De Belastingdienst verzamelde jarenlang meer persoonlijke en gevoelige gegevens van burgers dan aanvankelijk werd gedacht. Deze informatie werd opgeslagen in een database, die werd gebruikt bij toezicht op en onderzoek naar mogelijke fraudepraktijken. Het demissionaire kabinet belooft een onderzoek in te stellen naar de gevolgen.
Dat schrijft NRC op basis van een interne rapportage.
Database bevatte ‘gegevens met een hoog vertrouwelijk karakter’
Naast algemene persoonlijke gegevens zoals naam, adres en geboortedatum, verzamelde de Belastingdienst ook gegevens over iemands (fiscale) partner, begindatum van de relatie en hoe vaak iemand inlogde op de systemen van de Belastingdienst of een bezwaarschrift indiende. Ook wist de fiscus alles over het inkomen, vermogen, beleggingen, schulden, aantal auto’s en vastgoed dat iemand bezit.
Deze gegevens werden opgeslagen in een database die intern bekend stond als Risico Analyse Model (RAM). Deze werd door de Belastingdienst gebruikt voor ‘profilering’ van burgers. Dat gebeurde onder meer op basis van nationaliteit. Volgens NRC leverde de database ook zogeheten ‘verwonderadressen’: woonadressen waar mogelijk sprake was van afwijkende en verdachte gedragspatronen.
Niet alleen de Belastingdienst gebruikte de database. Ook de afdeling Toeslagen, de douane en de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) deden een beroep op RAM, zogenaamd voor opsporingsdoeleinden.
Volgens het rapport waaruit NRC citeert bevatte de zelfgebouwde database “gegevens met Een Hoog Vertrouwelijk karakter gezien de fiscale, financiële en persoonlijke aard van de gegevens”. Deze informatie was afkomstig uit tientallen bronnen, waaronder van uitvoeringsinstanties en sociale media. Zo werden er per burger honderden verschillende data opgeslagen. Via zoekopdrachten was het mogelijk om “nagenoeg alles aan alles te relateren”, aldus een interne analyse over het risicomodel.
Topambtenaren bezorgd over privacyschending RAM
RAM werd rond net begin van de eeuwwisseling in gebruik genomen. In 2016 uitten topambtenaren van de Belastingdienst hun zorgen over de wenselijkheid om op grote schaal data te verzamelen en verspreiden via het risicoanalysemodel. Er bestonden onder meer zorgen over scraping: het op grote schaal vergaren en bundelen van informatie uit openbare bronnen. “De rechtsgrond voor de verwerking van dergelijke gegevens is minimaal onderwerp van discussie en in een aantal gevallen niet toegestaan door de Autoriteit Persoonsgegevens”, zo staat er volgens NRC in de analyse over RAM.
Door de jaren zijn meerdere pogingen gedaan om het programma stil te leggen of vervangen door een alternatief dat wel aan de privacywetgeving voldeed. De populariteit van RAM was echter te groot. Toen de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 in werking trad, werd het systeem officieel uitgezet. Een deel van de database bleef echter tot januari 2021 beschikbaar voor medewerkers van de Belastingdienst.
Kabinet stelt extern onderzoek in
Het kabinet heeft de privacyschending altijd verzwegen voor de Tweede Kamer. Ook toen Pieter Omtzigt (toen nog Kamerlid voor het CDA) er in 2018 naar informeerde, werd er in alle talen gezwegen over de analyserapportage. Zodoende is er nu nog steeds weinig bekend over de gevolgen van de inzet van de database met persoonlijke en privacygevoelige gegevens voor burgers.
Demissionair staatssecretaris Fiscaliteit en Belastingdienst Marnix van Rij en staatssecretaris Toeslagen en Douane Aukje de Vries zeggen tegenover NRC dat er een extern onderzoek wordt ingesteld om antwoord te krijgen op deze vraag.
