De Belastingdienst is één van de grootste verwerkers van persoonsgegevens in Nederland. Het is daarom essentieel dat de Belastingdienst compliant is aan de regelgeving ten aanzien van de verwerking van persoonsgegevens. In de afgelopen jaren heeft de Autoriteit Persoonsgegevens een aantal onderzoeken uitgevoerd bij de Belastingdienst, en daarbij bleek steeds dat de Belastingdienst nog niet AVG-compliant was.
Toezichtarrangement
De Autoriteit Persoonsgegevens (AP) wil een toezichtarrangement bij de Belastingdienst instellen om tot een duurzame verbetering van de bescherming van persoonsgegevens van burgers en bedrijven te komen. De Belastingdienst voelt, samen met de AP, de urgentie om ervoor te zorgen dat het gebruik van persoonsgegevens voldoet aan de geldende regelgeving.
De AP stelt een toezichtarrangement in om de acties van de Belastingdienst te kunnen volgen en te controleren, maar ook het bieden van begeleiding bij het duurzaam verbeteren van de bescherming van persoonsgegevens. De AP zal zich daarbij richten op verschillende thema’s zoals onder andere het gebruik van risicomodellen, de cultuur binnen de Belastingdienst met betrekking tot het omgaan met persoonsgegevens, de uitwisseling van gegevens en de staat van de privacy-organisatie.
De AP is in april 2024 begonnen met het voeren van inventariserende gesprekken met medewerkers van de Belastingdienst om een beeld te krijgen van de huidige situatie bij de Belastingdienst. Op basis van deze gesprekken besluit de AP welke acties zij nodig acht. De Belastingdienst wordt daarover door de AP geïnformeerd.
“Het toezicht zal diverse vormen meenemen. Een combinatie van guidance en onderzoek is nodig om bij te dragen aan de structurele verbetering op het punt van de AVG-compliancy“, aldus de AP.
De AP kan bijvoorbeeld afspraken maken met de Belastingdienst over het uitvoeren van tussentijdse audits op nieuwe processen en systemen. Daarnaast is het toezichtarrangement gericht op het versterken van de privacy-organisatie zodat de Belastingdienst een structurele verbetering kan realiseren op het punt van de bescherming van persoonsgegevens.
5 jaar
Om de activiteiten die nodig zijn om uit te kunnen voeren, en effectief te kunnen zijn, verwacht de AP dat het toezichtarrangement 5 jaar zal duren.
Jaarlijks vindt een evaluatie plaats om vast te stellen welke verbeteringen er door de Belastingdienst zijn gerealiseerd en welke aanvullende acties er nog nodig zijn.
Kamerbrief toezichtarrangement Autoriteit Persoonsgegevens bij Belastingdienst
Brief Autoriteit Persoonsgegevens over specifiek toezichtarrangement Belastingdienst