Brief regering : AVG en privacyorganisatie bij de Belastingdienst

32 761
Verwerking en bescherming persoonsgegevens

Nr. 1508
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 juli 2025

De Belastingdienst werkt met grote aantallen gegevens van burgers en bedrijven. Deze
gegevens heeft de Belastingdienst niet alleen nodig om het heffen en innen van belastingen
en premies mogelijk te maken en toezicht te houden, maar ook om burgers en bedrijven
te kunnen ondersteunen bij hun fiscale vragen. Het is daarbij noodzakelijk dat de
Belastingdienst zich houdt aan geldende regelgeving voor de verwerking van persoonsgegevens,
zoals de Algemene Verordening Gegevensbescherming (AVG).

In de stand-van-zakenbrief Belastingdienst van 6 maart jl. (Kamerstuk 31 066, nr. 1463) is uw Kamer voor het laatste geïnformeerd over de stand van zaken rondom de AVG.
Hierbij heb ik uw Kamer toegezegd om u te informeren over de privacyorganisatie van
de Belastingdienst. In deze brief zal ik u nader informeren over de stappen die de
Belastingdienst zet en heeft gezet in het kader van het versterken van de privacyorganisatie.
Ook informeer ik uw Kamer met deze brief over de laatste stand van zaken en ambities
op het gebied van de AVG bij de Belastingdienst.

Leeswijzer

Met deze brief wil ik uw Kamer in detail meenemen in hoe de privacyorganisatie is
ingericht, welke verbeteringen er zijn doorgevoerd en welke toekomstige ambities de
Belastingdienst heeft op dit gebied. Eerst zal ik ingaan op de voortgang die de Belastingdienst
heeft geboekt en op de herijking van de privacyorganisatie – onder andere met behulp
van adviezen van de Autoriteit Persoonsgegevens (AP). Daarna ga ik in op de ambities
die de Belastingdienst heeft op het vlak van de AVG en privacy voor 2025 en verder.

Tot nu toe bereikte resultaten

Sinds 2018 is de AVG van toepassing. De AVG schrijft een zorgvuldige omgang met persoonsgegevens
van burgers voor. Vanwege het grote aantal gegevens dat door de Belastingdienst wordt
verwerkt en vanwege het deels verouderde ICT-landschap is dit een belangrijke en complexe
verplichting. Dit kost tijd, capaciteit en middelen. De afgelopen jaren is er een
versnelling in het proces doorgevoerd om zo snel mogelijk in control te komen op AVG-gebied.
Dit bestaat gedeeltelijk uit een inhaalactie om met terugwerkende kracht de bestaande
privacyrisico’s te mitigeren in het bestaande proces- en applicatielandschap van de
Belastingdienst. Ook bestaat deze versnelling uit het proactief integreren van de
AVG in nieuwe systemen en processen door middel van «privacy by design».

De privacyorganisatie van de Belastingdienst

Het voldoen aan de AVG en het borgen van privacy is een verantwoordelijkheid van alle
medewerkers van de Belastingdienst. Om hen hier zo goed mogelijk in te ondersteunen
heeft de Belastingdienst de afgelopen jaren flink geïnvesteerd in de eigen privacyorganisatie.
De privacyorganisatie van de Belastingdienst is een aanvulling op de kaders van het
besluit CIO-stelsel Rijksdienst en het departementale privacybeleid.

Op 23 december jl. heeft de AP de conclusies van haar onderzoek naar de privacyorganisatie
van de Belastingdienst gedeeld. Uw Kamer heeft hier op 13 januari jl. een afschrift
van ontvangen.1 Hierin gaf de AP aan dat er in de afgelopen jaren positieve ontwikkelingen zichtbaar
waren, maar dat er ook zorgen waren rondom de beperkte centrale regie, het beleggen
van verantwoordelijkheden en de invulling van taken. Daarom adviseerde de AP om de
governance van de privacyorganisatie te herijken en versterken.

Op 8 april jl. is de nadere invulling van deze governance door de Belastingdienst
vastgesteld. Hierin zijn de taken en verantwoordelijkheden beschreven van de verschillende
functionarissen in de organisatie, die allemaal hun eigen rol hebben binnen het vakgebied.
Deze governance verduidelijkt de rapportagelijnen en fungeert als een verbindende
laag tussen kaderstellers, uitvoering en fiscaliteit. Dit leidt tot meer grip op de
bescherming van persoonsgegevens zonder dat heffing-, inning-, en toezichtprocessen
onnodig worden beperkt. De centrale regie is nu belegd bij de Chief Privacy Officer.
Hiermee wordt een belangrijke randvoorwaarde bereikt voor het meer in control komen
op het gebied van de AVG. Uiteraard blijft de Belastingdienst in gesprek met de AP
en volgt in het najaar nog een gesprek naar aanleiding van hun brief en de door de
Belastingdienst gezette stappen.

Naast het aanscherpen en versterken van de privacyorganisatie heeft de Belastingdienst
ook andere belangrijke resultaten bereikt op het gebied van AVG en privacy. De AVG
laat zich onderverdelen in de juridische eisen en beginselen, de rechten van betrokkenen
en de overige verantwoordelijkheden voor de verwerkingsverantwoordelijke. Daarom worden
de behaalde resultaten hieronder langs deze lijnen toegelicht.

Juridische eisen en beginselen

Het voldoen aan de AVG vraagt een continue inspanning van de Belastingdienst en zijn
medewerkers. Een van de belangrijkste uitgangspunten is de juridische toetsing op
de grondbeginselen van de AVG. Om die goed uit te kunnen voeren is het belangrijk
dat er voldoende kennis en expertise op dat vlak aanwezig is. Daarom heeft de Belastingdienst
een vaktechnische structuur ingericht waardoor er meer specialistische kennis over
de AVG aanwezig is op de werkvloer om aan de juridische beginselen van de AVG te kunnen
voldoen. De vaktechnische structuur helpt medewerkers bij juridische vragen op het
grensvlak tussen de AVG en de fiscaliteit.

In de afgelopen jaren is deze vaktechnische infrastructuur neergezet, waardoor deze
bestaat uit ongeveer 70 medewerkers. Daarnaast werken er bij iedere directie een of
meer datacoördinatoren die de verschillende managementteams adviseren over privacymanagementvraagstukken
en meer helderheid scheppen over het toepassen van bestaande privacykaders. Tot slot
wordt de Chief Privacy Officer, de hoofdverantwoordelijke binnen de Belastingdienst
voor privacybeleid en -strategie, ondersteund door tien medewerkers. Dit alles is
vastgelegd in de vastgestelde privacygovernance.

De rechten van betrokkenen

Binnen de Belastingdienst wordt op dit moment het huidige proces en de monitoring
van het afhandelen van inzageverzoeken in het kader van rechten van betrokkenen (hierna:
AVG-verzoeken) verder verbeterd en doorontwikkeld. Deze verbeteracties richten zich
voornamelijk op het inrichten van een wijze van het monitoren van de afhandelingstermijnen
van de AVG-verzoeken en het stroomlijnen van de binnenkomst van de AVG-verzoeken.

De overige verantwoordelijkheden

De Belastingdienst heeft verschillende stappen ondernomen om de eigen verantwoordelijkheid
beter te borgen. Zo is er inmiddels sprake van «privacy by design» bij de voortbrenging
van nieuwe processen en systemen. De modernisering leidt er zo toe dat privacy steeds
meer geïntegreerd raakt in de bedrijfsvoering.

Ook heeft de Belastingdienst recent het eigen datalekproces herijkt conform het advies
hierover van de AP2, door de door de AP genoemde aanbevelingen puntsgewijs op te pakken. Zo wordt het
BSN van de melder niet meer standaard geregistreerd, wordt de Functionaris Gegevensbescherming
(FG) van het Ministerie van Financiën intensiever betrokken bij de afhandeling van
datalekken en wordt nog meer ingezet op bewustwording bij medewerkers, specifiek naar
aanleiding van datalekken.

Tenslotte is de AVG ook verankerd in de Online Security Awareness Game, de voor medewerkers
verplichte cursussen over online veiligheid en de omgang met persoonsgegevens.

Bedrijfsprocessen

In de afgelopen jaren heeft er een grote actie plaatsgevonden op alle ruim 700 bedrijfsprocessen
van de Belastingdienst. Daarover bent u voor het laatst geïnformeerd in de stand-van-zakenbrief
Belastingdienst van 6 maart jl.3 De bedrijfsprocessen zijn allereerst in kaart gebracht en daarna in opzet langs de
hoofdlijnen van de AVG getoetst. Hierbij is hoofdzakelijk gekeken naar de procesbeschrijvingen
en -documentatie, maar nog niet naar de werking. De Belastingdienst heeft daardoor
een helder beeld gekregen over waar binnen de opzet van processen belangrijke aspecten
van de AVG nog onvoldoende worden meegenomen. Hiermee ontstaat een duidelijk beeld
van de acties die verder nodig zijn om meer in control te komen op de AVG. Waar nodig
zijn alle hoog risico tekortkomingen direct in de procesbeschrijvingen gemitigeerd
met structurele of tijdelijke maatregelen.

Ambities voor 2025

Uit deze toetsingen en de resterende tekortkomingen blijkt dat, om de privacy-beheersing
ook wat betreft werking verder te versterken, de twee belangrijkste volgende stappen
zijn: het actualiseren van het verwerkingenregister en het uitvoeren van aanvullende
Data Protection Impact Assessments (DPIA’s) op hoog risicoverwerkingen.

Daarom worden door de Belastingdienst in 2025 de volgende acties uitgevoerd:

1. Het actualiseren van het verwerkingenregister. Het verwerkingsregister bevat informatie
over de verwerkingen van persoonsgegevens. Dit overzicht draagt bij aan de versterking
van de privacybeheersing. Momenteel zijn de verwerkingen per bedrijfsproces uitgevraagd
en vindt er hierop een kwaliteitscontrole plaats zodat de Belastingdienst uiteindelijk
een centraal, uniform overzicht van de verwerkingen ontstaat. Wanneer dit overzicht
definitief is, zal de Belastingdienst het actief onderhouden. De AP kijkt mee op het
actualiseren van dit verwerkingenregister. Het gevulde en gecontroleerde verwerkingenregister
zal ook worden aangeboden aan de AP en FG in het derde kwartaal van 2025.

2. Ook wordt er gekeken op welke verwerkingen op grond van de AVG een DPIA moet worden
uitgevoerd en dit nog niet gedaan is. Dit zijn de verwerkingen waarbij er sprake is
van een hoog risico voor de rechten en vrijheden van de betrokkenen.

3. Wanneer deze toetsing is voltooid, wordt indien nodig de DPIA gemaakt, centraal aangeleverd
en geregistreerd in het register van verwerkingen, zodat er een centraal inzicht ontstaat
op de risico’s voor de betrokkenen. Deze DPIA’s worden vervolgens actief onderhouden,
waarbij er om de paar jaar wordt gekeken of de risico’s van de verwerking gewijzigd
zijn.

De toekomst van de AVG bij de Belastingdienst

Wanneer deze acties zijn uitgevoerd is de Belastingdienst beter in control op de AVG.
Dit betekent dat de Belastingdienst meer gestructureerd inzicht heeft op de meest
risicovolle verwerkingen en ook op de te treffen mitigerende maatregelen.

In control komen op AVG-gebied vergt meer dan alleen de uit te voeren acties in 2025.
Wanneer er risico’s voortkomen uit de uitgevoerde DPIA’s moeten deze zo snel mogelijk
worden gemitigeerd. Deze acties lopen mogelijk door tot na 2025. Ook vraagt het blijvende
aandacht voor de AVG in het bijzonder en privacy in het algemeen. Dit doet de Belastingdienst
onder andere door middel van bewustwordingscampagnes en opleidingen en het herijken
van bestaande beleidskaders en het monitoren van de naleving daarvan.

Uiteraard blijf ik uw Kamer regelmatig informeren over de AVG via de stand-van-zakenbrieven.
Hierin informeer ik uw Kamer ook over de opvolging van de door de AP gegeven adviezen
in het kader van het toezichtarrangement. Als vervolg en verdieping op deze brief
bied ik uw Kamer graag een technische briefing aan over dit onderwerp.

De Staatssecretaris van Financiën,
T. van Oostenbruggen