De Autoriteit Persoonsgegevens heeft een recordboete opgelegd aan de Belastingdienst. De fiscus krijgt deze boete, omdat ze jarenlang illegaal persoonsgegevens heeft verwerkt in de Fraude Signalering Voorziening (FSV). “De Belastingdienst heeft met FSV levens overhoop gehaald”, zo zegt AP-bestuursvoorzitter Aleid Wolfsen.
Dat staat in het boetebesluit dat de toezichthouder vandaag openbaar heeft gemaakt.
De FSV in een notendop
De Fraude Signalering Voorziening of FSV diende jarenlang als een soort van zwarte lijst voor de Belastingdienst. Op deze lijst stonden allerlei signalen van vermeende of bewezen vormen van fraude. Bij het minste of geringste vermoeden -bewijs was niet nodig- belandden burgers op de lijst.
Stond je eenmaal in het systeem van de FSV, dan was het onmogelijk om daar weer uit te komen. Burgers kregen het stempel ‘potentiële fraudeur’ opgeplakt, wat voor de meesten grote gevolgen had. Ze werden bijvoorbeeld onder verscherpt toezicht gesteld. Of kregen te horen dat ze eerder ontvangen subsidies en toeslagen moesten terugbetalen. Vele huishoudens kwamen daardoor in de financiële problemen terecht.
Toenmalig staatssecretaris Alexandra van Huffelen (Toeslagen) en staatssecretaris Hans Vijlbrief (Belastingen) haalden in februari 2020 de FSV uit de lucht. De Autoriteit Persoonsgegevens kreeg de taak om te onderzoeken hoe men omging met de privacy toen ambtenaren de FSV gebruikten.
AP ziet allerlei overtredingen
De conclusies van de toezichthouder waren niet mals. De privacywaakhond stelde dat er geen wettelijke basis was voor de FSV, wat volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht is. Dat houdt in dat iedere verwerking door het systeem onrechtmatig was.
Ook bevatte de FSV onjuiste en niet-geactualiseerde gegevens. Mensen stonden hierdoor vaak onterecht te boek als fraudeur. Zelfs als uit onderzoek bleek dat iemand onschuldig was, werd dit niet aangepast in het systeem. Burgers wisten hier niets van, laat staan dat ze zich hiertegen konden verdedigen.
Daarnaast was de beveiliging van de FSV niet op orde. Duizenden medewerkers van de Belastingdienst hadden toegang tot alle informatie die in het systeem was opgeslagen. Er werd ook niet aan logging gedaan: veranderingen werden zodoende niet bijgehouden.
Tot slot concludeerde de toezichthouder dat gegevens vaak te lang werden bewaard en de functionaris gegevensbescherming (FG) van het ministerie van Financiën te laat werd betrokken bij de Data Protection Impact Assessment (DPIA).
‘De Belastingdienst heeft levens overhoop gehaald’
“Vanzelfsprekend moet de Belastingdienst fraude aanpakken. Maar uit ons onderzoek blijkt dat de Belastingdienst fraudesignalen registreerde en gebruikte op een manier die absoluut niet is toegestaan. Onschuldige mensen zijn hierdoor gedupeerd”, aldus bestuursvoorzitter Aleid Wolfsen bij de presentatie van het onderzoeksrapport eind vorig jaar.
Vanwege de ernst en de duur van de overtredingen legt de Autoriteit Persoonsgegevens een bestuurlijke boete van 3,7 miljoen euro op aan de Belastingdienst. Het is de hoogste boete die de toezichthouder ooit heeft uitgeschreven. En dat is volgens Wolfsen niet voor niets.
“De Belastingdienst heeft met FSV de rechten van de 270.000 mensen die op die lijst stonden op ongekende wijze geschonden. Ruim 6 jaar lang. Mensen werden vaak onterecht als fraudeur bestempeld, met vreselijke gevolgen. Stond je in FSV, dan kregen sommigen geen betalingsregeling of kwam je niet in aanmerking voor schuldsanering. De Belastingdienst heeft met FSV levens overhoop gehaald.”
Boete opgebouwd uit meerdere overtredingen
Uit onderzoek van de toezichthouder bleek dat medewerkers van de fiscus de opdracht kregen om het risico op fraude mede te baseren op zaken als nationaliteit en uiterlijk van mensen. “Had je een Turkse, Marokkaanse of Oost-Europese nationaliteit? Dan werd je zonder goede reden vanwege die nationaliteit nader onderzocht. Deze discriminatie is onacceptabel”, zo vertelt Wolfsen. Ook giften aan moskeeën en hoge medicijnkosten van mensen met Oost-Europees klinkende achternamen werden als risicofactor voor fraude beschouwd.
Het boetebedrag is een optelsom van zes verschillende overtredingen:
- De Belastingdienst had geen wettelijke basis voor de verwerking van persoonsgegevens in de FSV: 1 miljoen euro boete.
- Het doel van de FSV was niet vooraf specifiek omschreven: 750.000 euro boete.
- De FSV bevatte onjuiste en niet-geactualiseerde gegevens: 750.000 euro boete.
- Signalen werden veel te lang bewaard: 250.000 euro boete.
- De beveiliging van de FSV was onvoldoende: 500.000 euro boete.
- De Belastingdienst heeft de functionaris gegevensbescherming (FG) pas na ruim een jaar om advies gevraagd bij de beoordeling over de risico’s van de FSV: 450.000 euro boete.
Tweede miljoenenboete voor de fiscus in korte tijd
Het is niet de eerste keer dat de Autoriteit Persoonsgegevens de Belastingdienst een miljoenenboete oplegt. In december 2021 kreeg de fiscus een boete van 2,75 miljoen euro voor het jarenlang onrechtmatig verwerken van nationaliteitsgegevens van aanvragers voor kinderopvangtoeslag. Wolfsen noemde deze werkwijze “onrechtmatig, discriminerend en onbehoorlijk”.
De Belastingdienst besloot eerder om de bovenstaande boete niet aan te vechten. Of de fiscus ditmaal hetzelfde doet, is onbekend.
Deze boetes legde de AP eerder op dit jaar
Het is de derde boete die de Autoriteit Persoonsgegevens dit jaar oplegt. In februari kreeg DPG Media te horen dat ze 525.000 euro moet betalen, omdat klanten die hun gegevens wilden inzien een kopie van hun paspoort moesten overleggen. Daarmee legde het multimediabedrijf een te hoge drempel op en verzamelde het tegelijkertijd teveel persoonsgegevens.
Eerder deze maand kreeg het ministerie van Buitenlandse Zaken te horen dat het een boete van 565.000 euro moet betalen. Het Nationaal Visum Informatie Systeem (NVIS) was jarenlang onvoldoende beveiligd. Het ministerie wist daar van af, maar deed er niets aan. “Aangezien burgers verplicht zijn hun persoonsgegevens af te staan, had Buitenlandse Zaken direct de nodige maatregelen moeten nemen die gegevens goed beschermen. Omdat de beveiliging nu al jarenlang tekort schiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is”, vertelde AP-vicevoorzitter Monique Verdier over de boete.
Update (13 april 2022): staatssecretaris van Fiscaliteit en Belastingdienst Marnix van Rij laat weten dat de Belastingdienst de boete van de Autoriteit Persoonsgegevens niet aanvecht. De conclusies van de toezichthouder zijn volgens de bewindsman “hard en onmiskenbaar” en laten zien dat er “fundamentele verbeteringen” noodzakelijk zijn.
“Zoals mijn voorgangers en ik al vaker hebben aangegeven deel ik het oordeel van de AP dat FSV nooit op deze manier ingezet had mogen worden. De opgelegde boetes ervaar ik als een pijnlijke, maar begrijpelijke gevolgtrekking gezien de ernst van de bevindingen”, aldus staatssecretaris Van Rij.
Hij zegt het te betreuren dat de toezichthouder de miljoenenboete heeft moeten opleggen. “De Belastingdienst zal er alles aan doen om overtreding van de privacywetgeving in de toekomst te voorkomen”, zo belooft de bewindsman.
