Heidi: het loggingsysteem achter de toeslagenwebsite dat portaaldata verzamelde

Samenvatting

Vanaf medio 2013 zette Belastingdienst/Toeslagen het loggingsysteem Heidi in op de toeslagenwebsite. Het systeem verzamelde portaaldata: websitebezoeken, klikgedrag en formulierinteracties van burgers die toeslagen aanvroegen of beheerden. In september 2017 werden de logbestanden verwijderd of overgebracht. Gedurende circa vier jaar werd het digitale gedrag van burgers op de toeslagenwebsite geregistreerd. Dit onderzoek plaatst Heidi in de context van bredere surveillancepraktijken van de Belastingdienst, waaronder de Deloitte-risicomodellen met “BVR Nationaliteit” als vast gegevensveld en het SyRI-voorganger Black Box-systeem.

Context

Heidi was een loggingsysteem dat door Belastingdienst/Toeslagen werd ingezet op de toeslagenwebsite. Het systeem registreerde portaaldata van bezoekers: welke pagina’s werden bezocht, waarop werd geklikt en hoe formulieren werden ingevuld. De inzet startte medio 2013, in dezelfde periode dat Deloitte risicoclassificatiemodellen bouwde met nationaliteit als vast onderdeel van de brondata en het Black Box-systeem (de SyRI-voorganger) operationeel was.

De naam “Heidi” is bevestigd in Kamervragen (kst-31066-1330). De term “Heide2” komt niet voor in officiële bronnen. Indien Heide2 als aanduiding bestaat, kan het gaan om een interne naam of een opvolger. Dit onderscheid wordt hier expliciet gemaakt.

Wat er gebeurde

Ingebruikname en werking (medio 2013)

Belastingdienst/Toeslagen nam Heidi in gebruik als loggingsysteem op de toeslagenwebsite. Het systeem verzamelde gedragsdata van websitebezoekers: paginaweergaven, navigatiepatronen, klikgedrag en formulierinteracties. Burgers die toeslagen aanvroegen, uitkeringen beheerden of informatie zochten, werden hierbij geregistreerd.

Dataverzameling (2013-2017)

Gedurende circa vier jaar verzamelde Heidi portaaldata van bezoekers aan de toeslagenwebsite. De omvang van de verzamelde dataset en het exacte gebruik van de data zijn niet volledig openbaar. De logbestanden bieden in potentie een gedetailleerd beeld van het digitale gedrag van individuele burgers in hun contacten met de overheid rond toeslagen.

Verwijdering logbestanden (september 2017)

In september 2017 werden de Heidi-logbestanden verwijderd of overgebracht. De reden en omvang van de verwijdering zijn niet volledig gedocumenteerd. De verwijdering bemoeilijkt achteraf onderzoek naar de omvang en het gebruik van de verzamelde data.

Parallelle systemen

Heidi opereerde in hetzelfde tijdsbestek als:

• Deloitte-risicomodellen (vanaf 2013): geautomatiseerde risicoclassificatie met “BVR Nationaliteit” als vast gegevensveld in de brondata
• Black Box-systeem: de SyRI-voorganger die data koppelde voor risicosignalering
• BI&A-eenheid: circa 40 jonge academici die data verwerkten van 11 miljoen burgers (WRR Working Paper 021, april 2016)

Bewijs

• Kamervragen kst-31066-1330: Bevestigt de inzet van Heidi door Belastingdienst/Toeslagen vanaf medio 2013 als loggingsysteem voor portaaldata, en de verwijdering/overdracht van logbestanden in september 2017
• Deloitte-risicomodellen: Risicoclassificatiemodellen met “BVR Nationaliteit” als vast brondata-veld, operationeel in dezelfde periode (zie onderzoek Deloitte-risicomodellen)
• Algoritmeregister Belastingdienst: 68 geregistreerde algoritmen, waarvan 65 als “impactvol” geclassificeerd; het register vermoedelijk niet compleet
• AP-boete FSV: Autoriteit Persoonsgegevens legde in juli 2020 een boete op van €2.75 miljoen voor FSV-schendingen; totale AP-boete voor Belastingdienst-privacyovertredingen bedroeg €3,7 miljoen
• AP-rapport juli 2025: De Autoriteit Persoonsgegevens concludeerde dat de Belastingdienst “WRP en Wbp niet serieus nam” en dat “het doel van het uitoefenen van toezicht op belastingplichtigen met alle middelen werd geheiligd”
• Commissie-Donner (maart 2020): Onderzoek naar bredere surveillancepraktijken van de overheid
• Parlementaire ondervergingscommissie (december 2020): Hoorzittingen over de toeslagenaffaire en gerelateerde systemen
• WRR Working Paper 021 (april 2016): Beschrijft de BI&A-eenheid van circa 40 jonge academici die data verwerkten van 11 miljoen burgers voor fraudebestrijding

Analyse

Doelbinding en AVG

De verzameling van portaaldata via Heidi roept fundamentele vragen over doelbinding. Als de verzamelde gedragsdata is gebruikt voor risicoselectie of fraudeopsporing, dan is de verwerkingsgrondslag voor het oorspronkelijke doel (websitebeheer) overschreden. De AVG vereist dat persoonsgegevens alleen worden verwerkt voor expliciet omschreven en gerechtvaardigde doeleinden.

Digitaal profiel

De combinatie van Heidi-portaaldata met risicomodellen en signaleringssystemen maakt het mogelijk om digitale profielen van burgers op te bouwen. Klikgedrag, formulierinteracties en navigatiepatronen op een overheidswebsite zijn gevoelige gegevens, met name wanneer de website wordt gebruikt voor het aanvragen van existentiele uitkeringen.

Patronen van heimelijke dataverzameling

Heidi past in een breder patroon van heimelijke dataverzameling door de Belastingdienst:

1. 2013: Heidi ingezet op toeslagenwebsite + Deloitte bouwt risicomodellen met nationaliteit als vast veld
2. 2013-2017: Heidi verzamelt portaaldata; parallel werken risicomodellen, Black Box en BI&A-eenheid
3. 2016: WRR beschrijft BI&A-eenheid die data van 11 miljoen burgers verwerkt
4. 2017: Heidi-logbestanden verwijderd
5. 2020: AP boete €2,75 miljoen voor FSV; Commissie-Donner brengt rapport uit; SyRI-uitspraak rechtbank Den Haag
6. 2020: Parlementaire ondervragingscommissie Kindertoeslagen
7. 2025: AP concludeert dat Belastingdienst WRP en Wbp niet serieus nam

Het AP-rapport uit juli 2025 bevestigt de institutionele houding: het doel heiligde de middelen. Heidi was daarvan een onderdeel.

Bronnen

• Kamervragen kst-31066-1330 — Heidi loggingsysteem Belastingdienst/Toeslagen
• Commissie-Donner — Systemen die averechts werken (maart 2020)
• Parlementaire ondervragingscommissie Kindertoeslagen — Eindrapport (december 2020)
• Autoriteit Persoonsgegevens — Boetebesluit FSV Belastingdienst (juli 2020)
• Autoriteit Persoonsgegevens — Rapport Belastingdienst (juli 2025)
• WRR Working Paper 021 — Big Data in fraudebestrijding en risicobeheer (april 2016)
• Algoritmeregister Belastingdienst — algoritmes.overheid.nl (mei 2026)
• Onderzoek Deloitte-risicomodellen — Risicoclassificatie Toeslagen Deloitte 2013