Brief regering : Update Toezichtarrangement Autoriteit Persoonsgegevens bij de Belastingdienst

31 066
Belastingdienst

Nr. 335
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 februari 2026

Voor de Belastingdienst is het van groot belang dat de bescherming van persoonsgegevens
structureel op orde is en blijvend aandacht krijgt. De afgelopen jaren zijn belangrijke
stappen gezet om de privacybescherming te versterken en de naleving van de Algemene
verordening gegevensbescherming (AVG) verder te verbeteren. In dat kader speelt het
toezicht door de Autoriteit Persoonsgegevens een belangrijke rol.

Sinds 2024 hanteert de Autoriteit Persoonsgegevens (AP) een toezichtarrangement bij
de Belastingdienst. Dit toezichtarrangement heeft als doel de duurzame verbetering
van de bescherming van persoonsgegevens van burgers en bedrijven. Met het toezichtarrangement
van de AP wordt een belangrijke volgende stap gezet om de Belastingdienst verder in
control te brengen op het gebied van privacy en de naleving van de AVG. Over dit toezichtarrangement
en de hieruit voortvloeiende onderzoeken en adviezen hebben mijn ambtsvoorgangers
en ik uw Kamer al vaker geïnformeerd. In deze brief informeer ik uw Kamer over het
jaarplan van dit toezichtarrangement voor 2026 en geef ik mijn reactie op drie recent
ontvangen adviezen.

Jaarplan 2026 toezichtarrangement AP

Ook in 2026 voert de AP onderzoeken uit en levert de AP adviezen over verschillende
aspecten van de omgang met persoonsgegevens en privacy bij de Belastingdienst. De
aanbevelingen die voortkomen uit deze onderzoeken worden opgepakt, geïmplementeerd
en daarna ook gemonitord. De AP kijkt ook naar de opvolging van de aanbevelingen.
Deze aanbevelingen helpen de Belastingdienst om meer in control te komen op het gebied
van privacy en de AVG. Uw Kamer wordt dus ook in de komende jaren regelmatig geïnformeerd
over de onderzoeken en adviezen van de AP. De AP heeft voor 2026 een jaarplan opgesteld.

In bijlage 1 vindt u dit jaarplan. De AP gaat in 2026 aan de slag met de volgende
projecten:

• Gegevensdeling: dit betreft een nieuw onderzoek over het delen van persoonsgegevens door de Belastingdienst
met andere overheidsorganisaties en in samenwerkingsverbanden.

• Data Protection Impact Assessment (DPIA’s): dit betreft een nieuw onderzoek naar de resultaten van het inhalen van de achterstand
van de Belastingdienst voor het uitvoeren van DPIA’s bij risicovolle verwerkingen.

• Geautomatiseerde risicoselectie/discriminatie: dit betreft een reactie van de AP op het plan van aanpak, opgesteld naar een eerder
verzoek van de AP. Uw Kamer is hierover geïnformeerd in de Kamerbief van 10 september.

• Cultuur en gedrag: dit betreft een lopend onderzoek over de stappen die de Belastingdienst zet om ervoor
te zorgen dat het belang van het grondrecht gericht op de bescherming van persoonsgegevens
breed in de organisatie wordt uitgedragen en dat iedereen zich daarvan bewust is.

• Recht op inzage: dit betreft een onderzoek naar de vraag of de Belastingdienst voldoende regie heeft
op het proces van het recht op inzage van burgers.

• BSN in betaalkenmerk/vorderingskenmerk: dit betreft een project naar het gebruik van burgerservicenummers in betalingskenmerken
en vorderingsnummers.

• Omgang met signalen: dit betreft een advies naar aanleiding van een onderzoek dat inmiddels is afgerond
en waarvan de Belastingdienst in januari 2026 de resultaten heeft ontvangen. In deze
brief deel ik mijn reactie op dit onderzoek.

Hiernaast zal de AP volgens dit jaarplan ook de acties monitoren die de Belastingdienst
naar aanleiding van eerdere onderzoeken heeft genomen. Dit gaat om de acties die zijn
ondernomen naar aanleiding van de adviezen over de werking van de privacyorganisatie,
het uitfaseren van Klantbeeld Toezicht Applicatie (KTA) en Informatiesjabloon, de
Lokaal Ontwikkelde Applicaties (LOA’s), de controle op de logging, het verwerkingsregister
en de voorbereiding op de inwerkingtreding van de AI-verordening.

Toezichtarrangement AP en versnelling AVG

Het toezichtarrangement van de AP draagt eraan bij dat de Belastingdienst meer in
control komt op het gebied van privacy en de AVG. In de afgelopen jaren heeft de Belastingdienst
hier al extra op ingezet. Deze versnelling bestaat gedeeltelijk uit een inhaalactie
om met terugwerkende kracht de bestaande privacyrisico’s te mitigeren in het complexe
bestaande proces- en applicatielandschap van de Belastingdienst. Hierbij is de AVG
zo veel als mogelijk geïntegreerd binnen nieuwe systemen en processen. Tot slot is
de juridische kennis geborgd binnen de organisatie via een vaktechnische infrastructuur
die uit ruim 70 medewerkers bestaat en wordt er meer centrale regie gevoerd vanuit
de Chief Privacy Officer en het ondersteunende team.

Mijn ambtsvoorganger heeft uw Kamer op 2 juli jl. geïnformeerd over de AVG en de privacyorganisatie
van de Belastingdienst. Hierbij werd onder andere ingegaan op de ambities voor het
jaar 2025. Deze ambities bestonden uit het actualiseren van het verwerkingenregister
en het waar het nodig uitvoeren van DPIA’s op hoog risicoverwerkingen. Deze ambities
zijn grotendeels behaald, waardoor de basis meer op orde is gebracht. In het eerste
kwartaal van 2026 lopen nog enkele verbeteracties door. Bovendien is het verwerkingenregister
en het bijhouden van de DPIA’s een continue proces. De AP wordt actief op de hoogte
gehouden over de vorderingen rond het register van verwerkingen.

De hierboven genoemde doelstellingen van de Belastingdienst op het gebied van privacy
komen ook terug in het jaarplan van de AP. Zo voert de AP komend jaar een onderzoek
uit naar de door de Belastingdienst uitgevoerde DPIA’s en monitort de AP de werkzaamheden
die de Belastingdienst uitvoert om het verwerkingsregister te actualiseren én actueel
te houden. Op deze manier versterkt het toezichtarrangement de inspanningen van de
Belastingdienst om sneller meer in control te komen op het gebied van privacy en de
AVG.

Onderzoek AP omgang met signalen en meldingen (bijlage 2)

In de brief van de AP inzake het advies omgaan met signalen en meldingen over vermoedens
van niet naleving van Belastingwetgeving, adviseert de AP om regie te houden op de
verwerking van signalen en meldingen met vermoedens van niet-naleving. Bijvoorbeeld
door alle signalen en meldingen bij binnenkomst bij de Belastingdienst op een centraal
punt meteen van een eerste beoordeling of classificatie te voorzien op betrouwbaarheid
en bruikbaarheid voor de taken van de Belastingdienst. Daarnaast stelt de AP dat de
geadviseerde regie dient te bestaan uit duidelijkheid en herleidbaarheid van het meldingenproces,
onderbouwd met beleid en werkinstructies. Ik beschouw de brief als een belangrijk
advies. Het advies draagt namelijk bij aan de verdere ontwikkeling van de geautomatiseerde
ondersteuning van verwerking van deze signalen en meldingen (het meldingenproces).
Ook heeft het advies een brede uitwerking voor andereandere overheidsorganisatiesdie
uitkeringen verstrekken en die vergelijkbare signalen en meldingen ontvangen over
het mogelijk niet-naleven van wet- en regelgeving.

Ik onderschrijf de categorisering die de AP maakt tussen verschillende type signalen
en meldingen en de inrichting van de verwerking hiervan. De verwerking van deze signalen
en meldingen beperkt zich momenteel tot meldingen die van overheidsorganisaties worden
ontvangen. Dit proces is conform de waarborgen van privacy by design ingericht, waarbij eerdere adviezen van de AP over de Tijdelijke Signalenvoorziening
en de Functionaris Gegevensbescherming een centrale rol heeft gehad. Voor het meldingenproces
zijn drie risicoassessments (DPIA’s) uitgevoerd die met elkaar samenhangen. De inrichting
van het proces is conform de aanbevelingen van de AP in het onderhavige advies.

Verdere ontwikkeling van het meldingenproces vindt plaats, waaronder gedeeltelijke
automatisering van het proces zodat de verwerkingen robuuster en efficiënter worden.

Voordat uitbreiding van betrokken overheidspartijen bij het meldingenproces plaatsvindt,
wordt getoetst of deze uitbreiding voldoet aan de AVG. Op deze wijze waarborgt de
Belastingdienst regie op de inrichting en uitvoering van het meldingenproces.

Onderzoek AP naar LOA’s en RTV’s (bijlage 3)

De AP heeft een onderzoek uitgevoerd naar Lokaal Ontwikkelde Applicaties (LOA’s) en
Robuuste Tijdelijke Voorziening (RTV’s) bij de Belastingdienst. LOA’s en RTV’s zijn
applicaties die buiten de reguliere IV-voortbrenging om zijn ontstaan, vaak om snel
in te spelen op operationele behoeften. De AP heeft onderzocht in hoeverre het gebruik
van deze applicaties in overeenstemming is met wet- en regelgeving, in het bijzonder
de AVG en de BIO. In de begeleidende brief bij het rapport stelt de AP dat de Belastingdienst
weliswaar structureel werkt aan het terugdringen van het gebruik van bedrijfskritische
LOA’s, maar dat uit het onderzoek blijkt dat verdere verbeteringen noodzakelijk en
mogelijk zijn. De AP concludeert dat er onvoldoende wordt gestuurd op het laten voldoen
van LOA’s en RTV’s aan wet- en regelgeving over de bescherming van persoonsgegevens
en dat er eenduidig richtinggevend beleid en centrale regie ontbreekt.

De Autoriteit Persoonsgegevens adviseert om het gebruik van LOA’s en RTV’s strakker
te organiseren. Dat begint met het toetsen of de bestaande applicaties voldoen aan
de AVG en de BIO en het uitvoeren van risicoanalyses waar dat nodig is (maatregel
1). Tegelijk moet de centrale regie vanuit de directie IV&D worden versterkt door
duidelijke kaders te stellen en een centraal overzicht te creëren van (bedrijfskritische)
LOA’s, zodat actief kan worden gestuurd op het terugdringen ervan (maatregel 2). Daarnaast
verzoekt de AP om een concreet plan op te stellen en uit te voeren voor het omzetten
van deze toepassingen naar reguliere applicaties, inclusief duidelijke criteria wanneer
ze moeten worden beëindigd (maatregel 3). Tot slot moet de instroom van nieuwe (bedrijfskritische)
LOA’s worden beperkt door gegevensleveringen uit bronsystemen aan banden te leggen
en alleen in uitzonderlijke, bestuurlijk vastgestelde gevallen nieuwe LOA’s toe te
staan (maatregel 4).

In reactie op deze adviezen van de AP blijft de Belastingdienst ook de komende periode
sturen op het terugdringen van LOA’s. Het toetsen van LOA’s en RTV’s, zoals beschreven
in maatregel één, zal worden uitgevoerd voor bedrijfskritische LOA’s en RTV’s. Daarbij
zal de Belastingdienst het ontstaan van nieuwe bedrijfskritische LOA’s terugdringen,
zoals beschreven in maatregel vier. Dit wordt versterkt door medewerkers actief te
informeren over het beleid rondom LOA’s. De Belastingdienst werkt momenteel aan een
plan van aanpak om deze aanbevolen maatregelen integraal te implementeren. Dit plan
van aanpak zorgt voor een centraal overzicht van de momenteel bestaande LOA’s en RTV’s,
versterkt de sturing op het vervangen en uitfaseren hiervan en beperkt het ontstaan
van nieuwe LOA’s en RTV’s. Uw Kamer wordt via de periodieke stand-van-zakenbrieven
geïnformeerd over de vorderingen op dit plan van aanpak.

AP onderzoek logging en monitoring (vertrouwelijke bijlage)

In 2025 heeft de AP een onderzoek naar logging, monitoring en autorisatiebeheer binnen
de Belastingdienst uitgevoerd. Centraal in het onderzoek stond de mate waarin de Belastingdienst
voldoet aan de verplichting om een passend beveiligingsniveau te waarborgen voor de
verwerking van persoonsgegevens, specifiek door toepassing van bovengenoemde beveiligingsonderdelen.

Op 7 januari jl. heeft de AP dit onderzoek afgerond en haar bevindingen met mij gedeeld.
In het kader van informatiebeveiliging en weerbaarheid ontvangt u de bevindingen van
de AP en mijn reactie hierop, als vertrouwelijke bijlage bij deze Kamerbrief. Deze
bijlage heb ik bij uw Kamer ter inzage gelegd.

Tot slot wil ik uw Kamer mededelen dat uw Kamer binnenkort mijn reactie ontvangt op
het onderzoek van de AP over (geautomatiseerde) selectie-instrumenten, zoals aangekondigd
in de Kamerbrief van 10 september jl. Uiteraard blijf ik uw Kamer regelmatig informeren
over de AP en privacy bij de Belastingdienst via de stand-van-zakenbrieven. Hierin
informeer ik uw Kamer ook over de opvolging van de door de AP gegeven adviezen in
het kader van het toezichtarrangement.

De Staatssecretaris van Financiën,
E.H.J. Heijnen