Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 oktober 2020

Met deze brief sturen we uw Kamer het concept plan van aanpak «Herstellen, Verbeteren en Borgen»1. Over de voortgang zullen we uw Kamer bij de voortgangsrapportages over het jaarplan informeren. Na een bespreking met uw Kamer zullen wij de uitkomsten daarvan onderdeel laten zijn van de operationele uitwerking van dit plan.

In onze brief van 10 juli jl.2 hebben we uw Kamer geïnformeerd over het onderzoek naar de Fraude Signalering Voorziening (FSV) en toegezegd dit concept plan van aanpak ter bespreking naar u toe te sturen. De bevindingen uit het onderzoek waren ernstig. Er wordt niet voldaan aan wettelijke vereisten, waaronder de Algemene verordening gegevens (AVG) en noodzakelijke waarborgen rond risico-selectieprocessen en behandeling van fraudesignalen zijn onvoldoende. Dit heeft potentieel gevolgen voor burgers en bedrijven. De basis voor het toezicht door de Belastingdienst moet op orde zijn. In het concept plan van aanpak kiezen wij ervoor om de processen rond risicoselectie en signalen van mogelijke fraude direct aan te pakken. In het eerste kwartaal van 2021 moeten de risico’s in deze processen in kaart zijn gebracht, hernieuwde kaders bekend zijn en de implementatie gestart. Hierbij wordt specifiek aandacht gegeven aan het gebruik van nationaliteit en projectcode 1043. Dit is van belang omdat de kans op negatieve effecten voor burgers en bedrijven hier het grootst is.

In het concept plan van aanpak kondigen we aan dat we daarnaast ook alle andere applicaties en processen zullen toetsen aan de eisen van de AVG, Baseline Informatiebeveiliging Overheid (BIO) en de Archiefwet. Gezien de omvang van deze actie (ongeveer 600 primaire processen en 800 applicaties) vergt dit meer tijd. Voor dit alles is het essentieel dat de medewerkers van de Belastingdienst zich – ook gedurende dit proces – bewust zijn van de regels op grond van de AVG, BIO en de Archiefwet en dat zij het melden als zij dingen tegen komen die niet conform deze wetgeving zijn. Daarom zullen wij per direct starten met een bewustheids-campagne rond de AVG. Nieuwe medewerkers hebben bij indiensttreding nu de verplichting een e-learning module AVG te volgen. Vanaf 2021 zal dit voor alle medewerkers elke twee jaar worden herhaald. Daarnaast zal het management van de Belastingdienst permanent aandacht blijven besteden aan het bewust omgaan met persoonsgegevens. Zodat medewerkers zich blijvend bewust zijn van het belang van voldoen aan deze regelgeving.

Daarnaast zijn we vooruitlopend op het concept plan van aanpak nadere interne onderzoeken gestart. Wij inventariseren de lijsten die binnen de Belastingdienst worden ingezet in het toezicht en onderzoeken het gebruik van vrije tekstvelden. Daarnaast zijn we bezig om de bedrijfsprocessen, waarin de applicaties die we hebben stilgezet werden gebruikt, aan te passen, zodat ze voldoen aan de AVG. Zoals eerder aangekondigd gaan we tevens onderzoek doen naar de vraag of een vermelding in FSV effect heeft gehad op de selectie en behandeling van burgers en bedrijven en zo ja wat dit effect is geweest en hoe dit effect gekwalificeerd moet worden. Het is mogelijk dat uit deze (lopende) onderzoeken en met de uitvoering van de acties uit het concept plan van aanpak nieuwe bevindingen boven tafel komen. Na beoordeling van de feiten zullen wij dan, indien nodig, beheersmaatregelen nemen. Uiteraard zullen we uw Kamer daar dan zo spoedig mogelijk over informeren. De drieslag van onderzoeken, daar waar nodig het nemen van maatregelen en informeren van uw Kamer, is en blijft onze aanpak.

Bij het behandelen van de inzageverzoeken eind september in FSV kwam het volgende boven. Bij het verwijderen van risicosignalen van het soort «aangiftefraude», «kliks en tips meldingen» en «overige projecten» uit FSV werden deze niet fysiek verwijderd maar kwamen deze in een voor de gebruikers van FSV niet zichtbaar «archief» terecht. Deze gegevens konden niet meer geraadpleegd worden en konden ook niet meer worden gebruikt in processen. Zoals u weet kan FSV sinds 27 februari jl. niet meer gebruikt worden en kunnen er dus ook geen nieuwe signalen in worden opgenomen en signalen uit worden verwijderd.

Een eerste inventarisatie leert dat sinds de start van FSV in 2014, tot het uitschakelen van FSV op 27 februari jl., er ongeveer 4000 signalen (van ongeveer 400 unieke BSN’s) verwijderd zijn en daarmee in dit «archief» opgeslagen zijn. Een deel van de signalen in dit «archief» lijken testgevallen3 te zijn. Er loopt nog een onderzoek naar het exacte aantal risicosignalen van burgers/bedrijven die opgenomen zijn in dit archief. Als gevolg van deze functionaliteit hebben we nu een met aan zekerheid grenzende waarschijnlijkheid compleet overzicht van alle in FSV opgevoerde risicosignalen. Hierdoor kunnen we burgers en bedrijven zekerheid geven bij de afhandeling van een inzageverzoek FSV. Als deze gegevens ontsloten zijn zullen de reeds afgehandelde inzageverzoeken opnieuw worden vergeleken met de nieuwe gegevens waarbij waar nodig een nieuw besluit op het inzageverzoek genomen kan worden. Daarnaast wordt onderzocht of deze informatie leidt tot aanpassing van de in eerdere beantwoording van schriftelijke Kamervragen genoemde aantallen in FSV geregistreerde burgers en/of bedrijven.

Omdat de Autoriteit Persoonsgegevens (AP) onderzoek doet naar FSV, hebben wij de AP op 6 oktober 2020 geïnformeerd over het bestaan van dit «archief».

In deze brief beantwoorden wij tevens de verzoeken van de vaste commissie voor Financiën zoals opgenomen in de brief 10 september jl. en sturen we u als bijlage de beantwoording op door uw Kamer gestelde schriftelijke vragen van 18 september 2020.

Verzoeken brief 10 september

Bij brief van 10 september heeft u verzocht om de stand van zaken met betrekking tot het vervolgonderzoek FSV en het afhandelen van de inzageverzoeken. Tevens heeft u verzocht om informatie over het schonen van systemen.

Stoppen met schonen

Wij hebben al aangegeven, in antwoorden op vragen van het lid Omtzigt4, dat wij de lopende vernietigingsactiviteiten door Doc-Direkt voor wat betreft toeslagendossiers hebben stopgezet en dat de dossiers die voor vernietiging in aanmerking zouden komen apart zijn opgeslagen. Ook is, ten aanzien van Toeslagen, besloten om managementverslagen, mails en overige zaakgebonden informatie tot nader order niet te vernietigen.

Wij gaan dit ook doen ten aanzien van het FSV dossier, de omgang met risico-selectie en fraudesignalen. Wij zullen de niet-gestructureerde informatie, zoals mails en afdelingsschijven, bewaren voor verder onderzoek. Uiteraard worden de juiste juridische en technische waarborgen hierbij in acht genomen. Voor de ondersteunende systemen ten behoeve van de handhaving- en toezichtprocessen onderzoeken we hoe we kunnen waarborgen dat de informatie uit deze systemen beschikbaar blijft voor verder onderzoek.

Update inzageverzoeken FSV

Zoals in de brief van 28 april jl.5 aan uw Kamer is aangegeven, is de applicatie FSV op 27 februari 2020 geschoond. Op dezelfde dag is de applicatie ook uitgezet. Er is toen een reservebestand (back-up) bewaard van de situatie van 26 februari 2020, dus van vóór de schoning. Daarnaast is er ook een reservebestand bewaard van de situatie op het moment van uitzetten, dus van ná de schoning. Beide reservebestanden staan in een beveiligde omgeving ten behoeve van nader onderzoek, onder andere door de Autoriteit Persoonsgegevens. Daarnaast is half juli 2020 aan een beperkt aantal medewerkers van de Belastingdienst autorisatie verleend om het niet-geschoonde reservebestand van FSV te gebruiken ten behoeve van het behandelen van verzoeken om inzage in FSV.

Vervolgonderzoek

In de brief van 10 juli is aangegeven dat verder onderzoek nodig is. In het concept plan van aanpak is aangegeven dat er onderzoek gedaan zal worden naar:

• • De mogelijke effecten van FSV op burgers en bedrijven. Er komt onderzoek naar de vraag of een vermelding in FSV effect heeft gehad op de selectie en behandeling van burgers en bedrijven en zo ja wat dit effect is geweest en hoe dit effect gekwalificeerd moet worden. Bij Toeslagen worden de bevindingen van het rapport over FSV meegenomen in de hersteloperatie.

• • De andere applicaties die tot bevindingen hebben geleid in het onderzoek van KPMG, om nog beter inzicht krijgen of er daadwerkelijk sprake is geweest van negatieve effecten op burgers en bedrijven.

• • De gevolgen van projectcode 1043. Het aanvullend onderzoek met projectcode 1043 ziet op de structurele werking van het uitvoeringsproces projectcode 1043, de daarin opgenomen waarborgen ten aanzien van selectie en aangiftebehandeling en de besluitvorming daarover.

• • Het aan CAF te relateren onderhanden werk. In de brief van 10 juli jl. aan uw Kamer is gemeld dat de werkzaamheden van het CAF-team per 3 juli jl. zijn opgeschort. Het onderhanden werk dat voortvloeide uit CAF-onderzoeken wordt in beeld gebracht. Dit zal worden beoordeeld op de noodzaak om dit op te schorten. Als de zaak al bij de rechter ligt, zal er een signaal aan de rechter gegeven worden mocht het inhoudelijk blijken dat er gewichtige redenen aangegeven kunnen worden die duiden op aanleiding voor opschorting. De keuze om daadwerkelijk op te schorten is aan de rechter.

• • De samenhang tussen de bevindingen ten aanzien van FSV, projectcode 1043 en de fraudeaanpak van de Belastingdienst.

Voor verdere informatie over het vervolgonderzoek FSV verwijzen wij u naar het meegestuurde concept plan van aanpak Herstellen, Verbeteren en Borgen. We betrekken uw Kamer graag bij de verdere uitwerking van de opzet en vraagstelling van het vervolgonderzoek.

Stand van zaken applicaties en processen uit het KPMG-rapport

Zoals in de brief van 10 juli jl. is aangegeven zijn er acht applicaties/informatievoorzieningen die tot bevindingen hebben geleid in het onderzoek van KPMG; daarnaast is er nog één applicatie (Databank Auto) naar voren gekomen in eigen onderzoek van de Belastingdienst. Hierbij geven we u een stand van zaken ten aanzien van de negen applicaties. In de beantwoording van de feitelijke vragen die uw Kamer op 18 september jl. heeft gesteld over de brief van 10 juli jl. gaan wij hierop uitgebreider in (Kamerstuk 31 066, nr. 710). We zullen hieronder de stand van zaken ten aanzien van deze applicaties en processen toelichten. De voor de applicaties en processen uitgevoerde GEB’s worden alle, conform het daarvoor ingerichte proces, beoordeeld door de privacy-officer van de Belastingdienst en de Functionaris voor de Gegevensbescherming van het Ministerie van Financiën (FG). De applicaties worden pas weer in gebruik genomen nadat de GEB is vastgesteld en eventuele beheersmaatregelen zijn geïmplementeerd.

• 1. Interne en externe signalen ten behoeve van het toezichtproces MKB: dit betrof het proces rond het verwerken van risicosignalen die oorspronkelijk in FSV werden vastgelegd. In juli 2020 is dit proces stilgelegd, aangezien volledige conformiteit met de eisen van de AVG niet verzekerd was. Voor dit proces wordt een gegevensbeschermingseffectbeoordeling (GEB) opgesteld. Het wordt niet eerder hervat dan nadat de GEB is vastgesteld en naar aanleiding daarvan eventueel te nemen beheersmaatregelen zijn geïmplementeerd. Er is geen specifieke datum voor hervatting van het proces bepaald.

• 2. Risicoclassificatie Toeslagen: bij dit risicomodel (en het proces van toepassing) was mogelijk sprake van gegevensverwerking die niet voldeed aan de eisen van de AVG de reden waarom het is stilgelegd. Ook voor dit risicomodel is een GEB in procedure. Ook hier geldt dat het risicomodel in gebruik wordt genomen nadat de GEB is afgerond en eventuele beheersmaatregelen zijn geïmplementeerd. Het streven is dit traject begin december 2020 af te ronden.

• 3. Verwerken van fraudesignalen Toeslagen: ook in dit proces was overeenstemming van de gegevensverwerking met de AVG niet zeker. Daarom is het proces stilgelegd. Voor dit proces is een GEB in procedure en geldt dat het niet eerder wordt hervat dan dat de GEB is vastgesteld en eventuele beheersmaatregelen zijn genomen. Het streven is om het proces half november te hervatten.

• 4. Databank Auto: deze applicatie is door de Belastingdienst aan de acht door KPMG geïdentificeerde applicaties toegevoegd. De inrichting van deze databank was blijkens een concept-GEB niet conform de eisen van de AVG op het punt van onder meer subsidiariteit, proportionaliteit en informatiebeveiliging. Op grond van deze constatering is de databank direct stopgezet. Inmiddels zijn drie workflowapplicaties voor de processen heffen autobelastingen, verklaring privégebruik auto en verklaring uitsluitend zakelijk gebruik bedrijfswagen, die een beperkte set gegevens gebruikten uit de Databank auto eind augustus 2020 weer in gebruik genomen. Dit op basis van een beoordeling van deze workflowapplicaties door FG. In zijn advies heeft de FG meegewogen dat geen bijzondere persoonsgegevens worden verwerkt en er geen sprake is van risicoselectie of profilering op basis van deze gegevens. Mede op basis van de beoordeling door de FG zijn wel verbetermaatregelen de workflowapplicaties in gang gezet. De Databank auto zelf blijft buiten gebruik voor heffings- en toezichtsdoeleinden. Mocht inzet van de databank voor de genoemde doeleinden in de nabije toekomst noodzakelijk zijn, dan zal dat niet gebeuren dan na opstelling van een nieuwe GEB en beoordeling daarvan door de privacy-officer en de FG.

• 5. Aanpak Team Veelplegers: voor dit proces bestond op basis van de uitgevoerde GEB geen indicatie van onrechtmatige verwerking van gegevens. Het is daarom niet stilgelegd.

• 6. Afgifte OB identificatienummer: voor dit risicomodel is op grond van een begin juli 2020 opgestelde nieuwe GEB geconstateerd dat mogelijk sprake was van een onrechtmatigheid in de gegevensverwerking, waarvoor direct een beheersmaatregel is getroffen. Het model is daarom niet buiten gebruik gesteld.

• 7. Datafundament Fraude Risico Indicatoren (FRI): ten aanzien van de verwerking van gegevens in deze applicatie waren er twee bevindingen die mogelijk tot onrechtmatig gebruik van gegevens zouden kunnen leiden. Deze zijn inmiddels opgelost. Het streven is het datafundament half oktober weer in gebruik te nemen.

• 8. OB Carrouselfraude: in dit risicomodel was door een combinatie van persoonsgegevens informatie over (niet-)Nederlanderschap af te leiden. Vanwege het risico op niet rechtmatige verwerking van dit gegeven is dit aangepast. Het model is daarvoor twee weken stilgelegd en sinds 13 juli 2020 weer in gebruik.

• 9. Innovatie OB positief op het omzetdeel: dit betrof een innovatief risicomodel voor effectief en efficiënt toezicht op afdracht van omzetbelasting. Het model was nog niet in gebruik genomen, zodat op basis hiervan geen gegevens van belastingplichtigen zijn of worden verwerkt. Indien dit model alsnog in gebruik wordt genomen, zal daarvoor eerst het volledige GEB-proces worden doorlopen.

Inventarisatie lijsten die worden ingezet in het toezicht

De afgelopen weken heeft naar aanleiding van het KPMG-rapport, zoals aangegeven in de brief van 10 juli jl. en vooruitlopend op het concept plan van aanpak Herstellen, Verbeteren en Borgen, bij alle medewerkers van de Belastingdienst, Douane en Toeslagen een uitvraag plaatsgevonden naar lijsten in gedeelde bestanden, in delen van samenwerkingsgebieden en op papier, die worden ingezet bij werkzaamheden in het toezicht. Hierbij zijn inmiddels 217 bestanden veiliggesteld. Dat betekent dat deze niet meer kunnen worden gebruikt voor het toezicht, dat deze in een afgeschermde omgeving worden bewaard en dus ook niet zullen worden geschoond. Daarnaast zijn zes lokale applicaties gemeld. Het vergt een nadere analyse van de bestanden en applicaties om te kunnen vaststellen of daarin sprake is van verwerking van gegevens die niet in lijn is met wettelijke kaders, of waaraan geen objectieve rechtvaardiging ten grondslag ligt. De nadere analyse en daaruit voortvloeiende acties zullen deel uit gaan maken van het hiervoor genoemde concept plan van aanpak Herstellen, Verbeteren en Borgen. Wij zullen uw Kamer over de uitkomsten en eventueel te nemen maatregelen informeren in de voortgangsrapportages over het concept plan van aanpak.

De Staatssecretaris van Financiën, J.A. Vijlbrief

De Staatssecretaris van Financiën, A.C. van Huffelen