De Belastingdienst had nooit persoonsgegevens mogen verwerken in de Fraude Signalering Voorziening (FSV) – een zwarte lijst – op de manier waarop dit jarenlang gebeurde. Veel van de kernbeginselen van de privacywet AVG werden door de Belastingdienst op ernstige wijze geschonden. Dit blijkt uit onderzoek dat de Autoriteit Persoonsgegevens (AP) vandaag presenteert.
AP-voorzitter Aleid Wolfsen: ‘Vanzelfsprekend moet de Belastingdienst fraude aanpakken. Maar uit ons onderzoek blijkt dat de Belastingdienst fraudesignalen registreerde en gebruikte op een manier die absoluut niet is toegestaan. Onschuldige mensen zijn hierdoor gedupeerd.’
De belangrijkste overtreding is dat er geen wettelijke basis (grondslag) was voor FSV. Zonder grondslag is het verwerken van persoonsgegevens verboden. Andere ernstige overtredingen zijn onder meer dat de signalen van fraude veel te lang in FSV werden bewaard en dat de gegevens in bepaalde gevallen onjuist en niet actueel waren.
Wolfsen: ‘Ruim een kwart miljoen mensen stond – vaak onterecht – veel te lang op deze fraudelijst zónder dat zij dit wisten. Daardoor konden ze zich niet verweren en konden ze zich ook niet van de lijst laten afhalen. Zo ontstond een gat in de rechtsbescherming. Veroorzaakt door de overheid, nota bene!’
Kwart miljoen mensen
De Belastingdienst kon FSV bijvoorbeeld raadplegen bij het beoordelen van belastingaangiftes en aanvragen voor toeslagen en bij het invorderen van schulden. De lijst bestond uit gegevens over meer dan een kwart miljoen mensen, waaronder minderjarigen.
FSV was toegankelijk voor duizenden medewerkers van meerdere onderdelen van de Belastingdienst. De Belastingdienst gebruikte de zwarte lijst FSV van eind 2013 tot begin 2020, toen de dienst na publicaties hierover in opspraak raakte. De voorloper van FSV bestond al sinds 2001.
Rijp en groen
Op de zwarte lijst stonden allerlei signalen van (vermeende of bewezen) fraude, rijp en groen, van zowel binnen als buiten de Belastingdienst. Zoals meldingen bij Meld Misdaad Anoniem, meldingen van burgers en bedrijven (‘klikken’) en meldingen van andere overheidsorganisaties.
Maar soms werd ook geregistreerd als bijvoorbeeld de gemeente iemands inkomensgegevens had opgevraagd. Dit had niks met mogelijke fraude te maken, maar die persoon kon dan tóch op de zwarte lijst terechtkomen.
Stempel ‘potentiële fraudeur’
De gevolgen voor de mensen die op de zwarte lijst stonden, waren ernstig. Doordat zij het stempel ‘potentiële fraudeur’ opgedrukt kregen, kregen zij te maken met intensief toezicht vanuit de Belastingdienst.
Waardoor zij bijvoorbeeld lang moesten wachten op een besluit over een aangevraagde toeslag. En wat verregaande financiële gevolgen kon hebben, zoals een onterecht afgewezen persoonlijke betalingsregeling.
Verwerking zonder wettelijke basis
Elke gegevensverwerking moet rechtmatig zijn. Dit betekent dat er een wettelijke grondslag moet zijn voor de verwerking. Als die er niet is, dan mag een organisatie geen persoonsgegevens verwerken.
Bij FSV was er géén grondslag voor de verwerking. Daardoor was de verwerking via FSV onrechtmatig, oftewel tegen de wet en dus verboden.
Andere overtredingen FSV
Dat er een wettelijke grondslag moet zijn, is een van de kernbeginselen van de privacywet, de Algemene verordening gegevensbescherming (AVG). Niet alleen had de Belastingdienst geen grondslag voor FSV, maar ook aan de meeste andere kernbeginselen van de AVG voldeed de Belastingdienst niet:
Het doel van FSV was niet vooraf specifiek omschreven.
FSV bevatte onjuiste en niet-geactualiseerde gegevens. Soms kreeg een persoon het label ‘fraudeur’ zonder dat dit volgde uit gedegen onderzoek. En bleek na onderzoek dat de informatie niet actueel was of dat er geen sprake was van fraude? Dan werd dit vaak niet in FSV genoteerd. Daardoor bleven mensen onterecht als vermeend fraudeur in het systeem staan.
Signalen werden veel te lang bewaard.
Daarnaast waren er nog 2 andere overtredingen:
De Belastingdienst heeft de FG (de interne privacytoezichthouder) van het ministerie van Financiën veel te laat van FSV op de hoogte gebracht en betrokken bij de beoordeling van de privacyaspecten van FSV (de zogenoemde DPIA).
De beveiliging van FSV was onvoldoende. Onder andere omdat te veel medewerkers toegang hadden tot de informatie, gemakkelijk signalen uit FSV konden worden geëxporteerd naar Excel en bewerkingen van persoonsgegevens in FSV door medewerkers niet werden gelogd.
Vervolgstappen
Met dit feitenonderzoek heeft de AP het eerste deel van het onderzoekstraject afgerond. De volgende stap is dat de AP beoordeelt of de Belastingdienst een sanctie opgelegd krijgt, zoals een boete. Maar eerst heeft de minister van Financiën het recht om officieel te reageren op het onderzoek.
Bron: autoriteit persoonsgegevens; foto: pixabay