De Autoriteit Persoonsgegevens legt de Belastingdienst een boete op van 3,7 miljoen euro vanwege de jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV). Dat was een zwarte lijst waarop de Belastingdienst signalen van fraude bijhield, met vaak grote gevolgen voor mensen die onterecht op de lijst stonden.
Lange lijst overtredingen AVG
De AP constateerde tijdens onderzoek naar FSV een lange lijst aan overtredingen van de privacywet, de Algemene verordening gegevensbescherming (AVG). Zo had de Belastingdienst geen wettelijke basis (grondslag) voor het verwerken van de persoonsgegevens op de lijst. Zonder zo’n AVG-grondslag is het verwerken van persoonsgegevens verboden. Ook klopten de persoonsgegevens vaak niet. Hierdoor stonden mensen onterecht als mogelijke fraudeur geregistreerd. Verder was de beveiliging van de lijst niet op orde en werd de interne privacytoezichthouder van de Belastingdienst niet op tijd betrokken bij de opzet van de lijst. Uit eigen onderzoek van de Belastingdienst bleek bovendien dat medewerkers de instructie kregen om het risico op fraude mede te baseren op zaken als nationaliteit en uiterlijk van mensen.
Hoogste boete ooit
Deze boete is de hoogste die de AP ooit oplegde. Dat is vanwege de ernst van de overtredingen, de gevolgen voor grote aantallen mensen en het feit dat de overtredingen zo lang voortduurden. Bij het vaststellen van de hoogte van de boete woog de AP ook mee dat de Belastingdienst al vaker ernstige overtredingen van de AVG beging. Zo constateerde de AP in 2018 dat de Belastingdienst persoonsgegevens slecht beveiligde en legde de toezichthouder de Belastingdienst in 2020 een verwerkingsverbod op voor het illegaal gebruiken van het burgerservicenummer (BSN) in het btw-identificatienummer van zelfstandigen. Bovendien kreeg de fiscus in 2021 een boete van 2,75 miljoen euro van de AP, vanwege een discriminerende en onrechtmatige werkwijze in de Toeslagenaffaire.
Overtredingen Belastingdienst
De boete van 3,7 miljoen euro is gebaseerd op meerdere boetes voor in totaal 6 overtredingen:
- De Belastingdienst had geen wettelijke basis (grondslag) voor de verwerking van persoonsgegevens in FSV: 1 miljoen euro boete.
- Het doel van FSV was niet vooraf specifiek omschreven: 750.000 euro boete.
- FSV bevatte onjuiste en niet-geactualiseerde gegevens: 750.000 euro boete.
- Signalen werden veel te lang bewaard: 250.000 euro boete.
- De beveiliging van FSV was onvoldoende: 500.000 euro boete.
- De Belastingdienst heeft de FG (de interne privacytoezichthouder) pas na ruim een jaar om advies gevraagd bij de beoordeling over de risico’s van FSV: 450.000 euro boete.
De Belastingdienst heeft FSV in februari 2020 uitgeschakeld. De fiscus kan nog bezwaar maken tegen de boete van de AP.
Geef een reactie