Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 mei 2019

In de recente halfjaarsrapportage1 heb ik toegezegd uw Kamer eind mei 2019 nader te informeren over de voortgang van de implementatie van de Algemene verordening gegevensbescherming (AVG) bij de Belastingdienst. Daarnaast heb ik toegezegd het rapport van de Auditdienst Rijk (ADR) over de implementatie van de AVG binnen het Ministerie van Financiën en de Belastingdienst aan uw Kamer te sturen, inclusief de wijze waarop de aanbevelingen van de ADR zullen worden opgevolgd.

Met deze brief geef ik gevolg aan deze toezeggingen.

Voortgang implementatie AVG

In juni 2018 heb ik uw Kamer geïnformeerd over de implementatie van de AVG bij de Belastingdienst, de zogenaamde basispositie.2 De Belastingdienst moest toen nog een aantal maatregelen uitvoeren om de AVG te implementeren. De Belastingdienst heeft in het vervolgtraject inmiddels de maatregelen kunnen realiseren, met uitzondering van de maatregel «verwijderen van verouderde gegevens».

Ten aanzien van het verwijderen van verouderde gegevens is geconstateerd dat het niet lukt voor eind mei 2019 de achterstand bij het verwijderen van verouderde gegevens weg te werken. Dit wordt veroorzaakt door twee problemen. Ten eerste is het voor een aantal oude systemen niet mogelijk om de verouderde gegevens op basis van de AVG-normen te verwijderen. De benodigde systeemaanpassingen zijn dusdanig ingrijpend gebleken, dat dit op korte termijn niet mogelijk is. Ten tweede speelt het probleem dat digitale documenten stuk voor stuk op basis van de inhoud handmatig beoordeeld moeten worden op de aanwezigheid van persoonsgegevens. Een bestandsnaam of bestandsformaat zegt namelijk onvoldoende over de inhoud van een bestand.

Om te voorkomen dat de niet-tijdig verwijderde gegevens onrechtmatig kunnen worden verwerkt door medewerkers van de Belastingdienst, heeft de Belastingdienst mitigerende maatregelen genomen. De verouderde documenten worden in een zogenoemde datakluis geplaatst waardoor de toegang tot de persoonsgegevens wordt weggenomen. De (digitale) datakluis is een afgeschermde omgeving waar medewerkers van de Belastingdienst geen toegang toe hebben; alleen daartoe aangewezen beheerders hebben toegang. De Belastingdienst neemt actie om de gegevens uit de datakluis nader te beoordelen en, als de gegevens geen permanente waarde hebben of verouderd zijn, daadwerkelijk te verwijderen.

Hierna zal ik toelichten hoe de Belastingdienst uitvoering heeft gegeven aan de maatregelen om de AVG te implementeren.

• – Transparantie en informatieverplichting

  De Belastingdienst heeft op zijn eigen webpagina een privacyverklaring gepubliceerd. De privacyverklaring geeft informatie over de persoonsgegevens die de Belastingdienst verwerkt van burgers, bedrijven en eigen personeel, waar die gegevens vandaan komen en aan wie ze eventueel geleverd worden. Het continu actualiseren van de verklaring is onderdeel van het reguliere beheerproces.

• – Inzage- en correctieverzoeken

  De Belastingdienst heeft een proces ingericht voor het indienen van onder andere inzage- en correctieverzoeken. In de privacyverklaring staat op welke manier en via welk postadres een betrokken persoon zijn inzage- of correctieverzoek bij de Belastingdienst kan indienen.

• – Register van verwerkingen

  De Belastingdienst heeft een register van verwerkingen. In het register zijn ongeveer 400 verwerkingen van de Belastingdienst opgenomen. Hoewel de AVG dat niet voorschrijft, streeft de Belastingdienst naar publicatie van het register. Op dit moment is een samenvatting van het register gepubliceerd als bijlage bij de privacyverklaring. Actualisering, zoals het registreren van nieuwe verwerkingen, en kwaliteitsverbetering van het register zijn onderdeel van het reguliere beheersproces.

• – Datalekken

  De Belastingdienst heeft het proces voor het melden van datalekken in verband met de AVG aangepast. Actualisering en kwaliteitsverbetering van het proces zijn onderdeel van het reguliere beheersproces.

• – Geautomatiseerde besluitvorming

  De Belastingdienst maakt binnen de kaders van de AVG en Uitvoeringswet AVG gebruik van geautomatiseerde besluitvorming. Vanwege de complexiteit van het onderwerp is in de privacyverklaring vooralsnog een algemene uitleg van de rekenregels en logica die aan geautomatiseerde besluiten ten grondslag liggen, opgenomen. De Belastingdienst is betrokken bij de rijksbrede ontwikkelingen in dit kader.

• – Gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default)

  Er is een handleiding voor architecten en ontwerpers opgesteld over de principes van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Bij wijziging of vernieuwing van systemen wordt aan de hand van risicoanalyses bepaald hoe hieraan concreet invulling wordt gegeven. Het verder ontwikkelen van deze principes is onderdeel van het reguliere beheersproces. Ook bij activiteiten rond bewustwording komen de principes aan de orde.

• – Informatiebeveiliging; autorisaties

  Het actualiseren van autorisaties voor toegang tot persoonsgegevens is afgerond. Het actueel houden van autorisaties is onderdeel van het reguliere beheersproces.

  De Belastingdienst heeft verder mitigerende maatregelen genomen om het intern oneigenlijk delen van gegevens te voorkomen. Het gaat daarbij onder andere om het uitfaseren van gegevensexport faciliteiten in applicaties en het vooraf toetsen aan de AVG van een opvraging vanuit de data-analyseomgeving.

• – Functionaris voor gegevensbescherming

  Het Ministerie van Financiën, waaronder de Belastingdienst, heeft een functionaris voor gegevensbescherming aangesteld.

• – Gegevensbeschermingseffectbeoordeling (GEB/DPIA)

  De Belastingdienst heeft een handleiding voor het uitvoeren van GEB/DPIA opgesteld. Bij nieuwe verwerkingen wordt getoetst of het nodig is om een GEB/DPIA uit te voeren. Bij bestaande verwerkingen wordt periodiek, in een cyclus van ongeveer drie jaar, getoetst of de risico’s en de genomen maatregelen bij een verwerking geactualiseerd moeten worden en of het uitvoeren van een GEB/DPIA nodig is.

• – Verwerkers

  De Belastingdienst heeft waar nodig verwerkersovereenkomsten geactualiseerd. Het actueel houden is onderdeel van het reguliere beheersproces.

• – Verantwoording

  De Belastingdienst heeft de verantwoording voor de naleving van de AVG in de nieuwe topstructuur belegd bij de directeuren van de dienstonderdelen. Bij de concerndirectie Informatievoorziening en databeheersing zijn de functies van privacyofficer en chief information security officer ingericht. Verder heeft iedere directie een contactpersoon voor gegevensbescherming, een zogenoemde datacoördinator. Samen met de functionaris voor gegevensbescherming van het Ministerie van Financiën en de Belastingdienst wordt in het reguliere beheersproces de naleving van de AVG getoetst en zo nodig geactualiseerd.

  Om de bewustwording en de kennis over de AVG bij medewerkers te vergroten heeft de Belastingdienst verschillende activiteiten ontwikkeld en uitgevoerd. Er zijn workshops gehouden over het verantwoord omgaan met gegevens; de campagne «Allemaal veilig digitaal» is gevoerd; er zijn verschillende webinars gehouden. Ook hebben alle medewerkers verplicht de basiscursus privacy en AVG moeten volgen. De Belastingdienst zet de bewustwordings- en opleidingsactiviteiten voort in het beheersproces.

Rapport ADR

Begin 2019 heeft de ADR in opdracht van de plv. secretaris-generaal van Financiën een onderzoek uitgevoerd naar het op schema liggen van de opgestelde implementatietrajecten van de AVG voor zowel het kerndepartement van Financiën als de Belastingdienst. De doelstelling van het onderzoek was om het kerndepartement van Financiën en de Belastingdienst extra inzicht te geven in de stand van zaken van een aantal maatregelen uit de implementatieplannen om zodoende op 25 mei 2019 aantoonbaar (op een adequaat niveau) aan de AVG te kunnen voldoen. Als bijlage bij deze brief stuur ik uw Kamer het onderzoeksrapport «Implementatie AVG bij het Ministerie van Financiën»3.

De ADR heeft de stand van zaken van een aantal geselecteerde maatregelen uit de implementatieplannen onderzocht en de factoren die van invloed zijn op een goede en tijdige realisatie van de nog uit te voeren geselecteerde maatregelen. Op basis van de bevindingen heeft de ADR aanbevelingen gedaan.

Als reactie op het rapport van de ADR geeft de Belastingdienst aan de door de ADR benoemde risico’s met betrekking tot de implementatie te herkennen. Het rapport van de ADR geeft de situatie van februari 2019 weer. De periode februari-mei 2019 heeft de Belastingdienst gebruikt om de bevindingen van de ADR weg te nemen. De Belastingdienst meldt dat de bevindingen inmiddels zijn opgelost, met uitzondering van het verwijderen van oude gegevens.

De Belastingdienst heeft op de volgende manier opvolging gegeven aan de aanbevelingen van de ADR.

• 1. Heroverweging/hertoets van alle issues (AVG-acties)

  De Belastingdienst heeft in april/mei 2019 de maatregelen uit de risico- en issueanalyse nogmaals bezien. De uitkomst is dat een deel van de acties ziet op het actualiseren of verbeteren van processen binnen de Belastingdienst. De uitvoering van die acties maakt onderdeel uit van het reguliere beheersproces en de borging van de opvolging gebeurt via de planning & control cyclus. De Belastingdienst heeft door actief te sturen de maatregelen die noodzakelijk zijn om de AVG te implementeren, gerealiseerd. Zoals eerder in deze brief aangegeven, gaat het verwijderen van oude gegevens op korte termijn niet lukken.

• 2. Een meer projectmatige aanpak om strakker te kunnen sturen

  De sturing rond de implementatie van de AVG is bij de Belastingdienst belegd bij de concerndirectie Informatievoorziening en databeheersing; naast de reguliere lijnsturing. Vanaf begin 2019 heeft de concerndirectie de regie op de uitvoering geïntensiveerd door de betrokken medewerkers van de dienstonderdelen frequenter bijeen te roepen voor inhoudelijke afstemming. Het gaat daarbij om medewerkers die projectmatig ingezet zijn voor de implementatie van de AVG en om structurele contactpersonen voor de AVG, zogenoemde datacoördinatoren. Ook is er «op maat» geadviseerd bij dienstonderdelen met specifieke vragen en is een aantal centraal aangestuurde acties uitgevoerd; zoals het opstellen van maandrapportages voor het inzicht op de voortgang en het ontwikkelen van een centrale aanpak voor het schonen van netwerkschijven. Daarmee is bereikt dat sneller en uniform bijgestuurd is.

• 3. Pro-actievere rol van het CIO-office van de Belastingdienst en privacyofficer

  Het CIO-office van de Belastingdienst en de privacyofficer maken onderdeel uit van de concerndirectie Informatievoorziening en databeheersing. Vanaf begin 2019 stuurt de privacyofficer de maandelijkse overleggen van datacoördinatoren aan. Het doel van deze overleggen is het delen van kennis over inhoudelijke en uitvoeringsonderwerpen op het gebied van gegevensbescherming, waaronder de AVG. Daarnaast hebben het CIO-office en de privacyofficer in deze periode aan dienstonderdelen ondersteuning «op maat» geboden op specifiekere onderwerpen. De maandelijkse overleggen en de ondersteuning worden voortgezet en maken onderdeel uit van de reguliere werkwijze.

• 4. Opstellen beleidskaders in samenwerking met de uitvoerende dienstonderdelen

  Nadere analyse van deze aanbeveling leert dat het niet zozeer om het opstellen van beleidskaders lijkt te gaan, maar meer om begeleiding bij het uitwerken van bestaande kaders naar uitvoeringsrichtlijnen voor individuele directies van de Belastingdienst; en het toepassen daarvan. Onder andere in de maandelijkse overleggen onder leiding van de privacyofficer wordt hier invulling aan gegeven.

• 5. Inrichten project voor structurele verbeteracties voor naleving van de AVG, maar met breder bereik

  De Belastingdienst heeft de afgelopen twee jaar hard gewerkt om de AVG te implementeren. Verbeteracties die een breder bereik hebben, zoals het toepassen van de selectielijsten en het op orde brengen van de informatiehuishouding, worden op basis van interne controles, audits en gedane aanbevelingen (leercirkel) uitgevoerd in het reguliere beheersproces.

• 6. Aandachtspunten voor de aantoonbare naleving van de AVG

  • − De Belastingdienst werkt aan het verbeteren van het inzicht in het gebruik van persoonsgegevens in de keten door het actualiseren en het verbeteren van de kwaliteit van het register van werkingen en het uitvoeren van GEB/DPIA’s.

  • − De prioriteitstelling in de informatievoorziening om functionaliteiten aan te kunnen brengen in applicaties ten behoeve van het schonen en verwijderen maakt onderdeel uit van het IV-portfolioproces.

  • − Het Ministerie van Justitie en Veiligheid heeft het initiatief genomen om (interdepartementaal) een voor het rijk te gebruiken voldoende dekkend normenkader op het gebied van gegevensbescherming c.q. AVG te ontwikkelen. De CIO-offices van het kerndepartement van Financiën en de Belastingdienst hebben zich hierbij aangesloten.

Om de uitvoering van de aanbevelingen door de Belastingdienst te toetsen, zal ik de ADR vragen een aanvullende audit te doen op de implementatie van de AVG bij de Belastingdienst. De uitkomst van de aanvullende audit zal ik te zijner tijd aan uw Kamer te sturen.

De Belastingdienst heeft een grote inspanning geleverd om te kunnen voldoen aan de AVG en blijft dat doen. Dit laat onverlet dat in een bepaalde situatie de Belastingdienst alsnog in strijd met de AVG kan handelen. Denk bijvoorbeeld aan het oordeel van de Autoriteit Persoonsgegevens over het gebruik van het BSN in het btw-identificatienummer.4 Ook kan niet worden uitgesloten dat zich in de toekomst een datalek voordoet. De Belastingdienst handelt deze situaties conform de normen van de AVG af. Zoals ik eerder heb aangegeven, is naleving van de AVG geen statisch gegeven, maar een proces dat voortdurend aandacht vergt. De genomen maatregelen en de gestelde kaders moeten worden onderhouden. De Belastingdienst blijft dus doorlopend werken aan maatregelen en kaders en streeft daarmee naar een duurzame naleving van de AVG.

De Staatssecretaris van Financiën, M. Snel