Brief regering : Ontvangen adviezen AP Toezichtarrangement

31 066
Belastingdienst

Nr. 311
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 januari 2025

Op 28 mei jl. (Kamerstuk 32 761, nr. 300) is uw Kamer geïnformeerd over het toezichtarrangement dat de Autoriteit Persoonsgegeven
(hierna: AP) heeft ingesteld bij de Belastingdienst. Het doel hiervan is een duurzame
verbetering van de bescherming van persoonsgegevens van burgers en bedrijven. Sindsdien
hebben de Belastingdienst en de AP meerdere verkennende gesprekken gevoerd en heeft
de AP een aantal werkbezoeken afgelegd. Met deze brief informeer ik uw Kamer over
de eerste twee adviezen die voortkomen uit het toezichtarrangement. In de eerstvolgende
stand-van-zakenbrief zal ik uw Kamer nader informeren over de opvolging en implementatie
van de adviezen.

De eerste adviesbrief is op 10 december jl. door de AP verzonden. In deze brief (bijlage
1) staat de verbetering van de afhandeling van datalekken centraal. De AP constateert
dat de Belastingdienst zich de afgelopen jaren zichtbaar heeft ingespannen om dit
proces te verbeteren. De AP doet hiervoor vijf aanvullende aanbevelingen:

– Nagaan wanneer het BSN van een melder van een datalek wordt geregistreerd en of dit
wettelijk nodig is;

– Aandacht schenken aan het herkennen van inbreuken op de integriteit, vertrouwelijkheid
én beschikbaarheid van persoonsgegevens in de bewustwordingstrainingen voor medewerkers;

– Onderzoeken of (tijdelijke) inbreuken op de beschikbaarheid van persoonsgegevens ook
zijn opgenomen in het datalekregister;

– De Functionaris Gegevensbescherming (FG) van de Belastingdienst betrekken bij de afhandeling
van datalekken volgens een vaste en gedocumenteerde werkwijze, vooral bij twijfel
over de ernst van de gevolgen voor betrokkenen;

– De FG van de Belastingdienst betrekken wanneer de directeur van een dienstonderdeel
afwijkt van het advies van de melddesk datalekken en het advies van de FG toe te voegen
aan het dossier in het registratiesysteem.

Een tweede brief, met bevindingen over de privacyorganisatie van de Belastingdienst,
is op 23 december jl. door de AP verstuurd. De AP concludeert hierin dat er sinds
de eerdere AP-adviezen (uit 2021 en 2022) flinke stappen voorwaarts zijn gezet, een
lijn die met twee noodzakelijke verbeteringen verder kan worden doorgetrokken.

Zo stelt de AP dat de taken en verantwoordelijkheden moeten worden verduidelijkt en
vastgelegd, voor de hele organisatie. De privacyorganisatie moet worden herijkt en
steviger worden beschreven. Het tweede advies gaat over het versterken van de centrale
regie op de privacyorganisatie en het uitbreiden van de kaderstellende rol op dit
gebied.

De adviezen van de AP stellen de Belastingdienst in staat verdere verbeteringen mogelijk
te maken. De inspanningen van de AP worden dan ook zeer gewaardeerd en zullen opvolging
krijgen. In afstemming met de AP wordt door de Belastingdienst werk gemaakt van de
implementatie van de adviezen binnen de eigen processen en organisatie.

Verspreid over het jaar zullen verschillende adviesbrieven van de AP volgen. Om uw
Kamer op een gestructureerde wijze over de advisering vanuit het toezichtarrangement
te informeren, benut ik hiervoor voortaan de stand-van-zaken-brief die wij voorafgaande
aan het commissiedebat Belastingdienst sturen. De volgende brief volgt voorafgaand
aan het commissiedebat dat is gepland op 20 februari 2025. Hierin zal ik uw Kamer
informeren over de ontwikkelingen rondom het toezichtarrangement, de opvolging van
de adviezen uit de twee adviesbrieven en de beheersmaatregelen die de Belastingdienst
in bredere zin neemt om de bescherming van persoonsgegevens van burgers en bedrijven
verder duurzaam te verbeteren.

De Staatssecretaris van Financiën,
T. van Oostenbruggen