De Autoriteit Persoonsgegevens (AP) gebiedt de Belastingdienst om twee IT-systemen uit te faseren en vier andere aan te passen. De toezichthouder concludeert dat meerdere systemen van de fiscus niet voldoen aan de privacywetgeving. Het leidt tot een verscherpt toezicht.
De AP volgt de ontwikkelingen bij de Belastingdienst nauwgezet via een speciaal toezichtarrangement. Dit zorgt voor continue monitoring van de voortgang bij het aanpassen van systemen en het verbeteren van privacyprocessen. De maatregelen komen na onderzoek naar vijf systemen van de Belastingdienst en één systeem van de Douane.
Systemen moeten stoppen of worden aangepast
De toezichthouder heeft vastgesteld dat de onderzochte systemen niet voldoen aan de privacywetgeving. De fiscus moet uiterlijk 15 oktober 2025 een gedegen plan indienen voor het uitfaseren van het ‘Klant Toezicht Model’ (KTA) en ‘Informatiesjabloon’. Voor de andere vier systemen moeten de tekortkomingen zo snel mogelijk worden opgelost, of de systemen moeten worden vervangen.
Aanleiding voor het onderzoek waren de ernstige overtredingen met het Risico Analyse Model (RAM). KPMG kwalificeerde in een rapport van 7 februari 2025 de onderzochte systemen als ‘met RAM vergelijkbaar’. De AP concludeert dat de Belastingdienst tot 25 mei 2018 op grote schaal de privacywetgeving overtrad met RAM.
De overtredingen bij RAM waren ernstig: onrechtmatige verwerking van persoonsgegevens, onderscheid maken op nationaliteit zonder objectieve rechtvaardiging, onvoldoende beveiliging van data, en het jarenlang onttrekken aan toezicht door wettelijk verplichte meldingen niet te doen.
Gevoelige informatie van bijna iedereen
AP-voorzitter Aleid Wolfsen benadrukt de impact van het probleem: “De Belastingdienst verwerkt heel veel gevoelige informatie over bijna iedereen in Nederland. Daar moet de Belastingdienst vanzelfsprekend heel zorgvuldig mee omgaan. Dat blijkt bij deze systemen niet het geval.”
De kritiek op de Belastingdienst is vanuit de AP breder dan alleen deze systemen. Eerder adviseerde de toezichthouder al verbeteringen van het datalekkenbeleid en het verduidelijken van taken en verantwoordelijkheden binnen de organisatie.
De fiscus werkt intussen aan volledige GDPR-naleving, onder meer door het actualiseren van het verwerkingsregister en het uitvoeren van nieuwe risicoanalyses voor gegevensverwerkingen met hoog privacyrisico.