Heidi I is in 2013 in opdracht van het MT-fraude van de Belastingdienst ontwikkeld om afwijkend risicovol gedrag zo vroeg mogelijk te kunnen signaleren.

Heidi was een database-functionaliteit om IP-adressen vast te leggen en te ontsluiten. De functionaliteit registreerde portaldata, waaronder de IP-adressen waarmee toeslagaanvragers het Toeslagen-portal (mijntoeslagen.nl) benaderden. In 2013 is hier geen gegevensbeschermings-effectbeoordeling (GEB) voor gemaakt.

In september 2017 is op advies van de privacy officer van de Belastingdienst Heidi I “on hold” gezet omdat deze niet zou voldoen aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Naar aanleiding daarvan is Heidi “II” ontwikkeld in oktober 2017. Er is een GEB voor opgesteld die op 15 januari jl. met uw Kamer is gedeeld.

Voor Heidi II staat in de GEB dat verschillende gegevens die werden ontvangen vanuit Beheer Van Relaties (BVR) zoals: geboortedatum, woonadres, eerste nationaliteit en het aantal BSN's ingeschreven op adres (berekend gegeven) werden verrijkt met gegevens zoals het IP-adres en vanuit openbare bronnen werden onder andere de geografische gegevens toegevoegd.

Op basis van de huidige informatie is duidelijk geworden dat de gegevens van Heidi II zijn gebruikt voor het Combiteam Aanpak Facilitators (CAF).

Het CAF was een multidisciplinair samenwerkingsverband binnen de Belastingdienst en werd in 2013 opgericht om signalen van mogelijke fraude bij zogenoemde tussenpersonen zoals belastingadviseurs te onderzoeken. Hiervoor was het onder andere van belang om te weten of er vanaf één adres meerdere belastingaangiften of aanvragen voor toeslagen werden ingediend.

Zoals in de Stand van Zakenbrief Dienst Toeslagen van 15 januari jl. aan uw Kamer is gemeld, geldt voor Toeslagen dat Heidi werd gebruikt als een loggingsysteem waarbij portaldata werd gelogd van bezoekers van de toeslagenportal. Het doel van Heidi was het kunnen traceren of er sprake was van opvallend gedrag wat een indicatie kan zijn voor een verhoogd risico op misbruik van toeslagen.

Ook voor Dienst Toeslagen geldt, zoals eerder in deze brief is gemeld, dat niet exact kan worden aangegeven welke gegevens door Toeslagen nog meer gebruikt zijn in Heidi I.

Sinds het stopzetten van het Intensief Toezicht (ITO) proces in 2020 wordt geen gebruik meer gemaakt van portaldata voor wat betreft het detecteren van risico’s op misbruik. Zoals toegezegd wordt uw Kamer op een later moment nader geïnformeerd over het toekomstige gebruik van portaldata door Dienst Toeslagen, wanneer het volledige proces van gegevensverwerking met de daarbij behorende waarborgen volledig in beeld is gebracht.

Alles bij de bron; RijksOverheid