| Ingediend | 15 mei 2018 |
|---|---|
| Beantwoord | 6 juni 2018 (na 22 dagen) |
| Indiener | Pieter Omtzigt (CDA) |
| Beantwoord door | Menno Snel (staatssecretaris financiën) (D66) |
| Onderwerpen | belasting financiën recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2018Z08686.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-2345.html |
Ja.
De Belastingdienst heeft in het traject voor implementatie van de AVG een aantal »tekortkomingen in de naleving geconstateerd. In de antwoorden op vraag 5 en 12 worden deze toegelicht. Er zijn al verschillende maatregelen genomen om deze te weg te nemen, maar een aantal maatregelen moet nog uitgevoerd worden. Op het moment dat de nu voorziene maatregelen gerealiseerd zijn, kan gezegd worden dat de Belastingdienst voldoet aan de AVG. Het streven is deze situatie binnen een jaar (gerekend vanaf 25 mei jl.) te bereiken.
Naleving van de AVG is echter geen statisch gegeven, maar een continu proces. Dit mede vanwege het feit dat de AVG veel open normen bevat, die ruimte laten voor aanpassing van te nemen maatregelen op de specifieke kenmerken van een verwerking en de privacyrisico’s die daarmee samenhangen. Bij wijzigingen in wetgeving en in de uitvoeringspraktijk zal steeds bezien moeten worden hoe op een goede manier wordt voldaan aan de eisen die de AVG stelt. De Belastingdienst blijft dus doorlopend werken aan maatregelen die bijdragen aan duurzame naleving. Voorbeelden zijn het structureel geautomatiseerd schonen van bestanden (waar dit voor de korte termijn nog handmatig gebeurt), het ter ondersteuning van transparantie uitbreiden van persoonlijke informatie op portalen zoals MijnBelastingdienst en MijnToeslagen, en het verfijnen van autorisatie (toegang tot gegevens) op basis van nieuwe technieken, die nog beter invulling geven aan beginselen van doelbinding, vertrouwelijkheid en integriteit.
De Belastingdienst heeft er verder voor gezorgd dat de toets op de eisen van de AVG vast onderdeel gaat uitmaken van de (inrichting van) werkprocessen en ICT-voorzieningen (via de uitvoeringstoets op nieuwe wetgeving en door principes als privacy by design en privacy by default op te nemen in architecturen) en bij verdere modernisering van de Belastingdienst, opdat blijvende naleving verzekerd wordt.
Ja, de Belastingdienst beschikt over een register van de verwerkingsactiviteiten, gebaseerd op inventarisatie van alle bekende verwerkingen door de dienstonderdelen. Er is een beheerproces ingericht voor het register, zodat wijzigingen in verwerkingen en nieuwe verwerkingen worden opgenomen in het register en de actualiteit verzekerd wordt.
De Belastingdienst heeft op de website www.belastingdienst.nl/privacy een overzicht van verwerkingen van persoonsgegevens gepubliceerd waarin de genoemde onderdelen zijn opgenomen. Dat overzicht is ontleend aan het register van verwerkingsactiviteiten, maar omwille van eenduidigheid en toegankelijkheid voor betrokkenen is gekozen voor een andere ordening dan in het register. Hiermee kan de Belastingdienst op dit moment beter invulling geven aan (dit deel van) het transparantiebeginsel uit de AVG. Er wordt naar gestreefd om dit op termijn te doen via directe publicatie van het register. Daarvoor wordt nog een consistentieslag uitgevoerd op het register.
De Belastingdienst heeft enkele verwerkingen waarvan de (wettelijke) grondslag onvoldoende is of waarvan de grondslag onderwerp van discussie was in een gerechtelijke procedure. Voor deze verwerkingen wordt een wettelijke grondslag voorbereid of worden alternatieven uitgewerkt. Ook daarbij is het streven deze binnen een jaar gerealiseerd te hebben. Voor zover vaststaat dat de grondslag ontbreekt, is de verwerking van de gegevens gestaakt. Voorbeelden zijn de verwerking van het BSN op het IB47-formulier en het gebruik van camerabeelden voor het toezicht op de motorrijtuigenbelasting.
In 2017 en 2018 (tot en met 25 mei) zijn bij de Belastingdienst zeven PIA’s vastgesteld. Dit waren geen op grond van de AVG verplichte gegevensbeschermingseffectbeoordelingen (zoals de officiële benaming onder de AVG luidt), omdat de verplichtingen uit de AVG ter zake nog niet van toepassing waren. Deze PIA’s zijn gemaakt op grond van het staande kabinetsbeleid over het maken van (wat tot nu toe werd aangeduid als) privacy impact assessments.
Deze PIA’s betroffen:
Met de AP is gesproken over de basispositie voor naleving van de AVG per 25 mei die de Belastingdienst heeft opgesteld als grondslag voor implementatieactiviteiten. De AP heeft kennisgenomen van deze basispositie maar hierover geen oordeel gegeven. De AP heeft aangegeven bereid te zijn tot een vervolggesprek. Dit zal in de tweede helft van juni plaatsvinden.
Nee. De AP heeft benadrukt dat de AVG voor iedereen geldt.
Ja. De Belastingdienst heeft op 25 mei een vernieuwde privacypagina op de website www.belastingdienst.nl gepubliceerd, waarop informatie te vinden is over het doen van een verzoek op grond van de AVG (inzage, correctie en wissing (voor zover dit laatste van toepassing is voor door de Belastingdienst verwerkte persoonsgegevens)). Er is een proces ingericht voor de afdoening van dergelijke verzoeken. Hierop wordt nader ingegaan in het antwoord op vraag 10.
De Belastingdienst heeft het bestaande proces voor behandeling van inzageverzoeken verbeterd. Om een eventuele toename van het aantal verzoeken op te vangen is extra capaciteit gereserveerd.
Omdat door de procesverbeteringen en de extra capaciteit de verzoeken naar verwachting binnen de gestelde termijn van één maand kunnen worden afgehandeld en de AVG de ruimte biedt om deze termijn met twee maanden te verlengen, is geen extra budget gereserveerd voor vergoedingen op basis van de Wet dwangsom bij niet tijdig beslissen.
Het primaire doel van de portalen is om de interactie met en dienstverlening aan burgers en bedrijven optimaal in te richten, zodat zij hun fiscale verplichtingen gemakkelijk kunnen vervullen en hun aanspraak op toeslagen eenvoudig kunnen regelen. Het eenvoudig kunnen delen van informatie tussen de Belastingdienst enerzijds en burger en bedrijf anderzijds (vaak aangeduid als gedeelde informatiepositie) levert daaraan een essentiële bijdrage. De Belastingdienst kiest er voor om die gedeelde informatiepositie ook meer en meer te benutten voor het verhogen van de transparantie-voor burgers en bedrijven. Het realiseren van de gedeelde informatiepositie is daarom primair een onderdeel van het realiseren van de voorzieningen voor moderne interactie. Daarbij speelt een rol dat het ontwikkelen van de gedeelde informatiepositie technische ontsluiting vereist van gegevens die nu als het ware opgesloten zitten in de transactiesystemen van de Belastingdienst. Dit is een technisch en inhoudelijk gecompliceerde operatie die tijd kost.
Overigens kan een betrokkene natuurlijk altijd informatie verkrijgen over de gegevens die de Belastingdienst verwerkt op de eerder genoemde privacypagina op de website, en inzage verkrijgen in zijn eigen persoonsgegeven als hij daar een verzoek toe doet. Met die mogelijkheden wordt al voldaan aan de eisen die de AVG stelt.
Zoals aangegeven in het antwoord op vraag 5 heeft de Belastingdienst enkele gegevensverwerkingen waarvan de (wettelijke) grondslag onvoldoende is of waarvan de grondslag ter discussie staat. Daarnaast heeft de Belastingdienst een aantal applicaties waarin gegevens zijn samengebracht om deze effectief en efficiënt te kunnen gebruiken in toezichts- of bedrijfsvoeringsprocessen. Op het punt van dataminimalisatie en autorisatie (toegang tot de gegevens voor medewerkers) behoeven deze verbetering. Daarom worden ze versneld aangepast of vervangen. De Belastingdienst heeft een achterstand bij het schonen van gegevensbestanden (waarin onder meer persoonsgegevens). Deze achterstand wordt versneld weggewerkt.
Alle organisatieonderdelen van de Belastingdienst hebben een risico- en issueanalyse uitgevoerd op de verwerkingen die zij hebben geïnventariseerd voor het register van verwerkingsactiviteiten. Daaruit komt een aantal generieke issues naar voren dat in elk geval met voorrang aandacht behoeft. In het antwoord op vraag 12 is aangegeven welke maatregelen hiervoor getroffen worden.
In de basispositie heeft de Belastingdienst op een aantal onderwerpen doelen geformuleerd die per 25 mei 2018 gerealiseerd moeten zijn. De basispositie geeft daarmee invulling aan de vele open normen (doelvoorschriften) die de AVG bevat en bepaalt te behalen resultaten met betrekking tot concrete verplichtingen uit de AVG. Ook is een aantal randvoorwaarden geformuleerd, met betrekking tot houding, gedrag bij het omgaan met gegevens, en de inrichting van de organisatie. De basispositie dekt de verschillende onderdelen van de AVG af. De in de basispositie opgenomen doelen en resultaten zijn:
Het groeipad voor de toekomst betreft de vraag naar het moment waarop de Belastingdienst volledige naleving van de AVG bereikt zal hebben. Hierop ben ik in het antwoord op vraag 2 ingegaan. Over de voortgang bij realisering van de maatregelen die genoemd zijn in het antwoord op vraag 12 zal ik uw Kamer via de halfjaarsrapportages op de hoogte houden.
Het voldoen aan de AVG is een normaal onderdeel van de bedrijfsvoering van alle onderdelen van de Belastingdienst. Er is gekozen voor een programma AVG om de implementatie in de aanvangsfase aan te jagen en te ondersteunen. Na 25 mei wordt naleving van de AVG verankerd in de reguliere processen en organisatie, ook wat betreft in te zetten mensen en middelen.
De status van het met de AP gevoerde gesprek over de basispositie AVG is informatief. Op de inhoud van gesprek met de AP is ingegaan in het antwoord op vraag 7. Daarnaast zijn er gesprekken geweest over andere privacygerelateerde onderwerpen, onder andere in het kader van de in het antwoord op vraag 23 genoemde onderzoeken van de AP.
Verwerkingen van persoonsgegevens van de Belastingdienst worden aan de AP voorgelegd als onderdeel van de wettelijke adviestaak van de AP over wetgeving waarin verwerking van persoonsgegevens wordt geregeld. Soms zijn er voorafgaand aan een officiële adviesaanvraag informele contacten met de AP over voorgenomen wetgeving.
Verder zijn gesprekken gevoerd over de verwerking van ANPR-camerabeelden, naar aanleiding van de arresten van de Hoge Raad.
Hierover kan ik niets zeggen omdat het nemen van handhavende maatregelen is een eigen verantwoordelijkheid van de AP als onafhankelijke toezichthouder.
De medewerkers van de Belastingdienst zijn in de eerste plaats geïnformeerd over de AVG in hun hoedanigheid als uitvoerders van de belasting-, toeslagen- en douanewetgeving. Daartoe is een bewustwordings- en opleidingsprogramma ingericht met de volgende onderdelen:
De e-learning modules en de workshops voor leidinggevenden maken blijvend onderdeel uit van het (verplichte) opleidingsaanbod binnen de Belastingdienst. De bijeenkomsten en webinars waren met name gericht op het in de implementatiefase van de AVG versterken van kennis en ervaring in de organisatie.
In de tweede plaats zijn medewerkers van de Belastingdienst geïnformeerd in hun hoedanigheid van werknemer. Daartoe is informatie op het intranet geplaatst over hun rechten onder de AVG en de wijze waarop zij inzage in hun personeelsgegevens kunnen vragen.
De Belastingdienst wisselt actief kennis en ervaring uit over uitvoering van de AVG, niet alleen met uitvoeringsorganisaties zoals UWV en SVB, maar ook met verschillende ministeries.
De melddesk datalekken Belastingdienst beoordeelt beveiligingsincidenten waarbij mogelijk persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van persoonsgegevens niet is uit te sluiten. In 2017 zijn circa 1275 meldingen geregistreerd bij de melddesk datalekken Belastingdienst. Na beoordeling zijn 225 meldingen doorgestuurd naar de AP. In 84 gevallen zijn ook de betrokkenen geïnformeerd omdat die incidenten – zoals de AVG dit omschrijft – mogelijk een hoog risico inhielden voor hun rechten en vrijheden.
De AP is vanaf januari 2015 drie onderzoeken gestart, te weten:
Over het onderzoek bij Belastingdienst/Toeslagen naar het verschil tussen de adresregistratie en de feitelijke situatie heeft de AP in november 2016 een rapport uitgebracht. Dit rapport is openbaar.1 De Belastingdienst heeft sindsdien verschillende maatregelen getroffen om dit probleem op te lossen. Dit was aanleiding voor de AP om het dossier te sluiten. De AP heeft de Belastingdienst hierover in april 2018 per brief geïnformeerd.
De onderzoeken naar de afdeling Data & Analytics van de Belastingdienst (en voorgangers) en het btw-identificatienummer lopen nog. Er zijn over die onderzoeken derhalve geen rapporten die openbaar gemaakt kunnen worden.
Het is helaas niet gelukt om de vragen voor 25 mei te beantwoorden, maar wel binnen de reguliere termijn van uw Kamer.