Brief regering : Auditrapport Wet politiegegevens (Wpg) betreffende de directies Particulieren, MKB en Grote Ondernemingen (GO) van de Belastingdienst

Nr. 1263 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 juli 2023

Met deze brief informeer ik u over het auditrapport met betrekking tot de Wet politiegegevens
(Wpg) bij de directies Midden- en Kleinbedrijf (MKB), Particulieren (P) en Grote Ondernemingen
(GO), exclusief Bureau Economische Handhaving (BEH), van de Belastingdienst. Uit dit
rapport blijkt dat in belangrijke mate niet werd voldaan aan de Wpg.

De Buitengewoon Opsporingsambtenaren (BOA’s) die werkzaam zijn bij deze directies
vallen sinds januari 2019 onder de Wpg voor de verwerking van politiegegevens. De
Wpg vereist een jaarlijkse interne audit en iedere vier jaar een privacy-audit (externe
audit). De eerste externe Wpg-audit moest in 2021 worden uitgevoerd en uiterlijk eind
2021 bij de Autoriteit Persoonsgegevens (AP) worden ingediend. De AP heeft alle organisaties
die diensten uitvoeren die vallen onder de Wpg een jaar uitstel verleend tot 31 december
2022.

De audit is uitgevoerd over de periode 2019–2021 door de Auditdienst Rijk (ADR) voor
de werkzaamheden van 120 BOA’s bij de directies MKB, P en GO, exclusief BEH.1 De Belastingdienst stuurt het Wpg-auditrapport aan de AP, zoals de Wpg voorschrijft.
Voor het BEH is al eerder een audit uitgevoerd, waaruit blijkt dat BEH in belangrijke
mate niet voldeed aan de Wpg. Hierover heb ik u geïnformeerd op 30 januari jongstleden.2 Naar aanleiding van die audit loopt een verbetertraject waarin een aantal stappen
en maatregelen reeds geïmplementeerd zijn. De FIOD valt sinds 2009 onder de Wpg. De
laatste audit is uitgevoerd in 2022. De FIOD heeft het stelsel van beheersmaatregelen
goed geborgd en heeft de resterende verbeteracties vrijwel voltooid.3

De ADR komt in de bijgevoegde audit tot het oordeel dat voor de periode 2019–2021
in belangrijke mate niet voldaan werd aan de Wpg. In het rapport concludeert de ADR
dat nog niet alle bestanden met politiegegevens geïdentificeerd en gedocumenteerd
zijn. Daarnaast is het doel van de verwerkingen niet vastgelegd en ontbreken er uitgangspunten
over noodzakelijkheid, rechtmatigheid, juistheid en volledigheid van politiegegevens.
Ook zijn bewaar-, verwijder- en vernietigstermijnen niet aantoonbaar inzichtelijk
gemaakt. De ADR constateert zodoende belangrijke tekortkomingen op het gebied van
interne beheersing.

De betrokken directies herkennen zich in de stevige conclusies van de ADR. De verwerking
van gevoelige gegevens vraagt grote zorgvuldigheid. De geconstateerde tekortkomingen
moeten en zullen zo snel mogelijk worden rechtgezet. De Belastingdienst heeft acties
in gang gezet om de werkwijze in lijn te brengen met de Wpg. Vooruitlopend op het
rapport is in maart 2023 gestart met het beschrijven van werkprocessen en het inventariseren
van beveiligde IT-systemen voor Wpg verwerkingen. Op dit moment worden er aparte samenwerkingsgebieden
voor Wpg informatie opgezet per kantoor voor de daar werkende BOA’s. De werkprocessen
van de BOA’s worden omschreven en vastgelegd. Ook zijn nu afspraken gemaakt omtrent
de verplichte jaarlijkse interne audit.

De Belastingdienst is bezig met het opstellen van een verbeterrapport naar aanleiding
van de audit, dat volgens de Wpg binnen drie maanden moet worden opgesteld. In dit
rapport zullen de maatregelen worden beschreven die getroffen moeten worden ter verbetering
van de geconstateerde tekortkomingen en het daarmee op orde brengen van de interne
beheersing. Het rapport zal uiterlijk september 2023 worden afgerond en vervolgens
met uw Kamer worden gedeeld.

Vanwege de uitkomst van het ADR auditrapport hebben de directies P, MKB en GO bezien
of opschorting van de activiteiten van de BOA’s (exclusief BOA’s van BEH) noodzakelijk
is. De directies P, MKB en GO hebben besloten om deze BOA’s geen nieuwe opsporingstaken
op te laten pakken. Lopende werkzaamheden worden wel afgerond en weegwerkzaamheden
gaan ook door. Voordat nieuwe activiteiten weer opgepakt kunnen worden, moet eerst
een betere beschrijving van de grondslag van gegevensverwerking en het inrichten van
een veilige IT-data werkomgeving worden gerealiseerd. Ook moet eerst het mandatenbesluit
worden geactualiseerd en moeten de werkprocessen beter worden omgeschreven en vastgelegd.
Daarnaast moet een risico- en impactanalyse zijn gedaan, waaruit blijkt dat de restrisico’s
aanvaardbaar zijn. De planning is om dit najaar deze zaken te hebben geregeld.

Als gevolg van de gedeeltelijke opschorting van de werkzaamheden van BOA's zal de
samenwerking van de directies P, MKB en GO met de FIOD en met het OM inzake de bestrijding
van mogelijke fraude tijdelijk minder zijn. Om die reden zijn de algemeen directeur
van de FIOD en de Hoofdofficier van het Functioneel Parket van het OM op de hoogte
gebracht van het besluit tot gedeeltelijke opschorting van de werkzaamheden van BOA’s.

In de stand-van-zakenbrief, die ik u voorafgaand aan het commissiedebat Belastingdienst
op 7 september stuur, zal ik u berichten over de voortgang met betrekking tot de verbetertrajecten
voor de Wpg.

De Staatssecretaris van Financiën, M.L.A. van Rij