De Belastingdienst had nooit persoonsgegevens mogen verwerken in de Fraude Signalering Voorziening (FSV) – een zwarte lijst – op de manier waarop dit jarenlang gebeurde. Veel van de kernbeginselen van de AVG werden door de Belastingdienst op ernstige wijze geschonden. Dit blijkt uit onderzoek dat de Autoriteit Persoonsgegevens (AP) vandaag presenteert.
Kwart miljoen mensen
De Belastingdienst kon FSV bijvoorbeeld raadplegen bij het beoordelen van belastingaangiftes en aanvragen voor toeslagen en bij het invorderen van schulden. De lijst bestond uit gegevens over meer dan een kwart miljoen mensen, waaronder minderjarigen. FSV was toegankelijk voor duizenden medewerkers van meerdere onderdelen van de Belastingdienst. De Belastingdienst gebruikte de zwarte lijst FSV van eind 2013 tot begin 2020, toen de dienst na publicaties hierover in opspraak raakte. De voorloper van FSV bestond al sinds 2001.
Rijp en groen
Op de zwarte lijst stonden allerlei signalen van (vermeende of bewezen) fraude, rijp en groen, van zowel binnen als buiten de Belastingdienst. Zoals meldingen bij Meld Misdaad Anoniem, meldingen van burgers en bedrijven (‘klikken’) en meldingen van andere overheidsorganisaties. Maar soms werd ook geregistreerd als bijvoorbeeld de gemeente iemands inkomensgegevens had opgevraagd. Dit had niks met mogelijke fraude te maken, maar die persoon kon dan tóch op de zwarte lijst terechtkomen. De gevolgen voor de mensen die op de zwarte lijst stonden waren ernstig, omdat ze het stempel ‘potentiële fraudeur’ opgedrukt kregen.
Andere AVG-overtredingen FSV
Niet alleen was er geen wettelijke grondslag voor FSV, maar ook aan de meeste andere kernbeginselen van de AVG voldeed de Belastingdienst niet:
- Het doel van FSV was niet vooraf specifiek omschreven.
- FSV bevatte onjuiste en niet-geactualiseerde gegevens. Soms kreeg een persoon het label ‘fraudeur’ zonder dat dit volgde uit gedegen onderzoek. En bleek na onderzoek dat de informatie niet actueel was of dat er geen sprake was van fraude? Dan werd dit vaak niet in FSV genoteerd. Daardoor bleven mensen onterecht als vermeend fraudeur in het systeem staan.
- Signalen werden veel te lang bewaard.
Daarnaast waren er nog 2 andere overtredingen:
- De Belastingdienst heeft de FG (de interne privacytoezichthouder) van het ministerie van Financiën veel te laat van FSV op de hoogte gebracht en betrokken bij de beoordeling van de privacyaspecten van FSV (de zogenoemde DPIA).
- De beveiliging van FSV was onvoldoende. Onder andere omdat te veel medewerkers toegang hadden tot de informatie, gemakkelijk signalen uit FSV konden worden geëxporteerd naar Excel en bewerkingen van persoonsgegevens in FSV door medewerkers niet werden gelogd.
Mogelijk volgt nog een boete voor de fiscus
Met dit feitenonderzoek heeft de AP het eerste deel van het onderzoekstraject afgerond. De volgende stap is dat de AP beoordeelt of de Belastingdienst een sanctie opgelegd krijgt, zoals een boete. Maar eerst heeft de minister van Financiën het recht om officieel te reageren op het onderzoek.
Bron: AP
Geef een reactie