Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 22 december 2022

Zoals aangekondigd in de aanbiedingsbrief bij het pakket Belastingplan 2023 d.d. 20 september jl. informeren wij uw Kamer graag over de voortgang van het wetstraject Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane (WGBTD).2 Daartoe volgt in deze brief eerst de stand van zaken met betrekking tot de voortgang van het wetstraject. Daarna volgt een korte uiteenzetting van de acties ter verbetering van de gegevensverwerking die de afgelopen tijd zijn uitgevoerd door de Belastingdienst, Toeslagen en Douane (hierna gezamenlijk genoemd: onze uitvoeringsdiensten).

Bij de uitvoering van wettelijke taken verwerken onze uitvoeringsdiensten op grote schaal gegevens. Zo zijn er in 2021 bijna 10 miljoen aangiften inkomstenbelasting verwerkt door de Belastingdienst, ongeveer 1,1 miljoen nieuwe aanvragen verwerkt door Toeslagen en ongeveer 700 miljoen aangifteregels verwerkt door de Douane. Gelet op de inhoud en aard van dit soort aangifteregels is de gegevensverwerking van de Douane in deze van een andere orde dan de gegevensverwerking door de Belastingdienst en Toeslagen.3 De aantallen nemen ieder jaar fors toe, en een steeds groter deel van de aangiften en aanvragen wordt digitaal verwerkt. Om daarbij de grote stromen gegevens beheersbaar te houden, wordt steeds vaker gebruik gemaakt van digitale technieken en geautomatiseerde processen. Digitalisering biedt steeds meer mogelijkheden voor onze uitvoeringsdiensten bij het efficiënt uitvoeren van wettelijke taken en bevoegdheden. Tegelijkertijd is in de huidige relevante wet- en regelgeving niet op gestructureerde wijze rekening gehouden met privacyaspecten die gemoeid zijn met gegevensverwerking. Er lopen verschillende trajecten ter verbetering van de gegevensverwerking en ter (verdere) implementatie van de Algemene Verordening Gegevensbescherming (AVG). Uw Kamer wordt daarover via voortgangsrapportages geïnformeerd4.

Wetstraject WGBTD

Doelen van het wetstraject

Al geruime tijd wordt gewerkt aan het wetstraject WGBTD. Het wetstraject heeft drie doelen: (1) het verstevigen van de wettelijke grondslagen voor de gegevensverwerking; (2) voorzien in waarborgen bij de gegevensverwerking in aanvulling op de waarborgen die reeds voortvloeien uit de AVG, Baseline informatiebeveiliging overheid (BIO) en de Archiefwet; en (3) het vergroten van de transparantie bij de gegevensverwerking.

De aanleiding van het wetstraject

Continue juridische, technologische en maatschappelijke ontwikkelingen maken dat het verwerken van gegevens door overheidsdiensten in een steeds dynamischere context gebeurt. Daarbij neemt de aandacht voor gegevensverwerking toe. Het inwilligen van maatschappelijke wensen en het in acht nemen van juridische kaders, in relatie tot (nieuwe) technische mogelijkheden, brengen uitdagingen met zich mee. Zo is het aantal verwerkingen van persoons- en bedrijfsgegevens door onze uitvoeringsdiensten toegenomen, terwijl het ICT-landschap waar de verwerking van deze gegevens op leunt complex en veelal verouderd is. Tegelijkertijd proberen we de veranderende wensen van de politiek, burgers en bedrijven snel en zorgvuldig te accommoderen en evenwel miljoenen aangiften, verzoeken en aanvragen te verwerken. Daarbij worden de juridische kaders op het gebied van gegevensverwerking steeds duidelijker door uitspraken van de Hoge Raad en de Afdeling Bestuursrechtspraak van de Raad van State en door adviezen van de Autoriteit Persoonsgegevens en de afdeling Advisering van de Raad van State.

Door de inwerkingtreding van de AVG, jurisprudentie, de opkomst van nieuwe digitale technieken, het toegenomen belang van transparantie en voortschrijdende inzichten lijken de nu geldende wettelijke kaders te moeten worden verstevigd. Het gebruik van persoonsgegevens door onze uitvoeringsdiensten moet voldoende precies zijn voorzien bij wet. Een aantal dingen moet duidelijk zijn: hoe onze uitvoeringsdiensten aan gegevens komen, voor welke doeleinden deze gegevens worden verkregen, wat onze uitvoeringsdiensten ermee doen en aan wie en met welk doel de gegevens worden verstrekt. Het gebruik van persoonsgegevens moet voldoende waarborgen bevatten, zodat het recht op transparantie aangaande de gegevensverwerking kan worden geëffectueerd. Heldere kaders zijn uiteraard ook in het belang van onze uitvoeringsdiensten. Dit vergroot namelijk de duidelijkheid over wat de rechtmatige gegevensverwerking door de uitvoeringsdiensten inhoudt.

Waar staan we nu?

Het wetstraject loopt inmiddels al geruime tijd. In de tussentijd heeft een aantal technische, maatschappelijke en juridische ontwikkelingen invloed gehad op het wetstraject. Daarom is besloten de inhoud van het wetstraject te herzien. Er worden momenteel analyses uitgevoerd voor eventueel benodigde grondslagen en (aanvullende) waarborgen voor verschillende gegevensverwerkingen. Ook wordt bezien of de mogelijke grondslagen en (aanvullende) waarborgen in een separate, nieuwe wet zouden moeten worden geregeld. In dat kader ligt het zwaartepunt in dit wetstraject bij de verwerking van persoonsgegevens. De huidige grondslagen zijn tot stand gekomen in een tijd waarin gegevensverwerking op een abstract niveau werd geregeld. Gewijzigd beleid binnen de overheid ten aanzien van gegevensverwerking kan betekenen dat deze grondslagen onvoldoende transparant zijn vanuit burgerperspectief. Er wordt daarom nader bezien of huidige grondslagen voor verwerkingen van gegevens voldoende transparant zijn. Daarbij moet worden benadrukt dat de uitvoeringsdiensten zich voor de gegevensverwerking baseren op verschillende wetgeving, bevoegdheden en systemen. Per uitvoeringsdienst wordt gespecificeerd voor welke (soort) verwerking nader wordt bezien of grondslagen voldoende transparant zijn.

Voor de Belastingdienst gaat het om:

• – het structureel verkrijgen van persoonsgegevens van andere overheidsorganisaties;

• – het verkrijgen van persoonsgegevens door middel van internetonderzoek;

• – het in acht te nemen van maatregelen bij het (zelfstandig) verkrijgen en intern verwerken van persoonsgegevens;

• – de geautomatiseerde analyse van aangiften en het geautomatiseerd opleggen van aanslagen;

• – de verwerking van enkele categorieën bijzondere persoonsgegevens; en

• – de doorbreking van de geheimhoudingsplicht ten behoeve van gegevensverstrekkingen aan andere (overheids)organisaties.

Voor Toeslagen gaat het om:

• – de geautomatiseerde analyse van aanvragen, wijzigingen en verleende voorschotten, en het geautomatiseerd beschikken.

• – de structurele en uit eigener beweging verkrijging persoonsgegevens van andere overheidsorganisaties; en

• – gegevensverstrekkingen aan andere overheidsorganisaties.

Voor de Douane gaat het om:

• – het verkrijgen van persoonsgegevens door middel van internetonderzoek; en

• – de verwerking van persoonsgegevens bij cameratoezicht op het gebied van controle bij accijnzen en verbruiksbelastingen.

Acties ter verbetering van gegevensverwerking

Los van het wetstraject WGBTD zijn onze uitvoeringsdiensten ook bezig met het intern verbeteren van de manier waarop met persoonsgegevens wordt omgegaan. Alle drie de uitvoeringsdiensten werken op basis van een projectmatige aanpak aan de (verdere) implementatie van de AVG. Dit wordt gedaan aan de hand van het departementale plan «Privacy op orde». Hieronder is per uitvoeringsdienst kort uiteengezet welke acties ter verbetering van gegevensverwerking in gang zijn gezet.

Belastingdienst

Onderdeel van het departementale plan «Privacy op orde» is het opzetten van een vaktechnische structuur voor privacy en gegevensbescherming. Dit gebeurt naar voorbeeld van al bestaande structuren voor de (fiscale) heffingsmiddelen en formeel recht. Zo is er recent een landelijk vaktechnisch coördinator gegevensverwerking (lavaco) aangesteld en wordt gekeken naar versterking van het team van de Privacy Officer. Ook toetst de Belastingdienst processen, waarmee geautomatiseerd gegevens worden vernietigd of gearchiveerd, aan de AVG, BIO en Archiefwet: dit is geprioriteerd in het meerjarenportfolio 2023–2027. Ook wordt een dashboard gemaakt om in 2023 een overzicht van de voortgang van de AVG-compliantie te hebben en dit te kunnen monitoren.

Daarnaast lopen er verschillende activiteiten om te voldoen aan de AVG. Het gaat onder andere om het opstellen en kwalitatief verbeteren van departementale data protection impact assessments (DPIA’s) (ook wel gegevensbeschermingseffectbeoordelingen: GEB) en het actualiseren van het register van verwerkingen. Om het bewustzijn van medewerkers voor het zorgvuldig omgaan met gegevens te vergroten, moeten zij een online security awareness game volgen.

Toeslagen

Bij Toeslagen is gewerkt aan de versteviging van de kennis en opleiding van medewerkers die in de eerste lijn te maken krijgen met kwesties omtrent privacy. Daarnaast zijn stappen gezet bij de verdere inrichting van de privacy-organisatie en in de implementatie van de vaktechnische lijn binnen de Uitvoeringsorganisatie Herstel Toeslagen en Toeslagen. In samenwerking met de domeinen informatiebeveiliging en datamanagement wordt onderzoek gedaan naar de invoering van een geschikt systeem ten behoeve van governance, risk en compliance, waarmee naleving van de aantoonplicht beter geborgd kan worden. Onderdeel van het departementale plan «Privacy op orde» is het opzetten van een governance structuur voor privacy en gegevensbescherming. Ook toetst Toeslagen haar processen, waarmee geautomatiseerd gegevens worden vernietigd of gearchiveerd, aan de AVG, BIO en Archiefwet: dit is onderdeel van het Informatiehuishoudingsprogramma. Verder wordt gewerkt aan het verwerkingenregister, uitvoering DPIA’s en risicoanalyse, implementatie van een bewustwordingsprogramma passend in privacy by design en het volwassenheidsniveau op basis van een uitgevoerde 0-meting. DPIA’s en registratie datalekken zijn vooralsnog bij de Belastingdienst belegd in nauwe samenwerking met Toeslagen. De uit te voeren activiteiten van het actieplan «privacy op orde» zijn doorvertaald naar Toeslagen en worden uitgevoerd door een ingerichte Taskforce conform een opgestelde roadmap en activiteitenplan. Verantwoording over de voortgang vindt plaats in het Directieteam van Toeslagen, de Bestuursraad en in het wekelijkse departementale project overleg (programma «Privacy op orde»).

Douane

Bij de Douane is er evenals bij de Belastingdienst en Toeslagen volop aandacht voor de rechtmatige gegevensverwerking. De Douane heeft een privacy organisatie opgericht. Deze privacy organisatie heeft een eerste Gap analyse uitgevoerd met betrekking tot de huidige stand van zaken op het gebied van privacy binnen de Douane. Op basis van deze Gap analyse is er een roadmap privacy opgesteld. Deze roadmap bevat tien werkstromen die ertoe moeten leiden dat de Douane in 2024 AVG en Wet politiegegevens (WPG) compliant werkt. Het eerste onderdeel van de roadmap is het opstellen van een besturings-en overlegmodel privacy. Er wordt een governance structuur, ondersteund door beleid en procedures en werkinstructies ontwikkeld. Gelijktijdig wordt gewerkt aan het actualiseren van het (bij wet verplichte) verwerkingsregister. Dit is een fundamenteel onderdeel van elke privacy organisatie en biedt inzicht in welke verwerkingen plaatsvinden binnen de Douane.

Proces

Het streven is om in het eerste kwartaal van 2023 meer duidelijkheid te kunnen geven over de grondslagen die verstevigd moeten worden. U wordt daarna geïnformeerd over de bevindingen en de verdere planning.

Met dit wetstraject beogen we een verdere bijdrage te leveren aan de verbetering van de gegevensverwerking door en het terugwinnen van het vertrouwen in onze uitvoeringsdiensten.

De Staatssecretaris van Financiën, M.L.A. van Rij

De Staatssecretaris van Financiën, A. de Vries