Vragen van het lid Leijten (SP) aan de Staatssecretarissen van Financiën over de Fraude Signalering Voorziening (FSV) (ingezonden 4 maart 2020).

Vraag 1

Wanneer bent u op de hoogte gesteld van het bestaan van de Fraude Signalering Voorziening (FSV)?1

Vraag 2

Erkent u dat het bestaan van een zwarte lijst, waarin nota bene ook nog antidatering en ongelogde mutaties mogelijk zijn, totaal onwenselijk is voor een overheidsdienst? Kunt u uw antwoord toelichten?

Vraag 3

Heeft u zich op de hoogte gesteld van het in de gegevensbeschermingseffectbeoordeling beschreven «recente memo voor de stas over fraudemeldpunten»? Zo neen, waarom niet?

Vraag 4

Kunt u de Kamer het memo zoals vermeld op pagina 18 van de gegevensbeschermingseffectbeoordeling doen toekomen? Zo neen, waarom niet?

Vraag 5

Kunt u verklaren hoe het kan dat u op 27 februari 2020 een brief over de stand van zaken aan de Kamer stuurt2 en een dag later – zonder enig signaal naar de Kamer – een systeem uit de lucht moet halen dat te maken heeft met fraudesignalen?

Vraag 6

Waarom wordt in de beantwoording van de Kamervragen over de afwikkeling van de Combiteam Aanpak Facilitators (CAF) 11-gedupeerden niet geantwoord dat ook uit FSV-dagboek documenten komen voor de persoonlijke dossiers van ouders?3

Vraag 7

Kunt u aangeven hoeveel mensen uit FSV zijn gewist door de opschoonactie in het vierde kwartaal van 2019? Is het juist dat bij de start van de opschoonactie meer dan dubbel zoveel mensen als gemeld in FSV zaten?

Vraag 8

Is de digitale informatie over de opzet en resultaat van de uitgevoerde opschoonactie beschikbaar gehouden voor verantwoording en onderzoek?

Vraag 9

Op welke wijze zijn de gegevens die bij de opschoonactie zijn verwijderd uit het FSV-informatiesysteem in een beveiligde omgeving opgeslagen voor verantwoording, audits en onderzoek?

Vraag 10

Erkent u dat als deze gegevens weg zijn, daar dan ook veel signalen van gedupeerde ouders tussen zitten en dat hiermee mogelijk bewijsmateriaal voor die ouders van onbehoorlijke behandeling is vernietigd?

Vraag 11

Bent u bereid om ook de data die in de zo genoemde digitale kluis zijn opgeslagen beschikbaar te brengen om zo alsnog te achterhalen wie er in stonden?

Vraag 12

Bent u bereid om iedereen die in FSV aangemeld is, op de hoogte te stellen van de vermelding op de zwarte lijst? Zo nee, waarom niet?

Vraag 13

Bent u bereid om mensen die bij de opschoningsactie verwijderd zijn uit FSV daarvan op de hoogte te brengen, mits de gegevens nog te achterhalen zijn – wellicht via systeemdumps? Zo nee, waarom niet?

Vraag 14

Wat wordt precies bedoeld met «tijdelijk» uit de lucht gehaald? Welke verbeteringen moeten hoe dan ook worden toegepast voor het weer in gebruik nemen van FSV?

Vraag 15

Erkent u dat de noodmaatregelen, zoals beschreven op pagina 18 van de gegevensbeschermingseffectbeoordeling, geen garantie boden op de rechtmatigheid van de werking van de persoonsgegevens in FSV? Kunt u uw antwoord toelichten?

Vraag 16

Zijn er nog meer systemen binnen de Belastingdienst die kwetsbaar zijn als het gaat om de gegevensbescherming van belastingbetalers? Zo ja, hoeveel? Wat gebeurt er met deze risico’s?

Vraag 17

Kunt u aangeven met welke overheidsinstanties gegevens uit FSV zijn gedeeld?

Vraag 18

Kunt u aangeven welke andere overheidsinstanties bron konden zijn voor opname in FSV?

Vraag 19

Wanneer en door wie is besloten tot de privacy impact analyse (PIA) voor FSV?

Vraag 20

Kunt u aangeven hoe het mogelijk is dat er in januari 2019 een zeer kritisch rapport wordt opgeleverd, waarin staat dat het systeem «geen goede aansluiting (meer) heeft op de verwerkingsbeginselen van art. 5 AVG» en «onvoldoende onderscheid tussen informatieverzoek en een signaal maar ook betekenis/gewicht van de informatie, leidt tot mogelijke stigmatisering van betrokkenen (zwarte lijst effect)» pas in februari 2020 leidt tot het tijdelijk uit de lucht halen van het systeem?

Vraag 21

Wie heeft in die tussenliggende periode het rapport gekregen? Kunt u een tijdlijn maken wie, wanneer en met welke acties het rapport heeft besproken? Zo nee, waarom niet?

Vraag 22

Is het juist dat de betrokken directeur MKB een verleden heeft bij Belastingdienst/Toeslagen juist in de periode van de verhoogde inzet op mogelijke toeslagenfraude met Combinatieteams Aanpak Fraude (CAF)? Kunt u uw antwoord toelichten?

Vraag 23

Hoe vaak is FSV – middels dumps van de database – gebruikt als bron voor risicomodellen en datafundamenten van de afdeling Datafundamenten en Analytics (DF&A) alsmede voor IVT (Informatie Verstrekking Toeslagen)? Kunt u hiervan een overzicht geven? Zo nee, waarom niet?

Vraag 24

Kunt u aangeven hoe vaak er «trends in beeld» zijn gebracht door het gebruik van meldingen in FSV, waarover gesproken wordt op pagina 5 van de gegevensbeschermingseffectbeoordeling?

Vraag 25

Kunt u reconstrueren hoe FSV tot stand is gekomen? Wat was de aanleiding, hoe is de privacygevoeligheid getoetst, bijvoorbeeld met de voorloper van de Autoriteit Persoonsgegevens?

Vraag 26

Is het tot stand komen van FSV onderdeel geweest van discussie en/of besluitvorming van de Ministeriële Commissie Aanpak Fraude? Zo ja, kunt u aangegeven wie op de hoogte is geweest van de discussie en/of het besluit?

Vraag 27

Hoe is de lijst van categorieën tot stand gekomen als het gaat om de persoonsgegevens die verwerkt werden (pagina 6 van de gegevensbeschermingseffectbeoordeling)?

Vraag 28

Wat is de gedachte dat ook het zijn van gastouder als categorieën betrokken persoonsgegevens is opgenomen?

Vraag 29

Kunt u voorbeelden geven van informatie-uitvragen van derden waar gebruik van werd gemaakt naast signalen van de Belastingdienst die werden geregistreerd en vastgelegd?

Vraag 30

Werd FSV ook met data gevoed uit andere bronnen dan het PIT? Wellicht van buiten de Belastingdienst?

Vraag 31

Kunt u aangeven uit welke bronnen werden persoonsgegevens verkregen voor FSV?

Vraag 32

Kunt u aangeven waarom het opvragen van fiscale gegevens door een andere overheidsinstantie als signaal in FSV werd geregistreerd? Is de uitvraag van gegevens altijd een signaal voor potentiële fraude? Kunt u uw antwoord toelichten?

Vraag 33

Wat waren de achterliggende bevindingen bij de zinsnede op pagina 7 van de gegevensbeschermingseffectbeoordeling: Er zijn tijdens het assessment voorbeelden genoemd van «niet voorgenomen/bedoelde» verwerkingsvormen die functioneel wel mogelijk zijn en worden gebruikt: het raadplegen van de werkvoorraad van collega’s en het maken van een «systeemdump» via de excel-exportfunctie? Kunt u aangeven waarin dat niet bedoeld of voorgenomen was? Hoe vaak werden deze opties gebruikt?

Vraag 34

Kunt u aangeven welke vormen van systeemdump via de excel-exportfunctie in het verleden zijn uitgevoerd, bijvoorbeeld via het vrije invoerveld? Zo neen, bent u bereid dit uit te laten zoeken?

Vraag 35

Is bij de Belastingdienst bekend dan wel uitdraaien, dan wel queries, dan wel systeemdumpen zijn gedaan op basis van de tweede nationaliteit?

Vraag 36

Kunt u aangeven welke handleidingen er over FSV in omloop waren voor de verschillende onderdelen van de Belastingdienst? Kunt u die handleidingen sturen naar de Kamer? Zo nee, waarom niet?

Vraag 37

Kunt u aangeven hoe FSV bijdroeg aan het verrijken van beschikbare gegevens (bladzijde 7 van de gegevensbeschermingseffectbeoordeling)?

Vraag 38

Kunt u aangeven hoe kliks in FSV bijdroegen aan modellen voor «risicovinding» voor de CAF?

Vraag 39

Hoe vaak is er vanuit de CAF-teams beroep gedaan op FSV om personen te raadplegen?

Vraag 40

Hoe vaak zijn er meldingen/signaleringen gedaan in FSV door de CAF-teams/ dan wel Toeslagen?

Vraag 41

Kunt u aangeven wat bedoeld wordt in voetnoot 13 van de gegevensbeschermingseffectbeoordeling dat Toeslagen FSV gebruikt om te raadplegen bij Bibob- en Track-verzoeken?

Vraag 44

Hoe behoort het door Toeslagen opnemen van strafrechtelijke gegevens in FSV tot de wettelijke taak als vermeld onder kopje 11? Valt dit onder «gerechtvaardigd belang»? Wie heeft dit gerechtvaardigd belang getoetst?

Vraag 45

Erkent u dat uit de opsomming van punten onder het kopje 12 «bijzondere gegevensverwerking» van de gegevensbeschermingseffectbeoordeling niet komt dat het voor Toeslagen was toegestaan de gegevens in FSV te plaatsen?

Vraag 46

Kunt u de onderstaande opsomming zoals te vinden op pagina 11 van de gegevensbeschermingseffectbeoordeling even op u in laten werken en dan per punt reageren

  • 1 «een informatieverzoek is bv. niet op voorhand / op per definitie een (fraude)signaal en de actualiteitswaarde begrenst. De huidige werkwijze is hier onvoldoende ingericht»

  • 2 «de verdere verwerking is aan beperkingen onderhevig incl. dit tot plicht tot vernietiging bijvoorbeeld bij gebleken onbruikbaarheid of onjuistheid. De huidige werkwijze is hierop onvoldoende ingericht»

  • 3 «In de verdere verwerking speelt de context en kwaliteit van de gegevens een bepalende rol voor alle rechtmatigheid en welbepaaldheid van de verdere verwerking. Die is niet voor alle gevallen zondermeer aanwezig. De huidige verwerkingswijze is hierop onvoldoende ingericht»

  • 4 «De context van een informatieverzoek in combinatie met (de betekenis van) de gegevens is wel bepalend voor de wijze gebruik. Een extern informatieverzoek is niet bedoeld te gelden als / niet op voorhand / per definitie een (fraude)signaal en de actualiteitswaarde is begrenst. Toeslagen doet bij gerede twijfel eerst onderzoek en voert dan evt. een signaal op. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»

  • 5 «Ook hier is bij aanvang van de verwerking sprake van de uitzondering «onder toezicht van de overheid». De verdere verwerking is wel aan beperkingen onderhevig incl. dit plicht tot vernietiging bijvoorbeeld bij gebleken onbruikbaarheid of onjuistheid. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»

  • 6 «In verdere verwerking speelt de context en kwaliteit van de gegevens een bepalende rol voor de rechtmatigheid en welbepaaldheid van de verdere verwerking. Die is niet voor alle gevallen zondermeer aanwezig. De huidige verwerkingswijze moet ten aanzien van deze aspecten worden verbeterd»?

Vraag 47

Hoe denkt u FSV weer in gebruik te nemen na onderstaand oordeel op pagina 12 van de gegevensbeschermingseffectbeoordelingt: «Gegevens met een zwarte lijst-karakter: in FSV ontstaan of worden bepaalde gegevenselementen verwerkt die het karakter van een zwarte-lijst-element hebben of krijgen. De mogelijke subjectiviteit («bias», vooringenomenheid, zelfversterkend effect door stapeling) maakt het verwerken risicovol. Ook het voorkomen in FSV als betrokkene wordt een risicosignaal.»?

Vraag 48

Kunt u reconstrueren hoe het mogelijk was dat maar liefst 5.000 personen in FSV konden in januari 2019 en dat het aantal toen nog toenam? Wie is verantwoordelijk geweest voor het feit dat zoveel toegang tot persoonsgegevens werd verschaft?

Vraag 49

Hoeveel mensen hadden een dubbele autorisatie tot FSV? Waarom houdt het identity management system (IMS) dit niet bij?

Vraag 50

Is het IMS voor meer systemen binnen de Belastingdienst verantwoordelijk voor de autorisatie voor toegang? Zo ja, hoeveel? Kunnen daar dezelfde problemen optreden als bij FSV?

Vraag 51

Is te achterhalen of de 5/6 functioneel beheerders, die in januari 2019 in beeld waren, correct gehandeld hebben als het gaat om het toegang verlenen tot FSV?

Vraag 52

Wat voor profielen worden precies bedoeld in de volgende zinsnede: «profielen op basis van dergelijke kenmerken worden ingezet voor selectie van dossiers voor toezicht of klantbehandeling. Dergelijke profielen zijn geen product van profilering in de zin van de AVG»? (pagina 9 van de gegevensbeschermingseffectbeoordeling) Is dit voorgelegd aan de Autoriteit Persoonsgegevens, of tenminste aan de Functionaris Gegevensbescherming van het Ministerie van Financiën? Zo neen, waarom niet? Wie besloot dit niet voor te leggen?

Vraag 53

Kunt u aangeven waarnaar wordt verwezen als het gaat waarom profielen volgens het «standpunt/beslissing» van DT BD juni 2018 (voetnoot 9 van de gegevensbeschermingseffectbeoordeling) geen product van profilering in de zin van de AVG zijn? Kunt u uw antwoord toelichten?

Vraag 54

Kunt u verklaren wat de reden was om een passage aan de journalisten weg te laten op pagina 9 van de gegevensbeschermingseffectbeoordeling bij het WOb-verzoek (11,1)?

Vraag 55

Kunt u aangeven op welke wijze de volgende passage uit de gegevensbeschermingseffectbeoordeling behoort tot een persoonlijke beleidsopvatting: «Enkele van de binnen FSV verwerkte elementen» én het feit dat er ook niet zondermeer objectief getoetste of toetsbare signalen worden geregistreerd, maken dat het karakter van sommige verwerkingsvormen binnen FSV als profilering inclusief «zwarte lijst»-achtige effecten kunnen gelden.

Het überhaupt voorkomen van een betrokkene in FSV wordt bijvoorbeeld gebruikt als signaal in bv. afnemende «systemen» / verdere verwerkingen (DF&A, mogelijk IVT), zonder dat dit op basis van een objectief aangetoond (verhoogd) risico is gebaseerd (risico van waardering als. «waar rook is, is vuur»). Het onderscheid tussen een signaal en een informatievraag wordt bij verdere verwerking ook niet of niet juist gewogen. Niet ieder informatieverzoek is op voorhand een fiscaal signaal4

Vraag 56

Wie heeft besloten en/of geautoriseerd dat deze passage werd «weggelakt»? Hoe oordeelt u over dit besluit? Kunt u uw antwoord toelichten?

Vraag 57

Kunt u aangeven welke andere processen worden bedoeld, zoals in voetnoot 10 van de gegevensbeschermingseffectbeoordeling wordt vermeld?

Vraag 58

Wat is een besmet adres of besmette postcode? Hoe ontstaat dat? Wie houdt dit bij? Welke instanties houden deze informatie allemaal bij? Kunt u dit uitvoerig toelichten?

Vraag 59

Aan welke «mogelijk subjectieve waarderingen uit andere processen» moet worden gedacht? Heeft dit te maken met vooringenomenheid richting personen of bedrijven? Heeft dit te maken met het categoriaal beoordelen van een groep? Kunt u dit uitvoerig toelichten?

Vraag 60

Kunt u verklaren waarom FSV, waarin toch persoonsgegevens worden verwerkt, niet staat in het overzicht «verwerkingen van persoonsgegevens» van de Belastingdienst zelf?5

Vraag 61

Kunt u aangeven hoe het volstaan van de verwijzing naar de brochure «Overzicht verwerkingen van persoonsgegevens van de Belastingdienst», zoals beschreven op pagina 13 voldoende is, als FSV niet voorkomt in deze brochure?

Vraag 62

Waarom is het bestaan van het FSV niet aan de Adviescommissie uitvoering toeslagen en de Auditdienst Rijk gemeld?6


X Noot
1

Gegevensbeschermingseffectbeoordeling (GEB/PIA), FSV. (RTLNieuws 29 februari 2020

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5037966/belastingdienst-toeslagenaffaire-ministerie-van-financien)

X Noot
2

Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)

X Noot
3

Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)

X Noot
4

Ongecensureerde versie van GEB FSV als bijlage bij Kamerbrief van 2 maart 2020 (Kenmerk 2020Z04057)

X Noot
6

Antwoord op vragen van het lid Leijten over de afwikkeling van de CAF-11 gedupeerden van 27 februari 2020 (Kenmerk 2020D08166)

Naar boven