32 761 Verwerking en bescherming persoonsgegevens

31 066 Belastingdienst

Nr. 300 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 mei 2024

Bij de Belastingdienst wordt veel gewerkt met de gegevens van burgers en bedrijven. Dit is nodig om het heffen en innen van belastingen en premies mogelijk te maken en om burgers en bedrijven te kunnen ondersteunen bij hun fiscale vragen. Het is daarbij van belang dat de Belastingdienst zich houdt aan de geldende regelgeving bij het verwerken van persoonsgegevens. Er is in de afgelopen jaren hard gewerkt door de Belastingdienst om aan de AVG-vereisten te voldoen. Met name de toetsing van in uitvoering zijnde processen en het waar nodig nemen van maatregelen is een grote en langer lopende opgave. Via de stand-van-zakenbrieven heb ik uw Kamer over de voortgang hiervan geïnformeerd.

Naar aanleiding van berichtgeving in de media over het Risico Analyse Model (RAM) dat werd gebruikt door de Belastingdienst heeft de Autoriteit Persoonsgegevens (hierna: AP) contact met mij opgenomen. In de bijlage vindt u een afschrift van de brief die ik op 19 april jl. van de AP heb ontvangen. De AP wil een toezichtarrangement bij de Belastingdienst instellen om tot een duurzame verbetering van de bescherming van persoonsgegevens van burgers en bedrijven te komen. De Belastingdienst voelt, samen met de AP, de urgentie om ervoor te zorgen dat het gebruik van persoonsgegevens voldoet aan de geldende regelgeving. In deze brief informeer ik uw Kamer over hoe dit arrangement vormgegeven gaat worden.

De AP stelt een toezichtarrangement in om de acties van de Belastingdienst te kunnen volgen en te controleren, maar ook het bieden van begeleiding bij het duurzaam verbeteren van de bescherming van persoonsgegevens. De AP zal zich daarbij richten op verschillende thema’s zoals onder andere het gebruik van risicomodellen, de cultuur binnen de Belastingdienst met betrekking tot het omgaan met persoonsgegevens, de uitwisseling van gegevens en de staat van de privacy-organisatie. De AP is in april 2024 begonnen met het voeren van inventariserende gesprekken met medewerkers van de Belastingdienst om een beeld te krijgen van de huidige situatie bij de Belastingdienst. Op basis van deze gesprekken besluit de AP welke acties zij nodig acht. De Belastingdienst wordt daarover door de AP geïnformeerd.

De AP kan bijvoorbeeld afspraken maken met de Belastingdienst over het uitvoeren van tussentijdse audits op nieuwe processen en systemen.

Daarnaast is het toezichtarrangement gericht op het versterken van de privacy-organisatie zodat de Belastingdienst een structurele verbetering kan realiseren op het punt van de bescherming van persoonsgegevens.

Om de activiteiten die nodig zijn om uit te kunnen voeren, en effectief te kunnen zijn, verwacht de AP dat het toezichtarrangement 5 jaar zal duren. Jaarlijks zal er een evaluatie plaatsvinden om vast te stellen welke verbeteringen er door de Belastingdienst zijn gerealiseerd en welke aanvullende acties er nog nodig zijn. Op basis van de in april 2024 gestarte verkennende gesprekken tussen de AP en medewerkers van de Belastingdienst zal de AP haar aanpak verder invullen.

Via de stand-van-zakenbrieven die ik voorafgaand aan de commissiedebatten Belastingdienst verstuur, zal ik uw Kamer informeren over de voortgang.

De Staatssecretaris van Financiën, M.L.A. van Rij

Naar boven