoeringsdiensten
ermee doen en aan wie en met welk doel de gegevens worden verstrekt. Het gebruik van
persoonsgegevens moet voldoende waarborgen bevatten, zodat het recht op transparantie
aangaande de gegevensverwerking kan worden geëffectueerd. Heldere kaders zijn uiteraard
ook in het belang van onze uitvoeringsdiensten. Dit vergroot namelijk de duidelijkheid
over wat de rechtmatige gegevensverwerking door de uitvoeringsdiensten inhoudt.

Waar staan we nu?

Het wetstraject loopt inmiddels al geruime tijd. In de tussentijd heeft een aantal
technische, maatschappelijke en juridische ontwikkelingen invloed gehad op het wetstraject.
Daarom is besloten de inhoud van het wetstraject te herzien. Er worden momenteel analyses
uitgevoerd voor eventueel benodigde grondslagen en (aanvullende) waarborgen voor verschillende
gegevensverwerkingen. Ook wordt bezien of de mogelijke grondslagen en (aanvullende)
waarborgen in een separate, nieuwe wet zouden moeten worden geregeld. In dat kader
ligt het zwaartepunt in dit wetstraject bij de verwerking van persoonsgegevens. De
huidige grondslagen zijn tot stand gekomen in een tijd waarin gegevensverwerking op
een abstract niveau werd geregeld. Gewijzigd beleid binnen de overheid ten aanzien
van gegevensverwerking kan betekenen dat deze grondslagen onvoldoende transparant
zijn vanuit burgerperspectief. Er wordt daarom nader bezien of huidige grondslagen
voor verwerkingen van gegevens voldoende transparant zijn. Daarbij moet worden benadrukt
dat de uitvoeringsdiensten zich voor de gegevensverwerking baseren op verschillende
wetgeving, bevoegdheden en systemen. Per uitvoeringsdienst wordt gespecificeerd voor
welke (soort) verwerking nader wordt bezien of grondslagen voldoende transparant zijn.

Voor de Belastingdienst gaat het om:

– het structureel verkrijgen van persoonsgegevens van andere overheidsorganisaties;

– het verkrijgen van persoonsgegevens door middel van internetonderzoek;

– het in acht te nemen van maatregelen bij het (zelfstandig) verkrijgen en intern verwerken
van persoonsgegevens;

– de geautomatiseerde analyse van aangiften en het geautomatiseerd opleggen van aanslagen;

– de verwerking van enkele categorieën bijzondere persoonsgegevens; en

– de doorbreking van de geheimhoudingsplicht ten behoeve van gegevensverstrekkingen
aan andere (overheids)organisaties.

Voor Toeslagen gaat het om:

– de geautomatiseerde analyse van aanvragen, wijzigingen en verleende voorschotten,
en het geautomatiseerd beschikken.

– de structurele en uit eigener beweging verkrijging persoonsgegevens van andere overheidsorganisaties;
en

– gegevensverstrekkingen aan andere overheidsorganisaties.

Voor de Douane gaat het om:

– het verkrijgen van persoonsgegevens door middel van internetonderzoek; en

– de verwerking van persoonsgegevens bij cameratoezicht op het gebied van controle bij
accijnzen en verbruiksbelastingen.

Acties ter verbetering van gegevensverwerking

Los van het wetstraject WGBTD zijn onze uitvoeringsdiensten ook bezig met het intern
verbeteren van de manier waarop met persoonsgegevens wordt omgegaan. Alle drie de
uitvoeringsdiensten werken op basis van een projectmatige aanpak aan de (verdere)
implementatie van de AVG. Dit wordt gedaan aan de hand van het departementale plan
«Privacy op orde». Hieronder is per uitvoeringsdienst kort uiteengezet welke acties
ter verbetering van gegevensverwerking in gang zijn gezet.

Belastingdienst

Onderdeel van het departementale plan «Privacy op orde» is het opzetten van een vaktechnische
structuur voor privacy en gegevensbescherming. Dit gebeurt naar voorbeeld van al bestaande
structuren voor de (fiscale) heffingsmiddelen en formeel recht. Zo is er recent een
landelijk vaktechnisch coördinator gegevensverwerking (lavaco) aangesteld en wordt
gekeken naar versterking van het team van de Privacy Officer. Ook toetst de Belastingdienst
processen, waarmee geautomatiseerd gegevens worden vernietigd of gearchiveerd, aan
de AVG, BIO en Archiefwet: dit is geprioriteerd in het meerjarenportfolio 2023–2027.
Ook wordt een dashboard gemaakt om in 2023 een overzicht van de voortgang van de AVG-compliantie
te hebben en dit te kunnen monitoren.

Daarnaast lopen er verschillende activiteiten om te voldoen aan de AVG. Het gaat onder
andere om het opstellen en kwalitatief verbeteren van departementale data protection impact assessments (DPIA’s) (ook wel gegevensbeschermingseffectbeoordelingen: GEB) en het actualiseren van het
register van verwerkingen. Om het bewustzijn van medewerkers voor het zorgvuldig omgaan
met gegevens te vergroten, moeten zij een online security awareness game volgen.

Toeslagen

Bij Toeslagen is gewerkt aan de versteviging van de kennis en opleiding van medewerkers
die in de eerste lijn te maken krijgen met kwesties omtrent privacy. Daarnaast zijn
stappen gezet bij de verdere inrichting van de privacy-organisatie en in de implementatie
van de vaktechnische lijn binnen de Uitvoeringsorganisatie Herstel Toeslagen en Toeslagen.
In samenwerking met de domeinen informatiebeveiliging en datamanagement wordt onderzoek
gedaan naar de invoering van een geschikt systeem ten behoeve van governance, risk
en compliance, waarmee naleving van de aantoonplicht beter geborgd kan worden. Onderdeel
van het departementale plan «Privacy op orde» is het opzetten van een governance structuur
voor privacy en gegevensbescherming. Ook toetst Toeslagen haar processen, waarmee
geautomatiseerd gegevens worden vernietigd of gearchiveerd, aan de AVG, BIO en Archiefwet:
dit is onderdeel van het Informatiehuishoudingsprogramma. Verder wordt gewerkt aan
het verwerkingenregister, uitvoering DPIA’s en risicoanalyse, implementatie van een
bewustwordingsprogramma passend in privacy by design en het volwassenheidsniveau op
basis van een uitgevoerde 0-meting. DPIA’s en registratie datalekken zijn vooralsnog
bij de Belastingdienst belegd in nauwe samenwerking met Toeslagen. De uit te voeren
activiteiten van het actieplan «privacy op orde» zijn doorvertaald naar Toeslagen
en worden uitgevoerd door een ingerichte Taskforce conform een opgestelde roadmap
en activiteitenplan. Verantwoording over de voortgang vindt plaats in het Directieteam
van Toeslagen, de Bestuursraad en in het wekelijkse departementale project overleg
(programma «Privacy op orde»).

Douane

Bij de Douane is er evenals bij de Belastingdienst en Toeslagen volop aandacht voor
de rechtmatige gegevensverwerking. De Douane heeft een privacy organisatie opgericht.
Deze privacy organisatie heeft een eerste Gap analyse uitgevoerd met betrekking tot
de huidige stand van zaken op het gebied van privacy binnen de Douane. Op basis van
deze Gap analyse is er een roadmap privacy opgesteld. Deze roadmap bevat tien werkstromen
die ertoe moeten leiden dat de Douane in 2024 AVG en Wet politiegegevens (WPG) compliant
werkt. Het eerste onderdeel van de roadmap is het opstellen van een besturings-en
overlegmodel privacy. Er wordt een governance structuur, ondersteund door beleid en
procedures en werkinstructies ontwikkeld. Gelijktijdig wordt gewerkt aan het actualiseren
van het (bij wet verplichte) verwerkingsregister. Dit is een fundamenteel onderdeel
van elke privacy organisatie en biedt inzicht in welke verwerkingen plaatsvinden binnen
de Douane.

Proces

Het streven is om in het eerste kwartaal van 2023 meer duidelijkheid te kunnen geven
over de grondslagen die verstevigd moeten worden. U wordt daarna geïnformeerd over
de bevindingen en de verdere planning.

Met dit wetstraject beogen we een verdere bijdrage te leveren aan de verbetering van
de gegevensverwerking door en het terugwinnen van het vertrouwen in onze uitvoeringsdiensten.

De Staatssecretaris van Financiën, M.L.A. van Rij

De Staatssecretaris van Financiën,
A. de Vries