Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2019-2020 | 2154 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2019-2020 | 2154 |
Wanneer bent u op de hoogte gesteld van het bestaan van de Fraude Signalering Voorziening (FSV)?1
Erkent u dat het bestaan van een zwarte lijst, waarin nota bene ook nog antidatering en ongelogde mutaties mogelijk zijn, totaal onwenselijk is voor een overheidsdienst? Kunt u uw antwoord toelichten?
Heeft u zich op de hoogte gesteld van het in de gegevensbeschermingseffectbeoordeling beschreven «recente memo voor de stas over fraudemeldpunten»? Zo neen, waarom niet?
Kunt u de Kamer het memo zoals vermeld op pagina 18 van de gegevensbeschermingseffectbeoordeling doen toekomen? Zo neen, waarom niet?
Kunt u verklaren hoe het kan dat u op 27 februari 2020 een brief over de stand van zaken aan de Kamer stuurt2 en een dag later – zonder enig signaal naar de Kamer – een systeem uit de lucht moet halen dat te maken heeft met fraudesignalen?
Waarom wordt in de beantwoording van de Kamervragen over de afwikkeling van de Combiteam Aanpak Facilitators (CAF) 11-gedupeerden niet geantwoord dat ook uit FSV-dagboek documenten komen voor de persoonlijke dossiers van ouders?3
Kunt u aangeven hoeveel mensen uit FSV zijn gewist door de opschoonactie in het vierde kwartaal van 2019? Is het juist dat bij de start van de opschoonactie meer dan dubbel zoveel mensen als gemeld in FSV zaten?
Is de digitale informatie over de opzet en resultaat van de uitgevoerde opschoonactie beschikbaar gehouden voor verantwoording en onderzoek?
Op welke wijze zijn de gegevens die bij de opschoonactie zijn verwijderd uit het FSV-informatiesysteem in een beveiligde omgeving opgeslagen voor verantwoording, audits en onderzoek?
Erkent u dat als deze gegevens weg zijn, daar dan ook veel signalen van gedupeerde ouders tussen zitten en dat hiermee mogelijk bewijsmateriaal voor die ouders van onbehoorlijke behandeling is vernietigd?
Bent u bereid om ook de data die in de zo genoemde digitale kluis zijn opgeslagen beschikbaar te brengen om zo alsnog te achterhalen wie er in stonden?
Bent u bereid om iedereen die in FSV aangemeld is, op de hoogte te stellen van de vermelding op de zwarte lijst? Zo nee, waarom niet?
Bent u bereid om mensen die bij de opschoningsactie verwijderd zijn uit FSV daarvan op de hoogte te brengen, mits de gegevens nog te achterhalen zijn – wellicht via systeemdumps? Zo nee, waarom niet?
Wat wordt precies bedoeld met «tijdelijk» uit de lucht gehaald? Welke verbeteringen moeten hoe dan ook worden toegepast voor het weer in gebruik nemen van FSV?
Erkent u dat de noodmaatregelen, zoals beschreven op pagina 18 van de gegevensbeschermingseffectbeoordeling, geen garantie boden op de rechtmatigheid van de werking van de persoonsgegevens in FSV? Kunt u uw antwoord toelichten?
Zijn er nog meer systemen binnen de Belastingdienst die kwetsbaar zijn als het gaat om de gegevensbescherming van belastingbetalers? Zo ja, hoeveel? Wat gebeurt er met deze risico’s?
Kunt u aangeven hoe het mogelijk is dat er in januari 2019 een zeer kritisch rapport wordt opgeleverd, waarin staat dat het systeem «geen goede aansluiting (meer) heeft op de verwerkingsbeginselen van art. 5 AVG» en «onvoldoende onderscheid tussen informatieverzoek en een signaal maar ook betekenis/gewicht van de informatie, leidt tot mogelijke stigmatisering van betrokkenen (zwarte lijst effect)» pas in februari 2020 leidt tot het tijdelijk uit de lucht halen van het systeem?
Wie heeft in die tussenliggende periode het rapport gekregen? Kunt u een tijdlijn maken wie, wanneer en met welke acties het rapport heeft besproken? Zo nee, waarom niet?
Is het juist dat de betrokken directeur MKB een verleden heeft bij Belastingdienst/Toeslagen juist in de periode van de verhoogde inzet op mogelijke toeslagenfraude met Combinatieteams Aanpak Fraude (CAF)? Kunt u uw antwoord toelichten?
Hoe vaak is FSV – middels dumps van de database – gebruikt als bron voor risicomodellen en datafundamenten van de afdeling Datafundamenten en Analytics (DF&A) alsmede voor IVT (Informatie Verstrekking Toeslagen)? Kunt u hiervan een overzicht geven? Zo nee, waarom niet?
Kunt u aangeven hoe vaak er «trends in beeld» zijn gebracht door het gebruik van meldingen in FSV, waarover gesproken wordt op pagina 5 van de gegevensbeschermingseffectbeoordeling?
Kunt u reconstrueren hoe FSV tot stand is gekomen? Wat was de aanleiding, hoe is de privacygevoeligheid getoetst, bijvoorbeeld met de voorloper van de Autoriteit Persoonsgegevens?
Is het tot stand komen van FSV onderdeel geweest van discussie en/of besluitvorming van de Ministeriële Commissie Aanpak Fraude? Zo ja, kunt u aangegeven wie op de hoogte is geweest van de discussie en/of het besluit?
Hoe is de lijst van categorieën tot stand gekomen als het gaat om de persoonsgegevens die verwerkt werden (pagina 6 van de gegevensbeschermingseffectbeoordeling)?
Wat is de gedachte dat ook het zijn van gastouder als categorieën betrokken persoonsgegevens is opgenomen?
Kunt u voorbeelden geven van informatie-uitvragen van derden waar gebruik van werd gemaakt naast signalen van de Belastingdienst die werden geregistreerd en vastgelegd?
Werd FSV ook met data gevoed uit andere bronnen dan het PIT? Wellicht van buiten de Belastingdienst?
Kunt u aangeven waarom het opvragen van fiscale gegevens door een andere overheidsinstantie als signaal in FSV werd geregistreerd? Is de uitvraag van gegevens altijd een signaal voor potentiële fraude? Kunt u uw antwoord toelichten?
Wat waren de achterliggende bevindingen bij de zinsnede op pagina 7 van de gegevensbeschermingseffectbeoordeling: Er zijn tijdens het assessment voorbeelden genoemd van «niet voorgenomen/bedoelde» verwerkingsvormen die functioneel wel mogelijk zijn en worden gebruikt: het raadplegen van de werkvoorraad van collega’s en het maken van een «systeemdump» via de excel-exportfunctie? Kunt u aangeven waarin dat niet bedoeld of voorgenomen was? Hoe vaak werden deze opties gebruikt?
Kunt u aangeven welke vormen van systeemdump via de excel-exportfunctie in het verleden zijn uitgevoerd, bijvoorbeeld via het vrije invoerveld? Zo neen, bent u bereid dit uit te laten zoeken?
Is bij de Belastingdienst bekend dan wel uitdraaien, dan wel queries, dan wel systeemdumpen zijn gedaan op basis van de tweede nationaliteit?
Kunt u aangeven welke handleidingen er over FSV in omloop waren voor de verschillende onderdelen van de Belastingdienst? Kunt u die handleidingen sturen naar de Kamer? Zo nee, waarom niet?
Kunt u aangeven hoe FSV bijdroeg aan het verrijken van beschikbare gegevens (bladzijde 7 van de gegevensbeschermingseffectbeoordeling)?
Hoe vaak zijn er meldingen/signaleringen gedaan in FSV door de CAF-teams/ dan wel Toeslagen?
Kunt u aangeven wat bedoeld wordt in voetnoot 13 van de gegevensbeschermingseffectbeoordeling dat Toeslagen FSV gebruikt om te raadplegen bij Bibob- en Track-verzoeken?
Hoe behoort het door Toeslagen opnemen van strafrechtelijke gegevens in FSV tot de wettelijke taak als vermeld onder kopje 11? Valt dit onder «gerechtvaardigd belang»? Wie heeft dit gerechtvaardigd belang getoetst?
Erkent u dat uit de opsomming van punten onder het kopje 12 «bijzondere gegevensverwerking» van de gegevensbeschermingseffectbeoordeling niet komt dat het voor Toeslagen was toegestaan de gegevens in FSV te plaatsen?
Kunt u de onderstaande opsomming zoals te vinden op pagina 11 van de gegevensbeschermingseffectbeoordeling even op u in laten werken en dan per punt reageren
1 «een informatieverzoek is bv. niet op voorhand / op per definitie een (fraude)signaal en de actualiteitswaarde begrenst. De huidige werkwijze is hier onvoldoende ingericht»
2 «de verdere verwerking is aan beperkingen onderhevig incl. dit tot plicht tot vernietiging bijvoorbeeld bij gebleken onbruikbaarheid of onjuistheid. De huidige werkwijze is hierop onvoldoende ingericht»
3 «In de verdere verwerking speelt de context en kwaliteit van de gegevens een bepalende rol voor alle rechtmatigheid en welbepaaldheid van de verdere verwerking. Die is niet voor alle gevallen zondermeer aanwezig. De huidige verwerkingswijze is hierop onvoldoende ingericht»
4 «De context van een informatieverzoek in combinatie met (de betekenis van) de gegevens is wel bepalend voor de wijze gebruik. Een extern informatieverzoek is niet bedoeld te gelden als / niet op voorhand / per definitie een (fraude)signaal en de actualiteitswaarde is begrenst. Toeslagen doet bij gerede twijfel eerst onderzoek en voert dan evt. een signaal op. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»
5 «Ook hier is bij aanvang van de verwerking sprake van de uitzondering «onder toezicht van de overheid». De verdere verwerking is wel aan beperkingen onderhevig incl. dit plicht tot vernietiging bijvoorbeeld bij gebleken onbruikbaarheid of onjuistheid. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»
6 «In verdere verwerking speelt de context en kwaliteit van de gegevens een bepalende rol voor de rechtmatigheid en welbepaaldheid van de verdere verwerking. Die is niet voor alle gevallen zondermeer aanwezig. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»?
Hoe denkt u FSV weer in gebruik te nemen na onderstaand oordeel op pagina 12 van de gegevensbeschermingseffectbeoordelingt: «Gegevens met een zwarte lijst-karakter: in FSV ontstaan of worden bepaalde gegevenselementen verwerkt die het karakter van een zwarte-lijst-element hebben of krijgen. De mogelijke subjectiviteit («bias», vooringenomenheid, zelfversterkend effect door stapeling) maakt het verwerken risicovol. Ook het voorkomen in FSV als betrokkene wordt een risicosignaal.»?
Kunt u reconstrueren hoe het mogelijk was dat maar liefst 5.000 personen in FSV konden in januari 2019 en dat het aantal toen nog toenam? Wie is verantwoordelijk geweest voor het feit dat zoveel toegang tot persoonsgegevens werd verschaft?
Hoeveel mensen hadden een dubbele autorisatie tot FSV? Waarom houdt het identity management system (IMS) dit niet bij?
Is het IMS voor meer systemen binnen de Belastingdienst verantwoordelijk voor de autorisatie voor toegang? Zo ja, hoeveel? Kunnen daar dezelfde problemen optreden als bij FSV?
Is te achterhalen of de 5/6 functioneel beheerders, die in januari 2019 in beeld waren, correct gehandeld hebben als het gaat om het toegang verlenen tot FSV?
Wat voor profielen worden precies bedoeld in de volgende zinsnede: «profielen op basis van dergelijke kenmerken worden ingezet voor selectie van dossiers voor toezicht of klantbehandeling. Dergelijke profielen zijn geen product van profilering in de zin van de AVG»? (pagina 9 van de gegevensbeschermingseffectbeoordeling) Is dit voorgelegd aan de Autoriteit Persoonsgegevens, of tenminste aan de Functionaris Gegevensbescherming van het Ministerie van Financiën? Zo neen, waarom niet? Wie besloot dit niet voor te leggen?
Kunt u aangeven waarnaar wordt verwezen als het gaat waarom profielen volgens het «standpunt/beslissing» van DT BD juni 2018 (voetnoot 9 van de gegevensbeschermingseffectbeoordeling) geen product van profilering in de zin van de AVG zijn? Kunt u uw antwoord toelichten?
Kunt u verklaren wat de reden was om een passage aan de journalisten weg te laten op pagina 9 van de gegevensbeschermingseffectbeoordeling bij het WOb-verzoek (11,1)?
Kunt u aangeven op welke wijze de volgende passage uit de gegevensbeschermingseffectbeoordeling behoort tot een persoonlijke beleidsopvatting: «Enkele van de binnen FSV verwerkte elementen» én het feit dat er ook niet zondermeer objectief getoetste of toetsbare signalen worden geregistreerd, maken dat het karakter van sommige verwerkingsvormen binnen FSV als profilering inclusief «zwarte lijst»-achtige effecten kunnen gelden.
Het überhaupt voorkomen van een betrokkene in FSV wordt bijvoorbeeld gebruikt als signaal in bv. afnemende «systemen» / verdere verwerkingen (DF&A, mogelijk IVT), zonder dat dit op basis van een objectief aangetoond (verhoogd) risico is gebaseerd (risico van waardering als. «waar rook is, is vuur»). Het onderscheid tussen een signaal en een informatievraag wordt bij verdere verwerking ook niet of niet juist gewogen. Niet ieder informatieverzoek is op voorhand een fiscaal signaal.»4
Wie heeft besloten en/of geautoriseerd dat deze passage werd «weggelakt»? Hoe oordeelt u over dit besluit? Kunt u uw antwoord toelichten?
Kunt u aangeven welke andere processen worden bedoeld, zoals in voetnoot 10 van de gegevensbeschermingseffectbeoordeling wordt vermeld?
Wat is een besmet adres of besmette postcode? Hoe ontstaat dat? Wie houdt dit bij? Welke instanties houden deze informatie allemaal bij? Kunt u dit uitvoerig toelichten?
Aan welke «mogelijk subjectieve waarderingen uit andere processen» moet worden gedacht? Heeft dit te maken met vooringenomenheid richting personen of bedrijven? Heeft dit te maken met het categoriaal beoordelen van een groep? Kunt u dit uitvoerig toelichten?
Kunt u verklaren waarom FSV, waarin toch persoonsgegevens worden verwerkt, niet staat in het overzicht «verwerkingen van persoonsgegevens» van de Belastingdienst zelf?5
Kunt u aangeven hoe het volstaan van de verwijzing naar de brochure «Overzicht verwerkingen van persoonsgegevens van de Belastingdienst», zoals beschreven op pagina 13 voldoende is, als FSV niet voorkomt in deze brochure?
Waarom is het bestaan van het FSV niet aan de Adviescommissie uitvoering toeslagen en de Auditdienst Rijk gemeld?6
In het Algemeen Overleg Belastingdienst van 4 maart jl. hebben wij uw Kamer toegezegd om uiterlijk voor 24 april 2020 een brief te sturen over de Fraude Signalering Voorziening (FSV). Daarnaast heeft uw Kamer een aantal schriftelijke vragen gesteld over de FSV. Dit zijn de vragen van het lid Leijten (SP) over de Fraude Signalering Voorziening (FSV), de vragen van het lid Omtzigt (CDA) over de «Fraude Signalering Voorziening» (FSV) en de Algemene Verordening Gegevensbescherming (AVG) en de vragen van het lid Azarkan (DENK) over het bestaan van een geheime zwarte lijst van vermeende fraudeurs die veel mensen gedupeerd heeft.7 De beantwoording van deze schriftelijke vragen hangt nauw samen met de toegezegde brief over de FSV. Zoals wij in het Algemeen Overleg Belastingdienst hebben aangegeven willen wij een en ander goed uitzoeken om een zo compleet mogelijk beeld te kunnen geven en alle vragen zo goed als mogelijk te kunnen beantwoorden. Wij zullen de antwoorden op deze schriftelijke vragen daarom gelijktijdig met de toegezegde brief, dus uiterlijk voor 24 april 2020, aan uw Kamer doen toekomen. Daarmee zullen wij deze vragen niet binnen de gebruikelijke termijn beantwoorden.
Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)
Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)
Ongecensureerde versie van GEB FSV als bijlage bij Kamerbrief van 2 maart 2020 (Kenmerk 2020Z04057)
Belastingdienst, april 2019 (https://download.belastingdienst.nl/belastingdienst/docs/verw_persoonsgegevens_belastingdienst_al5303z9fd.pdf)
Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20192020-2154.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.