31 066 Belastingdienst

Nr. 1355 BRIEF VAN DE STAATSSECRETARISSEN VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 april 2024

Zoals aangegeven bij de beantwoording van de Kamervragen over het advies van de landsadvocaat over geautomatiseerde selectietechnieken1 van 13 maart jl. is ook bij de Belastingdienst geïnventariseerd of en in hoeverre Heidi is gebruikt. In deze brief wordt uw Kamer geïnformeerd over hoe onderdelen van de Belastingdienst gebruik hebben gemaakt van Heidi, voor welke doeleinde(n) en welke gegevens hierbij verwerkt werden. Ook wordt aangegeven of er redenen zijn om het beeld van het gebruik van Heidi binnen de Dienst Toeslagen bij te stellen.

De voorziening Heidi (I en II)

Heidi I is in 2013 in opdracht van het MT-fraude van de Belastingdienst ontwikkeld om afwijkend risicovol gedrag zo vroeg mogelijk te kunnen signaleren. Heidi was een database-functionaliteit om IP-adressen vast te leggen en te ontsluiten. De functionaliteit registreerde portaldata, waaronder de IP-adressen waarmee toeslagaanvragers het Toeslagen-portal (mijntoeslagen.nl) benaderden. In 2013 is hier geen gegevensbeschermingseffectbeoordeling (GEB) voor gemaakt. In die tijd was dit ook nog geen verplichting. Hierdoor is niet met zekerheid vast te stellen en te reconstrueren voor welke doeleinde(n) Heidi I is ontwikkeld en welke gegevens er in Heidi I stonden en door welke andere dienstonderdelen (naast Toeslagen) deze voorziening is gebruikt.

In september 2017 is op advies van de privacy officer van de Belastingdienst Heidi I «on hold» gezet omdat deze niet zou voldoen aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Naar aanleiding daarvan is Heidi «II» ontwikkeld in oktober 2017. Er is een GEB voor opgesteld die op 15 januari jl.2 met uw Kamer is gedeeld. Uit deze GEB blijkt dat eerdere aangekoppelde functies en aanvullingen in Heidi II zijn verwijderd, waardoor een afgeslankte versie ontstaan is. Het gaat hierbij onder andere om een aanvullende voorziening rondom mijnbelastingdienst.nl en een dataset van de Fraude Signalering Voorziening (FSV) die niet meer zijn opgenomen. Hieruit kan geconcludeerd worden dat het mogelijk was om bij Heidi I gebruik te maken van deze datasets.

Zoals eerder aangegeven kan niet exact worden aangegeven welke gegevens gebruikt zijn in Heidi I, met welk doeleinde(n) en door welk dienstonderdeel. Zoals wij op 31 augustus 20233 uw Kamer hebben geïnformeerd, wordt extern onderzoek gedaan naar Risico Analyse Model (RAM). Uw Kamer is op 19 december geïnformeerd4 over de start van de aanbesteding en de onderzoeksopdracht. Een van de vragen hierbij is; «alsook een inventarisatie van mogelijke vergelijkbare systemen die nog niet aan een eerder (extern) onderzoek onderworpen zijn». Wij zullen de onderzoekers ook wijzen op het gebruik van Heidi.

Voor Heidi II staat in de GEB dat verschillende gegevens die werden ontvangen vanuit Beheer Van Relaties (BVR5) zoals: geboortedatum, woonadres, eerste nationaliteit6 en het aantal BSN's ingeschreven op adres (berekend gegeven) werden verrijkt met gegevens zoals het IP-adres en vanuit openbare bronnen werden onder andere de geografische gegevens toegevoegd.

Gebruik Heidi II door de Belastingdienst

Op basis van de huidige informatie is duidelijk geworden dat de gegevens van Heidi II zijn gebruikt voor het Combiteam Aanpak Facilitators (CAF). Het CAF was een multidisciplinair samenwerkingsverband binnen de Belastingdienst en werd in 2013 opgericht om signalen van mogelijke fraude bij zogenoemde tussenpersonen zoals belastingadviseurs te onderzoeken. Hiervoor was het onder andere van belang om te weten of er vanaf één adres meerdere belastingaangiften of aanvragen voor toeslagen werden ingediend. Voor aangiften inkomstenheffing (IH) gebeurde dit eerst door een analyse in Excel waarin uitschieters op variabelen van fiscaal dienstverleners werden gedetecteerd. Hierin is ook gebruik gemaakt van IP-adressen die verkregen werden via Heidi. De analyse is later geprofessionaliseerd door het CAF IH model te bouwen waarvoor ook een GEB is gemaakt en Heidi II is gebruikt. Het CAF IH model is gestart in 2019 en het laatste gebruik van de data van het model was in mei 2020. Tussen mei 2020 en het definitief uitzetten van dit model in maart 2023 is het model niet meer gebruikt maar was het enkel raadpleegbaar voor mogelijk onderzoek naar de werkwijze van het voormalig CAF.

De FIOD heeft eigenstandig geen gebruik gemaakt en/of toegang tot Heidi. De FIOD heeft in de periode van 17 maart 2020 t/m 21 december 2023 in totaal 95 informatieverzoeken/vorderingen gedaan om informatie te verkrijgen die afkomstig was uit Heidi II7. In de hieraan voorafgaande periode is er geen administratie bijgehouden. De verzoeken kennen een verschillend karakter: het betrof informatie uit datasets die bestonden uit IP-adressen i.c.m. (meta)data van de portalen (OB, IH en Toeslagen). De FIOD kan na het uitzetten van Heidi II nog data vorderen over de periode tot en met 21 december 2023.

Gebruik Heidi II door Dienst Toeslagen

Zoals in de Stand van Zakenbrief Dienst Toeslagen van 15 januari jl.8 aan uw Kamer is gemeld, geldt voor Toeslagen dat Heidi werd gebruikt als een loggingsysteem waarbij portaldata werd gelogd van bezoekers van de toeslagenportal. Het doel van Heidi was het kunnen traceren of er sprake was van opvallend gedrag wat een indicatie kan zijn voor een verhoogd risico op misbruik van toeslagen.

De inventarisatie die gemaakt is door de Belastingdienst geeft op dit moment geen aanleiding tot het bijstellen van het beeld van het gebruik van Heidi II bij Dienst Toeslagen. Uit de GEB van Heidi II valt op te maken dat eerdere aangekoppelde functies en aanvullingen in Heidi II zijn verwijderd, waardoor de afgeslankte versie ontstaan is. Het gaat hierbij onder andere om een aanvullende voorziening rondom mijnbelastingdienst.nl en een dataset van de Fraude Signalering Voorziening (FSV) die niet meer zijn opgenomen Heidi II. Hieruit is op te maken dat in Heidi I gebruik is gemaakt van gegevens uit FSV.

Ook voor Dienst Toeslagen geldt, zoals eerder in deze brief is gemeld, dat niet exact kan worden aangegeven welke gegevens door Toeslagen nog meer gebruikt zijn in Heidi I.

Sinds het stopzetten van het Intensief Toezicht (ITO) proces in 2020 wordt geen gebruik meer gemaakt van portaldata voor wat betreft het detecteren van risico’s op misbruik. De staatsecretaris van Financiën – Toeslagen en Douane heeft uw Kamer in de Stand van Zakenbrief van 15 januari 2024 ook geïnformeerd over het stilleggen van het gebruik van portaldata in het kader van effectmetingen eind vorig jaar. Zoals toegezegd wordt uw Kamer op een later moment nader geïnformeerd over het toekomstige gebruik van portaldata door Dienst Toeslagen, wanneer het volledige proces van gegevensverwerking met de daarbij behorende waarborgen volledig in beeld is gebracht.

Tevens zal uw Kamer uiterlijk 15 juni 2024 worden geïnformeerd over het gebruik van portaldata bij de Belastingdienst.

De Staatssecretaris van Financiën, M.L.A. van Rij

De Staatssecretaris van Financiën, A. de Vries


X Noot
1

Kamerstukken II, 31 066, nr. 1100

X Noot
2

Kamerstukken II, 31 066, nr. 1330

X Noot
3

Kamerstukken II, 31 066, nr. 1276

X Noot
4

Kamerstukken II, 31 066, nr. 1326

X Noot
5

Gedeeltelijke interne kopie van basisregistratie Personen van de Belastingdienst

X Noot
6

De Belastingdienst en Dienst Toeslagen moeten in sommige gevallen de nationaliteit van burgers nodig, om de rechten en plichten van die burgers vast te stellen. De Kamer is eerder geïnformeerd over de expliciete grondslagen voor het gebruik van nationaliteit door de Belastingdienst; zie: Overzicht expliciete (fiscale) wettelijke grondslagen gebruik nationaliteit Belastingdienst(Kamerstukken II, 31 066, nr. 1030).

X Noot
7

De FIOD kan van de gegevens van HEIDI gebruik maken in het kader van een strafrechtelijk onderzoek. Dit is mogelijk als het Openbaar Ministerie op basis van het wetboek van strafvordering gegevens vordert van resp. Toeslagen en/of de Belastingdienst. Daarnaast kan de FIOD in het kader van de strafrechtelijke handhaving met artikel 67 Algemene wet inzake rijksbelastingen (AWR) in verbinding met artikel 43c lid 1 onderdeel H Uitvoeringsregeling Algemene wet inzake rijksbelastingen (UAWR) zonder vordering gegevens bij de Belastingdienst opvragen.

X Noot
8

Kamerstukken II, 31 066, nr. 1330

Naar boven