De Autoriteit Persoonsgegevens (AP) bekeurt de Belastingdienst met 3,7 miljoen euro. De Belastingdienst verwerkte de persoonsgegevens van 270.000 personen in een geheime zwarte lijst. Een harde overtreding van de GDPR, aldus de AP.

“De Belastingdienst heeft de rechten van de 270.000 mensen die op die lijst stonden op ongekende wijze geschonden — ruim 6 jaar lang”, deelt AP-voorzitter Aleid Wolfsen.

Tot 2020 werkte de Belastingdienst met de Fraude Signalering Voorziening (FSV). De FSV omvat een lijst met mensen die door de Belastingdienst werden verdacht van fraude. De lijst bevatte de gegevens van 270.000 personen.

Volgens de Autoriteit Persoonsgegevens (AP) is de Belastingdienst schuldig aan meerdere overtredingen van de GDPR. De fiscus krijgt een boete van 3,7 miljoen euro.

Boete Belastingdienst

De Belastingdienst ziet de FSV als “een van de systemen waarmee we alle belastingaangiften en toeslagaanvragen sneller behandelen.” De AP heeft een heel ander beeld. “Een zwarte lijst, waarop de Belastingdienst signalen van fraude bijhield”, deelt een woordvoerder. “Met grote gevolgen voor mensen die onterecht op de lijst stonden.”

Intern onderzoek van de Belastingdienst wijst uit dat medewerkers de opdracht hadden om het risico van fraude mede te baseren op het nationaliteit en uiterlijk van mensen. Pleegde je geen fraude, dan kon je alsnog op de lijst komen te staan. Je had het niet geweten, want de Belastingdienst informeerde niemand.

Consequenties voor 270.000 personen

De gevolgen van de lijst lopen uiteen. Stond je op de lijst en raak je in de financiële problemen, dan had je de kans dat de Belastingdienst geen termijnregelingen accepteerde. Belandde je in de schuldsanering, dan moest er een rechter aan te pas komen om afspraken met schuldeisers te maken. De FSV werd op 27 februari 2020 uitgezet, nadat onderzoek uitwees dat het systeem de GDPR op meerdere punten overtrad.

Nieuw onderzoek van de AP brengt de overtredingen in beeld. De Belastingdienst ontvangt een totale boete van 3,7 miljard euro voor zes afzonderlijke overtredingen. Allereerst had de Belastingdienst geen grondslag voor de verwerking van persoonsgegevens. Een grondslag, ook wel bekend als wettelijke basis, wordt door de GDPR verplicht voor iedere verwerking van persoonsgegevens. De meest veelvoorkomende grondslag is toestemming. Dat had de Belastingdienst niet.

Daarnaast heeft de Belastingdienst het doel van de FSV niet specifiek genoeg omschreven. Sommige persoonsgegevens waren onjuist of verouderd. Data werd veel te lang bewaard. Ook de security was onvoldoende. Tot slot heeft de Belastingdienst te laat raad gevraagd aan de Functionaris Gegevensbescherming, een verlengstuk van de AP dat vanbinnenuit toezicht op organisaties houdt.

Groter probleem

De Belastingdienst heeft digitale groeipijn. Begin 2022 haalde de ficus de krantenkoppen nadat de ICT-systemen niet in staat bleken om het btw-tarief voor groente en fruit naar nul procent te verlagen.

Tip: Rijksoverheid leert nog steeds niet van mislukte ICT-projecten