Antwoord op vragen van het lid Omtzigt over de Fraude Signalering Voorziening (FSV) en de Algemene Verordening Gegevensbescherming

13-07-2020

Staatssecretarissen van financiën Hans Vijlbrief en Alexandra van Huffelen geven antwoord op Kamervragen van het lid Omtzigt (CDA) over de Fraude Signalering Voorziening (FSV) en de Algemene Verordening Gegevensbescherming (AVG).

Vraag 1
Wanneer bent u op de hoogte gesteld van het bestaan van de FSV en van de gegevensbeschermingseffectbeoordeling FSV (Fraude Signalering Voorziening)?

Antwoord 1
Wij zijn naar aanleiding van persvragen van RTL Nieuws en Trouw (van 10 februari) op 18 februari 2020 op de hoogte gesteld van het feit dat er binnen de Belastingdienst een applicatie met de naam Fraude Signalering Voorziening (FSV) is en dat er een GEB was uitgevoerd.

Vraag 2
Bent u bekend met het feit dat artikel 35, lid 2, van de AVG stelt: “Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.”?

Antwoord 2
Ja.

Vraag 3
Wanneer is de functionaris voor gegevensbescherming (van het Ministerie van Financiën en de Belastingdienst) ingelicht over het uitvoeren van deze gegevensbeschermingseffectbeoordeling?

Antwoord 3
De functionaris voor gegevensbescherming van het ministerie van Financiën (FG) is op 20 februari 2020 door de privacyofficer van de Belastingdienst mondeling geïnformeerd over de GEB.

Vraag 4
Wanneer heeft de functionaris voor gegevensbescherming de gegevensbeschermingseffectbeoordeling (welke versie dan ook) ontvangen?

Antwoord 4
Op 20 februari 2020 is de GEB ter informatie aan de FG gestuurd. Op 26 februari 2020 is de GEB nogmaals aan de FG gestuurd en is hem formeel om advies gevraagd over de GEB, versie 1.2 van november 2019. Na ontvangst van het advies van de FG is door de Belastingdienst besloten om FSV uit te schakelen.

Vraag 5
Bent u op de hoogte van artikel 36 van de AVG die stelt: “Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit.”?

Antwoord 5
Ja.

Vraag 6
Heeft u kennis genomen van de conclusie: “In zijn algemeenheid kan worden geconcludeerd dat de huidige opzet van FSV geen goede aansluiting (meer) heeft op de verwerkingsbeginselen van art. 5 AVG. Ten aanzien van elk van de 10 in dit artikel genoemde beginselen zijn een of meer bevindingen gedaan en afgeleid daarvan zijn er privacy risico's gesignaleerd.”? En deelt u de mening dat er een hoog risico is?

Antwoord 6
De conclusie is getrokken op basis van een GEB op de applicatie, waarbij de verwerkingen zelf zijdelings geraakt zijn. De conclusie was voor de Belastingdienst voldoende om de applicatie FSV uit te schakelen. De Belastingdienst heeft besloten de betrokken processen opnieuw te ontwerpen, inclusief de bijbehorende informatievoorziening.

Vraag 7
Heeft de functionaris voor gegevensbescherming of iemand anders bij de Belastingdienst de Autoriteit Persoonsgegevens (AP) op de hoogte gesteld van de redelijk schokkende uitkomsten van deze gegevensbeschermingseffectbeoordeling? Zo ja, wie heeft dat gedaan? Zo nee, waarom niet?

Antwoord 7
De Autoriteit Persoonsgegevens is op 2 maart 2020 door de Belastingdienst geïnformeerd.

Vraag 8
Heeft de Belastingdienst de AP ooit op de hoogte gesteld van de uitkomst van een gegevensbeschermingseffectbeoordeling, omdat er risico’s zijn? Zo ja, bij welke gegevensbeschermingseffectbeoordeling is dat gebeurd?

Antwoord 8
De AP moet om advies worden gevraagd als er sprake is van een verwerking met een hoog risico voor de privacy van de burger dat niet met passende maatregelen is weg te nemen. De Belastingdienst heeft op 2 maart 2020 de AP geïnformeerd over FSV omdat er een applicatie in gebruik was waarbij de mitigerende maatregelen onvoldoende geïmplementeerd waren. Inmiddels heeft de AP aangegeven dat er een onderzoek is gestart. Wij zullen u informeren over de uitkomsten van dit onderzoek.

Vraag 9
Indien de Belastingdienst de AP niet op de hoogte gesteld heeft, wilt u dat dan per ommegaande doen en de Kamer op de hoogte houden van elke brief en elke besluit dat de AP neemt?

Antwoord 9
De AP is geïnformeerd op 2 maart 2020. De AP heeft inmiddels een onderzoek gestart naar de verwerking van persoonsgegevens in en om de applicatie FSV. Ik zal uw Kamer op de hoogte houden van brieven en besluiten van de AP in deze kwestie.

Vraag 10
Indien de AP niet op de hoogte gesteld is van deze gegevensbeschermingseffectbeoordeling over het FSV, wat heeft de Belastingdienst dan geleerd van eerdere affaires waarin de AP pas op de hoogte gesteld is van grote problemen met privacy na publiciteit en Kamervragen, zoals bij de affaire rondom de broedkamer en bij het bijhouden van de dubbele nationaliteit?

Antwoord 10
Zoals ook in de brief bij deze beantwoording aangegeven:. de problematiek rond FSV en projectcode 1043 en de gebeurtenissen rond de kinderopvangtoeslag, laten zien dat de opzet, inrichting en werking bij risicoselectie en vervolgens het onderzoek naar de geselecteerde signalen binnen de Belastingdienst onvoldoende zijn. Er wordt niet voldaan aan wettelijke vereisten, waaronder de Algemene verordening gegevensbescherming (AVG) en de beginselen van behoorlijk bestuur, noodzakelijke waarborgen en menselijke maat die hiervoor noodzakelijk zijn. Deze conclusie is hard en vraagt om een grootschalige verbeteraanpak waarbij zowel het zowel noodzakelijk is om direct maatregelen te treffen als verder onderzoek te doen. Burgers en bedrijven moeten erop kunnen vertrouwen dat de behandeling door de Belastingdienst op een rechtvaardige manier gebeurt.

Vraag 11
Deelt u de mening van de indiener dat de AP ondertussen niet serieus genomen wordt door de Belastingdienst als toezichthouder?

Antwoord 11
Nee, dit beeld deel ik niet. De Belastingdienst hecht veel waarde aan het oordeel van de AP.

Vraag 12
Hoe zou u het vinden als een belastingplichtige zich opstelt ten opzichte van de Belastingdienst, zoals de Belastingdienst zich nu opstelt ten opzichte van de autoriteit persoonsgegevens?

Antwoord 12
De Belastingdienst neemt de AP en burgers serieus. Ook de Belastingdienst moet zich aan de wet houden. We hebben helaas geconstateerd dat dat hier niet is gebeurd.

Vraag 13
Hoeveel personen (rechtspersonen, natuurlijke personen) stonden op 1/1/2019 (voor het opschonen) geregistreerd in het FSV?

Antwoord 13
Het is niet bekend hoeveel personen op 1 januari 2019 in FSV geregistreerd stonden. Ik kan u alleen de aantallen geven voor en na de schoning van 27 februari 2020.

Natuurlijke personen

Rechts-personen

Onbekend

Totaal

Vóór schoning aantal unieke BSN

244.273

85.350

6

329.629

Na schoning aantal unieke BSN

133.508

52.542

5

186.055

Verschil

110.765

32.808

1

143.574

Onbekend: identificatienummer is een niet uitgegeven nummer.


Vraag 14
Op welke wijze kunnen mensen inzage krijgen in hun registratie in het FSV? Bent u bereid mensen hierover actief te informeren?

Antwoord 14
Het inzagerecht van de AVG is een belangrijk recht voor de burger. Op deze manier kan een burger controleren of de persoonsgegevens die worden verwerkt juist zijn. In de brief bij deze set antwoorden gaan wij uitgebreid in op de wijze waarop de inzageverzoeken behandeld worden.

Vraag 15
Hoe gaat u ervoor zorgen dat de Belastingdienst fraudesignalen wel op een nette manier bijhoudt?

Antwoord vraag 15
We hebben besloten om FSV niet meer te gebruiken. We gaan de processen voor het verwerken van signalen opnieuw ontwerpen, conform de vereisten uit de AVG en andere relevante wet- en regelgeving inclusief de bijbehorende applicatie(s).

Vraag 16
Zijn de gegevens van de FSV, die kennelijk nu niet meer gebruikt wordt, in andere systemen overgenomen? Zo ja, in welke systemen en wordt in die systemen de AVG dan wel nageleefd?

Antwoord vraag 16
Nee, de gegevens van FSV zijn niet overgenomen in andere systemen van de Belastingdienst en er is ook geen automatische koppeling die gegevens aan FSV levert of ontvangt uit FSV. Niet uit te sluiten is dat individuele medewerkers handmatig informatie uit FSV in andere systemen hebben gezet. Dit is niet te achterhalen.

Vraag 17
Heeft u de ADR en de commissie-Donner op de hoogte gesteld van het bestaan van FSV en de gegevensbeschermingseffectbeoordeling? Zo nee, waarom niet en wilt u dat per ommegaande doen?

Antwoord 17
Naar aanleiding van vragen van de Adviescommissie uitvoering toeslagen en van de ADR is zowel aan de Adviescommissie als aan de ADR op verschillende momenten een aantal documenten verstrekt. In enkele daarvan komt FSV aan de orde. In deze documenten is onder meer te lezen dat FSV een applicatie is waarin signalen worden geregistreerd en worden voorbeelden van signalen gegeven. De GEB van FSV is begin maart jl. aan zowel AUT als de ADR gezonden. Eerder heb ik uw Kamer, in mijn antwoorden van 27 februari jl. (Kenmerk 2020D08166) meegedeeld in welke bronbestanden de ADR precies onderzoek doet. Het feit dat de FSV daarin niet genoemd wordt betekent dus niet dat AUT en ADR niet op de hoogte waren van FSV.

Vraag 18
Kunt u deze vragen een voor een en binnen twee weken beantwoorden? En kunt u nog voor het AO Belastingdienst aan de Kamer meedelen of en wanneer de AP geïnformeerd is of geïnformeerd wordt over deze gegevensbeschermingseffectbeoordeling?

Antwoord 18
Zoals aangegeven in onze brief van 19 maart 2020 (1) hangen de schriftelijke vragen over FSV nauw samen met de in het Algemeen Overleg van 4 maart toegezegde brief over de FSV. Om die reden hebben we deze schriftelijke vragen gecombineerd met deze brief. Zoals eerder aangegeven heeft de Belastingdienst de AP op 2 maart 2020 geïnformeerd.

Toelichting:
Deze vragen dienen ter aanvulling op eerdere vragen terzake van het lid Leijten (SP), ingezonden 4 maart 2020 (vraagnummer 2020Z04218).

(1) TK 2019/2020, 31066, nr. 614


Deze Kamervragen zijn ook te vinden in het dossier AVG

bron: Rijksoverheid

Van onze partners

Magazine: Privacy en de gemeente

→ Lees meer

Privacy voor finance professionals

→ Lees meer

AVG voor griffiers

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer