De Nederlandse Belastingdienst moet verder onderzoek doen voordat alle risico's op het schenden van de Algemene Verordening Gegevensbescherming in beeld zijn. Het Ministerie van Financiën weet nog niet wanneer dit proces voltooid is.
Demissionaire staatssecretaris Van Oostenbruggen schrijft in een brief aan de Tweede Kamer dat het verwerkingsregister eerst geactualiseerd moet worden, zo merkt Security.nl op. Dit register bevat informatie over welke persoonsgegevens door de Belastingdienst verwerkt worden. In het derde kwartaal van 2025 moet dit proces zijn voltooid. De database moet bijgehouden worden door het overheidsorgaan en de Autoriteit Persoonsgegevens kijkt met dit proces mee. Dat doet de onafhankelijke toezichthouder al sinds halverwege 2024.
Als de Belastingdienst een overzicht heeft van welke persoonsgegevens per bedrijfsactiviteit verwerkt worden, gaat de dienst op grond van de AVG kijken welke verwerkingen nader onderzocht moeten worden. Dit heet een Data Protection Impact Assessment: een analyse of er bij de specifieke dataverwerking een 'hoog risico voor de rechten en vrijheden van de betrokkenen' gemoeid is.
Afhankelijk van de conclusies die hieruit volgen moet de Belastingdienst verdere stappen ondernemen, zo erkent Van Oostenbruggen. Als uit DPIA's blijkt dat processen een hoog risico veroorzaken, moet de instantie er nog voor zorgen dat dit niet in strijd is met de AVG. Dit proces duurt mogelijk tot na 2025.
De Nederlandse Belastingdienst werd de afgelopen jaren meermaals betrapt op het schenden van de AVG, waaronder met de beruchte toeslagenaffaire. Daarvoor kreeg de instantie een boete van 2,75 miljoen euro. Daarna kreeg de fiscus nog een boete voor het illegaal verwerken van persoonsgegevens. De Belastingdienst is sindsdien bezig om te voldoen aan de AVG, onder meer met de toetsing van bijna achthonderd bedrijfsprocessen van het overheidsorgaan.
Source: Tweakers.net