Lijst van vragen en antwoorden : Lijst van vragen en antwoorden over de Kabinetsreactie op het rapport van de Autoriteit Persoonsgegevens over Fraude Signalering Voorziening (FSV) (Kamerstuk 31066-911)

Nr. 930 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 7 december 2021

De vaste commissie voor Financiën heeft een aantal vragen voorgelegd aan de Staatssecretaris
van Financiën over de brief van 29 oktober 2021 inzake de kabinetsreactie op het rapport
van de Autoriteit Persoonsgegevens over Fraude Signalering Voorziening (FSV) (Kamerstuk
31 066, nr. 911).

De Staatssecretaris heeft deze vragen beantwoord bij brief van 3 december 2021. Vragen
en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie, Tielen

De adjunct-griffier van de commissie, Lips

1

Hoe worden, naast de benoemde verbeterpunten, de benoemde misstanden afgehandeld?
Welke processen zullen worden ingezet?

De Autoriteit Persoonsgegevens (AP) heeft op 29 oktober 2021 het onderzoeksrapport
«Belastingdienst; verwerkingen van persoonsgegevens in de Fraude Signalering Voorziening
(FSV)» gepubliceerd. FSV is in februari 2020 uitgezet. De AP concludeert in het rapport
dat de Belastingdienst door het verwerken van persoonsgegevens in FSV in strijd heeft
gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking
van de Algemene verordening gegevensbescherming (AVG). Daarnaast heeft de Belastingdienst
onvoldoende passende technische en organisatorische maatregelen genomen om een passend
beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen. Ook is de functionaris
voor gegevensbescherming (FG), de interne toezichthouder op het gebied van privacy,
niet naar behoren en tijdig betrokken bij de uitgevoerde beoordeling van privacyaspecten
van FSV.

De analyse van de implicaties van het onderzoeksrapport van de AP over de verwerking
van persoonsgegevens in FSV voor het herziene signalenproces en de daarvoor ontwikkelde
tijdelijke ondersteunende applicatie worden op dit moment in kaart gebracht. Waar
nodig vindt verwerking in de hiervoor opgestelde gegevensbeschermingseffectbeoordeling
(GEB) plaats. Een GEB is een risicoanalyse bij de verwerking van persoonsgegevens.
Uw Kamer wordt geïnformeerd nadat de FG en AP hebben getoetst en advies hebben gegeven
over deze aanpassingen in overeenstemming met de wet- en regelgeving op het terrein
van AVG. Deze voorziening zal niet in gebruik worden genomen voordat deze stappen
zijn doorlopen.

Daarnaast heeft de AP in de brief van 27 oktober 2021 laten weten zich ernstige zorgen
te maken over de privacyorganisatie van de Belastingdienst. De AP geeft in de brief
raad en advies. Naar de overtuiging van de AP is het dringend nodig verdere stappen
te zetten, waarbij aandacht wordt gevraagd voor de volgende punten:

• Versterken van het interne toezicht binnen de Belastingdienst;

• Integrale beoordeling van risico’s binnen de Belastingdienst en een verbetering van
het totaaloverzicht van de keten van verwerkingen door de Belastingdienst;

• Verbetering van de privacyorganisatie binnen de Belastingdienst.

Naar aanleiding van het rapport van de AP over FSV en van de brief over de privacyorganisatie
is een werkgroep ingericht met deelnemers van het beleidsdepartement (o.a. de FG),
Belastingdienst, Toeslagen en Douane.

Het doel van de werkgroep is om de privacy-organisatie van Financiën te versterken.
De werkgroep zorgt o.a. voor afstemming van actieplannen hiertoe (van Beleidsdepartement,
Belastingdienst, Toeslagen en Douane).

In de actieplannen wordt onder andere de rol van Chief Privacy Officer (CPO) uitgewerkt.
Het resultaat van deze uitwerking wordt opgenomen en vastgesteld in het privacybeleid
van het Ministerie van Financiën.

Verder wordt er gewerkt aan een wetsvoorstel: de Wet waarborgen gegevensverwerking
Belastingdienst. Dit wetsvoorstel beoogt de grondslagen voor de verwerking van gegevens
door de Belastingdienst, Toeslagen en Douane te versterken en toekomstbestendig te
maken. Bovendien beoogt het wetsvoorstel een wettelijk kader te scheppen voor de borging
van een rechtmatige, behoorlijke en transparante verwerking van gegevens door deze
drie uitvoeringsorganisaties. Uw Kamer is hierover eerder geïnformeerd.1

Een belangrijke vraag naar aanleiding van het rapport zijn de gevolgen voor de in
FSV geregistreerde burgers. PwC sinds april 2021 onderzoek naar het effect van FSV.
Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën een technische
briefing gegeven aan de vaste commissie voor Financiën van uw Kamer over de mogelijke
opties voor het bieden van herstel aan burgers in FSV. De verschillende opties worden
de komende periode verder uitgewerkt waarna besluitvorming in afstemming met uw Kamer
kan plaatsvinden.

2

Welke processen zijn in gang gezet om te bezien in hoeverre dergelijke misstanden
elders in de organisatie thans nog voorkomen of in het verleden zijn voorgekomen?

Met het plan Herstellen, Verbeteren, Borgen (HVB) zijn verschillende trajecten in
gang gezet op dit vlak. Zo zijn er inventarisaties gedaan van applicaties met nationaliteit
en/of medische of strafrechtelijke gegevens en van lijsten met risico- en/of fraudesignalen
en nationaliteit in de persoonlijke werkomgeving van de medewerkers. Deze worden nu
door een toetsingscommissie beoordeeld. Daarnaast loopt er een onderzoek naar de waarborgen
bij risicoselectie. In het project AO/IC op orde (Administratieve Organisatie/Interne
Controle) worden de dienstonderdelen geholpen met het beschrijven van hun processen
en waar van toepassing met het toetsen van hun processen op het voldoen aan de AVG,
de Baseline Informatiebeveiliging Overheid (BIO) en Archiefwet 1995 (hierna Archiefwet).
In de kwartaalrapportage HVB 25 november 20212 heeft uw Kamer een overzicht gekregen van de laatste stand van zaken van deze trajecten.

3

Bij welk gedeelte van de 270.000 mensen op de Fraude Signalering Voorziening (FSV)
is er ook sprake van terugvorderen van toeslagen?

Bij 105.000 mensen heeft in hetzelfde belastingjaar als het jaar waarin een betrokkene
is opgenomen in FSV een terugvordering op de toeslag plaatsgevonden. Bij bijna 165.000
mensen heeft een terugvordering op de toeslag plaatsgevonden, als wordt gekeken vanaf
het moment van registratie in FSV tot en met nu.

Dit hoeft geen relatie te hebben met FSV, omdat het terugvorderen verweven is met
het huidige toeslagenstelsel.

Er kan om meerdere redenen sprake zijn van terugvorderen van toeslagen. Zo kan er
terugvordering volgen uit een correctie op de aangifte inkomstenheffing, maar kan
er ook een terugvordering plaatsvinden bij verandering in aantal uren, bij de kinderopvang
of andere feitelijke jaarinkomens dan vooraf werd verwacht door de toeslaggerechtigden.
Gemiddeld genomen over alle toeslagen, niet alleen voor mensen in FSV, leidde het
definitief toekennen van de toeslag tot een terugvordering bij 31% van de aanvragers
over toeslagjaar 2012, welk percentage is teruggedrongen tot 20% over 2018.

Tot nu toe komen circa 9700 burgers die zich bij UHT hebben gemeld ook voor in FSV.
Hiervan hebben circa 8500 burgers tot en met 2019 minimaal 1 maal te maken gehad met
een terugvordering van € 1.500 en meer.

Op vrijdag 3 december 2021 komt het onderzoeksrapport van PricewaterhouseCoopers uit
over de effecten van FSV op toeslaggerechtigde burgers die door de toenmalige directie
Toeslagen van de Belastingdienst zijn geregistreerd in FSV.

4

Kunt u uiteenzetten of en hoe fraudeleuze signalen door de fiscus op dit moment worden
verwerkt en hoe opvolging wordt gegeven aan die signalen?

Ik lees uw vraag zo dat hier met frauduleuze signalen bedoeld wordt de externe meldingen
die de Belastingdienst ontvangt en die in het verleden in FSV werden geregistreerd.
Nieuw ontvangen meldingen van mogelijke fiscale nalevingstekorten worden momenteel
bewaard in de mailpostbussen waar ze binnenkomen. De toegang tot deze postbussen is
zeer beperkt en de meldingen worden niet behandeld. Signalen van mogelijke fraude
die direct aanleiding geven voor een onderzoek, bijvoorbeeld in het kader van het
strafrecht worden wel opgepakt.

Er is een nieuw proces voor de beoordeling van signalen uitgewerkt, met een tijdelijke
ondersteunende applicatie, Tijdelijke Signalerings Voorziening (TSV). Voordat het
proces en de applicatie in gebruik worden genomen, wordt hierop een GEB uitgevoerd.
Om te zorgen dat de omgang met persoonsgegevens aan de vereisten voldoet, bekijkt
de Belastingdienst welke implicaties het rapport3 van de Autoriteit Persoonsgegevens over FSV heeft voor het herziene proces en de
applicatie. Nadat de GEB hieraan is aangepast, wordt deze opnieuw voor advies voorgelegd
aan de FG en vervolgens ook aan de AP. Na verwerking van de adviezen wordt een besluit
genomen over het opstarten van het signalenproces. Toezicht is overigens niet alleen
afhankelijk van de behandeling van signalen. Zo worden bijvoorbeeld nog steeds boekenonderzoeken
uitgevoerd en worden aangiftes behandeld op grond van toepassing van selecties in
het massale proces.

5

Kunt u aangeven waaruit het vergroten van de bewustwording onder medewerkers bestaat?

Het is essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich
bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. In dit kader
krijgen alle nieuwe medewerkers als onderdeel van hun inwerkprogramma een AVG-cursus.
Onderdeel van het plan HVB is het beschikbaar stellen van een nieuwe intranetpagina
rondom «verantwoord omgaan met gegevens». Sinds oktober 2021 is de Online Security
Awareness Game beschikbaar voor alle medewerkers van de Belastingdienst, en voor de
medewerkers van Douane en Toeslagen. De spelrondes zullen periodiek worden herhaald,
geactualiseerd of worden uitgebreid met actuele thema’s. Door middel van verschillende
spelrondes die zijn afgestemd op de Belastingdienst, wordt op een laagdrempelige manier
aandacht besteed aan bewustwording op het gebied van beveiliging en AVG.

6

Op welke manier is de privacy van medewerkers bij de Belastingdienst die melding willen
maken van schending van privacyregels van burgers, gewaarborgd?

Wanneer een medewerker een vermoeden van een integriteitsschending wil melden, bijvoorbeeld
bij een vermoeden van schending van privacyregels van burgers, zijn de meldpunten
of medewerkers die meldingen in ontvangst nemen, gehouden om de identiteit van de
melder niet bekend te maken. Wanneer een medewerker anoniem wil blijven kan de melder
kan zich wenden tot een vertrouwenspersoon, die namens de melder een melding kan doen
zonder de identiteit van de melder bekend te maken.

Ook kan een medewerker terecht bij de onafhankelijke Commissie integriteit Financiën
(CiF). Deze commissie bestaat uit drie onafhankelijke leden die niet werkzaam zijn
bij het Ministerie van Financiën. De commissie zorgt ervoor dat de identiteit van
de melder niet verder bekend wordt dan noodzakelijk is voor het onderzoek en de behandeling
van de melding. Deze commissie valt onder verantwoording van de Secretaris-generaal
van het Ministerie van Financiën4.

7

Op welke manier worden medewerkers van de Belastingdienst actief uitgedaagd om privacyschendingen
van burgers in processen, procedures, conversaties en systemen te melden bij de Chief
Privacy Officer?

Medewerkers kunnen via twee procedures meldingen doorgeven:

1) Procedure voor het melden van datalekken

2) Procedure voor het melden van incidenten

Daarnaast vind ik het essentieel dat medewerkers verantwoord omgaan met gegevens en
dat zij zich bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet.
Onderdeel van het plan HVB is, naast het beschikbaar stellen van een nieuwe intranetpagina
rondom «verantwoord omgaan met gegevens», de afgelopen periode een Online Security
Awareness Game gestart en een AVG-cursus voor nieuwe medewerkers.

De AP heeft de aanbeveling gedaan om een Chief Privacy Officer (CPO) aan te stellen.
De Belastingdienst heeft een privacy officer, maar erkent dat deze versterkt kan worden
met de aanstelling van een CPO. De Belastingdienst neemt de aanbeveling van de AP
voor het aanstellen van een CPO over. De privacy-organisatie van Financiën, waaronder
de rol van Chief Privacy Officer wordt uitgewerkt door de werkgroep genoemd in het
antwoord op vraag 1. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld
in het privacybeleid van het Ministerie van Financiën.

8

Onder wiens verantwoordelijkheid staat de Chief Privacy Officer en aan welke (bewinds-)personen
wordt deze persoon geacht te rapporteren?

De AP heeft de aanbeveling gedaan om een Chief Privacy Officer (CPO) aan te stellen.
De Belastingdienst heeft een privacy officer, maar erkent dat deze versterkt kan worden
met de aanstelling van een CPO. De Belastingdienst neemt de aanbeveling van de AP
voor het aanstellen van een CPO over. De privacy-organisatie van Financiën, waaronder
de rol van Chief Privacy Officer wordt uitgewerkt door de werkgroep genoemd in het
antwoord op vraag 1. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld
in het privacybeleid van het Ministerie van Financiën.

De privacy officer van de Belastingdienst maakt onderdeel uit van de ambtelijke organisatie
van de Belastingdienst. De privacy officer legt verantwoording af via de reguliere
hiërarchische ambtelijke lijnen. Binnen de Belastingdienst wordt aan de directeur-generaal
Belastingdienst gerapporteerd via de reguliere planning- en controlcyclus door de
privacy officer. Aanvullend maakt de privacy officer een overkoepelende rapportage
over de status van privacy binnen de Belastingdienst voor de FG en de CIO van Financiën.
De plaatsvervangend secretaris-generaal van Financiën heeft in zijn hoedanigheid van
CIO Financiën privacy in portefeuille.

De Minister van Financiën is de verwerkingsverantwoordelijke in de zin van de AVG.
Op grond van portefeuilleverdeling zijn de Staatssecretaris van Financiën, Fiscaliteit
en Belastingdienst en de Staatssecretaris van Financiën, Toeslagen en Douane interne
verwerkingsverantwoordelijken voor het gebruik van persoonsgegevens door de Belastingdienst,
Douane en Toeslagen.

9

Kunt u aangeven hoeveel fte's zich binnen de Belastingdienst bezighouden met de privacy-organisatie,
hoeveel medewerkers (extern) zijn ingehuurd en welke kosten ermee zijn gemoeid?

De Belastingdienst beschikt over een privacyteam dat bestaat uit zes vaste medewerkers
(budget circa € 625.000 per jaar) en vier tijdelijke medewerkers (in 2021 zijn de
verwachte kosten € 220.000 en in 2022 € 925.000). Verder beschikt iedere directie
van de Belastingdienst over een contactpersoon voor vragen over gegevensbescherming,
de zogenoemde datacoördinator. De meeste directies hebben echter meer medewerkers
voor wie gegevensbescherming onderdeel is van het takenpakket. Het aantal medewerkers
en deze kosten voor de hele Belastingdienst zijn onderdeel van de reguliere personeelsbudgetten.

10

Kunt u de privacy-organisatie van de Belastingdienst weergeven in een organigram?

Er is geen apart organogram beschikbaar van de privacyorganisatie van de Belastingdienst.
Het team rond de privacy officer van de Belastingdienst maakt onderdeel uit van de
concerndirectie Informatievoorziening en databeheersing (IV&D). De concerndirectie
IV&D is een van de kaderstellende directies van de Belastingdienst.

11

Worden meldingen en aanbevelingen van de Chief Privacy Officer schriftelijk vastgelegd
en wordt hierover periodiek gerapporteerd aan de Kamer? Zo ja, met welke frequentie?

De AP heeft de aanbeveling gedaan om een Chief Privacy Officer (CPO) aan te stellen.
De Belastingdienst heeft een privacy officer, maar erkent dat deze versterkt kan worden
met de aanstelling van een CPO. De Belastingdienst neemt de aanbeveling van de AP
voor het aanstellen van een CPO over. De privacy-organisatie van Financiën, waaronder
de rol van Chief Privacy Officer wordt uitgewerkt door de werkgroep genoemd in het
antwoord op vraag 1. Het resultaat van deze uitwerking wordt opgenomen en vastgesteld
in het privacybeleid van het Ministerie van Financiën.

De privacy officer rapporteert in de planning en control-cyclus, of op verzoek, aan
de DG Belastingdienst. Aanvullend maakt de privacy officer een overkoepelende rapportage
over de status van privacy binnen de Belastingdienst voor de FG en de CIO van Financiën.
De privacy officer stelt geen rapportages op die naar de Kamer gaan.

De privacy officer vervult binnen de Belastingdienst alle adviserende en coördinerende
activiteiten op het gebied van gegevensbeschermingsrecht. De privacy officer en het
team zijn ondergebracht binnen de concerndirectie Informatievoorziening en Databeheersing
van de Belastingdienst.

12

Hoe worden vroegtijdig op operationeel niveau risico’s voor de rechten en vrijheden
van mensen gesignaleerd en geadresseerd?

Zoals toegelicht in de antwoorden op vragen 6 en 7 kunnen medewerkers vermoedens van
privacyschendingen van burgers op verschillende manieren melden.

Aan uw Kamer is op 13 oktober 2020 (Kamerstuk 31 066, nr. 709) een systematische doorlichting van de processen en applicaties toegezegd. Onderdeel
van deze doorlichting is de ontwikkeling van een controlelijst waarin de randvoorwaardelijke
wetgeving (AVG, BIO en archiefwet) praktisch is vertaald. Door het opnemen van de
vragen van de controlelijst in de methodieken voor het ontwerpen van processen en
applicaties, wordt structureel in het voortbrengingsproces geborgd dat nieuw ontworpen
processen en aanpassingen aan bestaande processen (inclusief de bijbehorende applicaties)
aantoonbaar invulling geven aan de vereisten van de AVG, BIO en Archiefwet. Hiermee
wordt beter invulling gegeven aan de privacy by design-principes uit de AVG. In het
project AO/IC op orde (Administratieve Organisatie/Interne Controle) worden de dienstonderdelen
geholpen met het beschrijven van hun processen en waar van toepassing met het toetsen
van hun processen op het voldoen aan de AVG, de BIO en Archiefwet.

Hoewel met deze acties stappen zijn gezet om de kans op herhaling te verkleinen, kan
niet worden uitgesloten dat er opnieuw problemen bovenkomen. In zulke gevallen hanteer
ik de volgende drieslag: onderzoeken, het waar nodig nemen van maatregelen en de Tweede
Kamer hierover informeren.

13

Hoe zijn de verwerkingsverantwoordelijkheden binnen de Belastingdienst helder vastgelegd?

De (algemeen) directeuren van de directies van de Belastingdienst zijn interne verwerkingsverantwoordelijken,
namens de Minister van Financiën.

Het gebruik van persoonsgegevens (verwerkingen) is vastgelegd in het register van
verwerkingsactiviteiten. In het register is onder andere vastgelegd welke directeur
interne verwerkingsverantwoordelijke is.

14

Hoe vindt borging van privacy plaats bij de ontvlechting van Douane en Toeslagen van
de Belastingdienst?

De Douane, Toeslagen en Belastingdienst hebben afspraken gemaakt over de borging van
privacy bij de ontvlechting. De huidige situatie waarbij de Belastingdienst taken
en werkzaamheden voor de Douane en Toeslagen op het terrein van privacy verricht,
blijft gehandhaafd tot het moment dat de privacyorganisatie bij de Douane en Toeslagen
is ingericht om deze werkzaamheden over te nemen. Douane heeft de eerste stap gezet
door per 1 december 2021 een Chief Privacy Officer (CPO) aan te stellen. Bij Toeslagen
komt er op termijn ook een eigen CPO. De komende periode wordt de privacyorganisatie
van de Douane en Toeslagen verder ingericht. Deze inrichting vindt plaats in samenhang
met de actieplannen, om de privacyorganisatie van Financiën te versterken.

15

Waaruit blijkt dat de Functionaris Gegevensbescherming (FG) volledig onafhankelijk
functioneert?

De AVG bevat een aantal verplichtingen voor de verwerkingsverantwoordelijke om de
onafhankelijkheid van de FG te borgen (art. 38, lid 2, 3, en lid 6, AVG). Dat is onder
andere de plicht om de FG te ondersteunen bij zijn taken door hem toegang te verlenen
tot persoonsgegevens en verwerkingsactiviteiten, hem de benodigde middelen ter beschikking
te stellen voor het vervullen van zijn taken en voor het in stand houden van zijn
deskundigheid. Ook is er de plicht om ervoor te zorgen dat de FG geen instructies
kan ontvangen, en dat hij niet ontslagen of gestraft kan worden voor de uitvoering
van zijn taken. De FG moet kunnen rapporteren aan het hoogste leidinggevende niveau.
Eventuele andere taken of plichten van de FG mogen niet tot een belangenconflict leiden.

Bij het Ministerie van Financiën is aan de borging van de onafhankelijkheid onder
andere uitwerking gegeven in het aanwijzingsbesluit van de FG. In het aanwijzingsbesluit
is bepaald dat de FG wordt betrokken bij privacykwesties, dat er een jaarlijkse toetsing
plaatsvindt van de voor zijn taken benodigde middelen, dat tot de FG geen instructies
mogen worden gericht, en dat hij rechtstreeks rapporteert aan het hoogste leidinggevende
niveau (Aanwijzingsbesluit FG, Stcrt. 2018, nr. 70894). De FG van Financiën is organisatorisch gepositioneerd bij bureau Beveiligingsambtenaar
(BVA). In dat bureau zijn diverse taken en functies samengebracht die een vergelijkbare
onpartijdige en onafhankelijke positie vereisen binnen Financiën. Het bureau is rechtstreeks
gepositioneerd onder de plaatsvervangend SG, dus in een onafhankelijke positie ten
opzichte van onder andere de Belastingdienst, Toeslagen en Douane. Aanvullend is expliciet
afgesproken en vastgelegd dat zo nodig rechtstreekse toegang tot de ambtelijke en
politieke leiding mogelijk is voor de FG. Hij heeft bovendien een fulltime aanstelling
zodat geborgd is dat er geen andere taken zijn die tot een belangenconflict kunnen
leiden.

16

Welke aanpassingen zijn, gelet op het feit dat na het uitzetten van FSV en het stilleggen
van het daarmee samenhangende signalenproces de Belastingdienst dit proces volledig
heeft herzien en op alle privacyaspecten doorgelopen, nu doorgevoerd aan de hand van
de constateringen uit het rapport van de Autoriteit Persoonsgegevens (AP)?

De implicaties van het onderzoeksrapport van de AP over de verwerking van persoonsgegevens
in FSV voor het herziene signalenproces en de daarvoor ontwikkelde tijdelijke ondersteunende
applicatie worden op dit moment in kaart gebracht. Waar nodig vindt verwerking in
de hiervoor opgestelde GEB plaats. Uw Kamer wordt geïnformeerd nadat de FG en AP-advies
hebben gegeven over deze aanpassingen, in overeenstemming met de wet- en regelgeving
op het terrein van de AVG (zie ook het antwoord op vraag 4).

17

Wanneer wordt de Wet waarborgen gegevensverwerking Belastingdienst verwacht? Hoe zal
deze wet zich verhouden tot andere wetten zoals de Wet openbaarheid van bestuur (Wob)/Wet
open overheid (Woo), de Archiefwet en andere vergelijkbare wetten?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane
wordt op dit moment voorbereid, in nauwe samenwerking met deze organisaties. De gegevensverwerking
door de Belastingdienst, Toeslagen en Douane is omvangrijk en complex, en vraagt om
een zorgvuldige voorbereiding van het wetsvoorstel. Daarna volgen nog een internetconsultatie,
advisering door de AP, besluitvorming door het kabinet en advisering door de Raad
van State. Ik verwacht het wetsvoorstel op zijn vroegst in het najaar van 2022 bij
uw Kamer in te dienen.

Het wetsvoorstel beoogt de grondslagen voor de verwerking van gegevens door de Belastingdienst,
Toeslagen en Douane te versterken en toekomstbestendig te maken. Bovendien beoogt
het wetsvoorstel een wettelijk kader te scheppen voor de borging van een rechtmatige,
behoorlijke en transparante verwerking van gegevens door deze drie uitvoeringsorganisaties.
In dat kader spelen meerdere wetten die eveneens waarborgen bieden voor de verwerking
van gegevens. Het wetsvoorstel is daarmee een aanvulling op de wettelijke plichten
uit de Wob, de Woo en de Archiefwet. Naast deze wetten spelen natuurlijk ook de AVG
en de Uitvoeringswet AVG een belangrijke rol. In de memorie van toelichting op het
wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane
zal de verhouding tussen de Wob, de Woo, de Archiefwet en andere relevante wetten
worden toegelicht.

18

Wanneer wordt het PwC rapport verwacht?

Het onderzoek van PwC naar de effecten van registratie in FSV op burgers en bedrijven
is opgesplitst in drie deelonderzoeken: één naar de effecten van het gebruik door
de (toenmalige) directie Toeslagen, één voor de directie Particulieren en één voor
de directie Midden- en Kleinbedrijf (MKB). Daarnaast heb ik PwC gevraagd aanvullend
onderzoek te doen naar de externe gegevensdeling uit FSV en de gebruikte query’s.
Het rapport PwC Toeslagen zal uiterlijk 3 december met uw Kamer worden gedeeld, zoals
aangegeven in de brief van 30 november 2021. Het onderzoek voor Particulieren is eveneens
bijna gereed, maar dat voor MKB duurt langer. Ik streef ernaar de onderzoeken voor
het einde van het jaar te laten afronden en zal de bevindingen daar op zo snel mogelijk
met uw Kamer delen.

19

Met hoeveel fte is het team van de privacyofficer uitgebreid? Kunt u dit specificeren
in toename in fte en in budget?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds
maart 2021 uit zes vaste medewerkers (budget circa € 625.000 per jaar). Daarnaast
beschikt het team over vier tijdelijke medewerkers (in 2021 zijn de verwachte kosten
€ 220.000 en in 2022 € 925.000).

Verder beschikt iedere directie van de Belastingdienst minimaal over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

20

Met welke organisaties zijn onderdelen van de zwarte lijst gedeeld?

Ik heb PwC gevraagd te onderzoeken of er informatie uit FSV is gedeeld met andere
organisaties. Op de conclusies van dit rapport kan ik niet vooruitlopen.

Zoals ik uw Kamer op 17 juni jl.5 heb geïnformeerd, heeft de Belastingdienst daarnaast voor peiljaar 2019 met een pilot
onderzocht of, en zo ja in welke mate, gebruik is gemaakt van informatie uit FSV.
Binnen de pilot zijn in relatie tot de onderzochte convenantpartners6 geen aanwijzingen gevonden dat informatie uit FSV structureel is gedeeld.

21

Via welke kliksignalen zijn mensen op de lijst beland? Zijn dit kliksignalen bij Meld
Misdaad Anoniem en kliksignalen bij de Belastingdienst? Op welke wijze zijn die gevalideerd?

Tips & Kliks is één van de categorieën in FSV waarin signalen ondergebracht konden
worden. In het KPMG rapport van 10 juli 20207 over de werking en gebruik van FSV staan de verschillende soorten Tips & Kliks beschreven
die werden ontvangen en geregistreerd.

In het KMPG rapport staat uitgebreid beschreven wat Tips & Kliks waren, welke verschillende
meldpunten er waren en op welke manier de signalen bij de verschillende directies
beoordeeld behandeld werden.

22

Wat voor een uitvraag van een gemeente leidde tot opname in de lijst, gelet op het
feit dat een aantal mensen op de lijst kwam via de gemeentes?

Het betreft hier informatieverzoeken vanuit gemeenten waarmee fiscale gegevens werden
opgevraagd op grond van wettelijke verplichtingen van de Belastingdienst om informatie
te leveren ten behoeve van de uitvoering van wettelijke taken van gemeenten. Een voorbeeld
van een dergelijke verplichting is artikel 64 van de Participatiewet en artikel 5.2.3
van de Wet maatschappelijke ondersteuning.

23

Kunt u alle keren dat de secretaris-generaal, de directeur-generaal, de Staatssecretaris
of de Minister in de afgelopen zeven jaar over FSV is geïnformeerd benoemen en de
onderliggende documenten aan de Kamer sturen?

In mijn brief van 28 april 2020 ben ik ingegaan op de totstandkoming van FSV en heb
ik tevens een tijdlijn FSV toegevoegd.8 Hierin wordt ook ingegaan op de besluitvorming rond FSV.

Daarnaast verwijs ik u naar het Besluit Wob-verzoek FSV/zwarte lijsten dat op 27 januari
2021 openbaar is gemaakt. Als bijlage bij het besluit vindt u de openbaar gemaakte
stukken. Bij de brieven van 10 juli 2020 en 27 januari 2021. zijn werkinstructies
met betrekking tot FSV openbaar gemaakt. Tevens ben ik bereid om de documenten van
de Belastingdienst aan de AP met uw Kamer te delen, zie hiervoor het antwoord op vraag
32, 84 en 85.

24

Wanneer is de eerste gegevensbeschermingseffectbeoordeling (GEB) opgesteld door de
Belastingdienst? Wie heeft die GEB gelezen?

Ik neem aan dat u met deze vraag bedoelt wanneer de eerste GEB is opgesteld over FSV.
Als bijlage bij de Kamerbrief van 28 april 2020 is een tijdlijn hierover gedeeld.9

25

Is er ooit melding gedaan van een datalek vanuit FSV bij de AP? Zo ja, kunt u dan
details hierover verschaffen?

Er is geen melding gedaan van een datalek vanuit FSV bij de AP. De ruime toegang bij
het gebruik van de applicatie van FSV is geen datalek. Het ging om geautoriseerde
toegang voor de uitvoering van taken van medewerkers. Bij een datalek gaat het om
toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie
zonder dat dit de bedoeling is van deze organisatie. Volgens deze definitie is er
geen sprake van een datalek. De medewerkers die bij de gegevens in FSV mochten, zijn
door hun teammanager geautoriseerd voor een vooraf bepaalde taak (rol). Zoals eerder
aangegeven en achteraf geconstateerd, hadden wel meer medewerkers toegang tot FSV
dan noodzakelijk.

26

Welke strafrechtelijke gegevens zijn door de Belastingdienst in FSV opgenomen? Gaat
het om veroordelingen of konden mensen ook op de lijst komen zonder een veroordeling
door de rechter? Zo ja, wanneer dan, bijvoorbeeld als gevolg van een strafbeschikking
van het Openbaar Ministerie of door seponeren?

Het betreft hier met name bijlagen bij signalen die werden ontvangen van Politie en
andere instanties. Het betreft zogenoemde hennepberichten en processen-verbaal van
de Politie en vonnissen van de politierechter. Daarnaast zijn vorderingen op grond
van artikel 126nd van het Wetboek van Strafvordering als informatieverzoek geregistreerd
in FSV. In het rapport van de AP is een overzicht opgenomen van typen strafrechtelijke
gegevens die in FSV waren opgenomen.

27

Kunt u, gelet op het feit dat bij de invoering van de Algemene verordening gegevensbescherming
(AVG) er bij de Belastingdienst een programma is geweest om de Belastingdienst compliant
te maken, aangeven waarom de FSV lijst daarbij niet naar boven is gekomen?

De Belastingdienst heeft in de periode 2017–2018 een programma uitgevoerd om de AVG
te implementeren. Uw Kamer is op 28 mei 201910 over de voortgang van de implementatie van de AVG bij de Belastingdienst geïnformeerd.
Ik concludeer dat dat het beeld dat eerder met uw Kamer is gedeeld, niet geheel volledig
en daarmee te positief is geweest. In mei 2019 heeft de Belastingdienst met name compliantie
verklaard over de aanwezigheid van de benodigde AVG-instrumenten, terwijl nog verdere
uitwerking nodig was binnen de organisatie. Ik heb dit eerder in mijn Kamerbrief van
10 juli 2020 al aangegeven dat de analyses niet diep genoeg zijn uitgevoerd en heb
daarom toegezegd alle bedrijfsprocessen systematisch door te lichten. Zoals eerder
aangegeven is hier minimaal drie jaar voor nodig. Het voldoen aan de AVG vergt een
permanente inspanning en continu aandacht.

Tijdens de plenaire Kamerbehandeling van het Belastingplan 2022 heeft het lid Omtzigt
gevraagd of er eerder, voor de GEB uit 2019, waarschuwingen zijn geweest ten aanzien
van FSV. Uit een eerste inventarisatie blijkt dat er eerder interne signalen zijn
geweest die onvoldoende zijn opgepakt. Ik laat dit op dit moment verder uitzoeken,
bijvoorbeeld op welk niveau deze meldingen zijn gedaan en wat hier mee gedaan is.
Ik zal hier met de volgende kwartaalrapportage Herstellen, Verbeteren en Borgen, die
ik begin 2022 aan uw Kamer wil sturen, op terugkomen.

28

Hoe groot is het team van de privacy officer na de uitbreiding? is dat voldoende voor
een complexe organisatie als de Belastingdienst?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds
maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke
medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

Naar aanleiding van de brief van de AP van 27 oktober 2021 over de privacyorganisatie
van de Belastingdienst worden verbeteracties in gang gezet. Daaruit zal naar voren
komen of nadere versterking van het team rond de privacy officer benodigd is.

Ook de kennis en vaardigheden om te voldoen aan de AVG bij de uitvoering moeten op
orde zijn. Alleen het versterken van het team van de privacy-officer zal dus niet
voldoende zijn.

29

Wanneer is de Belastingdienst AVG-compliant?

De Belastingdienst heeft in de periode 2017–2018 een programma uitgevoerd om de AVG
te implementeren. Uw Kamer is op 28 mei 201911 over de voortgang van de implementatie van de AVG bij de Belastingdienst geïnformeerd.
Ik concludeer dat het beeld dat eerder met uw Kamer is gedeeld, niet geheel volledig
en daarmee te positief is geweest. In mei 2019 heeft de Belastingdienst met name compliantie
verklaard over de aanwezigheid van de benodigde AVG-instrumenten, terwijl nog verdere
uitwerking nodig was binnen de organisatie. Bij de inventarisatie van gegevensverwerkingen
die door het AVG-programma in 2017/2018 is uitgevoerd ten behoeve van de verdere inrichting
van het AVG-verwerkingsregister, is ook het proces «analyseren, beoordelen en delen
van risicosignalen» naar boven gekomen. Het programma heeft risico’s met betrekking
tot het proces gesignaleerd, onder meer over het ontbreken van een GEB (toen nog Privacy
Impact Assessment genaamd). Deze risico’s zijn geadresseerd, daaraan is echter onvoldoende
opvolging gegeven.

Het rapport van de AP over FSV bevestigt dat het nog niet goed gaat. Naar aanleiding
van de problemen met naleving van de AVG is de Belastingdienst in 2020 met het programma
HVB gestart. In dat kader wordt onder andere gewerkt aan het op orde brengen van bedrijfsprocessen
en de daarbij behorende producten en voorzieningen. Ik heb in mijn Kamerbrief van
10 juli 2020 aangegeven dat hier minimaal drie jaar voor nodig is. Het voldoen aan
de AVG vergt een permanente inspanning en continu aandacht.

30

Kunt u een overzicht geven van alle onderzoeken die lopen en gelopen hebben naar FSV
en wie die uitvoeren, wat de vraag is (was) en wanneer de onderzoeken naar verwachting
klaar zijn?

Wanneer

wie

Inhoud

Op 28 april 2020 heb ik de bevindingen van een intern onderzoek naar FSV met uw Kamer
gedeeld1.

Intern

T.a.v. FSV is daarbij op het volgende ingegaan:

• Hoe werkte het FSV-systeem en wat merkten burgers en bedrijven hiervan?

• Wat was in het bijzonder de werking van het FSV-systeem bij Toeslagen?

• Welke problemen zijn er met het FSV-systeem?

Op 10 juli 20202 heb ik een onderzoek van KPMG naar FSV met uw Kamer gedeeld.

KPMG

KPMG onderzocht drie aspecten:

1. De werking en het gebruik van FSV en vergelijkbare applicaties in risicoselectie-
en toezichtprocessen.

2. De verkenning van de inrichting van informatiestromen.

3. De waarborgen rond de behandeling van signalen van mogelijke fraude.

Op 17 juni jl.3 heb ik de conclusies van een intern pilotonderzoek naar gegevensdeling uit FSV met
vier convenantpartners4 met uw Kamer gedeeld.

Intern

De vraag was of en in welke mate informatie uit FSV is gedeeld en hoe die informatie
binnen het desbetreffende samenwerkingsverband is gebruikt.

Op 29 oktober jl.5 heeft de Autoriteit Persoonsgegevens (AP) een onderzoek naar FSV gepubliceerd.

AP

De AP heeft onderzoek gedaan naar:

1. de rechtsgrond van de verwerking van de persoonsgegevens in de FSV-applicatie;

2. de beveiliging van de applicatie;

3. de bewaartermijnen die werden gehanteerd;

4. de juistheid van de persoonsgegevens;

5. de eisen die de AVG stelt aan een GEB.

Ik heb PwC gevraagd de effecten van registratie in FSV op burgers en bedrijven te
onderzoeken.

PwC

Onder vraag 18 ga ik in op de verschillende deelonderzoeken en de planning.

De onderzoeksvragen zijn:

1. Wat waren de effecten van een melding in FSV in het proces van selecteren en behandelen
voor toeslaggerechtigden?

2. In welke mate hebben deze effecten zich voorgedaan?

3. Wat kan er geconcludeerd worden over de rechtmatigheid van de besluitvorming en
het daaruit voortvloeiende handelen die (mede) gebaseerd waren op een melding in FSV?

4. Wat waren de eventuele implicaties van registratie van samenhangende signalen afkomstig
van het CAF in FSV?

X Noot

1

Kamerstuk 31 066, nr. 632.

X Noot

2

Kamerstuk 31 066, nr. 681.

X Noot

3

Kamerstuk 31 066, nr. 852.

X Noot

4

Regionale informatieve en expertisecentra Noord-Nederland, de landelijke stuurgroep
interventieteams (LSI), samenwerking onder artikel 64 Suwi en Informatie Knooppunt
Zorgfraude (IKZ).

X Noot

5

Kamerstuk 31 066, nr. 911.

31

Zijn de gegevens van FSV ooit via een automatisch systeem gekoppeld (geweest) aan
andere systemen zoals bijvoorbeeld bij het inlichtingenbureau?

Ik versta onder automatische koppelingen, een koppeling met een andere applicatie
of «plug-ins». Er is geen sprake geweest van geautomatiseerde koppelingen van FSV
met systemen van andere organisaties zoals het Inlichtingenbureau.

32

Kunt u de communicatie en aangeleverde stukken aan de AP vanuit de Belastingdienst/het
Ministerie van Financiën openbaar maken?

Ja, ik ben bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te
delen. Het samenstellen van dit dossier vraagt echter om een zorgvuldige aanpak. De
gevraagde stukken bevatten namelijk vertrouwelijke informatie van medewerkers van
de Belastingdienst. Daarnaast geven de gevraagde stukken mogelijk inzicht in de controleaanpak
van de AP. Op dit moment vindt over de aan te leveren stukken afstemming plaats tussen
de AP en de Belastingdienst. Ik vraag uw Kamer meer tijd om dit dossier samen te stellen.

33

Kunt u garanderen dat de FSV-lijst, de toepassing en de kenmerken vanuit de ICT niet
vernietigd zullen worden, ten einde altijd onderzoek te kunnen heropenen?

De Chief Information Security Officer (CISO) heeft een backup van de gegevens van
FSV met daarin de situatie per 26 februari 2020 veiliggesteld. Het voornemen is om
de gegevens van FSV inclusief de applicatie zolang te bewaren voor onderzoek in de
kluis zo lang als verantwoord en technisch haalbaar is.

Ik zal bezien of het mogelijk is de gegevens met betrekking tot FSV onder te brengen
bij het Nationaal Archief.

34

Heeft u ooit intern of extern advies gekregen of gevraagd over FSV de afgelopen tien
jaar? Zo ja, hoe luidde dat advies?

In mijn brief van 28 april 2020 ben ik ingegaan op de totstandkoming van FSV en heb
ik tevens een tijdlijn FSV toegevoegd.12 Hierin wordt ook ingegaan op de besluitvorming rond FSV.

Daarnaast verwijs ik u naar het Besluit Wob-verzoek FSV/zwarte lijsten dat op 27 januari
2021 openbaar is gemaakt. Als bijlage bij het besluit vindt u de openbaar gemaakte
stukken. Zoals ik in antwoord op vraag 32 heb aangegeven ben ik bereid om de documenten
van de Belastingdienst aan de AP met uw Kamer te delen.

35

Als er op 21 januari 2019 al een GEB is opgesteld, waarin de Belastingdienst zelf
de conclusie trok dat niet voldaan werd aan de privacyregels, waarom is de FSV dan
pas op 27 februari 2020 uitgeschakeld? Waarom is er dan nog ruim een jaar lang doorgegaan
met deze onrechtmatige zwarte lijst?

In november 2018 is binnen de Belastingdienst de opdracht gegeven om een GEB op te
stellen over FSV. De concept-GEB is opgeleverd in januari 2019. De reikwijdte van
de concept-GEB was te beperkt: alleen de applicatie zelf was onderwerp van onderzoek
en niet het volledige gebruik van persoonsgegevens in de toezichtprocessen. Dit had
wel gemoeten. Daarnaast had de conclusie van de concept-GEB op dit moment al aanleiding
moeten zijn om de privacy officer van de Belastingdienst en de Functionaris voor Gegevensbescherming
(FG) te betrekken om een oordeel te kunnen geven of er nog wel zorgvuldig conform
de AVG met het systeem gewerkt kon worden. Daar is onvoldoende aandacht voor geweest.

De Belastingdienst heeft in het kader van de AVG-onderzoek uitgevoerd naar applicaties
met (ruime) exportmogelijkheden. Naar aanleiding hiervan zijn maatregelen genomen
om de risico’s van het gebruik van FSV te beperken. In november 2019 is naar aanleiding
van deze risico’s verminderende maatregelen opnieuw onderzoek gedaan naar de conclusies
uit de concept-GEB. Dit heeft geleid tot een geactualiseerde GEB in november 2019.
Hierin wordt onder andere geconcludeerd dat naar aanleiding van het aanvullend onderzoek
al maatregelen zijn genomen, maar dat nog niet alle overige maatregelen uit de concept-GEB
zijn doorgevoerd. De conclusie uit de concept-GEB van januari 2019 had aanleiding
moeten zijn om de privacy officer van de Belastingdienst en de FG te betrekken. De
FG had als interne toezichthouder van het Ministerie van Financiën kunnen adviseren
over hoe omgegaan moest worden met de conclusies uit de concept-GEB. De privacy officer
en de FG hebben uiteindelijk op 20 februari 2020 kennisgenomen van deze concept-GEB.
Vanwege het belang van onder meer het verwerken van signalen voor het toezicht is
de bestaande voorziening (FSV) echter niet buiten gebruik gesteld. Achteraf bezien
is dit een onjuiste beslissing geweest. Zie ook de tijdlijn bij mijn brief van 28 april
2020.13

36

Hoe zijn de gebreken binnen FSV bij de invoering hiervan over het hoofd gezien?

Bij de ontwikkeling van FSV in 2013 stond het belang van juiste belastingheffing en
uitkering van toeslagen voorop. Er is toen onvoldoende aandacht gegeven aan het gebruik
en beveiligen van gegevens. Dat het op deze wijze omgaan met gegevens niet gepast
is, had echter eerder moeten worden ingezien en tot actie moeten leiden.

37

Wat wordt er concreet gedaan om de toetsing van systemen in de toekomst te verbeteren?

Aan uw Kamer is een systematische doorlichting van de processen en applicaties toegezegd.14 Onderdeel van deze doorlichting is de ontwikkeling van een controlelijst waarin de
randvoorwaardelijke wetgeving (AVG, BIO en archiefwet) praktisch is vertaald. Door
het opnemen van de vragen van de controlelijst in de methodieken voor het ontwerpen
van processen en applicaties, wordt beter geborgd dat nieuw ontworpen processen en
aanpassingen aan bestaande processen (inclusief de bijbehorende applicaties) aantoonbaar
invulling geven aan de vereisten van de AVG, BIO en Archiefwet. Hiermee wordt beter
invulling gegeven aan de privacy by design-principes uit de AVG.

38

Hoe worden de doeleinden voor dergelijke systemen nu opgesteld?

Aan uw Kamer is een systematische doorlichting van de processen en applicaties toegezegd15. Onderdeel van deze doorlichting is de ontwikkeling van een controlelijst waarin
de randvoorwaardelijke wetgeving (AVG, BIO en Archiefwet) praktisch is vertaald. Door
het opnemen van de vragen van de controlelijst in de methodieken voor het ontwerpen
van processen en applicaties, wordt beter geborgd dat nieuw ontworpen processen en
aanpassingen aan bestaande processen (inclusief de bijbehorende applicaties) aantoonbaar
invulling geven aan de vereisten van de AVG, BIO en Archiefwet. Hiermee wordt beter
invulling gegeven aan de privacy by design-principes uit de AVG. Verder wordt om te
voldoen aan de AVG bijvoorbeeld ook altijd het doel van de verwerking en het waarom
van de daarbij gebruikte applicatie(s) beschreven.

39

Welke oorzaken lagen ten grondslag aan het niet bijhouden, wissen en/of rectificeren
van gegevens?

Zoals de AP ook constateerde in haar rapport (paragrafen 3.5 en 3.6) bevatte FSV geen
functionaliteit om gegevens (definitief) te verwijderen en werden bevindingen uit
onderzoek op grond van signalen niet teruggekoppeld in FSV. Daardoor werden gegevens
niet conform de eisen van de AVG geactualiseerd, gewist of gerectificeerd.

40

Welke consequenties zijn er voor het te lang bewaren van gevoelige informatie, zoals
persoonsgegevens?

Het te lang bewaren van persoonsgegevens is in strijd met het beginsel van opslagbeperking
(artikel 5, eerste lid, aanhef en onder e, van de AVG); dit houdt in dat persoonsgegevens
niet langer mogen worden bewaard dan noodzakelijk. Als dat wel gebeurt, is dat onrechtmatig.

41

Hoe wordt voorkomen dat relevante experts te laat worden betrokken bij dergelijke
processen in de toekomst?

Zoals bij het antwoord op vragen 36 en 37 aangegeven, moeten nieuwe processen en de
aanpassing op bestaande processen ontworpen worden via het voortbrengingsproces. Het
voortbrengingsproces is een beschrijving van wat er nodig is om processen te veranderen.
Daar wordt nu, als onderdeel van de ontwerpmethodiek, aan gewerkt zodat relevante
experts op de juiste momenten betrokken zijn bij het ontwerpen en toetsen van processen
en applicaties.

42

Welke consultants, experts en/of adviezen zijn opgevraagd bij het opstellen en implementeren
van FSV?

De externe partij die de opdracht heeft gekregen voor de ontwikkeling en bouw van
FSV was CapGemini. In opdracht van de Belastingdienst heeft CapGemini de applicatie
PIT omgebouwd tot FSV. De Belastingdienst bleef verantwoordelijk voor de vormgeving
van de applicatie.

43

Hoeveel met FSV vergelijkbare lijsten met personen hebben er bestaan? Zijn dit er
211 of nog meer? Hoort de Uitsluitlijst van Toeslagen met 350.000 mensen hier ook
bij? Hoeveel met FSV vergelijkbare lijsten met personen zijn nog steeds in gebruik?

FSV was een applicatie. Aan KPMG is, bij het onderzoek naar FSV, tevens gevraagd of
er vergelijkbare applicaties zijn. KPMG heeft geen applicaties aangetroffen die in
sterke mate vergelijkbaar zijn met FSV16.

In mijn begeleidende brief bij het rapport van KPMG heb ik een inventarisatie van
lijsten met nationaliteit en/of risico- of fraudesignalen aangekondigd in de persoonlijke
omgeving. In mijn brief van 25 november 202117 geef ik de laatste stand van zaken op dit traject. Zoals daarin wordt uitgelegd zijn
er na analyse van de opbrengst van de inventarisatie 132 lijsten overgebleven. Wat
betreft gestructureerdheid variëren deze van lokaal ontwikkelde applicaties tot Word-
of Excelbestanden uit de persoonlijke omgeving van medewerkers. Het onderzoek naar
deze lijsten is nog niet voltooid.

In mijn brief van 10 juli 2020 ben ik ingegaan op het gebruik van FSV bij Toeslagen
en de uitsluitlijst. De uitsluitlijst van Toeslagen is niet een van de lijsten die
door medewerkers zijn aangeleverd tijdens de inventarisatie, want de lijst was destijds
al bekend bij het managementteam Toeslagen. Zo wordt ernaar verwezen in het interim-rapport
van de Adviescommissie uitvoering toeslagen van 14 november 201918. Door plaatsing op de uitsluitlijst wordt voorkomen dat er een definitieve beschikking
verzonden wordt voor specifieke toeslagen en toeslagjaren. De functie van de uitsluitlijst
wordt momenteel ingebed in vaktechnisch gevalideerde behandelplannen.

44

Klopt het dat er een nieuwe signaleringslijst bestaat voor het delen van gegevens
rondom fraude? Hoe heet deze lijst en hoe werkt deze? Zijn de AP en de FG bij deze
lijst betrokken geweest? Zo ja, op welke wijze?

Er is een nieuw proces ontworpen voor het beoordelen en behandelen van externe signalen
en er is een tijdelijke applicatie ontwikkeld ter ondersteuning van dit proces. Dit
proces en de applicatie zijn momenteel nog niet in gebruik. Voor de verwerkingen van
persoonsgegevens in het proces is een GEB opgesteld die in concept aan de FG is voorgelegd
voor advies. Op dit moment worden de implicaties van het AP-rapport voor deze GEB
in kaart gebracht. Na aanpassing van de GEB zal deze nogmaals aan de FG en aan de
AP worden voorgelegd voor toetsing en advies. Het nieuwe signalenproces en de applicatie
zullen niet in gebruik worden genomen voordat de GEB is aangepast aan de adviezen
van FG en AP, is vastgesteld door de hiervoor verantwoordelijke directeuren en de
in de GEB beschreven maatregelen zijn geïmplementeerd.

45

Wanneer is het wetsvoorstel Wet waarborgen gegevensbescherming Belastingdienst in
de Kamer te verwachten?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane
wordt op dit moment voorbereid, in nauwe samenwerking met de betrokken onderdelen
van de Belastingdienst, Toeslagen en Douane. De gegevensverwerking door de Belastingdienst,
Toeslagen en Douane is omvangrijk, en vraagt om een zorgvuldige voorbereiding van
het wetsvoorstel. Daarna volgen nog een internetconsultatie, advisering door de Autoriteit
Persoonsgegevens, besluitvorming door het kabinet en advisering door de Raad van State.
Ik verwacht het wetsvoorstel op zijn vroegst in het najaar van 2022 bij uw Kamer in
te dienen.

46

Kunt u een inschatting geven met betrekking tot de termijn van de uitvoering van de
aangenomen moties?

In mijn brief van 25 november 202119 ga ik in op de uitvoering van een aantal moties van de leden Marijnissen20, Azarkan21 en Snels22. In het kader van de eerste motie van het lid Marijnissen zijn inmiddels 200.000
brieven aan mensen in FSV verzonden. Begin 2022 verwacht ik de resterende brieven
te kunnen verzenden. In dezelfde motie van het lid Marijnissen wordt de regering verzocht
onrechtmatige of oneigenlijk gebruikte data binnen de overheid op te ruimen. Over
de interdepartementale aanpak van dit verzoek rapporteert de Staatssecretaris van
Binnenlandse Zaken en Koninkrijksrelaties23. Voor de uitvoering van de tweede motie van het lid Marijnissen verwacht ik, als
de benodigde informatie aanwezig is, voor het eind van 2021 het merendeel van de brieven
met de reden van registratie te kunnen verzenden. Wanneer het onder vraag 18 genoemde
onderzoek van PwC naar externe gegevensdeling uit FSV is voltooid, zal ik de burgers
die in FSV stonden hierover – indien dit mogelijk is – informeren. De motie van het
lid Azarkan om inzage in FSV op een laagdrempelige manier mogelijk te maken, is uitgevoerd.
Onder vraag 51 ga ik nader in op de uitvoering van de motie van het lid Snels.

47

Is er direct contact met gedupeerden? Hoe wordt dit vormgegeven? Wat wordt hieruit
meegenomen?

Ja, er is direct contact. Personen die in de FSV staan kunnen telefonisch contact
opnemen met een meldpunt bij de Belastingdienst. Tot nu is ongeveer 14.000 keer contact
opgenomen met dit meldpunt. Circa 500 daarvan hadden specifieke vragen die niet in
één telefonisch contact konden worden beantwoord. Deze zijn doorgezet naar specialisten.
Deze specialisten doen onderzoek op de door betrokkene gestelde vraag of vragen, formuleren
een antwoord en bellen betrokkene vervolgens om dit antwoord te geven en desgewenst
verder te bespreken.

De tweede stroom direct contact bestaat uit betrokkenen die een klacht indienen. Tot
op heden zijn er bijna 200 klachten ontvangen. Klachten worden ook onderzocht door
specialisten. Nadat een antwoord is geformuleerd worden betrokkenen gebeld om de klacht
te bespreken en te beantwoorden. Tot nu toe kon 90% van alle binnengekomen klachten
op deze wijze worden afgehandeld.

48

Hoe breed is het onderzoek naar in welke mate gedupeerden zijn geraakt door de misstanden?
Wat is de concrete onderzoeksvraag en welke aspecten worden bekeken?

Onder vraag 30 zijn de onderzoeksvragen van het onderzoek van PwC naar de effecten
van FSV op burgers en bedrijven beschreven.

49

Klopt het dat circa 5.000 medewerkers vrijelijk toegang hadden tot de FSV? Klopt het
dat zij naar hartenlust nieuwe gegevens konden toevoegen of weghalen? Klopt het dat
FSV dus enigszins leek op wikipedia?

Het klopt dat er 5000 autorisaties waren om FSV te raadplegen. Zoals uiteengezet in
het rapport van de AP24 was het aantal autorisaties om FSV te raadplegen 160 bij ingebruikname in 2013 en
liep dit op naar 5.000 in mei 2019, om daarna tot 1.300 teruggebracht te worden. Zoals
beschreven in de beantwoording van Kamervragen van 13 oktober 202025 betreft het genoemde aantal van ruim 5.000 geen medewerkers maar toegekende permissies.
Het aantal unieke medewerkers dat toegang had tot FSV, was 4.249. Een medewerker kan
meerdere permissies vanwege meerdere rollen hebben. Daardoor is het aantal medewerkers
(4.249) lager dan het aantal permissies. 3.319 medewerkers van de 4.249 hadden de
permissie om te raadplegen. 930 medewerkers hadden naast de permissie om te raadplegen
ook permissie om signalen op te voeren of te wijzigen. Het opvoeren of wijzigen van
een signaal werd gelogd. Ten aanzien van het wijzigen is nog wel van belang dat het
vastleggen van mutaties in FSV zeer beperkt was.

Mij zijn geen signalen bekend van het naar hartenlust gegevens toevoegen of weghalen.
Medewerkers mogen ervan uitgaan dat de hulpmiddelen die door de werkgever ter beschikking
gesteld zijn om de complexe taken van de Belastingdienst uit te voeren, veilig zijn
en voldoen aan de wettelijke vereisten. Dat was bij FSV niet het geval. FSV leek niet
op de openbare internetencyclopedie Wikipedia.

50

Klopt het dat de gegevensbescherming in FSV niet op het niveau van een fatsoenlijke
rechtsstaat was? Bestaan dergelijke zwarte lijsten ook in andere landen? Welke landen
zijn dit? Zijn dit democratische rechtsstaten of autoritaire staten met een onvolledige
rechtsstaat of zelfs dictaturen?

De verwerking van gegevens in FSV voldeed niet aan de eisen van de AVG. Ik heb geen
inzicht in de gegevensverwerking in andere landen.

51

Wanneer is er besluitvorming te verwachten over de compensatieregeling voor FSV?

Ik heb PwC gevraagd onderzoek te doen naar de effecten van FSV op burgers en bedrijven.
Vooruitlopend op de uitkomsten van het onderzoek wordt al nagedacht over mogelijke
oplossingen. Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën
een technische briefing gegeven aan de vaste commissie voor Financiën van uw Kamer
over de mogelijke opties voor het bieden van herstel aan burgers in FSV. De verschillende
opties worden de komende periode verder uitgewerkt waarna, naar verwachting, in de
eerste helft van 2022 besluitvorming in afstemming met uw Kamer kan plaatsvinden.

Op 1 februari jl. heeft de Tweede Kamer de motie van het lid Snels c.s.26 aangenomen. Hierin wordt de regering verzocht in kaart te brengen hoeveel mensen
door een vermelding in FSV ten onrechte geschaad zijn en welke schade deze mensen
ondervonden hebben en op basis hiervan een mogelijke compensatieregeling uit te werken
voor onterecht geraakte burgers. Om hier uitvoering aan te geven loopt het onderzoek
van PwC en het traject identificatie van benadeling bij afwijzing MSNP.

52

Klopt het dat een notering in FSV niet alleen leidde tot het niet toekennen van minnelijke
schuldsaneringen, zoals tot voor kort werd beweerd, maar dat deze gevolgen veel breder
waren?

Ik heb PwC gevraagd de effecten van registratie in FSV te onderzoeken. Op de conclusies
van dit rapport kan ik niet vooruitlopen. In de technische briefings van 14 en 28 oktober
jl. is ingegaan op mogelijke effecten en is er op gewezen dat de effecten vooral een
gevolg zijn van de risico-onderzoeken en niet zozeer van registratie in FSV.

53

Klopt het dat veel mensen een notering in FSV ervaren als een stigma in de zin dat
zij zijn opgenomen op een fraudelijst en dus zijn beschouwd als fraudeur?

Ik kan mij voorstellen dat mensen een registratie in FSV als stigmatiserend ervaren.
Bij het speciale telefoonnummer voor FSV stellen mensen regelmatig de vraag of hun
registratie betekent dat zij als fraudeur worden gezien.

FSV was een systeem om verschillende signalen te registreren, niet alleen signalen
van risico’s in een aangifte of mogelijke fraude. De naam Fraudesignaleringsvoorziening
was daarmee dus ongelukkig gekozen. Ook waar een registratie wel een fraudesignaal
betrof, betekent dit niet dat de persoon in kwestie automatisch als fraudeur is gezien;
het betekent slechts dat er een signaal is ontvangen. Zoals bekend voldeed FSV niet
aan AVG.

54

Hoe en wanneer is de naam Fraude Signalering Voorziening tot stand gekomen? Was dat
in de periode (2012–2014) waarin overal fraude werd vermoed?

De naam Fraude Signalering Voorziening (ook wel Fraude Signalen Voorziening) is tot
stand gekomen in de periode waarin de applicatie werd ontwikkeld, in 2012/2013. Achteraf
gezien had deze naam niet gekozen moeten worden omdat de naam niet aansluit bij de
functionaliteit (zie ook vraag 53).

55

Klopt het dat er ook meldingen via Meld Misdaad Anoniem in de FSV staan? Welke filters
werden bij meldingen toegepast?

Ja, dat klopt. Zie hierover het antwoord op vraag 21. Er werden geen filters op meldingen
toegepast.

56

Kunt u aangeven wat de stand van zaken is aangaande de Wet waarborgen gegevensverwerking
Belastingdienst?

Het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane
wordt op dit moment voorbereid, in nauwe samenwerking met de betrokken onderdelen
van de Belastingdienst, Toeslagen en Douane. De gegevensverwerking door de Belastingdienst,
Toeslagen en Douane is omvangrijk, en vraagt om een zorgvuldige voorbereiding van
het wetsvoorstel. Daarna volgen nog een internetconsultatie, advisering door de Autoriteit
Persoonsgegevens, besluitvorming door het kabinet en advisering door de Raad van State.
Ik verwacht het wetsvoorstel op zijn vroegst in het najaar van 2022 bij uw Kamer in
te dienen.

57

Klopt het dat het ook ging om het niet toekennen van aftrekposten, afwijken van de
belastingaangifte, extra controles, strengere controles dan gebruikelijk, verscherpt
toezicht, vertraging in het vaststellen van definitieve aanslagen, niet toekennen
van toeslagen, waaronder de kinderopvangtoeslag, het niet toekennen van andere fiscale
faciliteiten en betalingsregelingen en het opleggen van boetes en andere straffen?
Is dit een volledige opsomming van benadelingseffecten of zijn er nog meer?

Op dit moment verricht PwC onderzoek naar de effecten voor burgers en bedrijven van
registratie in FSV. Ik kan nog geen opsomming geven over de effecten en ook geen volledige
opsomming geven. In de technische briefings van 14 en 28 oktober jl. is ingegaan op
mogelijke effecten.

58

Van welk formaat duidt u de genoemde problemen binnen de Belastingdienst als het gaat
om de AVG?

De Belastingdienst voldoet onvoldoende aan de AVG. Deze conclusie is zeer hard en
vraagt om een grootschalige verbeteraanpak. Zie voor het plan van aanpak verbeteren
privacyorganisatie ook het antwoord op vraag 1.

59

Hoe wordt toegezien op de implementatie van de genoemde adviezen?

In vervolg op de brief van de AP van 27 oktober 2021 worden plannen van aanpak gemaakt.
Uw Kamer wordt in het eerste kwartaal 2022 geïnformeerd over de voortgang. Zie hiervoor
ook het antwoord op vraag 1.

60

Uit hoeveel fte zal het team van de privacy officer bestaan? Wanneer zal deze personeelscapaciteit
zijn gerealiseerd?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds
maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke
medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

61

Bij welk gedeelte van de 270.000 mensen op de FSV lijst zal de reden niet meer te
achterhalen zijn?

Op 14 en 28 oktober jl. hebben ambtenaren van het Ministerie van Financiën een technische
briefing gegeven aan de vaste commissie voor Financiën van uw Kamer over de mogelijke
opties voor het bieden van herstel aan burgers in FSV. Daarbij is aangegeven dat voor
50–60% van de FSV-geregistreerden een reden waarschijnlijk niet te achterhalen is.
Als er geen reden te achterhalen is, komt dit met name omdat veel FSV opnames voortkomen
uit PIT (voorganger van FSV). Bij de migratie vanuit PIT naar FSV zijn veel details
verloren gegaan, wat analyse en het achterhalen van de reden van registratie moeilijk
tot onmogelijk maakt.

62

Bij welk gedeelte van de 270.000 mensen op de FSV lijst is er ook sprake van terugvorderen
van toeslagen?

Bij 105.000 mensen heeft in hetzelfde belastingjaar als het jaar waarin een betrokkene
is opgenomen in FSV een terugvordering op de toeslag plaatsgevonden. Bij bijna 165.000
mensen heeft een terugvordering op de toeslag plaatsgevonden, als wordt gekeken vanaf
het moment van registratie in FSV tot en met nu. Dit hoeft geen relatie te hebben
met FSV, omdat het terugvorderen verweven is met het huidige toeslagenstelsel.

Er kan om meerdere redenen sprake zijn van terugvorderen van toeslagen. Zo kan er
terugvordering volgen uit een correctie op de aangifte inkomstenheffing, maar kan
er ook een terugvordering plaatsvinden bij verandering in aantal uren, bij de kinderopvang
of andere feitelijke jaarinkomens dan vooraf werd verwacht door de toeslaggerechtigden.
Gemiddeld genomen over alle toeslagen, niet alleen voor mensen in FSV, leidde het
definitief toekennen van de toeslag tot een terugvordering bij 31% van de aanvragers
over toeslagjaar 2012, welk percentage is teruggedrongen tot 20% over 2018.

De effecten van registratie in FSV en de effecten op toeslagen worden momenteel door
PwC onderzocht.

Zie hiervoor het antwoord op vraag 3.

63

Klopt het dat er ook meldingen via ECD-FIOD in de FSV staan? Welke filters werden
hierbij toegepast?

Het is mogelijk dat er meldingen in FSV staan via de FIOD. Deze zijn niet door de
FIOD zelf in FSV geplaatst, want de FIOD heeft geen mutatierechten in FSV gehad. Indien
bij de FIOD een binnengekomen signaal (na beoordeling) is doorgezet naar de Belastingdienst,
kan deze melding in FSV zijn opgenomen met een verwijzing naar FIOD. Er zijn hierbij
geen aparte filters toegepast.

64

Kunt u schetsen hoe de AP guidance heeft verleend bij de uitvoering van het interne
toezicht op de totstandkoming van de vervanging voor het FSV-systeem?

De bedoelde guidance is op initiatief van de AP in een aantal gesprekken verleend aan de FG in het licht
van het advies van de FG van 9 juni 2021 over een (concept) GEB betreffende een nieuw
proces voor het behandelen van signalen en de daarvoor te gebruiken ondersteunende
applicatie. Deze guidance is te plaatsen in het kader van het in de AVG bedoelde overleg tussen de AP en de
FG (artikel 39, eerste lid, onderdeel e, AVG). Zoals eerder aangegeven zal een naar
aanleiding van het AP-rapport over FSV aangepast concept van deze GEB nogmaals aan
de FG, en in het kader van de in de AVG bedoelde voorafgaande raadpleging (artikel 36
AVG), ook aan de AP worden voorgelegd.

65

Hoe staat het, los van het team FG, met het opzetten van een privacy-organisatie binnen
de Belastingdienst ter bevordering van de naleving van de AVG?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds
maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke
medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

66

Hoe is het interne toezicht binnen de Belastingdienst versterkt?

Voor wat het interne toezicht door de FG betreft geldt het volgende. De Belastingdienst
valt onder het interne toezicht van de FG van het Ministerie van Financiën. Zie hiervoor
ook de beantwoording van vraag 15. Vanaf augustus 2020 heeft de FG van Financiën een
team met in totaal 5 personen (4,2 fte). Daarnaast kan de FG de ADR verzoeken om ten
behoeve van de FG-audits uit te voeren.

67

Hoe staat het met de integrale beoordelingen van risico’s binnen de Belastingdienst?

Risicomanagement is een continu proces om risico’s inzichtelijk en beheersbaar te
krijgen aansluitend op de afgesproken doelstellingen.

Uiteindelijk dienen risicomanagement en risico denken een standaardonderdeel te zijn
van de manier van werken bij onze medewerkers.

Sinds 2019 werkt Belastingdienst aan het verbeteren van het risicomanagement in het
programma Managementinformatie en Risicomanagement (MI/RM). Het programma MI/RM heeft
als doelstelling om een risicomanagement aanpak werkend te krijgen. In voorbereiding
op het Jaarplan Belastingdienst 2022 is opnieuw een strategische risicoanalyse (SRA)
uitgevoerd.

In 2022 ligt de nadruk op het versterken van de risicobeheersing voor de strategische
toprisico's door maatregelen te definiëren om het restrisico te verlagen tot een acceptabel
niveau en het monitoren van de ontwikkelingen van de strategische risico’s.

Het informatiebeveiligingsrisico is aangemerkt als toprisico voor de Belastingdienst,
waaronder het voldoen een privacy-eisen en wet- en regelgeving.

Met betrekking tot de AVG loopt het project AO/IC op orde en worden de dienstonderdelen
geholpen met het beschrijven van hun processen en waar mogelijk met het toetsen van
hun processen op het voldoen aan de Algemene Verordening Gegevensbescherming (AVG),
de Baseline Informatiebeveiliging Overheid (BIO) en de Archiefwet.

68

Is het totaaloverzicht van de keten van verwerkingen door de Belastingdienst verbeterd?
Zo, ja op welke manier?

De processen van de ketens van de Belastingdienst zijn in architectuurproducten beschreven.
Het verbetertraject voor het register van verwerkingen sluit hierop aan. Hierdoor
verbetert het totaaloverzicht van de ketens van verwerkingen gaandeweg. Ik heb in
mijn Kamerbrief van 10 juli 2020 aangegeven dat hier minimaal drie jaar voor nodig
is.

69

Hoe is de privacy-organisatie binnen de Belastingdienst verbeterd?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds
maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke
medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

De Belastingdienst heeft in het kader van het plan HVB-activiteiten in gang gezet
om kennis en vaardigheden te vergroten, voor de bewustwording is een spel ontwikkeld
(Online Security Awareness Game), alle nieuwe medewerkers krijgen in het kader van
hun inwerkprogramma een AVG-cursus en verder wordt een vaktechnische infrastructuur
voor gegevens ingericht.

70

Heeft de uitbreiding van functies in team FG ervoor gezorgd dat naleving van de AVG
op orde is?

Een FG houdt, als intern toezichthouder, op basis van de AVG-toezicht en adviseert
over de verplichtingen van de AVG. Het toezicht en het advies van de FG zijn bedoeld
om bij te dragen aan de naleving van de AVG. Dit vanuit de zogenaamde «derde lijn»
van verantwoordelijkheden. Een versterking van het interne toezicht, hoe groot ook,
betekent niet automatisch dat de organisatie daardoor de naleving op orde heeft, maar
levert daar wel een grotere bijdrage aan.

71

Om hoeveel middelen beschikt team FG voor de naleving van de AVG?

Het Team FG van Financiën beschikt over 4,2 fte personeel over totaal 5 personen,
met daarnaast de mogelijkheid om de Audit Dienst Rijk te verzoeken ten behoeve van
de FG audits uit te voeren. Tevens is er de mogelijkheid om in te huren of onderzoeken
uit te besteden en beschikt men over een opleidingsbudget.

72

Hoe staat het met de volledige vervanging van FSV? Zijn alle GEB’s in dat kader voorgelegd
aan team FG? Zo nee, waarom niet?

Zoals aangegeven in het antwoord op de vragen 4 en 44 zijn een nieuw proces en een
nieuwe ondersteunende applicatie voor het beoordelen en behandelen van signalen ten
behoeve van het toezicht ontwikkeld. Op de verwerkingen van persoonsgegevens wordt
een GEB uitgevoerd. De FG heeft op het concept van de GEB-advies uitgebracht. De vaststelling
van de GEB is opgeschort tot de implicaties van het rapport van de AP over FSV in
beeld zijn gebracht en verwerkt. Op basis van de aangepaste GEB brengt de FG hernieuwd
advies uit. Ook wordt de AP om advies gevraagd over de aangepaste GEB. Het proces
en de applicatie worden niet eerder dan na afronding van deze stappen in gebruik genomen.

73

Kunt u, gelet op het feit dat de rollen, functies en werkprocessen gegevensbescherming,
privacy, databeheersing en beveiliging en aanverwante processen worden verbeterd,
een overzicht geven waaruit die verbeteringen bestaan?

De volgende acties zijn uitgevoerd:

• Het FG-team bij het kerndepartement is uitgebreid met een plaatsvervangend FG een
jurist/beleidsmedewerker en een beleidsondersteunend medewerker.

• Het team van de privacy officer van de Belastingdienst is uitgebreid met 2 adviseurs.

• Er is een project «verbeteren register van verwerkingen» met een projectleider.

• Er is een GEB-brigade van 3 personen externe inhuur (onderdeel van de 4 medewerkers
tijdelijke inhuur zoals beschreven in vraag 19) die helpen om de achterstanden op
de GEB’s weg te werken en tevens te helpen bij het verbeteren van het register van
verwerkingen.

• Elke dienstonderdeel binnen de Belastingdienst richt een afdeling informatiehuishouding,
data en security in (I&DS), ook ter ondersteuning van de belastingdienst brede ketens.

• Het programma AO/IC op orde is opgezet. Dit programma ondersteunt de dienstonderdelen
bij het doorlichten en compliant maken van hun processen. De doelstellingen uit het
project BOO (bedrijfsprocessen op orde) zijn in dit programma overgenomen.

• Een evaluatie ter verbetering van de rol van data coördinator is uitgevoerd en acties
worden uitgezet.

• Een GEB-procedure voor de Belastingdienst is vastgesteld.

• De Belastingdienst loopt mee in het programma Informatie op orde (IOO) van Financiën
en heeft een eigen regieprogramma Informatiehuishouding op Orde Belastingdienst (PRIO
BD) ingesteld.

• Een bewustwordingscampagne voor medewerkers is opgezet en loopt momenteel.

• Een ondersteuningsprogramma BIO her-implementatie is opgezet en gestart.

74

Met hoeveel fte is het team van de privacyofficer uitgebreid?

Het team rond de privacy officer is uitgebreid met twee medewerkers en bestaat sinds
maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke
medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.

75

Om hoeveel GEB's ging het, gelet op het feit dat er extra medewerkers zijn ingehuurd
om het beoordelen van GEB’s te bespoedigen? Om hoeveel fte aan extra medewerkers inhuur
gaat het? Waarom zijn dit geen vaste plekken?

Op peildatum 18 oktober 2021 waren er 38 GEB’s waar nog geen advies op is uitgebracht.
De inhuur voor de GEB-werkzaamheden bestaat uit 3 personen (onderdeel van de 4 medewerkers
tijdelijke inhuur zoals beschreven in vraag 19). De reden dat dit geen vaste plekken
zijn, is dat het om een inhaalslag met een tijdelijk karakter gaat. Structurele inbedding
volgt als duidelijk is hoe de privacy-organisatie verbeterd moet worden.

76

Hoe is de procedure voor het uitvoeren van GEB’s?

De GEB-procedure is op 29 oktober 2020 vastgesteld door het Directieteam Belastingdienst
(DT BD) en is sindsdien in gebruik. De procedure zal in 2022 worden herijkt.

Deze procedure beschrijft welke stappen altijd moeten worden doorlopen bij een (voornemen)
van een nieuwe verwerking, een wijziging in een verwerking die nieuwe risico’s met
zich brengt of bij een herijking van een verwerking (elke drie jaar).

De GEB-procedure bestaat uit de stappen:

– Een vooranalyse waarbij de interne verwerkingsverantwoordelijke wordt vastgesteld
en wordt beoordeeld of het uitvoeren van een GEB verplicht dan wel noodzakelijk is;

– Juridische toetsing

– Risicoanalyse

– Ontwerp verwerking

– Appreciatie door de concerndirectie Informatievoorziening en Databeheersing

– Corrigerende maatregelen initiëren

– Advies FG

– Verwerken advies FG

– Interne verwerkingsverantwoordelijke tekent voor kennisname advies en besluit opvolging

– Bijwerken van het register van verwerkingen

77

Hoe is de borging van de betrokkenheid van de FG geformaliseerd?

Zie het antwoord op vragen 15 en 76. Daarnaast is het voorschrift om bij het uitvoeren
van een GEB het advies van de FG in te winnen, opgenomen in de GEB-procedures van
het Ministerie van Financiën en van de Belastingdienst. De FG is bij Financiën bovendien
de (functioneel) beheerder van het register van verwerkingsactiviteiten, waardoor
hij rechtstreeks inzicht heeft in de ontwikkeling van het register, van welke intern
verwerkingsverantwoordelijke de verantwoordelijkheid voor welke in het register te
vermelden gegevensverwerking geaccepteerd heeft. Daarnaast regelt het privacybeleid
van Financiën de betrokkenheid van de FG bij verschillende overleggremia.

De verplichting om de FG om advies te vragen volgt uit de AVG.

Uitgevoerde GEB’s worden door de Belastingdienst voor advies voorgelegd aan de FG.
Verder vinden structureel overleggen plaats over bijvoorbeeld het verbeteren van de
kwaliteit van het register van verwerkingsactiviteiten en over datalekken.

78

Hoe is de bewustwording van medewerkers vergroot? Waaruit bestaat het plan?

Het is essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich
bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. In dit kader
krijgen alle nieuwe medewerkers als onderdeel van hun inwerkprogramma een AVG-cursus.
Onderdeel van het plan HVB is het beschikbaar stellen van een nieuwe intranetpagina
rondom «verantwoord omgaan met gegevens». Sinds oktober 2021 is de Online Security
Awareness Game beschikbaar voor alle medewerkers van de Belastingdienst, en voor de
medewerkers van Douane en Toeslagen. De spelrondes zullen periodiek worden herhaald,
geactualiseerd of worden uitgebreid met actuele thema’s. Door middel van verschillende
spelrondes die zijn afgestemd op de Belastingdienst, wordt op een laagdrempelige manier
aandacht besteed aan bewustwording op het gebied van beveiliging en AVG.

79

Op welke wijze wordt de «bewustwording van medewerkers vergroot» zoals aangegeven
onderaan op pagina 4 van uw brief?

Het is essentieel dat medewerkers verantwoord omgaan met gegevens en dat zij zich
bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet. In dit kader
krijgen alle nieuwe medewerkers als onderdeel van hun inwerkprogramma een AVG-cursus.
Onderdeel van het plan HVB is het beschikbaar stellen van een nieuwe intranetpagina
rondom «verantwoord omgaan met gegevens». Sinds oktober 2021 is de Online Security
Awareness Game beschikbaar voor alle medewerkers van de Belastingdienst, en voor de
medewerkers van Douane en Toeslagen. De spelrondes zullen periodiek worden herhaald,
geactualiseerd of worden uitgebreid met actuele thema’s. Door middel van verschillende
spelrondes die zijn afgestemd op de Belastingdienst, wordt op een laagdrempelige manier
aandacht besteed aan bewustwording op het gebied van beveiliging en AVG.

80

Worden de risico’s voor de rechten en vrijheden beschouwd vanuit de gehele keten?
En waaruit blijkt dat?

Ik lees uw vraag zo, dat u vraagt naar de risico’s voor de rechten en vrijheden bij
het nieuwe signalenproces. Er is een nieuw proces voor de beoordeling van signalen
uitgewerkt, met een tijdelijke ondersteunende applicatie, Tijdelijke Signalerings
Voorziening (TSV). Voordat de applicatie in gebruik wordt genomen, wordt op het signalenproces
een GEB uitgevoerd. Om te zorgen dat de omgang met persoonsgegevens aan de vereisten
voldoet, bekijkt de Belastingdienst welke implicaties het recent verschenen rapport
van de Autoriteit Persoonsgegevens over FSV heeft voor het herziene proces en de applicatie.
Nadat deze implicaties zijn beoordeeld en de GEB hierop is aangepast, getoetst door
de FG en vervolgens voorgelegd voor advies aan de AP, wordt een besluit genomen over
het hervatten van het signalenproces.

81

Klopt het dat PwC vijf onderzoeken uitvoert? Wanneer zijn deze onderzoeken te verwachten?

Het klopt dat er drie deelonderzoeken en twee aanvullende opdrachten zijn. Onder vraag
18 ben ik nader ingegaan op de planning van deze onderzoeken.

82

Hoe ziet de privacy organisatie binnen de Belastingdienst zelf er op dit moment uit
(functionarissen, rollen, part-time/full-time, plek in het organogram en doorzettingsmacht)?
Acht u dit voldoende?

Het team rond de privacy officer is uitgebreid met twee personen en bestaat sinds
maart 2021 uit zes vaste medewerkers. Daarnaast beschikt het team over vier tijdelijke
medewerkers.

Verder beschikt ieder onderdeel of directie van de Belastingdienst over een contactpersoon
voor vragen over gegevensbescherming, de zogenoemde datacoördinator. De meeste directies
hebben echter meer medewerkers voor wie gegevensbescherming onderdeel is van het takenpakket.
Ik ben van mening dat dit niet voldoende is, dit zou verder uitgewerkt moeten worden
in de nieuwe privacyorganisatie.

83

Is er een privacy organisatie binnen de Douane en binnen de Belastingdienst/Toeslagen?
Zo ja, hoe ziet die eruit?

De Douane maakt, tot het moment dat de privacyorganisatie bij de Douane zelf is ingericht,
onderdeel uit van de privacyorganisatie van de Belastingdienst. Intern heeft de Douane
het op dit moment zo georganiseerd dat op centraal en decentraal niveau privacy medewerkers
als vraagbaak dienen voor privacyvraagstukken vanuit de organisatie. De centrale datacoördinator
bij de Douane is aangesloten bij het Belastingdienst brede privacy overleg en voert
structureel overleg met de FG en met de privacy officer van de Belastingdienst.

Binnen DG Toeslagen is de privacyorganisatie in oprichting. Toeslagen maakt, tot het
moment dat de privacyorganisatie bij Toeslagen is ingericht, onderdeel uit van de
privacyorganisatie van de Belastingdienst. Intern heeft Toeslagen het op dit moment
zo georganiseerd dat op centraal en decentraal niveau privacy medewerkers als vraagbaak
dienen voor privacyvraagstukken vanuit de organisatie. De datacoördinatoren bij Toeslagen
zijn aangesloten bij het Belastingdienst brede privacyoverleg. Daarbij voert de Privacycoördinator
structureel overleg met de FG en met de privacy officer van de Belastingdienst.

De Douane, Toeslagen en Belastingdienst hebben afspraken gemaakt over de borging van
privacy bij de ontvlechting. De huidige situatie blijft gehandhaafd tot het moment
dat de privacyorganisatie bij de Douane en Toeslagen is ingericht om de werkzaamheden
en taken die de Belastingdienst op dit moment voor hen verricht op het terrein van
privacy over te nemen. De eerste stap heeft de Douane gezet door per 1 december 2021
een Chief Privacy Officer (CPO) aan te stellen. Bij Toeslagen komt er op termijn ook
een eigen CPO. De komende periode wordt de privacyorganisatie van de Douane en Toeslagen
verder ingericht. Deze inrichting vindt plaats in samenhang met de actie, en actieplannen,
om de privacy-organisatie van Financiën te versterken.

84

Kunt u het «verslag verklaringen medewerkers Belastingdienst werking FSV» afgelegd
op 30 juni 2020 aan de Kamer doen toekomen, eventueel na overleg met de AP?

Ja, ik ben bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te
delen. Het samenstellen van dit dossier vraagt echter om een zorgvuldige aanpak. De
gevraagde stukken bevatten namelijk vertrouwelijke informatie van medewerkers van
de Belastingdienst. Daarnaast geven de gevraagde stukken mogelijk inzicht in de controleaanpak
van de AP. Op dit moment vindt over de aan te leveren stukken afstemming plaats tussen
de AP en de Belastingdienst. Ik vraag uw Kamer meer tijd om dit dossier samen te stellen.

85

Kunt u een lijst maken van de stukken die u heeft aangeleverd aan de AP? Zijn die
stukken openbaar? Zo nee, waarom niet?

Ja, ik ben bereid om de documenten van de Belastingdienst aan de AP met uw Kamer te
delen. Het samenstellen van dit dossier vraagt echter om een zorgvuldige aanpak. De
gevraagde stukken bevatten namelijk vertrouwelijke informatie van medewerkers van
de Belastingdienst. Daarnaast geven de gevraagde stukken mogelijk inzicht in de controleaanpak
van de AP. Op dit moment vindt over de aan te leveren stukken afstemming plaats tussen
de AP en de Belastingdienst. Ik vraag uw Kamer meer tijd om dit dossier samen te stellen.

86

Welke verzoeken heeft het Ministerie van Financiën ontvangen in februari 2021 van
de AP? Welke activiteiten zijn hierop in gang gezet?

Op 25 februari 2021 heeft de AP aan de Staatssecretarissen van Financiën twee (dezelfde)
brieven gestuurd, waarin de Belastingdienst wordt gewezen op het recht op inzage voor
betrokkenen in FSV. In vervolg op het notaoverleg van 1 februari 2021 (Kamerstuk 31 066, nr. 784) en de tijdens het overleg gedane toezegging om burgers die voorkomen in FSV-uitsluitsel
te gaan geven, verzoekt de AP dringend om bij het informeren van de betrokkenen expliciet
te wijzen op de mogelijkheid tot het indienen van een inzageverzoek in FSV bij de
Belastingdienst. De AP geeft aan dat betrokkenen op deze manier actief gefaciliteerd
worden in het uitoefenen van hun privacyrecht. Deze brief is op 25 maart 2021 aan
uw Kamer gestuurd.

De Belastingdienst heeft gehoor gegeven aan het verzoek van de AP. In de informatiebrieven
aan betrokken burgers die in FSV staan, worden zij gewezen op hun recht op inzage.
Ook is dit laagdrempelig mogelijk via de website.