Misstanden bij de Belastingdienst

Na de schrikbarende conclusies die volgen uit de Toeslagenaffaire heeft de Belastingdienst wederom een schandaal te pakken. De Autoriteit Persoonsgegevens (AP) is 29 oktober j.l. met de harde conclusie naar buiten gekomen dat de Belastingdienst jarenlang de privacywet heeft geschonden. De Belastingdienst deed dit tijdens het uitvoeren van haar publieke taak, bestaande uit het verwerken van aanvragen en belastingaangiften voor toeslagen. In het kader van het opsporen van fraude heeft de Belastingdienst het Fraude Signalering Voorziening (FSV) systeem gebruikt gebruikt. Door de ten onrechte verwerking van de persoonsgegevens in de FSV, heeft de Belastingdienst de Algemene Verordening Gegevensbescherming (AVG) op meerdere punten ernstig geschonden.

Verwerking persoonsgegevens in de FSV

De applicatie FSV is jarenlang door de Belastingdienst gebruikt om informatie te verzamelen en op te slaan over personen die fraude hebben gepleegd, of waarvan het vermoeden bestond dat zij belasting- of toeslagenfraude zouden gaan plegen. Indien er enig vermoeden van fraude bestond, werden personen als potentiële fraudeurs op de zwarte lijst gezet in de FSV.

Gegevens die de Belastingdienst verzamelde, bestonden onder meer uit de burgerservicenummers (BSN) van personen met daaraan gekoppelde velden en eventuele aantekeningen. In sommige gevallen zijn er ook bepaalde strafrechtelijke gegevens bewaard in de FSV. In een niet-structurele mate zijn ook gegevens over nationaliteit en medische gegevens verzameld en opgenomen in het aantekeningen veld.

Hoe kwam de Belastingdienst aan de informatie over bepaalde personen? Deze ontving zij van externe partijen, zoals Anonieme meldpunten en tips van burgers en bedrijven, meldingen vanuit andere (semi) overheden, en samenwerkingsverbanden. Ook heeft de Belastingdienst algoritmes ingezet om fraude te detecteren.

Schending AVG

De toezichthouder heeft concreet in haar onderzoek aangetoond dat de manier waarop de Belastingdienst fraudesignalen registreerde op de zwarte lijst niet is toegestaan. Dit heeft ertoe geleid dat de gegevens van vele duizenden personen onterecht verwerkt zijn. De Belastingdienst heeft dan ook in haar gebruik van de applicatie vele kernbeginselen van de AVG geschonden:

- Er bestond geen wettelijke basis voor de gegevensverwerking;

- Het doel van de gegevensverwerking was niet voldoende omschreven, waardoor te veel gedetailleerde informatie over personen in omloop kwam bij de Belastingdienst en haar medewerkers;

- Gegevens van (mogelijke) fraudeurs zijn te lang bewaard. De eenmaal geregistreerde signalen zijn nooit gewist. Dit leidde tot een database met bijna een half miljoen signalen.

- De opgeslagen gegevens waren vaak niet actueel en sommige gevallen zelfs onjuist. Personen kregen bijvoorbeeld de stempel als fraudeur zonder behoorlijk onderzoek. Het is ook voorgekomen dat werd aangetoond dat iemand onterecht als fraudeur in het systeem stond, maar vervolgens werden er geen aanpassing gedaan;

- Tenslotte bleek de beveiliging van de applicatie niet op orde en was de uitgevoerde gegevensbeschermingseffectbeoordeling te laat uitgevoerd.

Aldus, grove en ernstige schendingen van meerdere kernbeginselen uit de AVG.

Een problematisch algoritme

De zwarte lijst heeft ook in de Toeslagenaffaire een grote rol gespeeld. In deze affaire heeft de Belastingdienst de kinderopvangtoeslag van de ten onrechte als fraudeurs aangemerkte ouders stopgezet in de periode 2014 tot 2016. Naast het stopzetten van de toeslagen, vorderde zij ook teruggave van de ontvangen toeslag. Vele ouders kwamen hierdoor in ernstige financiële problemen.

Problematisch in deze affaire was dat veel van de door de Belastingdienst aangemerkte ‘potentiële fraudeurs’ onderworpen waren aan algoritmische besluitvorming. Dit algoritme was gebaseerd op een risicomodel, waarbij een niet-Nederlandse nationaliteit als een van de risicofactoren gold voor een verhoogde kans op fraude. Mensen zonder Nederlandse nationaliteit hadden dus vaker de kans om als fraudeur aangemerkt te worden. Volgens Amnesty International heeft het gebruik van de de algoritmes bij de beoordeling voor het toekennen van kinderopvangtoeslag geleid tot etnisch profileren.

De toekomst: meer mogelijkheden voor overheidsinstantie tot uitwisseling gegevens?

Het Ministerie van Financiën heeft erkend dat er tijdens de Toeslagenaffaire gediscrimineerd is door de Belastingdienst. Om herhaling te voorkomen zijn er maatregelen genomen en is het gebruik van de FSV gestopt. Een proces is gaande om de gedupeerden te compenseren. De Belastingdienst heeft er zelfs een hele afdeling voor uit de grond gestampt.

Ondertussen ligt er alweer een wetsvoorstel ter behandeling bij de Eerste Kamer: de Wet gegevensverwerking door samenwerkingsverbanden (WGS). Met deze wet krijgen overheidsinstanties en private partijen instantie ruimere bevoegdheden om een veelheid aan persoonsgegevens met elkaar te delen. Bijvoorbeeld in het kader van het aanpakken van georganiseerde misdaad, maar ook om fraude te bestrijden. Het wetsvoorstel is kritisch beoordeeld door zowel de AP als de RvS en andere maatschappelijke organisaties. De toezichthouder AP merkt op dat het wetsvoorstel erg ver gaat en ‘grote gevolgen kan hebben voor mensen die op het verkeerde lijstje terechtkomen’. Te hopen is dat als het voorstel door de Eerste Kamer wordt aangenomen, de overheid van haar fouten heeft geleerd in het FSV-schandaal en de Toeslagenaffaire. Dit toont namelijk aan wat de ernstige gevolgen kunnen zijn wanneer burgers door de overheid ten onrechte worden benadeeld.