Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
Fiscaal en Meer

AP: Belastingdienst moet systemen met privacyrisico’s stopzetten

AP: Belastingdienst moet systemen met privacyrisico’s stopzetten

Gegevens

Nummer
2025/769
Publicatiedatum
14 juli 2025
Auteur
Redactie
Rubriek
Overig

De Autoriteit Persoonsgegevens (AP) gebiedt de Belastingdienst om twee systemen zo snel mogelijk te vervangen, en vier andere systemen zo snel mogelijk aan te passen. In een reactie schrijft staatssecretaris Van Oostenbruggen dat hij de Belastingdienst heeft opgedragen om maatregelen te nemen.


De AP heeft vastgesteld dat meerdere systemen van de Belastingdienst niet voldoen aan de privacywetgeving. Deze conclusie trekt de AP na 5 systemen van de Belastingdienst en één systeem van de Douane te hebben onderzocht.
Aanleiding voor dit onderzoek was het rapport van KPMG van 7 februari 2025 over het Risico Analyse Model (RAM). Met dat systeem overtrad de Belastingdienst tot 25 mei 2018 de privacywetgeving op grote schaal. De door de AP onderzochte systemen werden door KPMG als ‘met RAM vergelijkbaar’ gekwalificeerd en hadden daarom de aandacht van de AP.
De AP draagt de Belastingdienst op om uiterlijk 15 oktober 2025 voor de systemen ‘Klant Toezicht Model’ (KTA) en ‘Informatiesjabloon’ een gedegen plan in te dienen om beide op korte termijn uit te faseren. Voor de andere 4 systemen moeten de Belastingdienst en de Douane de tekortkomingen zo snel mogelijk oplossen of de systemen vervangen.

Overtredingen bij RAM Aanleiding voor het onderzoek naar deze systemen van de Belastingdienst waren de overtredingen met RAM. Daarover concludeert de AP dat de Belastingdienst tot 25 mei 2018:

  • Op onrechtmatige wijze persoonsgegevens verwerkte met RAM, waaronder bijzondere persoonsgegevens en strafrechtelijke gegevens.

  • Onderscheid heeft gemaakt tussen personen, waaronder op nationaliteit, waarvoor tot op heden geen objectieve rechtvaardigingsgronden bekend zijn. Met RAM zijn, gelet hierop, discriminerende verwerkingen uitgevoerd.

  • Onvoldoende maatregelen trof om de persoonsgegevens in RAM te beveiligen. Gegevens konden vrij uit RAM worden geëxporteerd.

  • Zich jarenlang heeft onttrokken aan het toezicht door wettelijk verplichte meldingen van verwerking van persoonsgegevens niet te doen. Toezichthouders konden hierdoor hun werk niet doen.

In een reactie schrijft staatssecretaris Van Oostenbruggen dat hij de bevindingen uiterst serieus neemt. Hij heeft de Belastingdienst opgedragen om mitigerende maatregelen te nemen. Op basis van de bevindingen rond KTA en Infosjabloon zijn op dit moment reeds 4.000 autorisaties van medewerkers ingetrokken. Daarnaast worden nog 5.000 autorisaties ingetrokken. De Belastingdienst werkt op dit moment met urgentie een plan uit op welke termijn, met welke consequenties en op welke wijze de Belastingdienst deze systemen uit kan faseren en overlegt dit plan met de AP voor uiterlijk 15 oktober 2025, conform het verzoek van de AP.

Bron: AP, 10-07-2025 en MvF, 10-07-2025, nr. 2025-0000197406, Beleidsreactie rapport Autoriteit Persoonsgegevens over RAM