FSV Discussiedocument Stuurgroep — 25 juni 2020: Structurele AVG-schendingen door Belastingdienst

Documentgegevens

Samenvatting

Het discussiedocument voor de Stuurgroep FSV van 25 juni 2020 onthult dat de Belastingdienst structureel en wetenschappelijk in strijd handelde met de Algemene Verordening Gegevensbescherming (AVG). Op de datum van de vergadering waren de afdelingen MKB en Toeslagen expliciet niet AVG-proof. Dit werd door de dienst geaccepteerd als een “bestuurlijk aanvaardbaar risico.” De afdeling Particulieren had sinds 24 april 2020 geen actie meer ondernomen op signalen, met een achterstand van 1,5 jaar. Ketenpartners konden zonder enige controle LOA’s (List of Action Items) aanmaken, waardoor een volledig overzicht ontbrak.

Chronologischecontext

• 2014: Oprichting FSV (Fraude Signaal Voorziening) als centraal signalsysteem.
• 2019: FSV-formeel stopgezet naar aanleiding van de toeslagenaffaire.
• 2020 (april): Particulieren staakt werkzaamheden aan signalen per 24 april.
• 2020 (juni): Stuurgroep vergadert over de voortdurende AVG-problematiek na afschaffing FSV.

Bevindingen

1. Structurele AVG-schendingen, ook na stopzetting FSV

De Belastingdienst bleef na de formele sluiting van de FSV persoonsgegevens verwerken op manieren die in strijd waren met de AVG. Het discussiedocument bevestigt dat dit geen incidenteel probleem was, maar een structurele kwestie die de gehele organisatie betrof.

De dienst was zich bewust van de schendingen en classificeerde de risico’s als “bestuurlijk aanvaardbaar.”

2. MKB en Toeslagen expliciet niet AVG-proof

Op 25 juni 2020 — maanden na de formele sluiting van de FSV — golden MKB en Toeslagen nog steeds niet als AVG-proof. De Stuurgroep accepteerde dit als een “bestuurlijk aanvaardbaar risico” zonder concrete maatregelen te nemen voor onmiddellijke naleving.

3. “AVG-proof zijn en signalen oppakken zijn niet te verzoenen wensen”

Uit het document citeert de afdeling Toeslagen:

“AVG-proof zijn en signalen blijven oppakken zijn op korte termijn niet te verzoenen wensen.”

Deze uitspraak toont aan dat de Belastingdienst een bewuste afweging maakte tussen privacynaleving en signalopvolging, waarbij de keuze viel op het后者 — in strijd met de wettelijke plicht tot AVG-naleving.

4. Particulieren: geen actie op signalen sinds 24 april 2020

De afdeling Particulieren had sinds 24 april 2020 geen enkel signaal meer opgepakt. De achterstand bedroeg op het moment van de vergadering 1,5 jaar. Dit betekent dat potentiële fraudesignalen en — belangrijker — onterechte signalen gedurende een lange periode zonder enige behandeling bleven.

5. LOA’s onbeheersbaar

Ketenpartners konden op elk moment door elke medewerker een LOA (List of Action Item) aanmaken. Er bestond geen centraal overzicht van alle LOA’s, waardoor de Belastingdienst:

• Niet wist hoeveel LOA’s er in omloop waren;
• Niet kon controleren of LOA’s terecht waren;
• Geen controle had op de verwerking van persoonsgegevens via LOA’s.

6. KPMG-onderzoek incompleet

Ten tijde van de Stuurgroepvergadering was het externe onderzoek door KPMG nog niet voltooid. De Stuurgroep beschikte daardoor niet over een volledig beeld van de omvang van de AVG-schendingen.

7. Kamerbrief vertraagd voor politiek-bestuurlijke afweging

Het opstellen van een Kamerbrief over de AVG-problematiek werd niet alleen bepaald door inhoudelijke voortgang, maar ook door politiek-bestuurlijke afwegingen. Dit duidt op een bewuste strategie om de Kamer niet volledig en tijdig te informeren.

8. Sweep-acties: 23 acties gepland over 9 maanden

De Stuurgroep plande zogenaamde “sweep-acties” om de AVG-naleving te verbeteren:

• Aantal acties: 23
• Doorlooptijd: 9 maanden
• Doel: Het systematisch in kaart brengen en verhelpen van AVG-schendingen

De lange doorlooptijd van 9 maanden staat in schril contrast met de ernst van de vastgestelde schendingen en de wettelijke plicht tot onmiddellijke naleving.

Institutionele analyse

Cultuur van “bestuurlijk aanvaardbare risico’s”

Het document onthult een institutionele cultuur waarin het bewust schenden van privacywetgeving wordt geaccepteerd zolang dit bestuurlijk handig is. De term “bestuurlijk aanvaardbaar risico” fungeert als legitimering van onrechtmatig handelen.

Dubbele standaard

De Belastingdienst eiste van burgers volledige en tijdige aangifte, terwijl de dienst zelf moedwillig en structureel de privacywetgeving overtrad. Burgers konden op basis van ongefundeerde signalen hun toeslagen verliezen; de diost zelf accepteerde AVG-schendingen als “aanvaardbaar risico.”

Ontbreken van accountability

Er is geen bewijs dat individuele leidinggevenden of medewerkers ter verantwoording zijn geroepen voor de structurele AVG-schendingen. De Stuurgroep vergadert over het probleem zonder concrete consequenties te verbinden aan de vastgestelde schendingen.

Relevante wettelijke kaders

Bronverwijzingen

1. Belastingdienst, Discussiedocument Stuurgroep FSV, 25 juni 2020. Bronbestand: 084042020-06-24-discussiedocument-stuurgroep-fsv-van-25-juni.pdf.
2. Algemene Verordening Gegevensbescherming (EU 2016/679), in het bijzonder artikelen 5, 6, en 25.
3. Autoriteit Persoonsgegevens, rapporten over de FSV en de AVG-naleving door de Belastingdienst.

Open vragen

1. Wie nam het besluit om AVG-schendingen te classificeren als “bestuurlijk aanvaardbaar risico”?
2. Wat was de rol van de politieke leiding bij het vertragen van de Kamerbrief?
3. Hoeveel burgers zijn na 25 juni 2020 nog getroffen door handelingen die in strijd met de AVG waren?
4. Is het KPMG-onderzoek ooit volledig openbaar gemaakt?
5. Wat zijn de consequence geweest voor de medewerkers en leidinggevenden die verantwoordelijk waren voor de AVG-schendingen?

Document opgesteld op basis van archiefmateriaal van de Belastingdienst, verkregen via Woo-verzoek. Alle citaten zijn letterlijk overgenomen uit het brondocument.