7. Wat verandert er bij de Belastingdienst onder de Algemene verordening gegevensbescherming (AVG)?

In mei 2016 heeft de Europese Unie de Algemene verordening gegevensbescherming (AVG) vastgesteld. Vanaf 25 mei 2018 vervangt de AVG de bestaande privacywetgeving: de Richtlijn bescherming persoonsgegevens uit 1995, die voor Nederland is geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).

De AVG stelt geen wezenlijk andere eisen aan de bescherming van persoonsgegevens dan de Wbp. De beginselen van doelbinding, noodzaak, proportionaliteit, dataminimalisatie en zorgvuldigheid en juistheid van gegevens die aan de Wbp ten grondslag liggen, komen ook terug in de AVG.

De AVG is wel veeleisender op het punt van transparantie en verantwoording over het gebruik van persoonsgegevens. Dat betekent dat de Belastingdienst via zijn digitale kanalen steeds meer inzicht zal geven in de persoonsgegevens die hij verwerkt. Dat omvat ook informatie over waar de gegevens vandaan komen en met welke organisaties de Belastingdienst deze informatie deelt.

Verder moeten op grond van de AVG de principes van ‘privacy by design’ en ‘privacy by default’ gehanteerd worden bij het verwerken van gegevens. Gegevensbescherming moet als het ware ‘ingebakken’ worden in de processen en systemen (by design), waardoor gegevensbescherming in feite standaard op ‘aan’ staat (by default). Dat kan door het nemen van goede beveiligingsmaatregelen in de systemen van de Belastingdienst. Ook het verhogen van het betrouwbaarheidsniveau van inlogmiddelen voor de genoemde portalen (bijvoorbeeld DigiD) hoort hierbij. Daarmee wordt gezorgd dat alleen de betrokkene zelf bij zijn gegevens kan.

Ook zal de Belastingdienst zogeheten gegevensbeschermingseffectbeoordelingen (GEB) moeten opstellen. Daarmee wordt vastgesteld wat het vereiste niveau van bescherming van de persoonsgegevens is, en welke maatregelen nodig zijn om dat niveau te verzekeren.