Brief regering : Toezeggingen en moties over het Risico Analyse Model (RAM) van de Belastingdienst

Nr. 1521
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 3 december 2025

Op 6 maart 20251 informeerde mijn ambtsvoorganger u over het Risico Analyse Model (RAM) bij de Belastingdienst
en het externe onderzoek dat daarnaar is verricht door KPMG.

In die brief werd gemeld dat de Belastingdienst 20 jaar lang gebruik maakte van een
database waarin (fiscale) gegevens van burgers en bedrijven waren opgenomen. Die database
was het RAM. De Belastingdienst heeft RAM in mei 2018 uitgeschakeld, voor de inwerkingtreding
van de Algemene Verordening Gegevensbescherming, wegens strijdigheid met deze wetgeving
wegens onvoldoende mitigerende maatregelen. Op basis van het onderzoek van KPMG concludeerde
mijn ambtsvoorganger dat RAM niet voldeed aan de destijds geldende (wettelijke) eisen
op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Mijn
ambtsvoorganger stelde vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken.

Burgers en bedrijven moeten er zeker van kunnen zijn dat de Belastingdienst conform
wet- en regelgeving werkt, waaronder de algemene beginselen van behoorlijk bestuur
en dat zij vertrouwen kunnen stellen in de Belastingdienst. Vanaf 2018 zijn verbeteringen
bij de Belastingdienst doorgevoerd die leiden tot een betere balans tussen toezicht
en gegevensbescherming. De Belastingdienst van nu functioneert daarmee anders dan
de Belastingdienst van toen. In de brief van 6 maart jl. werden legio maatregelen
genoemd die reeds zijn genomen en stappen aangekondigd die nog moet worden gezet ter
verdere verbetering van aspecten als gegevensbescherming, gegevensverstrekking, omgang
met bijzondere persoonsgegevens en besluitvorming binnen de Belastingdienst. Ook werden
diverse toezeggingen gedaan.

Daarna is in het commissiedebat Belastingdienst van 13 maart 2025 en in het schriftelijk
overleg dat op 26 mei 20252 werd vastgesteld, het onderwerp RAM behandeld. Hierbij zijn ook diverse toezeggingen
gedaan en nam uw Kamer naar aanleiding van deze handelingen diverse moties aan. In
deze brief kom ik terug op een gedeelte van die toezeggingen en moties. In paragraaf
1 ga ik in op systemen bij de Belastingdienst en Douane die qua functionaliteit gelijkenis
met RAM vertonen. Daarna ga ik in paragraaf 2 in op de monitor fiscale dienstverleners,
in paragraaf 3 op de verbeteracties voor convenanten aangaande gegevensverstrekking
en in paragraaf 4 op het algoritmeregister. Tot slot ontving ik op 24 november 2025
vragen3 van lid Ergin over «het uitstelbericht onderzoek naar aangetroffen documenten bij
de Belastingdienst op nationaliteit en postcode» die ik beantwoord.

Na het kerstreces 2025 informeer ik u over de resterende toezeggingen en moties aangaande
RAM. Specifiek gaat het dan over het onderzoek dat de Belastingdienst heeft uitgevoerd
naar de gevolgen van het gebruik van RAM-spreadsheets op basis van nationaliteit en
postcode dat op dit moment door de Auditdienst Rijk gevalideerd wordt. Ook informeer
ik u dan over het uitsluiten dat RAM-spreadsheets nog worden gebruikt binnen de Belastingdienst,
Douane of bij samenwerkingsverbanden.

1. Vergelijkbare systemen

In haar onderzoek wees KPMG op zes systemen die nu in gebruik zijn en die qua functionaliteit
vergelijkbaar zijn met het uitgezette systeem RAM. Het gaat om vijf systemen van de
Belastingdienst en één systeem van de Douane. In het voorjaar heeft de Autoriteit
Persoonsgegevens (AP) deze systemen onderworpen aan een versnelde gegevensbeschermingscontrole.
Met de brief van 10 juli 20254 bent u geïnformeerd over het dringend verzoek van de AP naar aanleiding van hun onderzoek.
De AP stelde vast dat medewerkers met geen van de zes systemen zelf risicoselecties
konden maken, hetgeen het grootste pijnpunt was bij RAM. Het systeem van de Douane
is weliswaar een risicoselectiesysteem, maar dit systeem bevat vooraf gedefinieerde
regels. De systemen van de Belastingdienst betreffen alleen klantbeelden, waarbij
de inbreuk op de bescherming van persoonsgegevens beperkter is dan wanneer sprake
is van risicoselecties. Wel heeft de AP voor alle zes systemen geconstateerd dat er
tekortkomingen zijn in de bescherming van persoonsgegevens. De AP heeft de Belastingdienst
en de Douane opdracht gegeven voor alle zes systemen mitigerende maatregelen te nemen.

Voor twee specifieke systemen «Informatiesjabloon» en de «Klantbeeld Toezicht Applicatie»
concludeerde de AP dat deze systemen op een zo kort mogelijke termijn uitgefaseerd
moeten worden, omdat de risico’s voor de bescherming van persoonsgegevens onevenredig
zijn en niet voldoende met mitigerende maatregelen zijn op te lossen. De Belastingdienst
heeft op 16 oktober 2025 plannen van aanpak voor deze uitfasering bij de AP ingediend.
Deze stukken zijn inmiddels beoordeeld door de AP. Bij het beoordelen van de ingediende
plannen staan de risico’s voor burgers centraal, maar heeft de AP ook oog voor de
noodzaak voor de Belastingdienst om zijn belangrijke publieke taak uit te kunnen blijven
voeren. Conform de toezegging aan u informeer ik u hierover.

1.1 Informatiesjabloon

Het Informatiesjabloon is een loket waar medewerkers van de Belastingdienst eenvoudig
gegevens (waaronder persoonsgegevens) van belastingplichtigen op kunnen vragen in
Excel-formaat. De AP signaleert hoge risico’s voor de bescherming van de persoonsgegevens.
In het plan van aanpak beschrijft de Belastingdienst welke mitigerende maatregelen
zijn genomen om persoonsgegevens beter te beschermen. Zo is het gegeven geslacht en
het gegeven kenteken verwijderd, is het opvragen van veel persoonsgegevens in één
aanvraag niet meer mogelijk en worden bestanden met persoonsgegevens alleen nog opgeslagen
op een beveiligde omgeving. Het plan van aanpak beschrijft eveneens hoe Informatiesjabloon
in een periode van twee jaar kan worden uitgefaseerd en vervangen door een alternatief.
Naar verwachting is het Informatiesjabloon eind 2027 volledig uitgefaseerd.

1.2 Klantbeeld Toezicht Applicatie (KTA)

De Belastingdienst richt bedrijfsprocessen in voor het leveren van producten en diensten
aan burgers en bedrijven. Om de activiteiten binnen die processen te kunnen uitvoeren
zijn gegevens nodig. KTA is een applicatie die bijna alle gegevens van belastingplichtigen
in één klantbeeld beschikbaar stelt, zodat medewerkers effectief en efficiënt hun
werk kunnen doen. KTA is niet gekoppeld aan onderhanden werk van een medewerker, waardoor
veel medewerkers toegang hebben tot veel informatie van belastingplichtigen. De AP
heeft KTA beoordeeld als een systeem met een hoog risico voor de bescherming van persoonsgegevens.

Het plan van aanpak beschrijft als eerste dat op diverse onderdelen mitigerende maatregelen
zijn genomen. Het intrekken van de autorisatie van medewerkers die KTA gedurende twee
maanden niet gebruiken is periodiek herhaald, waarmee het aantal gebruikers is gedaald
van circa 18.000 naar 13.000 gebruikers. Ten tweede wordt ter versterking van zorgvuldig
gebruik van KTA een aanvullende maatregel voorbereid. Hierbij zal de medewerker bij
het raadplegen van KTA gaan registreren welke opdracht/onderhanden werk ten grondslag
ligt aan het raadplegen van gegevens in KTA. Het traject voor het invoegen van een
dergelijk scherm start nog in dit jaar. Dit draagt op korte termijn bij aan een betere
bewustwording bij medewerkers in het werken met KTA. Door koppeling aan de monitoring,
die de eerste helft van 2026 geoperationaliseerd wordt, leidt dit tot een reductie
van het risico bij het gebruik van de applicatie. Ten derde beschrijft het plan hoe
KTA kan worden uitgefaseerd en vervangen door de applicatie Inzicht. De applicatie
Inzicht biedt namelijk wel meerdere klantbeelden afgestemd op het proces waar de medewerkers
op dat moment mee bezig zijn. Dit principe heet dataminimalisatie en vergt de bouw
van klantbeelden per proces. Rekening houdend met de volle IT-portfolio is volledige
vervanging door Inzicht naar verwachting in 2028 gerealiseerd. Eind 2027 is circa
80% van de huidige KTA gebruikers overgestapt naar de applicatie Inzicht en resteren
circa 2.000 gebruikers die in 2028 de overstap maken.

1.3 Overige systemen

GRUFF, SMOB en IHP

De drie overige systemen die nu nog in gebruik zijn bij de Belastingdienst, te weten
GRUFF, Inforay Selectie Module OB (SMOB) en Invorderings Hulp Programma (IHP) worden
in 2026 uitgefaseerd. In de tussentijd worden mitigerende maatregelen genomen voor
GRUFF en IHP om de persoonsgegevens in deze systemen beter te beschermen.

Profiel-gebaseerd Risico Management (PRISMA)

De AP heeft het systeem PRISMA beoordeeld als een systeem met een laag risico voor
de bescherming van persoonsgegevens. De AP heeft de Douane de aanvullende opdracht
gegeven om invulling te geven aan de transparantievereisten bij profilering en geautomatiseerde
besluitvorming en aan de vereisten uit artikel 22 AVG. Gezamenlijk met de Belastingdienst
werkt de Douane aan een plan van aanpak voor selectie-instrumenten, waarin omschreven
wordt welke stappen de Douane onderneemt en waarin de tijdlijn wordt vastgelegd. Dit
plan van aanpak wordt uiterlijk eind december opgeleverd.

1.4 Reactie Autoriteit Persoonsgegevens op plannen van aanpak

Op 17 november 2025 heeft de Belastingdienst de reactie van de AP op de plannen van
aanpak ontvangen. Ik dank de AP voor haar reactie en u treft de reactie als bijlage
aan bij deze brief.

Specifiek voor KTA wordt aangegeven dat uitfasering per 1 januari 2028 nog lang duurt,
helemaal gezien de eventuele risico’s voor de grondrechten van burgers. De AP ziet
echter wel dat de Belastingdienst aanvullende maatregelen treft om de risico’s voor
burgers te verkleinen.

De AP zal daarom eind 2026/begin 2027 onderzoek doen om vast te stellen of de risico’s
voor de burgers, door de ingevoerde mitigerende maatregelen, voldoende zijn teruggebracht
om in te kunnen stemmen met het stopzetten van het systeem per medio 2028. Is dit
niet het geval dan is het opleggen van een verwerkingsverbod per 1 december 2027 een
reële optie.

Met betrekking tot het plan voor uitfasering van Informatiesjabloon, geeft de AP aan
zich te kunnen vinden in de planning voor het uitfaseren van Informatiesjabloon voor
zover het binnen de Belastingdienst wordt gebruikt; de planning hiervoor is om Informatiesjabloon
vanaf medio 2027 niet meer te gebruiken. Voor het uitfaseren van Informatiesjabloon
voor zover het de externe gegevensverstrekking (op basis van wet- en regelgeving en
convenanten aan andere overheden en samenwerkingsverbanden) betreft, gaat de planning
uit van eind 2027. De AP verzoekt de Belastingdienst om na te gaan of deze termijn
kan worden verkort.

Om de voortgang te monitoren, verzoekt de AP de Belastingdienst om elke 4 maanden
een voortgangsrapportage toe te zenden. De Belastingdienst zal aan dit verzoek voldoen.
Daarbij treedt de Belastingdienst ook in overleg met de AP over de te zetten stappen
voor KTA. Voor wat betreft de uitfasering van Informatiesjabloon zal de Belastingdienst
tijdens het eerste voortgangsbericht nader ingaan op de mogelijkheden voor een versnelde
uitfasering voor extern gebruik.

1.5 Informeren burgers bij onrechtmatigheid

De leden Van Vroonhoven en Inge van Dijk verzoeken de regering om te onderzoeken of
ook het UWV algoritmes of systemen in gebruik heeft die vergelijkbaar zijn met het
RAM5. Daarnaast verzoeken zij om alle algoritmes en gegevenssystemen die vergelijkbaar
zijn gebleken met het RAM bij de Belastingdienst, de Dienst Toeslagen, de Douane en
het UWV uiterlijk voor de zomer 2025 te beoordelen op rechtmatigheid. Zij vragen de
uitkomsten hiervan aan de Kamer te rapporteren en betrokken burgers conform de AVG
te informeren indien hun gegevens onrechtmatig zijn verwerkt in de afgelopen zes jaar.
Tot slot wordt verzocht om de betrokken algoritmes vast te leggen in het algoritmeregister.

Voor deze motie is gekeken naar de gegevenssystemen die vergelijkbaar zijn gebleken
met het RAM bij de Belastingdienst, de Dienst Toeslagen en de Douane en die daarnaast
ten tijde van de motie nog in gebruik waren. Dit zijn de systemen die in de voorgaande
paragrafen 1.1 tot en met 1.3 worden genoemd. Op basis van deze conclusie van KPMG
heeft de AP deze systemen onderworpen aan een versnelde gegevensbeschermingscontrole.
De uitkomsten van deze controle heeft de Belastingdienst en Douane op 9 juli 2025
ontvangen en zij zijn op 10 juli 2025 gedeeld met uw Kamer.

Naar aanleiding van de bevindingen tijdens deze controle heeft de AP de Belastingdienst
en Douane verzocht om voor twee hoog-risico systemen (Informatiesjabloon en KTA) met
een plan van aanpak voor uitfasering te komen en om voor de overige vier systemen
de bevonden tekortkomingen op te lossen, zoals in de voorgaande paragrafen is beschreven.

Een groot deel van de aanbevelingen van de AP is inmiddels uitgewerkt en opgepakt,
waaronder de toets op de grondslag van de verwerkingen van persoonsgegevens in de
betreffende systemen. De bevindingen van de AP en de toets op de grondslag van de
verwerkingen van persoonsgegevens geven nu geen aanleiding om aan te nemen dat burgers
zijn benadeeld, waardoor burgers overeenkomstig de motie, niet geïnformeerd hoeven
te worden.

Op het vastleggen van betrokken algoritmes in het algoritmeregister ga ik in paragraaf
4 in. Conform de toezegging worden alle hoog-risico algoritmes voor het einde van
dit jaar vastgelegd in het algoritmeregister.

Gegeven het vorenstaande, beschouw ik deze motie waar het mijn portefeuille betreft,
als afgedaan. Over het UWV-onderdeel van deze motie wordt u door de bewindspersoon
van Sociale Zaken en Werkgelegenheid geïnformeerd met de «Stand van de uitvoering
SZW», zoals eerder aangekondigd in het schriftelijk overleg dat op 26 mei werd vastgesteld.

2. Monitor Fiscaal Dienstverleners

Voor het handhaven en het bijbehorende toezichtsproces op Fiscaal Dienstverleners
gebruikt de Belastingdienst de FD-monitor. In het Schriftelijk Overleg over het RAM-rapport
dat op 26 mei jl. is vastgesteld, heeft mijn ambtsvoorganger u gemeld dat de FD-monitor
nog niet volledig aantoonbaar voldoet aan de wettelijke vereisten. Omdat nog niet
aan die eisen wordt voldaan, is de beheersmaatregel genomen om de FD-monitor tot nader
order niet te gebruiken voor de aanpak (handhaving en toezicht) van niet-compliante
Fiscaal Dienstverleners. Dit omdat die activiteit kan leiden tot rechtsgevolgen voor
burgers en bedrijven. De FD-monitor wordt nog steeds gebruikt voor dienstverlenende
activiteiten, zijnde gesprekken door accountmanagers en relatiebeheerders met FD-kantoren.

Mijn ambtsvoorganger heeft u gemeld een update te geven over het gebruik van de FD-monitor.
Er wordt op dit moment gewerkt aan een viertal procesbeschrijvingen van werkprocessen
die gerelateerd zijn aan de FD-monitor. Hierna kan er, door de medewerkers die werkzaam
zijn in de AVG-vaktechnische lijn, een DPIA over het toezicht op de FD’ers worden
opgesteld, zodat mogelijk in het vierde kwartaal van 2026 de FD-monitor weer volledig
ingezet kan worden in de handhaving.

3. Uitvoering verbeteracties convenanten over gegevensverstrekking

In de Kamerbrief van 6 maart 2025 over het Risico Analyse Model (RAM) is toegezegd
dat de Belastingdienst verbeteringen doorvoert op het gebied van convenanten en gegevensverstrekking.
In het schriftelijk overleg dat op 26 mei jl. is vastgesteld, is aangegeven dat hierop
wordt teruggekomen.

Steeds meer convenanten worden gepubliceerd op de website van de Belastingdienst6. De Belastingdienst heeft vastgesteld dat de verbeteracties, die aangekondigd waren
in de brief van 6 maart 2025, binnen de bestaande inrichting niet (volledig) uitvoerbaar
waren. Hierdoor dient het proces anders te worden ingericht, om zo tot een robuuste
en uitvoerbare werkwijze te komen.

Eén van de verbeteracties is gericht op het beheer van het convenantenproces. De Belastingdienst
is voornemens om de verbeteringen in het eerste kwartaal van 2026 door te voeren en
zo het convenantenproces in lijn te brengen met nieuwe richtlijnen en ontwikkelingen.
De nieuwe opgestelde convenanten worden getoetst aan juridische en beleidsmatige kaders.
Binnen deze convenanten worden onder andere afspraken gemaakt over het leveren en
ontvangen van (persoons)gegevens, alsmede het toezicht hier op.

Daarnaast wordt er gewerkt aan een plan voor een verbeterslag op de complete administratie
omtrent gegevensverstrekkingen. Samen met de convenanten vormt dit een complete verantwoording
over de gegevensverstrekkingen. In de volgende Stand van zakenbrief Belastingdienst
zal ik u informeren over de dan reeds afgeronde acties en de nog te zetten stappen.

4. Algoritmeregister

In 2025 zal de Belastingdienst van alle algoritmen met een hoge impact, die voldoen
aan de publicatiecriteria, beschrijvingen publiceren in het algoritmeregister van
zowel de Nederlandse overheid, als van de Belastingdienst zelf. Hiermee wordt voldaan
aan de toezegging om algoritmen met een hoge impact voor het einde van 2025 te registreren.
Voor alle nieuw te ontwikkelen c.q. in te zetten algoritmen – die beantwoorden aan
de publicatiecriteria – is een proces ingericht, teneinde deze algoritmen beschreven
te krijgen en de beschrijvingen te publiceren in het algoritmeregister.

5. Tot slot

Met deze brief wordt duidelijk dat de wijze waarop RAM in het verleden werd gebruikt
raakt aan meerdere onderwerpen die op dit moment veel aandacht hebben binnen de Belastingdienst,
zoals waar het gaat om gegevensbescherming, de wijze van gebruik en beoordeling van
ICT-systemen, besluitvorming en archivering. Ter verbetering van deze aspecten zijn
reeds acties genomen en werkt de Belastingdienst continu aan nog te zetten stappen.
Daarover bent u geïnformeerd met de brief van 6 maart 2025 en wordt u met regelmaat
op de hoogte gebracht, zoals met afzonderlijke brieven over de AVG en de privacy organisatie
bij de Belastingdienst.

Met mijn brief die u na het kerstreces ontvangt, informeer ik u over de resterende
toezeggingen en moties aangaande RAM.

De Staatssecretaris van Financiën,
E.H.J. Heijnen