De Belastingdienst overtrad met de Fraude Signalering Voorziening (FSV) zeven jaar lang de wet, in het bijzonder de Algemene Verordening Gegevensbescherming (AVG). Er was geen juridische basis voor het systeem en burgers belandden eenvoudig op de zwarte lijst van de fiscus, vaak zonder gedegen onderzoek of de mogelijkheid om zich te verweren. De Autoriteit Persoonsgegevens moet nog bepalen of de Belastingdienst al dan niet een boete kan verwachten.
Dat schrijft de toezichthouder in een persverklaring.
De FSV, de zwarte lijst van de Belastingdienst
De Fraude Signalering Voorziening of kortweg FSV was een systeem om mogelijke fraudeurs te registreren. Zeg maar een soort van zwarte lijst van de fiscus, dat eind 2013 geïnitieerd werd. Op deze lijst stonden allerlei signalen van vermeende of bewezen vormen van fraude. Bij het minste of geringste vermoeden werden burgers op de lijst vermeld.
Als bijvoorbeeld een gemeente, om wat voor reden dan ook, de inkomensgegevens van een inwoner opvroeg, werd hij vermeld in de FSV. Deze gegevenscheck had mogelijk helemaal niets met fraude te maken, maar het was voldoende om op de zwarte lijst van de Belastingdienst te belanden. Als iemand een hekel had aan zijn buurman en hem in de moeilijkheden wilde brengen, hoefde hij enkel een broodjeaapverhaal op te hangen bij de fiscus. Zonder dat de persoon in het kwestie er erg van had, stond hij als fraudeur te boek bij de Belastingdienst.
AP start onderzoek naar mogelijke privacyinbreuk
De gevolgen voor mensen die genoemd werden in de FSV, waren niet te overzien. Als zij eenmaal het stempel ‘potentiële fraudeur’ opgedrukt kregen, dan werden zij geconfronteerd met verscherpt toezicht van de Belastingdienst. Soms met alle gevolgen van dien.
De Tweede Kamer veroordeelde afgelopen jaar de ‘geheime zwarte lijst’ van de Belastingdienst. Demissionair staatssecretaris Alexandra van Huffelen (Toeslagen) en staatssecretaris Hans Vijlbrief (Belastingen) gaven in februari 2020 de opdracht om de FSV uit de lucht te halen. De Autoriteit Persoonsgegevens kreeg de taak om te onderzoeken hoe men omging met de privacy toen ambtenaren de FSV gebruikten. De toezichthouder presenteerde vandaag zijn bevindingen.
Geen juridische basis voor FSV
De conclusies van de Autoriteit Persoonsgegevens zijn niet mals. Dat er geen wettelijke basis was voor de FSV, was volgens de toezichthouder de belangrijkste overtreding. Zonder juridische grondslag is het verwerken van persoonsgegevens immers verboden. Iedere verwerking via de FSV was dus onrechtmatig.
Het ontbreken van een wettelijke basis is slechts het topje van de ijsberg. De toezichthouder heeft meer overtredingen vastgesteld. De FSV bevatte onjuiste en niet-geactualiseerde gegevens. Soms kregen mensen het label ‘fraudeur’ opgeplakt terwijl er helemaal geen onderzoek naar de zaak was gedaan. Zelfs als bleek dat de persoon in kwestie onschuldig was, werd dit niet aangepast in de FSV. Men stond zodoende onterecht te boek als fraudeur bij de Belastingdienst. De mogelijkheid om jezelf te verdedigen was er niet.
Beveiliging FSV was onvoldoende
Tevens constateerde de AP dat signalen van mogelijke fraude veel te lang werden bewaard in de systemen bij de Belastingdienst. Verder stelde de fiscus de functionaris gegevensbescherming (FG) van het ministerie van Financiën veel te laat op de hoogte van het bestaan van de FSV. Ook werd de FG te laat betrokken bij het onderzoek naar de privacyaspecten van de FSV, ook wel de Data Protection Impact Assessment of DPIA genoemd.
Tot slot stelt de toezichthouder dat de beveiliging van de FSV onvoldoende was. Duizenden medewerkers van de Belastingdienst hadden toegang tot de informatie in het systeem. Deze gegevens konden zij gemakkelijk exporteren naar Excel. En eventuele bewerkingen van persoonsgegevens werden niet bijgehouden in het systeem.
‘Gat in de rechtsbescherming’
Aleid Wolfsen, bestuursvoorzitter van de AP, was aangedaan door de grove privacyschendingen door de fiscus. “Vanzelfsprekend moet de Belastingdienst fraude aanpakken. Maar uit ons onderzoek blijkt dat de Belastingdienst fraudesignalen registreerde en gebruikte op een manier die absoluut niet is toegestaan. Onschuldige mensen zijn hierdoor gedupeerd”, zo zei hij vandaag bij de presentatie van het onderzoeksrapport.
Volgens Wolfsen stonden bijna een kwart miljoen mensen vaak onterecht op de fraudelijst van de fiscus, zonder dat zij dit wisten. “Daardoor konden ze zich niet verweren en konden ze zich ook niet van de lijst laten afhalen. Zo ontstond een gat in de rechtsbescherming. Veroorzaakt door de overheid, nota bene!”
Het eerste deel van het onderzoekstraject is nu afgerond. Wopke Hoekstra, demissionair minister van Financiën, krijgt nu de gelegenheid om te reageren op de bevindingen van de Autoriteit Persoonsgegevens. Daarna besluit de toezichthouder of de Belastingdienst al dan niet een boete aan zijn broek krijgt. Het boetebedrag kan flink in de papieren lopen.
