Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 juli 2023

Met deze brief informeer ik u over het auditrapport met betrekking tot de Wet politiegegevens (Wpg) bij de directies Midden- en Kleinbedrijf (MKB), Particulieren (P) en Grote Ondernemingen (GO), exclusief Bureau Economische Handhaving (BEH), van de Belastingdienst. Uit dit rapport blijkt dat in belangrijke mate niet werd voldaan aan de Wpg.

De Buitengewoon Opsporingsambtenaren (BOA’s) die werkzaam zijn bij deze directies vallen sinds januari 2019 onder de Wpg voor de verwerking van politiegegevens. De Wpg vereist een jaarlijkse interne audit en iedere vier jaar een privacy-audit (externe audit). De eerste externe Wpg-audit moest in 2021 worden uitgevoerd en uiterlijk eind 2021 bij de Autoriteit Persoonsgegevens (AP) worden ingediend. De AP heeft alle organisaties die diensten uitvoeren die vallen onder de Wpg een jaar uitstel verleend tot 31 december 2022.

De audit is uitgevoerd over de periode 2019–2021 door de Auditdienst Rijk (ADR) voor de werkzaamheden van 120 BOA’s bij de directies MKB, P en GO, exclusief BEH.1 De Belastingdienst stuurt het Wpg-auditrapport aan de AP, zoals de Wpg voorschrijft. Voor het BEH is al eerder een audit uitgevoerd, waaruit blijkt dat BEH in belangrijke mate niet voldeed aan de Wpg. Hierover heb ik u geïnformeerd op 30 januari jongstleden.2 Naar aanleiding van die audit loopt een verbetertraject waarin een aantal stappen en maatregelen reeds geïmplementeerd zijn. De FIOD valt sinds 2009 onder de Wpg. De laatste audit is uitgevoerd in 2022. De FIOD heeft het stelsel van beheersmaatregelen goed geborgd en heeft de resterende verbeteracties vrijwel voltooid.3

De ADR komt in de bijgevoegde audit tot het oordeel dat voor de periode 2019–2021 in belangrijke mate niet voldaan werd aan de Wpg. In het rapport concludeert de ADR dat nog niet alle bestanden met politiegegevens geïdentificeerd en gedocumenteerd zijn. Daarnaast is het doel van de verwerkingen niet vastgelegd en ontbreken er uitgangspunten over noodzakelijkheid, rechtmatigheid, juistheid en volledigheid van politiegegevens. Ook zijn bewaar-, verwijder- en vernietigstermijnen niet aantoonbaar inzichtelijk gemaakt. De ADR constateert zodoende belangrijke tekortkomingen op het gebied van interne beheersing.

De betrokken directies herkennen zich in de stevige conclusies van de ADR. De verwerking van gevoelige gegevens vraagt grote zorgvuldigheid. De geconstateerde tekortkomingen moeten en zullen zo snel mogelijk worden rechtgezet. De Belastingdienst heeft acties in gang gezet om de werkwijze in lijn te brengen met de Wpg. Vooruitlopend op het rapport is in maart 2023 gestart met het beschrijven van werkprocessen en het inventariseren van beveiligde IT-systemen voor Wpg verwerkingen. Op dit moment worden er aparte samenwerkingsgebieden voor Wpg informatie opgezet per kantoor voor de daar werkende BOA’s. De werkprocessen van de BOA’s worden omschreven en vastgelegd. Ook zijn nu afspraken gemaakt omtrent de verplichte jaarlijkse interne audit.

De Belastingdienst is bezig met het opstellen van een verbeterrapport naar aanleiding van de audit, dat volgens de Wpg binnen drie maanden moet worden opgesteld. In dit rapport zullen de maatregelen worden beschreven die getroffen moeten worden ter verbetering van de geconstateerde tekortkomingen en het daarmee op orde brengen van de interne beheersing. Het rapport zal uiterlijk september 2023 worden afgerond en vervolgens met uw Kamer worden gedeeld.

Vanwege de uitkomst van het ADR auditrapport hebben de directies P, MKB en GO bezien of opschorting van de activiteiten van de BOA’s (exclusief BOA’s van BEH) noodzakelijk is. De directies P, MKB en GO hebben besloten om deze BOA’s geen nieuwe opsporingstaken op te laten pakken. Lopende werkzaamheden worden wel afgerond en weegwerkzaamheden gaan ook door. Voordat nieuwe activiteiten weer opgepakt kunnen worden, moet eerst een betere beschrijving van de grondslag van gegevensverwerking en het inrichten van een veilige IT-data werkomgeving worden gerealiseerd. Ook moet eerst het mandatenbesluit worden geactualiseerd en moeten de werkprocessen beter worden omgeschreven en vastgelegd. Daarnaast moet een risico- en impactanalyse zijn gedaan, waaruit blijkt dat de restrisico’s aanvaardbaar zijn. De planning is om dit najaar deze zaken te hebben geregeld.

Als gevolg van de gedeeltelijke opschorting van de werkzaamheden van BOA's zal de samenwerking van de directies P, MKB en GO met de FIOD en met het OM inzake de bestrijding van mogelijke fraude tijdelijk minder zijn. Om die reden zijn de algemeen directeur van de FIOD en de Hoofdofficier van het Functioneel Parket van het OM op de hoogte gebracht van het besluit tot gedeeltelijke opschorting van de werkzaamheden van BOA’s.

In de stand-van-zakenbrief, die ik u voorafgaand aan het commissiedebat Belastingdienst op 7 september stuur, zal ik u berichten over de voortgang met betrekking tot de verbetertrajecten voor de Wpg.

De Staatssecretaris van Financiën, M.L.A. van Rij