De Belastingdienst heeft opnieuw een AVG-boete gekregen vanwege zijn handelen in het toeslagenschandaal. De Autoriteit Persoonsgegevens legt een recordboete van 3,7 miljoen euro op vanwege het beruchte Fraude Signalering Voorziening-systeem dat centraal stond in de affaire. De FSV-database is overigens sinds februari 2020 niet meer in gebruik. 

Het is de tweede boete die de Belastingdienst krijgt voor zijn rol in het toeslagenschandaal. In december vorig jaar deelde de AP al een boete van 2,75 miljoen euro uit, toen nog vanwege het Toeslagen Verstrekkingen Systeem of TVS. Dat was toen de hoogste boete die de AP ooit voor een AVG-overtreding had uitgedeeld.

De Autoriteit Persoonsgegevens keek naar de dataverzameling door de Belastingdienst in het Fraude Signalering Voorziening-systeem, afgekort FSV. Dat is een van de beruchtste systemen die de Belastingdienst gebruikte bij het toeslagenschandaal. De FSV bevatte kenmerken van Nederlandse burgers, waaronder hun inkomen, maar ook hun etniciteit, afkomst en gezondheid. Als die burgers een aangifte deden of toeslagen aanvroegen, werd op basis van die kenmerken een risicoscore aangemaakt. Daarmee bepaalde de fiscus hoe groot de kans was dat een burger fraudeerde. In totaal stonden de gegevens van 244.273 personen en 30.000 ondernemers op die 'zwarte lijst'.

Volgens de privacytoezichthouder overtrad de Belastingdienst de privacywet AVG op vier punten met het gebruik van de FSV. De Belastingdienst 'handelde in strijd met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking', stelt de AP. Daarnaast ontbraken er maatregelen om de gegevens in die database te beveiligen, en de functionaris gegevensbescherming werd niet goed betrokken bij het beveiligen van de lijst.

De AP is hard over de overtredingen en noemt die ernstig. In de eerste plaats was er 'geen grondslag om de verwerking van persoonsgegevens in FSV'. Er was geen verplichting om signalen van fraude in het systeem te verwerken. Ook zouden er zoveel gegevens worden verzameld dat de verwerking ervan niet proportioneel was. Het doel van de zwarte lijst was onduidelijk, stelt de AP, waardoor niet vooraf duidelijk was welke gegevens wel en niet mochten worden verzameld. Dat laatste is ook een overtreding van de AVG, omdat vooraf een duidelijk doel voor gegevensverzameling moet worden opgesteld.

De toezichthouder hekelt ook het feit dat er veel oude gegevens op de zwarte lijst stonden. De Belastingdienst zou die niet verwijderen of rectificeren en daarmee de bewaartermijn overtreden.

De Belastingdienst zou naast het onterecht verzamelen van de gegevens ook te weinig maatregelen hebben genomen om de data te beveiligen. Er waren 'onvoldoende passende technische en organisatorische maatregelen getroffen ten aanzien van de toegangsbeveiliging, logging en controle op de logging', schrijft de toezichthouder. In het relatief korte boetebesluit beschrijft de AP dat onbevoegde werknemers gegevens konden opvragen. Ook werden er soms gegevens geëxporteerd uit het systeem zodat nog meer mensen er toegang toe konden krijgen. Mede daardoor had de Belastingdienst 'geen zicht op de verdere verwerking van de data'.

Alles bij de bron; Tweakers