Hoewel RAM al in 2018 werd uitgezet wegens strijdigheid met de privacywetgeving, blijven de gevolgen ervan doorwerken in de ICT-organisatie en het toezicht op gegevensverwerking. In een nieuwe Kamerbrief licht de staatssecretaris van Financiën toe welke maatregelen zijn genomen, welke systemen nog risico’s vormen en wat burgers en bedrijven mogen verwachten van verdere verbeteringen.
Database met fiscale gegevens
RAM functioneerde jarenlang als database waarin fiscale gegevens van miljoenen burgers en bedrijven bij elkaar werden gebracht. Uit onderzoek van KPMG bleek dat het systeem niet voldeed aan essentiële eisen van de toenmalige wetgeving, zoals de Wet bescherming persoonsgegevens, beveiligingskaders en de Archiefwet. Ook ontbraken belangrijke waarborgen tegen willekeur en discriminatie. Medewerkers konden zelfstandig risicoselecties maken, precies het probleem dat bij de Toeslagenaffaire naar voren kwam.
De staatssecretaris benadrukt in de brief opnieuw dat RAM nooit gebruikt had mogen worden en dat de Belastingdienst sindsdien een andere koers vaart. Sinds 2018 zijn tal van verbeteringen doorgevoerd, variërend van strengere gegevensbescherming tot professionalisering van besluitvorming en IT-beheer. Maar de overgang van een cultuur die tien jaar geleden leidde tot RAM, naar een moderne toezichtsorganisatie, vergt meer tijd.
Zes systemen onder de loep
KPMG identificeerde zes huidige systemen die qua functionaliteit raakvlakken hebben met RAM en die nu dus nog in gebruik zijn. Vijf daarvan bij de Belastingdienst, één bij de Douane. De Autoriteit Persoonsgegevens (AP) voerde dit voorjaar een versnelde gegevensbeschermingscontrole uit op alle zes.
De toezichthouder concludeerde dat medewerkers nergens zelfstandig risicoselecties konden maken, ook bleken er tekortkomingen in de bescherming van persoonsgegevens. Twee systemen moeten volledig worden uitgefaseerd: het Informatiesjabloon en de Klantbeeld Toezicht Applicatie (KTA). Vier andere systemen (GRUFF, SMOB, IHP en PRISMA) blijven voorlopig bestaan, mits er aanvullende beschermingsmaatregelen worden genomen.
Informatiesjabloon: uitfaseren vóór eind 2027
Het Informatiesjabloon maakt het mogelijk om grote hoeveelheden persoonsgegevens in één keer op te vragen. Precies dat maakt het systeem risicovol. De Belastingdienst heeft direct enkele beperkingen ingebouwd: gegevens als geslacht en kenteken zijn niet langer opvraagbaar, het aanvragen van grote datasets is ingeperkt en bestanden mogen uitsluitend nog in beveiligde omgevingen worden opgeslagen.
Toch vindt de AP deze aanpassingen onvoldoende. Het systeem moet verdwijnen. De Belastingdienst verwacht het Informatiesjabloon medio 2027 te vervangen voor intern gebruik; voor externe gegevensverstrekking loopt de planning op tot eind 2027. De AP dringt erop aan deze termijn verder te verkorten.
KTA: 18.000 gebruikers teruggebracht naar 13.000
De KTA bevat vrijwel alle gegevens over belastingplichtigen in één scherm. Omdat het systeem niet is gekoppeld aan specifiek werk van medewerkers, hadden in totaal zo’n 18.000 medewerkers toegang tot zeer gevoelige gegevens.
Na de eerste waarschuwingen van de AP trok de Belastingdienst tienduizenden autorisaties in van medewerkers die KTA al langer dan twee maanden niet gebruikten. Het aantal gebruikers daalde daarmee naar 13.000. Binnenkort volgt een extra waarborg: gebruikers moeten voortaan aangeven welke opdracht aanleiding is voor het openen van informatie.
Toch moet ook dit systeem verdwijnen. De vervanging wordt gefaseerd uitgerold. Pas in 2028 is KTA volledig uitgefaseerd. De AP noemt dit ‘lang’, maar accepteert de planning onder strikte voorwaarden.
Blijkt bij een nieuwe toets in 2026/2027 dat de risico’s niet voldoende zijn beperkt, dan kan de AP per 1 december 2027 zelfs een verwerkingsverbod opleggen.
Burgers hoeven voorlopig niet te worden geïnformeerd
Een motie van de Tweede Kamer vroeg het kabinet om burgers te informeren wanneer hun gegevens onrechtmatig zijn verwerkt in systemen die vergelijkbaar zijn met RAM. Uit de nieuwe controles blijkt echter geen direct bewijs dat burgers hierdoor zijn benadeeld. Vooralsnog ziet het kabinet daarom geen aanleiding om mensen actief te informeren. De staatssecretaris beschouwt dit onderdeel van de Kameropdracht als afgehandeld.
FD-monitor en convenanten: verbeteringen op komst
Naast de zes onderzochte systemen wordt ook gewerkt aan andere verbeterprojecten.
- De FD-monitor, bedoeld voor toezicht op fiscaal dienstverleners, voldoet nog niet aan alle AVG-eisen. Tot die tijd mag het systeem niet worden gebruikt voor handhaving.
- Gegevensverstrekking via convenanten wordt opnieuw ingericht. De huidige werkwijze blijkt onvoldoende robuust. Een compleet vernieuwd proces moet in 2026 klaar zijn.
Algoritmeregister: transparantie moet beter
Alle algoritmes met een hoge impact worden vóór het einde van 2025 gepubliceerd in het nationale algoritmeregister en dat van de Belastingdienst. Daarmee wil het ministerie meer openheid geven over hoe geautomatiseerde besluitvorming werkt.
Na het kerstreces ontvangt de Kamer opnieuw een uitgebreide update. Dan volgen onder meer de uitkomsten van het onderzoek naar RAM-spreadsheets waarin mogelijk op nationaliteit en postcode is geselecteerd,een gevoelig thema dat nog door de Auditdienst Rijk wordt gevalideerd.
Geef een reactie