Antwoord 1

Ja.

Antwoord 2

De Belastingdienst heeft in het traject voor implementatie van de AVG een aantal »tekortkomingen in de naleving geconstateerd. In de antwoorden op vraag 5 en 12 worden deze toegelicht. Er zijn al verschillende maatregelen genomen om deze te weg te nemen, maar een aantal maatregelen moet nog uitgevoerd worden. Op het moment dat de nu voorziene maatregelen gerealiseerd zijn, kan gezegd worden dat de Belastingdienst voldoet aan de AVG. Het streven is deze situatie binnen een jaar (gerekend vanaf 25 mei jl.) te bereiken.

Naleving van de AVG is echter geen statisch gegeven, maar een continu proces. Dit mede vanwege het feit dat de AVG veel open normen bevat, die ruimte laten voor aanpassing van te nemen maatregelen op de specifieke kenmerken van een verwerking en de privacyrisico’s die daarmee samenhangen. Bij wijzigingen in wetgeving en in de uitvoeringspraktijk zal steeds bezien moeten worden hoe op een goede manier wordt voldaan aan de eisen die de AVG stelt. De Belastingdienst blijft dus doorlopend werken aan maatregelen die bijdragen aan duurzame naleving. Voorbeelden zijn het structureel geautomatiseerd schonen van bestanden (waar dit voor de korte termijn nog handmatig gebeurt), het ter ondersteuning van transparantie uitbreiden van persoonlijke informatie op portalen zoals MijnBelastingdienst en MijnToeslagen, en het verfijnen van autorisatie (toegang tot gegevens) op basis van nieuwe technieken, die nog beter invulling geven aan beginselen van doelbinding, vertrouwelijkheid en integriteit.

De Belastingdienst heeft er verder voor gezorgd dat de toets op de eisen van de AVG vast onderdeel gaat uitmaken van de (inrichting van) werkprocessen en ICT-voorzieningen (via de uitvoeringstoets op nieuwe wetgeving en door principes als privacy by design en privacy by default op te nemen in architecturen) en bij verdere modernisering van de Belastingdienst, opdat blijvende naleving verzekerd wordt.

Antwoord 3

Ja, de Belastingdienst beschikt over een register van de verwerkingsactiviteiten, gebaseerd op inventarisatie van alle bekende verwerkingen door de dienstonderdelen. Er is een beheerproces ingericht voor het register, zodat wijzigingen in verwerkingen en nieuwe verwerkingen worden opgenomen in het register en de actualiteit verzekerd wordt.

Antwoord 4

De Belastingdienst heeft op de website www.belastingdienst.nl/privacy een overzicht van verwerkingen van persoonsgegevens gepubliceerd waarin de genoemde onderdelen zijn opgenomen. Dat overzicht is ontleend aan het register van verwerkingsactiviteiten, maar omwille van eenduidigheid en toegankelijkheid voor betrokkenen is gekozen voor een andere ordening dan in het register. Hiermee kan de Belastingdienst op dit moment beter invulling geven aan (dit deel van) het transparantiebeginsel uit de AVG. Er wordt naar gestreefd om dit op termijn te doen via directe publicatie van het register. Daarvoor wordt nog een consistentieslag uitgevoerd op het register.

Antwoord 5

De Belastingdienst heeft enkele verwerkingen waarvan de (wettelijke) grondslag onvoldoende is of waarvan de grondslag onderwerp van discussie was in een gerechtelijke procedure. Voor deze verwerkingen wordt een wettelijke grondslag voorbereid of worden alternatieven uitgewerkt. Ook daarbij is het streven deze binnen een jaar gerealiseerd te hebben. Voor zover vaststaat dat de grondslag ontbreekt, is de verwerking van de gegevens gestaakt. Voorbeelden zijn de verwerking van het BSN op het IB47-formulier en het gebruik van camerabeelden voor het toezicht op de motorrijtuigenbelasting.

Antwoord 6

In 2017 en 2018 (tot en met 25 mei) zijn bij de Belastingdienst zeven PIA’s vastgesteld. Dit waren geen op grond van de AVG verplichte gegevensbeschermingseffectbeoordelingen (zoals de officiële benaming onder de AVG luidt), omdat de verplichtingen uit de AVG ter zake nog niet van toepassing waren. Deze PIA’s zijn gemaakt op grond van het staande kabinetsbeleid over het maken van (wat tot nu toe werd aangeduid als) privacy impact assessments.

Deze PIA’s betroffen:

• – Aanbesteding gegevensportalen Belastingdienst.

• – Belastingdienst als eigenrisicodrager voor WGA, WGA-flex, ZW en WW.

• – Exitmonitor.

• – Medewerkersonderzoek.

• – Verhuur van woningen/kamers via platformen.

• – Belemmeringen vindbaarheid vakliteratuur en abonnementen.

• – Gebruik ANPR-gegevens ten behoeve van het toezicht op de motorrijtuigenbelasting.

Antwoord 7

Met de AP is gesproken over de basispositie voor naleving van de AVG per 25 mei die de Belastingdienst heeft opgesteld als grondslag voor implementatieactiviteiten. De AP heeft kennisgenomen van deze basispositie maar hierover geen oordeel gegeven. De AP heeft aangegeven bereid te zijn tot een vervolggesprek. Dit zal in de tweede helft van juni plaatsvinden.

Antwoord 8

Nee. De AP heeft benadrukt dat de AVG voor iedereen geldt.

Antwoord 9

Ja. De Belastingdienst heeft op 25 mei een vernieuwde privacypagina op de website www.belastingdienst.nl gepubliceerd, waarop informatie te vinden is over het doen van een verzoek op grond van de AVG (inzage, correctie en wissing (voor zover dit laatste van toepassing is voor door de Belastingdienst verwerkte persoonsgegevens)). Er is een proces ingericht voor de afdoening van dergelijke verzoeken. Hierop wordt nader ingegaan in het antwoord op vraag 10.

Antwoord 10

De Belastingdienst heeft het bestaande proces voor behandeling van inzageverzoeken verbeterd. Om een eventuele toename van het aantal verzoeken op te vangen is extra capaciteit gereserveerd.

Omdat door de procesverbeteringen en de extra capaciteit de verzoeken naar verwachting binnen de gestelde termijn van één maand kunnen worden afgehandeld en de AVG de ruimte biedt om deze termijn met twee maanden te verlengen, is geen extra budget gereserveerd voor vergoedingen op basis van de Wet dwangsom bij niet tijdig beslissen.

Antwoord 11

Het primaire doel van de portalen is om de interactie met en dienstverlening aan burgers en bedrijven optimaal in te richten, zodat zij hun fiscale verplichtingen gemakkelijk kunnen vervullen en hun aanspraak op toeslagen eenvoudig kunnen regelen. Het eenvoudig kunnen delen van informatie tussen de Belastingdienst enerzijds en burger en bedrijf anderzijds (vaak aangeduid als gedeelde informatiepositie) levert daaraan een essentiële bijdrage. De Belastingdienst kiest er voor om die gedeelde informatiepositie ook meer en meer te benutten voor het verhogen van de transparantie-voor burgers en bedrijven. Het realiseren van de gedeelde informatiepositie is daarom primair een onderdeel van het realiseren van de voorzieningen voor moderne interactie. Daarbij speelt een rol dat het ontwikkelen van de gedeelde informatiepositie technische ontsluiting vereist van gegevens die nu als het ware opgesloten zitten in de transactiesystemen van de Belastingdienst. Dit is een technisch en inhoudelijk gecompliceerde operatie die tijd kost.

Overigens kan een betrokkene natuurlijk altijd informatie verkrijgen over de gegevens die de Belastingdienst verwerkt op de eerder genoemde privacypagina op de website, en inzage verkrijgen in zijn eigen persoonsgegeven als hij daar een verzoek toe doet. Met die mogelijkheden wordt al voldaan aan de eisen die de AVG stelt.

Antwoord 12

Zoals aangegeven in het antwoord op vraag 5 heeft de Belastingdienst enkele gegevensverwerkingen waarvan de (wettelijke) grondslag onvoldoende is of waarvan de grondslag ter discussie staat. Daarnaast heeft de Belastingdienst een aantal applicaties waarin gegevens zijn samengebracht om deze effectief en efficiënt te kunnen gebruiken in toezichts- of bedrijfsvoeringsprocessen. Op het punt van dataminimalisatie en autorisatie (toegang tot de gegevens voor medewerkers) behoeven deze verbetering. Daarom worden ze versneld aangepast of vervangen. De Belastingdienst heeft een achterstand bij het schonen van gegevensbestanden (waarin onder meer persoonsgegevens). Deze achterstand wordt versneld weggewerkt.

Antwoord 13

Alle organisatieonderdelen van de Belastingdienst hebben een risico- en issueanalyse uitgevoerd op de verwerkingen die zij hebben geïnventariseerd voor het register van verwerkingsactiviteiten. Daaruit komt een aantal generieke issues naar voren dat in elk geval met voorrang aandacht behoeft. In het antwoord op vraag 12 is aangegeven welke maatregelen hiervoor getroffen worden.

Antwoord 14

In de basispositie heeft de Belastingdienst op een aantal onderwerpen doelen geformuleerd die per 25 mei 2018 gerealiseerd moeten zijn. De basispositie geeft daarmee invulling aan de vele open normen (doelvoorschriften) die de AVG bevat en bepaalt te behalen resultaten met betrekking tot concrete verplichtingen uit de AVG. Ook is een aantal randvoorwaarden geformuleerd, met betrekking tot houding, gedrag bij het omgaan met gegevens, en de inrichting van de organisatie. De basispositie dekt de verschillende onderdelen van de AVG af. De in de basispositie opgenomen doelen en resultaten zijn:

• – Transparantie: informatie verstrekken over de persoonsgegevens van burgers en bedrijven en van eigen personeel die de Belastingdienst verwerkt, waar die gegevens vandaan komen en aan wie ze eventueel geleverd worden.

• – Inzage en correctie: een eenvoudig proces voor indienen van inzage- en correctieverzoeken.

• – Register van verwerkingsactiviteiten: het inventariseren van verwerkingen en vullen van dit register, ten behoeve van het toezicht.

• – Voorts uitvoeren van risico- en issueanalyses op de geïnventariseerde gegevensverwerkingen en op basis daarvan formuleren van maatregelen om nalevingstekorten’s weg te nemen.

• – Verantwoording: inrichten van verantwoording over de maatregelen ter naleving van de AVG, in lijn met nieuwe topstructuur van de Belastingdienst.

• – Geautomatiseerde besluitvorming en profilering: huidige praktijk voortzetten, op grond van ruimte die AVG en Uitvoeringswet AVG daarvoor bieden. Inzicht bieden in de logica die aan geautomatiseerde besluiten ten grondslag ligt.

• – Vernietigen van gegevens: zoveel mogelijk schonen van gegevensbestanden aan de hand van selectielijsten op grond van de Archiefwet.

• – Privacy by design en privacy by default: een plaats geven van deze principes in architecturen, handboeken, procesbeschrijvingen etc. Bij wijziging of vernieuwing van systemen aan de hand van risico-analyses bepalen hoe hieraan concreet invulling wordt gegeven. Starten met implementatie van pseudonimisering en verdere verbreding van logging en monitoring als uitwerking van privacy by design.

• – Datalekken: actualiseren van het proces voor het melden van datalekken in het licht van de AVG.

• – Bewustwording en kennis: opstellen en uitvoeren bewustwordings- en opleidingsprogramma.

• – Organisatie: structurele inrichting van de privacyfunctie en verankering van naleving van de AVG in de nieuwe topstructuur van de Belastingdienst (in kaderstelling, uitvoering en control).

Antwoord 15

Het groeipad voor de toekomst betreft de vraag naar het moment waarop de Belastingdienst volledige naleving van de AVG bereikt zal hebben. Hierop ben ik in het antwoord op vraag 2 ingegaan. Over de voortgang bij realisering van de maatregelen die genoemd zijn in het antwoord op vraag 12 zal ik uw Kamer via de halfjaarsrapportages op de hoogte houden.

Antwoord 16

Het voldoen aan de AVG is een normaal onderdeel van de bedrijfsvoering van alle onderdelen van de Belastingdienst. Er is gekozen voor een programma AVG om de implementatie in de aanvangsfase aan te jagen en te ondersteunen. Na 25 mei wordt naleving van de AVG verankerd in de reguliere processen en organisatie, ook wat betreft in te zetten mensen en middelen.

Antwoord 17

De status van het met de AP gevoerde gesprek over de basispositie AVG is informatief. Op de inhoud van gesprek met de AP is ingegaan in het antwoord op vraag 7. Daarnaast zijn er gesprekken geweest over andere privacygerelateerde onderwerpen, onder andere in het kader van de in het antwoord op vraag 23 genoemde onderzoeken van de AP.

Antwoord 18

Verwerkingen van persoonsgegevens van de Belastingdienst worden aan de AP voorgelegd als onderdeel van de wettelijke adviestaak van de AP over wetgeving waarin verwerking van persoonsgegevens wordt geregeld. Soms zijn er voorafgaand aan een officiële adviesaanvraag informele contacten met de AP over voorgenomen wetgeving.

Verder zijn gesprekken gevoerd over de verwerking van ANPR-camerabeelden, naar aanleiding van de arresten van de Hoge Raad.

Antwoord 19

Hierover kan ik niets zeggen omdat het nemen van handhavende maatregelen is een eigen verantwoordelijkheid van de AP als onafhankelijke toezichthouder.

Antwoord 20

De medewerkers van de Belastingdienst zijn in de eerste plaats geïnformeerd over de AVG in hun hoedanigheid als uitvoerders van de belasting-, toeslagen- en douanewetgeving. Daartoe is een bewustwordings- en opleidingsprogramma ingericht met de volgende onderdelen:

• – Verplicht door alle medewerkers te volgen e-learning modules AVG-beginselen en iBewustzijn, die afgesloten worden met een toets.

• – Verplicht door alle leidinggevenden te volgen workshops «bewust omgaan met gegevens». De leidinggevenden zijn door middel van deze workshops beter toegerust om vragen van medewerkers over het omgaan met gegevens te kunnen beantwoorden.

• – Maandelijkse bijeenkomsten waarin AVG onderwerpen uit de praktijk van de Belastingdienst zijn belicht.

• – Workshops en webinars over specifieke AVG-onderwerpen.

• – Een specifieke praktische privacy opleiding, gericht op medewerkers die in de verschillende organisatieonderdelen de rol van datacoördinator vervullen (als onderdeel van de privacyfunctie die wordt ingericht).

De e-learning modules en de workshops voor leidinggevenden maken blijvend onderdeel uit van het (verplichte) opleidingsaanbod binnen de Belastingdienst. De bijeenkomsten en webinars waren met name gericht op het in de implementatiefase van de AVG versterken van kennis en ervaring in de organisatie.

In de tweede plaats zijn medewerkers van de Belastingdienst geïnformeerd in hun hoedanigheid van werknemer. Daartoe is informatie op het intranet geplaatst over hun rechten onder de AVG en de wijze waarop zij inzage in hun personeelsgegevens kunnen vragen.

Antwoord 21

De Belastingdienst wisselt actief kennis en ervaring uit over uitvoering van de AVG, niet alleen met uitvoeringsorganisaties zoals UWV en SVB, maar ook met verschillende ministeries.

Antwoord 22

De melddesk datalekken Belastingdienst beoordeelt beveiligingsincidenten waarbij mogelijk persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van persoonsgegevens niet is uit te sluiten. In 2017 zijn circa 1275 meldingen geregistreerd bij de melddesk datalekken Belastingdienst. Na beoordeling zijn 225 meldingen doorgestuurd naar de AP. In 84 gevallen zijn ook de betrokkenen geïnformeerd omdat die incidenten – zoals de AVG dit omschrijft – mogelijk een hoog risico inhielden voor hun rechten en vrijheden.

Antwoord 23

De AP is vanaf januari 2015 drie onderzoeken gestart, te weten:

• – Verschil tussen adresregistratie en feitelijk situatie («spookbewoning») bij Toeslagen;

• – Gebruik van gegevens bij de afdeling Data & Analytics van de Belastingdienst en haar voorgangers;

• – Het btw-identificatienummer met daarin opgenomen het BSN.

Antwoord 24

Over het onderzoek bij Belastingdienst/Toeslagen naar het verschil tussen de adresregistratie en de feitelijke situatie heeft de AP in november 2016 een rapport uitgebracht. Dit rapport is openbaar.1 De Belastingdienst heeft sindsdien verschillende maatregelen getroffen om dit probleem op te lossen. Dit was aanleiding voor de AP om het dossier te sluiten. De AP heeft de Belastingdienst hierover in april 2018 per brief geïnformeerd.

De onderzoeken naar de afdeling Data & Analytics van de Belastingdienst (en voorgangers) en het btw-identificatienummer lopen nog. Er zijn over die onderzoeken derhalve geen rapporten die openbaar gemaakt kunnen worden.

Antwoord 25

Het is helaas niet gelukt om de vragen voor 25 mei te beantwoorden, maar wel binnen de reguliere termijn van uw Kamer.