Brief regering : Gebruik van het Heidi-systeem

Nr. 1355
BRIEF VAN DE STAATSSECRETARISSEN VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 april 2024

Zoals aangegeven bij de beantwoording van de Kamervragen over het advies van de landsadvocaat
over geautomatiseerde selectietechnieken1 van 13 maart jl. is ook bij de Belastingdienst geïnventariseerd of en in hoeverre
Heidi is gebruikt. In deze brief wordt uw Kamer geïnformeerd over hoe onderdelen van
de Belastingdienst gebruik hebben gemaakt van Heidi, voor welke doeleinde(n) en welke
gegevens hierbij verwerkt werden. Ook wordt aangegeven of er redenen zijn om het beeld
van het gebruik van Heidi binnen de Dienst Toeslagen bij te stellen.

De voorziening Heidi (I en II)

Heidi I is in 2013 in opdracht van het MT-fraude van de Belastingdienst ontwikkeld
om afwijkend risicovol gedrag zo vroeg mogelijk te kunnen signaleren. Heidi was een
database-functionaliteit om IP-adressen vast te leggen en te ontsluiten. De functionaliteit
registreerde portaldata, waaronder de IP-adressen waarmee toeslagaanvragers het Toeslagen-portal
(mijntoeslagen.nl) benaderden. In 2013 is hier geen gegevensbeschermingseffectbeoordeling
(GEB) voor gemaakt. In die tijd was dit ook nog geen verplichting. Hierdoor is niet
met zekerheid vast te stellen en te reconstrueren voor welke doeleinde(n) Heidi I
is ontwikkeld en welke gegevens er in Heidi I stonden en door welke andere dienstonderdelen
(naast Toeslagen) deze voorziening is gebruikt.

In september 2017 is op advies van de privacy officer van de Belastingdienst Heidi
I «on hold» gezet omdat deze niet zou voldoen aan de eisen van de Wet bescherming
persoonsgegevens (Wbp). Naar aanleiding daarvan is Heidi «II» ontwikkeld in oktober
2017. Er is een GEB voor opgesteld die op 15 januari jl.2 met uw Kamer is gedeeld. Uit deze GEB blijkt dat eerdere aangekoppelde functies en
aanvullingen in Heidi II zijn verwijderd, waardoor een afgeslankte versie ontstaan
is. Het gaat hierbij onder andere om een aanvullende voorziening rondom mijnbelastingdienst.nl
en een dataset van de Fraude Signalering Voorziening (FSV) die niet meer zijn opgenomen.
Hieruit kan geconcludeerd worden dat het mogelijk was om bij Heidi I gebruik te maken
van deze datasets.

Zoals eerder aangegeven kan niet exact worden aangegeven welke gegevens gebruikt zijn
in Heidi I, met welk doeleinde(n) en door welk dienstonderdeel. Zoals wij op 31 augustus
20233 uw Kamer hebben geïnformeerd, wordt extern onderzoek gedaan naar Risico Analyse Model
(RAM). Uw Kamer is op 19 december geïnformeerd4 over de start van de aanbesteding en de onderzoeksopdracht. Een van de vragen hierbij
is; «alsook een inventarisatie van mogelijke vergelijkbare systemen die nog niet aan een
eerder (extern) onderzoek onderworpen zijn». Wij zullen de onderzoekers ook wijzen op het gebruik van Heidi.

Voor Heidi II staat in de GEB dat verschillende gegevens die werden ontvangen vanuit
Beheer Van Relaties (BVR5) zoals: geboortedatum, woonadres, eerste nationaliteit6 en het aantal BSN's ingeschreven op adres (berekend gegeven) werden verrijkt met
gegevens zoals het IP-adres en vanuit openbare bronnen werden onder andere de geografische
gegevens toegevoegd.

Gebruik Heidi II door de Belastingdienst

Op basis van de huidige informatie is duidelijk geworden dat de gegevens van Heidi
II zijn gebruikt voor het Combiteam Aanpak Facilitators (CAF). Het CAF was een multidisciplinair
samenwerkingsverband binnen de Belastingdienst en werd in 2013 opgericht om signalen
van mogelijke fraude bij zogenoemde tussenpersonen zoals belastingadviseurs te onderzoeken.
Hiervoor was het onder andere van belang om te weten of er vanaf één adres meerdere
belastingaangiften of aanvragen voor toeslagen werden ingediend. Voor aangiften inkomstenheffing
(IH) gebeurde dit eerst door een analyse in Excel waarin uitschieters op variabelen
van fiscaal dienstverleners werden gedetecteerd. Hierin is ook gebruik gemaakt van
IP-adressen die verkregen werden via Heidi. De analyse is later geprofessionaliseerd
door het CAF IH model te bouwen waarvoor ook een GEB is gemaakt en Heidi II is gebruikt.
Het CAF IH model is gestart in 2019 en het laatste gebruik van de data van het model
was in mei 2020. Tussen mei 2020 en het definitief uitzetten van dit model in maart
2023 is het model niet meer gebruikt maar was het enkel raadpleegbaar voor mogelijk
onderzoek naar de werkwijze van het voormalig CAF.

De FIOD heeft eigenstandig geen gebruik gemaakt en/of toegang tot Heidi. De FIOD heeft
in de periode van 17 maart 2020 t/m 21 december 2023 in totaal 95 informatieverzoeken/vorderingen
gedaan om informatie te verkrijgen die afkomstig was uit Heidi II7. In de hieraan voorafgaande periode is er geen administratie bijgehouden. De verzoeken
kennen een verschillend karakter: het betrof informatie uit datasets die bestonden
uit IP-adressen i.c.m. (meta)data van de portalen (OB, IH en Toeslagen). De FIOD kan
na het uitzetten van Heidi II nog data vorderen over de periode tot en met 21 december
2023.

Gebruik Heidi II door Dienst Toeslagen

Zoals in de Stand van Zakenbrief Dienst Toeslagen van 15 januari jl.8 aan uw Kamer is gemeld, geldt voor Toeslagen dat Heidi werd gebruikt als een loggingsysteem
waarbij portaldata werd gelogd van bezoekers van de toeslagenportal. Het doel van
Heidi was het kunnen traceren of er sprake was van opvallend gedrag wat een indicatie
kan zijn voor een verhoogd risico op misbruik van toeslagen.

De inventarisatie die gemaakt is door de Belastingdienst geeft op dit moment geen
aanleiding tot het bijstellen van het beeld van het gebruik van Heidi II bij Dienst
Toeslagen. Uit de GEB van Heidi II valt op te maken dat eerdere aangekoppelde functies
en aanvullingen in Heidi II zijn verwijderd, waardoor de afgeslankte versie ontstaan
is. Het gaat hierbij onder andere om een aanvullende voorziening rondom mijnbelastingdienst.nl
en een dataset van de Fraude Signalering Voorziening (FSV) die niet meer zijn opgenomen
Heidi II. Hieruit is op te maken dat in Heidi I gebruik is gemaakt van gegevens uit
FSV.

Ook voor Dienst Toeslagen geldt, zoals eerder in deze brief is gemeld, dat niet exact
kan worden aangegeven welke gegevens door Toeslagen nog meer gebruikt zijn in Heidi
I.

Sinds het stopzetten van het Intensief Toezicht (ITO) proces in 2020 wordt geen gebruik
meer gemaakt van portaldata voor wat betreft het detecteren van risico’s op misbruik.
De staatsecretaris van Financiën – Toeslagen en Douane heeft uw Kamer in de Stand
van Zakenbrief van 15 januari 2024 ook geïnformeerd over het stilleggen van het gebruik
van portaldata in het kader van effectmetingen eind vorig jaar. Zoals toegezegd wordt
uw Kamer op een later moment nader geïnformeerd over het toekomstige gebruik van portaldata
door Dienst Toeslagen, wanneer het volledige proces van gegevensverwerking met de
daarbij behorende waarborgen volledig in beeld is gebracht.

Tevens zal uw Kamer uiterlijk 15 juni 2024 worden geïnformeerd over het gebruik van
portaldata bij de Belastingdienst.

De Staatssecretaris van Financiën,
M.L.A. van Rij

De Staatssecretaris van Financiën,
A. de Vries