Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
De minister van Financiën
Mevrouw. S.A.M. Kaag MA, MPhil
Korte Voorhout 7
2500 EE Den Haag

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot boeteoplegging

Hooggeachte mevrouw Kaag,

De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten om aan de minister van Financiën (hierna: de Minister) bestuurlijke boetes van in totaal € 3.700.000 op te leggen. De AP is tot de conclusie gekomen dat de Minister als verwerkingsverantwoordelijke voor de verwerkingen van de Belastingdienst, van 4 november 2013 tot en met 27 februari 2020 door het verwerken van persoonsgegevens in de applicatie Fraude Signalering Voorziening (hierna: FSV) in strijd heeft gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking.1

Naast het overtreden van de vier hiervoor benoemde beginselen concludeert de AP dat de Belastingdienst onvoldoende passende technische en organisatorische maatregelen heeft genomen ten aanzien van de toegangsbeveiliging, logging en controle op de logging om een passend beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen.2 Tot slot heeft de AP geconcludeerd dat de Belastingdienst de functionaris voor gegevensbescherming (hierna: FG) niet naar behoren en niet-tijdig heeft betrokken bij de uitvoering van de gegevensbeschermingseffectbeoordeling (hierna: GEB) van FSV.3

De AP licht het besluit hierna nader toe. Hoofdstuk 1 betreft een inleiding en hoofdstuk 2 bevat de bevindingen. In hoofdstuk 3 wordt de (hoogte van de) bestuurlijke boetes uitgewerkt en hoofdstuk 4 bevat tot slot het dictum en de rechtsmiddelenclausule.

2/16

1. Inleiding 1.1 Onderzoek van de AP

De AP heeft onderzoek verricht naar de FSV-applicatie die de Belastingdienst tot 27 februari 2020 heeft gebruikt. FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen op een verhoogde kans op fraude met belastingen en toeslagen. De AP heeft in dit onderzoek geconcludeerd dat de wijze waarop de Belastingdienst FSV heeft ingezet tot meerdere én ernstige overtredingen heeft geleid van de Algemene verordening gegevensbescherming (hierna: AVG) en de Wet bescherming persoonsgegevens (hierna: Wbp), de wet die van toepassing was tot aan de inwerkingtreding van de AVG. De AP heeft deze bevindingen in een rapport opgenomen (hierna: het onderzoeksrapport) en dit rapport op 29 oktober 2021 openbaar gemaakt.4

1.2 Procesverloop

Voor een weergave van de onderzoeksprocedure verwijst de AP naar hoofdstuk 1 van het onderzoeksrapport.

De AP heeft bij brief van 12 november 2021 de Minister in kennis gesteld van het voornemen om een bestuurlijke sanctie op te leggen en de Minister in de gelegenheid gesteld een zienswijze naar voren te brengen.

Bij brief van 14 januari 2022 is namens de Minister door de plaatsvervangend directeur-generaal van de Belastingdienst een schriftelijke zienswijze ingediend, waarin de hiervoor genoemde overtredingen zijn erkend en waarin nader is ingegaan op de getroffen en te treffen maatregelen.5

2. Bevindingen De AP legt het onderzoeksrapport en de daarin opgenomen bevindingen ten grondslag aan dit besluit. Die feiten vinden steun in het bewijs. De Minister heeft de in het onderzoeksrapport neergelegde feiten niet weersproken en voorts heeft de Minister de op die feiten gebaseerde overtredingen erkend.

In paragraaf 2.1 bespreekt de AP beknopt de geconstateerde overtredingen. Voor een compleet overzicht van alle relevante feitelijke gedragingen en bevindingen – voor zover die hier niet worden benoemd – verwijst de AP naar de hoofdstukken 3 en 4 van het onderzoeksrapport. Daarna geeft de AP in paragraaf 2.2 de zienswijze van de Minister weer.

4 https://autoriteitpersoonsgegevens.nl/nl/nieuws/zwarte-lijst-fsv-van-belastingdienst-strijd-met-de-wet. 5 De plaatsvervangend directeur-generaal van de Belastingdienst heeft in de schriftelijke zienswijze opgemerkt dat zij – gelet op de taakverdeling binnen het Ministerie van Financiën – de zienswijze heeft ingediend. Omwille van de leesbaarheid van dit besluit wordt hierna de aanduiding “Minister” gebruikt.

3/16

2.1 Samenvatting bevindingen

De Belastingdienst nam in FSV voornamelijk personen op die fraude hadden gepleegd en personen waarvan het vermoeden bestond dat ze mogelijk belasting- of toeslagenfraude zouden hebben gepleegd. FSV werd binnen de Belastingdienst gebruikt bij de beoordeling van belastingaangiftes en aanvragen voor toeslagen en werd gebruikt voor het registreren van informatieverzoeken vanuit andere overheden. FSV werd ook geraadpleegd voor het opstellen van risicomodellen en bij het bepalen of er een boete moest worden opgelegd in het kader van de invordering van belasting- of toeslagenschulden.

In de periode van 4 november 2013 tot en met 27 februari 2020 heeft de Belastingdienst signalen van vermeende en vastgestelde fraude en informatieverzoeken in FSV geregistreerd, gewijzigd, geraadpleegd, gebruikt, gecombineerd en buiten FSV verspreid over in ieder geval 244.273 personen en 30.000 ondernemers. De Belastingdienst heeft hiermee persoonsgegevens (waaronder gegevens over gezondheid, nationaliteit en strafrechtelijke persoonsgegevens) verwerkt in de zin van artikel 4, aanhef en onder 1, 2 en 15, van de AVG, artikel 10 van de AVG en artikel 1, aanhef en onder a en b, van de Wbp en artikel 16 van de Wbp.

De AP stelt vast dat de Minister de verwerkingsverantwoordelijke is voor de verwerkingen van persoonsgegevens in FSV door de Belastingdienst, zoals bedoeld in artikel 4, aanhef en onder 7, van de AVG en artikel 1, aanhef en onder d, van de Wbp. Waar in dit besluit de Belastingdienst wordt genoemd stelt de AP dit gelijk aan de Minister.

De AP stelt vervolgens vast dat de Belastingdienst van 4 november 2013 tot en met 27 februari 2020 door het verwerken van persoonsgegevens in FSV in strijd heeft gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. De AP licht deze overtredingen hierna toe.

Persoonsgegevens dienen te worden verwerkt in overeenstemming met het beginsel van rechtmatigheid, als bedoeld in artikel 5, eerste lid, aanhef en onder a, van de AVG en artikel 6 van de Wbp. Dit betekent dat er een grondslag moet zijn voor de verwerkingen van persoonsgegevens als vermeld in artikel 6, eerste lid, van de AVG en artikel 8 Wbp. De AP concludeert dat er voor de verwerkingen van persoonsgegevens in FSV geen grondslag was. De Belastingdienst kon voor die verwerkingen namelijk geen geslaagd beroep doen op de ‘wettelijke verplichting’ als grondslag, omdat er geen verplichting lag om signalen van (mogelijke) fraude en informatieverzoeken als contra-informatie te verwerken.

Het beroep van de Belastingdienst op de grondslag ‘noodzakelijke voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag’ slaagt evenmin. Het stelsel van de Algemene wet inzake rijksbelastingen, de Algemene wet inkomensafhankelijke regelingen, titel 5.2 van de Awb en de materiële wetgeving geeft de Belastingdienst weliswaar de bevoegdheid om (in concrete gevallen) persoonsgegevens te verzamelen voor toezichtdoeleinden. Maar deze wetgeving is onvoldoende precies om als grondslag te dienen voor een aparte, structurele, omvangrijke en segment-overstijgende verzameling van veelsoortige, (te) gedetailleerde (bijzondere en strafrechtelijke) persoonsgegevens in FSV. Daarnaast waren de verwerkingen in FSV niet noodzakelijk

4/16

voor de vervulling van de publieke taak van de Belastingdienst om toezicht te houden op de naleving van het bepaalde bij of krachtens de belasting- en toeslagenwetgeving. Er is namelijk niet voldaan aan het proportionaliteitsbeginsel omdat de inbreuk op de belangen van de betrokkenen onevenredig was in verhouding tot het met de verwerking te dienen doel, waarbij geldt dat de doeleinden van FSV niet welbepaald en daarmee onduidelijk waren. De AP is verder van oordeel dat ook niet aan het subsidiariteitsbeginsel is voldaan omdat het nagestreefde doel op een andere, minder vergaande wijze kan worden gediend, namelijk zonder FSV of met vormgeving van een andere meer beperkte applicatie.

Persoonsgegevens dienen tevens te worden verwerkt in overeenstemming met het beginsel van doelspecificatie, zoals neergelegd in artikel 5, eerste lid, aanhef en onder b, van de AVG en artikel 7 van de Wbp. Dit betekent dat persoonsgegevens alleen voor welbepaalde en uitdrukkelijk omschreven doeleinden mogen worden verzameld. De AP concludeert na onderzoek dat de vooraf geformuleerde doeleinden van het verzamelen van persoonsgegevens in FSV niet welbepaald waren.

Persoonsgegevens dienen voorts te worden verwerkt in overeenstemming met het beginsel van juistheid, zoals opgenomen in artikel 5, eerste lid, aanhef en onder d, van de AVG en artikel 11, tweede lid, van de Wbp. Dit betekent dat persoonsgegevens juist moeten zijn en zo nodig moeten worden geactualiseerd. De AP constateert dat er onjuiste en niet-geactualiseerde persoonsgegevens in FSV stonden en de Belastingdienst niet de redelijke maatregelen heeft genomen om deze persoonsgegevens te rectificeren of te wissen.

Persoonsgegevens dienen ook te worden verwerkt in overeenstemming met het beginsel van opslagbeperking, zoals neergelegd in artikel 5, eerste lid, aanhef en onder e, van de AVG en artikel 10, eerste lid, van de Wbp. Dit houdt in dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk. Uit het onderzoek van de AP volgt dat de persoonsgegevens in FSV langer werden bewaard dan de op de persoonsgegevens in FSV van toepassing zijnde bewaartermijn. Hierdoor bewaarde de Belastingdienst de persoonsgegevens (dus) langer dan noodzakelijk.

Naast het overtreden van de vier hiervoor genoemde normen en daaraan ten grondslag liggende beginselen concludeert de AP dat de Belastingdienst onvoldoende passende technische en organisatorische maatregelen heeft getroffen ten aanzien van de toegangsbeveiliging, logging en controle op de logging om een passend beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen. Hierdoor handelde de Belastingdienst van 4 november 2013 tot en met 27 februari 2020 in strijd met artikel 32, eerste lid, van de AVG en artikel 13 van de Wbp.

Tot slot concludeert de AP dat de Belastingdienst de FG niet naar behoren en niet tijdig heeft betrokken bij de uitvoering van de GEB van FSV. Met deze gedraging heeft de Belastingdienst in strijd gehandeld met artikel 38, eerste lid, van de AVG jo. artikel 35, tweede lid, van de AVG.

5/16

2.2 Zienswijze van de Minister

De Minister onderschrijft de feiten en conclusies in het onderzoeksrapport van de AP. FSV had niet op deze manier ingezet mogen worden, zo heeft de Minister erkend. De conclusies van de AP sluiten aan bij eerdere conclusies van de Belastingdienst die hebben geleid tot het uitschakelen van FSV.

De Minister verklaart dat de Belastingdienst de betrokken burgers die in FSV waren opgenomen informeert over hun registratie en hen de reden laat weten waarom zij in FSV geregistreerd stonden. Als de Belastingdienst de reden van een registratie in FSV niet weet, dan laat de Belastingdienst dat de betrokkenen ook weten. De Belastingdienst wijst de betrokkenen op hun recht op inzage, en informeert hen dat ze telefonisch contact op kunnen nemen met de Belastingdienst en ook dat ze meer informatie kunnen vinden op de webpagina FSV. Er is een meldpunt FSV, bedoeld voor burgers die vermoeden dat ze onterechte gevolgen hebben gehad van hun registratie in FSV. Als er meer helderheid is over het antwoord op de vraag met welke organisaties de Belastingdienst gegevens uit FSV heeft gedeeld, dan worden de betrokkenen ook daarover geïnformeerd. Op dit moment hebben ongeveer 200.000 betrokkenen een brief van de Belastingdienst ontvangen over hun registratie in FSV. Daarvan hebben ongeveer 100.000 de reden van die registratie in FSV vernomen.

De Belastingdienst laat verder onderzoek doen naar de effecten van een registratie in FSV, naar de externe gegevensdeling uit FSV en naar de gebruikte query’s. Vooruitlopend op de uitkomsten van deze onderzoeken wordt een tegemoetkomingsregeling uitgewerkt voor de ten onrechte getroffen burgers.

Mede naar aanleiding van de problematiek met FSV is de Belastingdienst in 2020 gestart met het programma ‘Herstellen, verbeteren en borgen’ (hierna: HVB). HVB bevat acties, die sinds maart 2020 zijn ingezet, om de problemen op te lossen in de wijze waarop de Belastingdienst is omgegaan met (persoons)registraties, risicomodellen en het gebruik van persoonsgegevens zoals nationaliteit.

De uitvoerende directoraten-generaal (Belastingdienst, Toeslagen, Douane) werken samen met het ministerie van Financiën (beleidsdepartement) aan actieplannen voor het verbeteren van de privacyorganisatie vanuit centraal en decentraal oogpunt. In de actieplannen, waaronder dat van de Belastingdienst, komen onder andere de lopende en aanvullende maatregelen te staan voor de (structurele) naleving van deze wet- en regelgeving. Over de opvolging van de actieplannen wordt periodiek verslag gedaan aan de bestuursraad van het ministerie van Financiën.

Daarnaast werkt de Belastingdienst aan een nieuw proces voor het behandelen van signalen met een tijdelijke technische voorziening. De conclusies uit het onderzoeksrapport van de AP zijn gebruikt bij het opstellen van de aangepaste GEB van dit proces. De Belastingdienst heeft de aangepaste GEB aangeboden aan de FG voor advies. Daarna wordt de GEB ter advies aangeboden aan de AP.

Verder verklaart de Minister dat er gewerkt wordt aan het wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane. Het wetsvoorstel beoogt de grondslagen voor de verwerking van persoonsgegevens door de Belastingdienst, Toeslagen en Douane te versterken en

6/16

toekomstbestendig te maken. Daarnaast beoogt het wetsvoorstel een wettelijk kader te scheppen voor de borging van een rechtmatige, behoorlijke en transparante gegevensverwerking door deze drie uitvoeringsorganisaties.

Tot slot beseft de Belastingdienst dat fundamentele verbeteringen nodig zijn bij het omgaan met persoonsgegevens en zal de Belastingdienst zich volledig inzetten om herhaling in de toekomst te voorkomen, aldus de Minister.

3. Boetes 3.1 Inleiding

De AP heeft vastgesteld dat de Minister, als verwerkingsverantwoordelijke voor de verwerkingen in FSV door de Belastingdienst, in strijd heeft gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. De AP heeft ook vastgesteld dat de Minister niet een passend beveiligingsniveau voor de persoonsgegevens in FSV heeft gewaarborgd en voorts dat de FG niet naar behoren en niet tijdig betrokken is geweest bij de uitvoering van de GEB van FSV.

De AP maakt van haar bevoegdheid gebruik om aan de Minister boetes op te leggen, vanwege voornoemde overtredingen. Vanwege de ernst van de overtredingen en de mate waarin deze aan de Minister kunnen worden verweten, acht de AP de oplegging van boetes gepast. Aangezien er in dit geval sprake is van voortdurende overtredingen die zowel onder de Wbp als onder de AVG hebben plaatsgevonden (met uitzondering van de betrokkenheid van de FG), heeft de AP getoetst aan het materiële recht zoals dat gold op het moment waarop de gedragingen plaatsvonden. Deze bepalingen beogen dezelfde rechtsbelangen te waarborgen. Er is geen (wezenlijke) materiële wijziging van de regelgeving op dit punt.

De AP motiveert het opleggen van de boetes in het navolgende. De AP zet eerst kort de boetesystematiek uiteen. Dat wordt gevolgd door de motivering van de boetehoogtes voor de overtredingen van de basisbeginselen van de AVG. Daarna komt het schenden van de verplichting tot het waarborgen van een passend beveiligingsniveau voor de persoonsgegeven in FSV aan bod en vervolgens nog de eis van behoorlijke en tijdige betrokkenheid van de FG bij de uitvoering van de GEB. Tot slot beoordeelt de AP of de toepassing van het boetebeleid tot een evenredige uitkomst leidt.

3.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vierde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd in geval van een overtreding van artikel 32 van de AVG en artikel 35, tweede lid, van de AVG een bestuurlijke boete op te leggen tot € 10.000.000.

7/16

Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vijfde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd in geval van een overtreding van artikel 5 van de AVG een bestuurlijke boete op te leggen tot € 20.000.000.

De AP heeft Boetebeleidsregels vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.6 In de Boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte systematiek. Overtreding van artikel 5, eerste lid, onder a van de AVG is afhankelijk gesteld van de onderliggende bepaling, zijnde artikel 6, eerste lid, van de AVG. Hiervoor geldt categorie III, met een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000.

Overtredingen van artikel 5, eerste lid, onder b, d en e van de AVG zijn eveneens ingedeeld in categorie III, met een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000.

Overtredingen van artikel 32 van de AVG en artikel 35, tweede lid, van de AVG zijn ingedeeld in categorie II. Categorie II heeft een boetebandbreedte tussen € 120.000 en € 500.000 en een basisboete van € 310.000.

3.3 Boetehoogte inzake de algemene beginselen van de AVG en de beveiliging van verwerking van persoonsgegevens

Rechtmatigheid is een van de basisbeginselen van de gegevensbescherming. Een verwerking van persoonsgegevens is rechtmatig als deze plaatsvindt op basis van een grondslag. Bij een inmenging op het recht op respect voor het privéleven van de burger is in het bijzonder belangrijk dat de Belastingdienst als overheidsinstantie haar handelen moet kunnen baseren op een voldoende duidelijk, nauwkeurig en voorspelbaar wettelijk voorschrift. Hierin heeft de Belastingdienst gefaald. Doordat de Belastingdienst zonder grondslag persoonsgegevens in FSV heeft verwerkt, is de kern van het recht op bescherming van persoonsgegevens van veel burgers geschonden.

Daarnaast mogen persoonsgegevens uitsluitend worden verwerkt indien het - expliciete en gerechtvaardigde - doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Ook dient de verwerkingsverantwoordelijke alle redelijke maatregelen te nemen om ervoor te zorgen dat onjuist gebleken persoonsgegevens worden gerectificeerd of gewist en dat persoonsgegevens niet langer worden bewaard dan noodzakelijk. De AP heeft vastgesteld dat er onjuiste persoonsgegevens in FSV zijn opgenomen en dat deze gegevens ook langer dan noodzakelijk zijn bewaard.

Ter voorkoming van de situatie dat organisaties met verwerkingen van persoonsgegevens inbreuk maken op de privacy van burgers vindt de AP het verder van groot belang dat organisaties een op risico afgestemd beveiligingsniveau toepassen. Bij het bepalen van het risico voor de betrokkene zijn onder andere de aard van de persoonsgegevens en de omvang van de verwerking van belang: deze factoren bepalen immers de

6 Stcrt. 2019, 14586, 14 maart 2019.

8/16

potentiële schade voor de individuele betrokkene bij bijvoorbeeld verlies, wijziging of onrechtmatige verwerking van de gegevens. Naarmate de persoonsgegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de persoonsgegevens. De AP is van oordeel dat de Belastingdienst ontoereikende maatregelen heeft getroffen ten aanzien van de toegangsbeveiliging, logging en controle op de logging om een passend beveiligingsniveau voor de persoonsgegevens in FSV te waarborgen.

De AP heeft geconcludeerd dat de Belastingdienst ten aanzien van FSV bovengenoemde beginselen onvoldoende heeft nageleefd. Deze beginselen waarborgen de integriteit van persoonsgegevens en stellen burgers in staat om zeggenschap te behouden over hun eigen gegevens. Dat is van groot belang, omdat een onrechtmatige verwerking van persoonsgegevens vergaande gevolgen kan hebben voor de persoonlijke levenssfeer. De AP zet deze gevolgen en de ernst van de overtredingen hieronder uiteen.

3.3.1 De aard, de ernst en de duur van de inbreuken Gezien de aard en de omvang van de onrechtmatige verwerking van persoonsgegevens in FSV, is de AP van oordeel dat de overtredingen door de Belastingdienst zeer ernstig zijn. De Belastingdienst heeft in FSV ruim 540.000 signalen onrechtmatig verwerkt die betrekking hebben op meer dan 270.000 betrokkenen. Deze hele grote groep burgers, waaronder ook honderden minderjarigen, zijn zwaar getroffen in hun recht op bescherming van persoonsgegevens. Daarbij weegt de AP mee dat de betrokken burgers ten opzichte van de Belastingdienst in een afhankelijke en ongelijke positie staan. Een burger heeft immers bij de Belastingdienst uitsluitend de verplichting om belastingaangifte te doen of de mogelijkheid om bepaalde toeslagen aan te vragen. Na het indienen van de zienswijze van de Belastingdienst is gebleken dat de Belastingdienst ook nog eens gegevens uit FSV heeft gedeeld met andere overheidsinstanties en private partijen.7 De AP vindt het laakbaar dat de Belastingdienst – gelet op haar ruime bevoegdheden en de ongelijkwaardige positie die zij ten opzichte van de burger inneemt - in dit geval buitengewoon onzorgvuldig met haar bevoegdheden is omgegaan.

Voor wat betreft de duur van de overtredingen heeft de AP vastgesteld dat de Belastingdienst de inbreuken gedurende een periode van ruim zes jaar heeft gepleegd, te weten van 4 november 2013 tot 27 februari 2020 heeft gepleegd. Het feit dat de overtredingen aldus op structurele wijze voor een langere periode hebben voortgeduurd, acht de AP zeer ernstig.8

De gevolgen voor burgers die als (potentieel) fraudeur in FSV waren opgenomen konden zeer groot zijn. In voorkomende gevallen kreeg een burger het stempel ‘fraudeur’ zonder dat dit volgde uit een gedegen onderzoek. En als er wel onderzoek was gedaan en er bleek geen sprake te zijn van fraude dan werd deze conclusie vaak niet in FSV genoteerd, waardoor het vermoeden van fraude in FSV bleef staan. Een

7 Kamerstukken II 2021/22, 31 066, nr. 957. 8 Omdat de AP pas sinds 1 januari 2016 beschikt over de bevoegdheid om voornoemde overtredingen te beboeten neemt zij in het kader van de (verhoging van de) boete enkel de duur vanaf 1 januari 2016 in ogenschouw. Ook in dat geval is sprake van langdurige overtredingen.

9/16

registratie in FSV (in eventuele combinatie met andere indicaties), kon vervolgens voor die burger leiden tot stigmatisering, intensiever toezicht en/of had negatieve financiële consequenties.

Het intensiever toezicht kon bijvoorbeeld tot gevolg hebben dat de aangifte inkomstenbelasting ten nadele van die burger werd gecorrigeerd of dat een aanvraag om in aanmerking te komen voor zorg-, huur- of kinderopvangtoeslag werd afgewezen. Ook verzoeken om een persoonlijke betalingsregeling bij een toeslagenschuld of minnelijke schuldsanering bij een belasting- of toeslagenschuld zijn automatisch afgewezen, vanwege de FSV-registratie van die burger. Burgers hebben hierdoor heel lang in onzekerheid verkeerd over hun financiële situatie. Betrokkenen werden verder niet geïnformeerd over het feit dat zij in FSV voortkwamen, ook niet na een daartoe strekkend inzageverzoek. Dit heeft tot gevolg gehad dat betrokkenen niet wisten dat ze in FSV waren vermeld en daardoor hun rechten niet konden uitoefenen.

Uit onderzoek van de Belastingdienst is voorts gebleken dat er voorbeelden zijn aangetroffen in communicatie binnen de Belastingdienst en tussen de Belastingdienst en andere overheidsinstellingen over de signalering van risico’s, waarbij een frauderisico werd geïndiceerd op persoonskenmerken zoals nationaliteit en uiterlijk voorkomen. In (instructie)documenten is bijvoorbeeld de buitenlandse nationaliteit (zoals Turks, Marokkaans en Oost-Europa) gebruikt als selectiecriterium voor verdere fiscale onderzoeken. Maar ook giften aan moskeeën en hoge aftrekposten i.v.m. medicijngebruik door belastingplichtigen met achternamen eindigend op ”–ić” werden gehanteerd als risicoindicatoren voor fraude.9 Deze ongelijke behandeling in de fraude-risicoselectie geeft een groot risico op stigmatisering. Daarnaast is niet gebleken dat de Belastingdienst voor deze discriminatoire en daarmee onbehoorlijke manier van gegevensverwerking een redelijke en objectieve rechtvaardiging had.

Voor wat betreft de gevolgen van de ontoereikende beveiliging van de persoonsgegevens merkt de AP het volgende op. Door de gebrekkige beveiliging van FSV konden onbevoegde medewerkers van de Belastingdienst persoonsgegevens in FSV inzien. Signalen uit FSV zijn regelmatig geëxporteerd voor het aanleggen van een zogenoemde subset buiten FSV, zodat personen die geen toegang hadden tot FSV daarin konden zoeken. Door de tekortkomingen in de toegangsbeveiliging en in de (controle op) logging kon er misbruik gemaakt worden van de gegevens. De Belastingdienst had daardoor dus ook geen zicht op de verdere verwerking van de (geëxporteerde) data.

3.3.2 Categorieën van persoonsgegevens De Belastingdienst verwerkte veel (verschillende) persoonsgegevens in FSV. Een signaal in FSV bestond in ieder geval uit een Burgerservicenummer, en een aantal ingevulde velden met onder andere NAW-gegevens, rekeningnummer en IP-adres. Soms bevatte een signaal de nationaliteit van personen en documenten over gepleegde strafbare feiten en strafrechtelijk veroordelingen. De Belastingdienst verwerkte verder in voorkomende gevallen ook gegevens over de fysieke of mentale gezondheid van burgers. Dit is een bijzondere categorie persoonsgegevens die extra bescherming geniet onder de AVG. De AP heeft ook geconstateerd dat signalen gegevens over personen konden bevatten op wie het signaal niet (direct) zag, zoals familieleden, fiscaal dienstverleners en gastouders. Gezien de omvang en het gevoelige

9 Kamerstukken II 2021/22, 31 066, nr. 977.

10/16

karakter van de - ook – bijzondere persoonsgegevens acht de AP de overtredingen ook op grond hiervan bijzonder ernstig.

3.3.3 Verwijtbaarheid en ernstige nalatigheid Nu het hier gaat om overtredingen, is voor het opleggen van een bestuurlijke boete conform vaste rechtspraak niet vereist dat wordt aangetoond dat sprake is van opzet. De AP mag verwijtbaarheid veronderstellen als het daderschap vaststaat. De Minister moet als verwerkingsverantwoordelijke op grond van de AVG bij de verwerking van persoonsgegevens de hiervoor genoemde basisbeginselen in acht nemen. De AP heeft vastgesteld dat de Minister als verwerkingsverantwoordelijke op grond van de AVG bij de verwerking van persoonsgegevens in FSV in strijd heeft gehandeld met de beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. Daarnaast heeft de Minister niet een passend beveiligingsniveau voor de persoonsgegevens in FSV gewaarborgd. De AP acht dit verwijtbaar.

Daarnaast is er volgens de AP sprake van ernstige nalatigheid aan de zijde van de Minister en de Belastingdienst. Burgers die verplicht worden om persoonsgegevens af te staan aan de Belastingdienst moeten ervan uit kunnen gaan dat de Belastingdienst - als overheidsinstantie –de nodige maatregelen heeft getroffen om persoonsgegevens rechtmatig, juist en veilig te verwerken. Dit heeft de Belastingdienst nagelaten. De Belastingdienst heeft jarenlang persoonsgegevens, waaronder bijzondere persoonsgegevens zoals medische gegevens, in FSV op onrechtmatige wijze verwerkt. De werkwijze van de Belastingdienst was bovendien in sommige gevallen discriminatoir van aard en leidde daarmee tot stigmatisering, intensiever toezicht en/of had negatieve financiële consequenties tot gevolg. Ook na haar eigen interne conclusie uit januari 2019 dat de gegevensverwerkingen in FSV niet voldeden aan de AVG, hebben de Belastingdienst en ook de Minister nagelaten ter stond in te grijpen. De AP komt daarom tot de conclusie dat de Belastingdienst - onder verantwoordelijkheid van de Minister - ernstig verwijtbaar nalatig heeft gehandeld.

3.3.4 Eerdere relevante inbreuken De AP kan bij het bepalen van de hoogte van de boete eerdere relevante inbreuken door de verwerkingsverantwoordelijke in aanmerking nemen. Daarvan is in dit geval sprake. De AP heeft de Minister in de periode van 2018 – 2021 de volgende overtredingen verweten. Op 3 juli 2018 heeft de AP geconcludeerd dat de Belastingdienst voor wat betreft de logging, de controle op de logging en de toegangsbeveiliging bij de afdeling Datafundamenten & Analytics in strijd handelde met artikel 13 Wbp en 32 AVG. De AP heeft per 1 januari 2020 een verwerkingsverbod opgelegd aan de Minister vanwege het onrechtmatig verwerken van het BSN in het btw-identificatienummer. En op 25 november 2021 heeft de AP aan de Minister bestuurlijke boetes opgelegd in de zogeheten Kinderopvangtoeslagaffaire, omdat de Belastingdienst jarenlang de (dubbele) nationaliteit van aanvragers van kinderopvangtoeslag op onrechtmatige wijze heeft verwerkt.

Nu de AP wederom heeft vastgesteld dat de Minister persoonsgegevens zonder wettelijke grondslag heeft verwerkt en onvoldoende heeft beveiligd, beschouwt de AP deze eerdere vastgestelde overtredingen als relevante eerdere inbreuken. De AP stelt vast dat dit wijst op aanhoudende problemen van structurele aard die tot geen andere conclusie kunnen leiden dan dat bij de Belastingdienst, de ambtelijke leiding van het

11/16

departement en de Minister jarenlang sprake is (geweest) van een brede onachtzaamheid, nalatigheid en zélfs discriminatoir en daarmee onbehoorlijk handelen bij de toepassing van wettelijke regels omtrent gegevensbescherming.

3.3.5 Hoogte van de boetes De AP stelt op basis van de bovenstaande overwegingen de hoogte van de boetes als volgt vast.

Wettelijke grondslag Vanwege de ernstige gevolgen van het ontbreken van een wettelijke grondslag en omdat er sprake is van eerdere relevante inbreuken zoals bedoeld in paragraaf 3.3.4, is de AP van mening dat de aan deze overtreding gekoppelde boetcategorie niet tot een passende bestraffing leidt. De AP besluit daarom met toepassing van artikel 8.1 van de Boetebeleidsregels bij het bepalen van de boetehoogte de naast hogere categorie toe te passen.

Voor overtreding van artikel 5, eerste lid, onder a jo. artikel 6, eerste lid, van de AVG en gelet op de hiervoor genoemde overwegingen ziet de AP aanleiding om aan de Minister een boete op te leggen. De AP verhoogt het basisbedrag van € 725.000: - met € 155.000 op grond van de aard, ernst en duur van de inbreuk (artikel 7 sub a Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.1 met; - met € 90.000 op grond van de nalatige aard van de inbreuk (artikel 7 sub b Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.3; en - met € 30.000 op grond van de categorieën van persoonsgegevens (artikel 7 sub g Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.2.

Deze boete bedraagt daarmee in totaal € 1.000.000.

Doelbinding Vanwege het overtreden van de regels met betrekking tot doelbinding (artikel 5, eerste lid, onder b van de AVG) en de hiervoor genoemde overwegingen ziet de AP aanleiding om aan de Minister een boete op te leggen. De AP verhoogt het basisbedrag van € 525.000: - met € 125.000 op grond van de aard, ernst en duur van de inbreuk (artikel 7 sub a Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.1; - met € 75.000 op grond van de nalatige aard van de inbreuk (artikel 7 sub b Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.3; en - met € 25.000 op grond van de categorieën van persoonsgegevens (artikel 7 sub g Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.2 .

Deze boete bedraagt daarmee in totaal € 750.000.

12/16

Juistheid Vanwege de onjuiste en niet-geactualiseerde persoonsgegevens in FSV (artikel 5, eerste lid, onder d van de AVG) en de hiervoor genoemde overwegingen ziet de AP aanleiding om aan de Minister een boete op te leggen. De AP verhoogt het basisbedrag van € 525.000: - met € 125.000 op grond van de aard, ernst en duur van de inbreuk (artikel 7 sub a Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.1; - met € 75.000 op grond van de nalatige aard van de inbreuk (artikel 7 sub b Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.3; en - 2 met € 25.000 op grond van de categorieën van persoonsgegevens (artikel 7 sub g Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.2.

Deze boete bedraagt daarmee in totaal € 750.000.

Opslagbeperking Vanwege overtreding van de regels omtrent opslagbeperking (artikel 5, eerste lid, onder e van de AVG) en de hiervoor genoemde overwegingen ziet de AP aanleiding om aan de Minister een boete op te leggen. De AP verhoogt het basisbedrag van € 525.000: - met € 125.000 op grond van de aard, ernst en duur van de inbreuk (artikel 7 sub a Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.1; - met € 75.000 op grond van de nalatige aard van de inbreuk (artikel 7 sub b Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.3; en - met € 25.000, op grond van de categorieën van persoonsgegevens (artikel 7 sub g Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.2

Deze boete bedraagt daarmee in totaal € 750.000.

Beveiliging Vanwege overtreding van de regels met betrekking tot de beveiliging (artikel 32, eerste lid, van de AVG) en de hiervoor genoemde overwegingen ziet de AP aanleiding om aan de Minister een boete op te leggen. De AP verhoogt het basisbedrag van € 310.000 - met € 90.000, op grond van de aard, ernst en duur van de inbreuk (artikel 7 sub a Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.1; - met € 50.000, op grond van de nalatige aard van de inbreuk (artikel 7 sub b Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.3; - met € 30.000, op grond van het eerdere relevante inbreuk uit 2018 zoals vermeld in paragraaf 3.3.4 (artikel 7 sub e Boetebeleidsregels); - met € 20.000, op grond van de categorieën van persoonsgegevens (artikel 7 sub g Boetebeleidsregels) en de omstandigheden zoals vermeld in paragraaf 3.3.2

Deze boete bedraagt daarmee in totaal € 500.000.

13/16

3.4 Boetehoogte inzake betrokkenheid functionaris voor gegevensbescherming

De FG ondersteunt de verwerkingsverantwoordelijke onder andere bij het toezicht op de interne naleving van de AVG. Hiervoor is van belang dat de verwerkingsverantwoordelijke ervoor zorgt dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De AP heeft vastgesteld dat de Belastingdienst de FG niet naar behoren en niet tijdig heeft betrokken bij de uitvoering van de gegevensbeschermingseffectbeoordeling (GEB) van FSV.

De Belastingdienst heeft de GEB uitgevoerd van 6 november 2018 tot en met 21 januari 2019. Ruim een jaar ná deze periode is de FG pas gevraagd te adviseren over de GEB. De Belastingdienst heeft zijn FG dus niet tijdens de uitvoering van de GEB om advies gevraagd. Het gevolg hiervan is dat de FG zijn taken niet goed heeft kunnen uitvoeren en de Belastingdienst dus niet tijdig heeft kunnen adviseren over de naleving van de AVG. Bij een tijdige raadpleging had de FG de Belastingdienst eerder kunnen waarschuwen op de risico’s in verband met de onrechtmatige verwerking van persoonsgegevens in FSV.

Zoals eerder beschreven, heeft de Belastingdienst in FSV zeer veel (gevoelige) persoonsgegevens verwerkt van honderdduizenden burgers. Juist bij grootschalige verwerkingen van persoonsgegevens dat tot nadelige gevolgen voor een groot aantal betrokkenen kan leiden, dient de Belastingdienst tijdig een GEB uit te voeren en de FG ter zake om advies te vragen. De AP is van oordeel dat sprake is van een ernstige overtreding door de Belastingdienst, waar de Minister als verwerkingsverantwoordelijke verantwoordelijk voor is.

De AP komt tot slot ook bij deze overtreding tot het oordeel dat de Belastingdienst, onder verantwoordelijkheid van de Minister, ernstig verwijtbaar nalatig heeft gehandeld. Dat de Belastingdienst ruim een jaar na de uitvoering van de GEB en pas naar aanleiding van vragen vanuit de media over FSV, advies aan de FG heeft gevraagd, acht de AP zeer nalatig.

Nu de Belastingdienst niet tijdig het advies van de FG heeft ingewonnen bij het uitvoeren van de GEB, is er sprake van overtreding van artikel 35, tweede lid, van de AVG. Gelet hierop en bovengenoemde omstandigheden ziet de AP aanleiding om aan de Minister een boete op te leggen. De AP verhoogt het basisbedrag van € 310.000 vanwege 1) de aard, ernst en duur van de inbreuk met € 70.000, vanwege (2) de nalatigheid met € 50.000 en vanwege (3) de categorieën van persoonsgegevens met € 20.000. Daarmee bedraagt deze boete in totaal € 450.000.

3.5 Evenredigheid

Tot slot beoordeelt de AP op grond van artikelen 3:4 en 5:46 van de Awb (evenredigheidsbeginsel) of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Toepassing van het evenredigheidsbeginsel kan onder andere spelen bij de cumulatie van sancties. Daarnaast mag op grond van artikel 83, derde lid, van de AVG de totale geldboete niet hoger zijn dan die voor de zwaarste inbreuk, indien de

14/16

verwerkingsverantwoordelijke met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van de AVG.

De AP legt in dit geval een bestuurlijke boete op voor overtreding van artikel 5, eerste lid, onder a (jo. artikel 6, eerste lid), b, d en e van de AVG, artikel 32, eerste lid, van de AVG en artikel 35, tweede lid, van de AVG. Hoewel de gepleegde overtredingen verschillende belangen schenden en op grond daarvan apart beboetbaar zijn, ziet de AP in dit geval de samenhang tussen het ontbreken van een wettelijke grondslag en de opslagbeperking als relevante factor om de boete voor de overtreding van de opslagbeperking te matigen met € 500.000.

De AP stelt het totale bedrag van de opgelegde boetes vast op een bedrag van € 3.700.000. In het kader van artikel 10 van de Boetebeleidsregels stelt de AP vast dat de totale boete niet hoger is dan het wettelijk boetemaximum (€ 20.000.000) van de zwaarste overtreding.

De AP is van oordeel dat (de hoogte van) het totale boetebedrag niet onevenredig is.10 De AP heeft in dit oordeel onder andere de ernst van de inbreuken meegewogen en de mate waarin deze aan de Minister kunnen worden verweten. Vanwege de aard en de duur van de overtredingen, de verregaande gevolgen voor de betrokkenen en de eerdere relevante inbreuken, kwalificeert de AP de desbetreffende inbreuken op de AVG als ernstig.

3.6 Conclusie

De AP stelt het totale bedrag van de opgelegde boetes vast op € 3.700.000.

10 Zie voor de motivering ook paragraaf 3.3 en 3.4.

15/16

4. Dictum

I. De AP legt aan de Minister van Financiën een boete op ten bedrage van € 1.000.000 (zegge: één miljoen euro), omdat er voor de verwerking van persoonsgegevens in FSV geen wettelijke grondslag was. Hierdoor heeft de Minister van Financiën artikel 5, eerste lid, aanhef en onder a jo. artikel 6, eerste lid, van de AVG overtreden.

II. De AP legt aan de Minister van Financiën een boete op ten bedrage van € 750.000 (zegge: zevenhonderdvijftigduizend euro), omdat de persoonsgegevens in FSV in strijd met het beginsel van doelspecificatie zijn verwerkt. Hierdoor heeft de Minister van Financiën artikel 5, eerste lid, aanhef en onder b van de AVG overtreden.

III. De AP legt aan de Minister van Financiën een boete op ten bedrage van € 750.000 (zegge: zevenhonderdvijftigduizend euro), omdat de persoonsgegevens in FSV in strijd met het beginsel van juistheid zijn verwerkt. Hierdoor heeft de Minister van Financiën artikel 5, eerste lid, aanhef en onder d van de AVG overtreden.

IV. De AP legt aan de Minister van Financiën een boete op ten bedrage van € 250.000 (zegge: tweehonderdvijftigduizend euro), omdat de persoonsgegevens in FSV in strijd met het beginsel van opslagbeperking zijn verwerkt. Hierdoor heeft de Minister van Financiën artikel 5, eerste lid, aanhef en onder e van de AVG overtreden.

V. De AP legt aan de Minister van Financiën een boete op ten bedrage van € 500.000 (zegge: vijfhonderdduizend euro), omdat voor de persoonsgegevens in FSV een onvoldoende passend beveiligingsniveau gewaarborgd is. Hierdoor heeft de Minister van Financiën artikel 32, eerste lid, van de AVG overtreden.

VI. De AP legt aan de Minister van Financiën een boete op ten bedrage van € 450.000 (zegge: vierhonderdvijftigduizend euro), omdat het advies van de FG niet tijdens het uitvoeren van de GEB is ingewonnen. Hierdoor heeft de Minister van Financiën artikel 35, tweede lid, van de AVG overtreden.

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

mr. A. Wolfsen Voorzitter

16/16

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.