Belastingdienst voldoet nog steeds niet aan privacywet GDPR

Abonneer je gratis op Techzine!

De Belastingdienst meldt een jaar na de invoering van de Europese privacywet GDPR nog altijd niet aan de wet te voldoen. De organisatie stelt dat vooral de opslag van oude persoonsgegevens problematisch blijft.

Veel van die verouderde gegevens zouden automatisch verwijderd moeten zijn, maar dat blijkt langer te duren dan verwacht. Het blijkt voor een aantal oude systemen niet mogelijk om de verouderde gegevens op basis van de GDPR-normen te verwijderen.

“Sommige systemen zijn gebaseerd op een databasemanagementsysteem dat niet voorziet in de mogelijkheid om records fysiek te verwijderen”, stelt een woordvoerder tegenover Tweakers. Daardoor kunnen sommige gegevens alleen gemarkeerd worden als ‘niet meer geldig’.

De Belastingdienst bouwt dat systeem nu om naar een andere database. Maar die veranderingen blijken zo groot, dat het verwijderen van de gegevens op korte termijn niet mogelijk is. De gegevens moeten bovendien met de hand beoordeeld worden op de aanwezigheid van persoonsgegevens. Dat blijkt een flinke klus, aangezien het om honderden miljoenen documenten gaat.

Maatregelen

De fiscus liet vorig jaar ook al weten niet op tijd klaar te zijn voor de GDPR. Toen zei de organisatie al meer tijd nodig te hebben om zijn systemen op orde te krijgen. Nu zegt de organisatie de Tweede Kamer eind mei bij te praten over de situatie. Ook gaat de Auditdienst Rijk onderzoek doen naar in hoeverre de overheid aan de GDPR voldoet.

In de tussentijd neemt de Belastingdienst maatregelen om te zorgen dat de oude data niet voor iedere werknemer toegankelijk is. De fiscus plaatst de gegevens in een zogenaamde datakluis. Die kluis is een afgeschermde omgeving waar alleen werknemers met nadrukkelijke toestemming toegang toe hebben.

Halverwege vorig jaar werd de Belastingdienst ook al op de vingers getikt door de Autoriteit Persoonsgegevens wegen het gebruik van het burgerservicenummer in een BTW-identificatienummer voor zelfstandigen die een eenmanszaak op willen richten. Volgens de GDPR mag dit echter niet en moeten de praktijken aangepast worden.