AP: Belastingdienst moet systemen met privacyrisico’s stopzetten

Thema's:
Financiële ondernemingen
Inkomen en kredietwaardigheid

De Autoriteit Persoonsgegevens (AP) gebiedt de Belastingdienst om 2 systemen zo snel mogelijk te vervangen, en 4 andere systemen zo snel mogelijk aan te passen. De AP heeft vastgesteld dat meerdere systemen van de Belastingdienst niet voldoen aan de privacywetgeving. Deze conclusie trekt de AP na 5 systemen van de Belastingdienst en één systeem van de Douane te hebben onderzocht.

Aanleiding voor dit onderzoek was het rapport van KPMG van 7 februari 2025 over het Risico Analyse Model (RAM). Met dat systeem overtrad de Belastingdienst tot 25 mei 2018 de privacywetgeving op grote schaal. De door de AP onderzochte systemen werden door KPMG als ‘met RAM vergelijkbaar’ gekwalificeerd en hadden daarom de aandacht van de AP.

Bijna iedereen in Nederland

AP-voorzitter Aleid Wolfsen: ‘De Belastingdienst verwerkt heel veel gevoelige informatie over bijna iedereen in Nederland. Daar moet de Belastingdienst vanzelfsprekend heel zorgvuldig mee omgaan. Dat blijkt bij deze systemen niet het geval. Wij zullen erop toezien dat deze systemen zo snel mogelijk worden aangepast of uitgeschakeld.’

Vervolg

De AP draagt de Belastingdienst op om uiterlijk 15 oktober 2025 voor de systemen ‘Klant Toezicht Model’ (KTA) en ‘Informatiesjabloon’ een gedegen plan in te dienen om beide op korte termijn uit te faseren. Voor de andere 4 systemen moeten de Belastingdienst en de Douane de tekortkomingen zo snel mogelijk oplossen of de systemen vervangen.

De AP volgt de ontwikkelingen bij de Belastingdienst nauwgezet. Dat doet de AP door middel van een toezichtarrangement speciaal gericht op de Belastingdienst.

Overtredingen bij RAM

Aanleiding voor het onderzoek naar deze systemen van de Belastingdienst waren de overtredingen met RAM. Daarover concludeert de AP dat de Belastingdienst tot 25 mei 2018:

  • Op onrechtmatige wijze persoonsgegevens verwerkte met RAM, waaronder bijzondere persoonsgegevens en strafrechtelijke gegevens.
  • Onderscheid heeft gemaakt tussen personen, waaronder op nationaliteit, waarvoor tot op heden geen objectieve rechtvaardigingsgronden bekend zijn. Met RAM zijn, gelet hierop, discriminerende verwerkingen uitgevoerd.
  • Onvoldoende maatregelen trof om de persoonsgegevens in RAM te beveiligen. Gegevens konden vrij uit RAM worden geëxporteerd.
  • Zich jarenlang heeft onttrokken aan het toezicht door wettelijk verplichte meldingen van verwerking van persoonsgegevens niet te doen. Toezichthouders konden hierdoor hun werk niet doen.

Omdat veel informatie over RAM niet meer beschikbaar is, heeft de AP geen aanvullend onderzoek naar RAM verricht.

Publicaties