Het onderzoek bevestigt eerdere bevindingen over het gebruik van persoonsgegevens binnen de Belastingdienst en laat zien dat RAM uitgroeide tot een landelijk ingezet data-combinatiesysteem zonder voldoende waarborgen voor privacy en gegevensbescherming.
Ontwikkeling RAM
RAM werd eind jaren ‘90 ontwikkeld om de Belastingdienst efficiënter te laten werken. Medewerkers moesten destijds handmatig informatie opzoeken in verschillende bronsystemen, wat tijdrovend was. Door gegevens uit verschillende bronnen op één plek te combineren, bood RAM een oplossing voor dit probleem. De maatschappelijke en politieke druk om belastingfraude effectiever aan te pakken droeg bij aan de snelle uitbreiding van het systeem. In de loop der jaren groeide RAM uit van een kleinschalige applicatie tot een breed gebruikt systeem binnen de dienst. Die groei ging echter niet gepaard met voldoende waarborgen voor gegevensbescherming.
Privacy belastingplichtigen
Volgens het rapport werd RAM niet expliciet getoetst op privacyrisico’s en ontbrak een systematische controle op de verwerking en inzet van gegevens. Hierdoor kon het systeem jarenlang functioneren zonder dat de impact op de privacy van belastingplichtigen volledig werd geëvalueerd. Pas vanaf 2018 voerde de Belastingdienst verbeteringen door om een betere balans te vinden tussen toezicht en gegevensbescherming. Tegenwoordig wordt vooraf getoetst of selecties geen ongewenste onderscheidingen tussen groepen maken en is er een speciaal team dat zich bezighoudt met ethische vraagstukken rond algoritmes.
Ook andere systemen
Als onderdeel van het onderzoek bracht KPMG twaalf andere systemen binnen de Belastingdienst in kaart die mogelijk vergelijkbaar zijn met RAM. Vijf van deze systemen zijn nog in gebruik, maar uit aanvullend onderzoek blijkt dat er geen geautomatiseerde selecties of profilering plaatsvinden. Ook worden er geen bijzondere persoonsgegevens verwerkt zoals gedefinieerd in de AVG. Om de toegang tot fiscale gegevens verder te beperken, trekt de Belastingdienst voor één van de systemen een groot aantal autorisaties van medewerkers in en wordt actieve monitoring op het gebruik van het systeem direct ingevoerd.
Niet alleen de Belastingdienst, maar ook de Douane en Toeslagen maakten destijds gebruik van RAM. Volgens het rapport hadden enkele medewerkers van deze diensten toegang tot het systeem, maar is onduidelijk in hoeverre en op welke manier zij het daadwerkelijk gebruikten. Voor de Douane blijkt uit het onderzoek dat er nog één systeem in gebruik is dat vergelijkbaar is met RAM. Dit systeem wordt ingezet om selecties te maken op goederenaangiften van ondernemers, een wettelijke taak onder het Douanewetboek van de Unie. Hoewel het onderzoek geen onrechtmatig gebruik aantoont, onderstreept het wel het belang van duidelijke procedures en striktere toegangscontrole.
Discussie
Het onderzoek van KPMG bevestigt dat RAM structureel tekortschoot in privacybescherming en gegevensbeheer, ondanks de brede toepassing binnen de Belastingdienst. De verbeteringen die sinds 2018 zijn doorgevoerd tonen aan dat de dienst nu meer oog heeft voor ethische vraagstukken rond data-analyse. Toch blijft de vraag hoe de overheid in de toekomst strakker toezicht kan houden op het gebruik van data en algoritmes binnen de belastingheffing en fraudebestrijding. Op 13 maart 2025 zal de Tweede Kamer dit rapport bespreken tijdens het Commissiedebat Belastingdienst. De bevindingen zullen ongetwijfeld leiden tot verdere discussies over het evenwicht tussen effectieve handhaving en de bescherming van persoonsgegevens.
Staatssecretaris van Oostenbruggen (Fiscaliteit, Belastingdienst en Douane): “Hoewel ik op basis van de tijdsgeest toen begrijp hoe RAM kon ontstaan, staat voor mij vast dat de Belastingdienst RAM zo niet had moeten en mogen gebruiken. Het verleden kan ik niet veranderen, ik wil me dus richten op wat we in het heden moeten doen. Dat betekent in dat ik duidelijk wil hebben óf er met het gebruik van RAM destijds mogelijk grondrechten zijn geschonden door het gebruik van nationaliteit in de selectie. Hierover wil ik uiterlijk in juni 2025 duidelijkheid bieden.” De bewindsman vervolgt: “En ik wil dat de bestaande wetten en regels goed worden nageleefd. Daarom gaat de Belastingdienst onverminderd verder met de aanpak om te voldoen aan de AVG en wordt doorgegaan met de ondersteuning en training voor medewerkers op het gebied van gegevensverwerking en informatiebeveiliging.”
Geef een reactie