7. Wat verandert er bij de Belastingdienst onder de Algemene verordening gegevensbescherming (AVG)?
In mei 2016 heeft de Europese Unie de Algemene verordening gegevensbescherming (AVG) vastgesteld. Vanaf 25 mei 2018 vervangt de AVG de bestaande privacywetgeving: de Richtlijn bescherming persoonsgegevens uit 1995, die voor Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).
De AVG stelt geen wezenlijk andere eisen aan de bescherming van persoonsgegevens dan de Wbp. De beginselen van doelbinding, noodzaak, proportionaliteit, dataminimalisatie en zorgvuldigheid en juistheid van gegevens die aan de Wbp ten grondslag liggen, komen ook terug in de AVG.
De AVG is wel veeleisender op het punt van transparantie en verantwoording over het gebruik van persoonsgegevens. Dat betekent dat de Belastingdienst via zijn digitale kanalen steeds meer inzicht zal geven in de persoonsgegevens die hij verwerkt. Dat omvat ook informatie over waar de gegevens vandaan komen en met welke organisaties de Belastingdienst deze informatie deelt.
Verder moeten op grond van de AVG de principes van ‘privacy by design’ en ‘privacy by default’ gehanteerd worden bij het verwerken van gegevens. Gegevensbescherming moet als het ware ‘ingebakken’ worden in de processen en systemen (by design), waardoor gegevensbescherming in feite standaard op ‘aan’ staat (by default). Dat kan door het nemen van goede beveiligingsmaatregelen in de systemen van de Belastingdienst. Ook het verhogen van het betrouwbaarheidsniveau van inlogmiddelen voor de genoemde portalen (bijvoorbeeld DigiD) hoort hierbij. Daarmee wordt gezorgd dat alleen de betrokkene zelf bij zijn gegevens kan.
Ook zal de Belastingdienst zogeheten gegevensbeschermingseffectbeoordelingen (GEB) moeten opstellen. Daarmee wordt vastgesteld wat het vereiste niveau van bescherming van de persoonsgegevens is, en welke maatregelen nodig zijn om dat niveau te verzekeren.
6. Met wie deelt de Belastingdienst gegevens?
De bij de Belastingdienst beschikbare gegevens worden gebruikt voor de uitvoering van de wettelijke taken: heffen, uitkeren, innen, (goederen)toezicht en (fiscale) opsporing. Gegevens mogen alleen voor het doel worden gebruikt, waarvoor ze verkregen zijn.
Instanties waaraan de Belastingdienst gegevens verstrekt zijn onder meer andere overheden en overheidsinstanties, zoals het CBS, het UWV, de SVB en gemeenten. Ook verstrekt de Belastingdienst op basis van EU-regelgeving en verdragen gegevens aan buitenlandse belastingdiensten. De gegevens worden alleen gedeeld als er een wettelijke basis aan ten grondslag ligt. Met het oog op het voldoen aan regels over bescherming van persoonsgegevens en beveiliging van gegevens maakt de Belastingdienst afspraken met de partijen waaraan wordt verstrekt over de te volgen procedures, de beveiliging etc. Die worden vastgelegd in convenanten. Deze worden onder meer gepubliceerd op de website van de Belastingdienst.
Een bijzondere rol in dit geheel speelt de Basisregistratie inkomen (BRI), waarvoor de Belastingdienst verantwoordelijk is. Het hergebruik van gegevens uit de BRI (het zogenoemde authentiek inkomensgegeven) is geregeld in de Algemene wet inzake rijksbelastingen (Awr). Uit oogpunt van beperking van administratieve lasten gebruiken overheidsorganisaties bij voorkeur het inkomensgegeven uit de BRI bij het uitvoeren van hun taken, zodat de burger niet steeds opnieuw dezelfde gegevens hoeft aan te leveren. De regels in de Awr geven waarborgen voor onder meer de kwaliteit van het gegeven.
Meer weten? Bekijk het meldingenregister van de Belastingdienst. Lees hier meer over gegevensuitwisseling bij Toeslagen.