8. Hoe gaat de Belastingdienst met de veranderingen onder de Algemene verordening gegevensbescherming (AVG) om?

Op 25 mei 2018, wanneer de AVG daadwerkelijk van kracht is, is een basisniveau van naleving van de AVG gerealiseerd. Met het basisniveau zorgt de Belastingdienst voor een adequate organisatie van het privacy aspect, wordt over gegevensverwerking helder gecommuniceerd en kunnen betrokkenen op een eenvoudige wijze gebruik maken van de aan hen toegekende rechten.

Bij nieuw te ontwerpen processen en informatiesystemen neemt de Belastingdienst de verplichtingen vanuit de AVG uiteraard mee. Om ook alle bestaande ICT-systemen op niveau te brengen is helaas meer tijd nodig dan de periode tot 25 mei 2018. De Belastingdienst houdt hierover contact met de Autoriteit Persoonsgegevens. Het structureel werken volgens de eisen van de AVG is onderdeel van de invoering van integraal datamanagement bij de Belastingdienst.

7. Wat verandert er bij de Belastingdienst onder de Algemene verordening gegevensbescherming (AVG)?

In mei 2016 heeft de Europese Unie de Algemene verordening gegevensbescherming (AVG) vastgesteld. Vanaf 25 mei 2018 vervangt de AVG de bestaande privacywetgeving: de Richtlijn bescherming persoonsgegevens uit 1995, die voor Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).

De AVG stelt geen wezenlijk andere eisen aan de bescherming van persoonsgegevens dan de Wbp. De beginselen van doelbinding, noodzaak, proportionaliteit, dataminimalisatie en zorgvuldigheid en juistheid van gegevens die aan de Wbp ten grondslag liggen, komen ook terug in de AVG.

De AVG is wel veeleisender op het punt van transparantie en verantwoording over het gebruik van persoonsgegevens. Dat betekent dat de Belastingdienst via zijn digitale kanalen steeds meer inzicht zal geven in de persoonsgegevens die hij verwerkt. Dat omvat ook informatie over waar de gegevens vandaan komen en met welke organisaties de Belastingdienst deze informatie deelt.

Verder moeten op grond van de AVG de principes van ‘privacy by design’ en ‘privacy by default’ gehanteerd worden bij het verwerken van gegevens. Gegevensbescherming moet als het ware ‘ingebakken’ worden in de processen en systemen (by design), waardoor gegevensbescherming in feite standaard op ‘aan’ staat (by default). Dat kan door het nemen van goede beveiligingsmaatregelen in de systemen van de Belastingdienst. Ook het verhogen van het betrouwbaarheidsniveau van inlogmiddelen voor de genoemde portalen (bijvoorbeeld DigiD) hoort hierbij. Daarmee wordt gezorgd dat alleen de betrokkene zelf bij zijn gegevens kan.

Ook zal de Belastingdienst zogeheten gegevensbeschermingseffectbeoordelingen (GEB) moeten opstellen. Daarmee wordt vastgesteld wat het vereiste niveau van bescherming van de persoonsgegevens is, en welke maatregelen nodig zijn om dat niveau te verzekeren.

6. Met wie deelt de Belastingdienst gegevens?  

De bij de Belastingdienst beschikbare gegevens worden gebruikt voor de uitvoering van de wettelijke taken: heffen, uitkeren, innen, (goederen)toezicht en (fiscale) opsporing. Gegevens mogen alleen voor het doel worden gebruikt, waarvoor ze verkregen zijn.

Instanties waaraan de Belastingdienst gegevens verstrekt zijn onder meer andere overheden en overheidsinstanties, zoals het CBS, het UWV, de SVB en gemeenten. Ook verstrekt de Belastingdienst op basis van EU-regelgeving en verdragen gegevens aan buitenlandse belastingdiensten. De gegevens worden alleen gedeeld als er een wettelijke basis aan ten grondslag ligt. Met het oog op het voldoen aan regels over bescherming van persoonsgegevens en beveiliging van gegevens maakt de Belastingdienst afspraken met de partijen waaraan wordt verstrekt over de te volgen procedures, de beveiliging etc. Die worden vastgelegd in convenanten. Deze worden onder meer gepubliceerd op de website van de Belastingdienst.

Een bijzondere rol in dit geheel speelt de Basisregistratie inkomen (BRI), waarvoor de Belastingdienst verantwoordelijk is. Het hergebruik van gegevens uit de BRI (het zogenoemde authentiek inkomensgegeven) is geregeld in de Algemene wet inzake rijksbelastingen (Awr). Uit oogpunt van beperking van administratieve lasten gebruiken overheidsorganisaties bij voorkeur het inkomensgegeven uit de BRI bij het uitvoeren van hun taken, zodat de burger niet steeds opnieuw dezelfde gegevens hoeft aan te leveren. De regels in de Awr geven waarborgen voor onder meer de kwaliteit van het gegeven.

Meer weten? Bekijk het meldingenregister van de Belastingdienst. Lees hier meer over gegevensuitwisseling bij Toeslagen.

5. Bewaart de Belastingdienst gegevens en hoe lang?

Archieven zijn het geheugen van een organisatie. Overheidsorganisaties gebruiken en bewaren gegevens om hun wettelijke taken uit te voeren en om de dienstverlening die daarbij nodig is te ondersteunen. Ook bewaren overheidsorganisaties gegevens om verantwoording af te leggen, bijvoorbeeld bij inspecties of toezichthouders. Zo ook de Belastingdienst. Na verloop van tijd verliest een groot deel van de gegevens zijn waarde voor de eigen organisatie of als bewijsmiddel. Verschillende wetten en regels, zoals de Archiefwet, regelen hoe lang gegevens bewaard moeten worden of wanneer gegevens vernietigd moeten worden.

De Belastingdienst hanteert voor het bewaren en het vernietigen van gegevens de termijnen die zijn vastgelegd in selectielijsten, gepubliceerd in de Staatscourant. De selectielijsten zijn te vinden in het Nationaal Archief. Binnen de pagina ‘selectielijsten’ kan gezocht worden naar de verschillende vastgestelde lijsten. In deze selectielijsten staat niet alleen wanneer gegevens vernietigd moeten worden, maar ook welke gegevens permanent bewaard moeten worden. Gegevens kunnen bijvoorbeeld nog van belang zijn voor historisch onderzoek, statistische doeleinden of zijn onderdeel van het Nederlands cultureel erfgoed.

4. Wat legt de Belastingdienst vast als je online aangifte doet?

De Belastingdienst krijgt veel gegevens van belastingplichtigen en toeslaggerechtigden. De meeste mensen doen tegenwoordig online aangifte en regelen ook hun toeslagzaken digitaal. Bij de online aangifte worden inhoudelijke wijzigingen die burgers en bedrijven tussendoor – vóór het inzenden van de aangifte – invullen niet vastgelegd in de systemen van de Belastingdienst.

De gegevens van handelingen zoals inloggen, aantal inlogs, ophalen van de vooraf ingevulde aangifte en ondertekenen van de aangifte worden wel opgeslagen. Het ondertekenen van de aangifte is een wettelijke verplichting en is dus nodig voor het toezicht. De handelingsgegevens zijn bijvoorbeeld nodig om aan te tonen dat de gegevens door de Belastingdienst alleen aan de belastingplichtige of gemachtigden zijn geleverd. Ook worden de handelingsgegevens gebruikt om de dienstverlening te verbeteren. Als uit de loginformatie bijvoorbeeld blijkt dat mensen hun aangifte niet formeel hebben ingestuurd, kan de Belastingdienst vanuit service-oogpunt contact met hen opnemen. Daarmee wordt voorkomen dat mensen hun aangifte te laat insturen en de Belastingdienst ze een aanmaning moet sturen.

Lees meer over het gebruik van anonieme bezoekersgegevens op belastingdienst.nl.

  • 1
  • 2