N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Onderzoek De Belastingdienst beloofde al meerdere keren zorgvuldiger om te gaan met de data van burgers. Maar er is nog altijd weinig verbeterd.
Alle topambtenaren van de Belastingdienst krijgen op vrijdagavond 10 februari 2017 een bezorgde mail. Een dag eerder heeft hun staatssecretaris Eric Wiebes (VVD) in de Tweede Kamer iets beweerd wat niet klopt, zo blijkt uit de mail. Hij heeft daar gereageerd op de „uiterst onplezierige en pijnlijke uitzending” van onderzoeksprogramma Zembla, anderhalve week eerder. Die ging over slordige en slecht beveiligde omgang met de gegevens van miljoenen belastingbetalers.
Kamerlid Pieter Omtzigt, dan nog CDA’er, is kritisch geweest. De Belastingdienst heeft „alle informatie over alle Nederlanders en alle Nederlandse bedrijven”. Achttien medewerkers hadden „jaar in jaar uit” de mogelijkheid usb-sticks mee naar huis te nemen, misschien wel met informatie van hun buurman of ex-partner. „Dit is echt een verschrikkelijke manier van omgaan met zeer elementaire persoonsgegevens”, zegt Omtzigt.
Maar volgens de staatssecretaris is er geen „actief risico”. Medewerkers hebben heus geen toegang tot alle informatie. Ontheffingen om met usb-sticks te werken worden alleen „in uiterste gevallen” verleend, er wordt binnen de Belastingdienst „uiterst spaarzaam” mee omgegaan.
Maar dat klopt niet, blijkt uit de mail die de avond daarop verstuurd wordt. „Uit een afgelopen week uitgevoerde inventarisatie is […] gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.” Een medewerker met deze ontheffing kan data – en dus mogelijk gegevens van belastingbetalers – vanaf een werkcomputer naar een usb-stick kopiëren en meenemen.
In reactie op de mail geeft de top van de Belastingdienst bliksemsnel opdracht alle ontheffingen in te trekken. Maar lang duurt die voorzichtigheid niet. Tot schrik van de ambtelijke top blijkt na een half jaar dat lagere leidinggevenden alweer meer dan vierduizend medewerkers een usb-ontheffing hebben gegeven. Die hebben ze simpelweg nodig om hun werk te doen.
Het illustreert de ongemakkelijke omgang met de enorme berg data die de Belastingdienst van zowat álle Nederlanders bezit. Dat zijn niet alleen financiële gegevens, zoals inkomen, schuld en vermogen. Voor het uitvoeren van de vaak ingewikkelde belastingwetgeving heeft de dienst ook informatie over bijvoorbeeld familierelaties, strafblad, gezondheid, religie, vakbondslidmaatschap, eigendommen (huizen, boten, motorrijtuigen, etc.), eventuele kinderopvang, faillissementen, vertrekvergoedingen, land van herkomst, de gebruikersnaam bij het online gokken, en ga zo maar door. Waardevolle informatie, ook voor wie er kwaad mee wil.
Wat er mis kan gaan, bleek toen het Toeslagenschandaal aan het licht kwam. RTL Nieuws en Trouw onthulden in 2019 dat de Belastingdienst jarenlang gebruikmaakte van een ‘zwarte lijst’ met daarop de gegevens van mogelijke toeslagenfraudeurs. Deze zogenaamde Fraudesignaleringsvoorziening (FSV) groeide uit tot een slordig bijgehouden register met de gegevens van naar schatting bijna 250.000 burgers.
Duizenden ouders van jonge kinderen stonden zonder goede aanleiding op deze ‘zwarte lijst’. Hierbij kon ook dubbele nationaliteit een rol spelen – alsof iemands afkomst al reden was om verdacht te zijn. Ouders werden hard aangepakt: toeslagen werden stopgezet of teruggevorderd, vaak zonder dat hun zaak goed was onderzocht. Velen van hen kwamen in grote financiële problemen. In nog ernstigere gevallen verloren mensen hun baan en huis, werden kinderen uit huis geplaatst of leidde het tot psychische problemen.
Delen van de ‘zwarte lijst’ worden nog steeds gebruikt
De lijst bevatte veel verouderde, ongecontroleerde of foutieve informatie, maar werd toch gebruikt. Richtlijnen voor het gebruik ervan waren er nauwelijks, controle ook niet.
Net als na Zembla beloofde de Belastingdienst ook na het Toeslagenschandaal beterschap. De slordige en onwettige omgang met persoonsgegevens was „zeer ernstig”, zo vatte het kabinet het eind 2021 samen. De Belastingdienst moest „zich natuurlijk houden aan wet- en regelgeving en aan de kaders van de rechtsstaat” en dat „zo snel mogelijk” in orde maken.
Toch is er nauwelijks verbetering. Binnen de Belastingdienst was er de afgelopen jaren een patroon van slordige omgang met persoonsgegevens, zo blijkt uit onderzoek van NRC. Regelmatig bleek slecht geregeld wie wanneer toegang heeft tot welke data. Het gebruik van risicovolle, informele fraudelijsten bleek wijdverspreid in de dienst. Burgergegevens werden jarenlang breed gedeeld in de dienst, waarbij vaak niet of slecht werd bijgehouden wat er met die data gebeurde. De gevolgen daarvan zijn nog nauwelijks onderzocht. Volgens betrokkenen zijn het patronen die wegens de gebrekkige systemen en de werkcultuur moeilijk te veranderen zijn.
Ook blijkt dat de Tweede Kamer enkele keren verkeerd is geïnformeerd over deze problemen, door ze niet te melden of een te rooskleurige gang van zaken weer te geven.
Acht maanden nadat Wiebes onterecht heeft gemeld dat usb-ontheffingen „uiterst spaarzaam” werden verleend, vraagt weer Pieter Omtzigt wat de staatssecretaris ervan vindt dat bij de Belastingdienst „meer dan veertig mensen data met een usb-stick konden downloaden”. Wiebes antwoordt: „De usb-ontheffingen zijn inmiddels in de hele Belastingdienst ingetrokken en er geldt een zeer stringent beleid voor het verstrekken van nieuwe ontheffingen.”
Dat er al voor 2017 véél meer dan veertig medewerkers zo’n ontheffing hadden en dat na het intrekken het aantal ontheffingen al snel weer naar de vierduizend was opgelopen, zegt Wiebes niet.
Op dit moment, mei 2023, zijn er nog zo’n duizend usb-ontheffingen bij de dienst. Monitoren welke data medewerkers naar die usb-sticks schrijven of ervan aflezen, is volgens de Belastingdienst nog steeds „technisch niet mogelijk”, dat is in de zes jaar sinds Zembla niet veranderd.
Begin april 2021 mailt een medewerker van de Belastingdienst zijn collega. Hij heeft een tip binnengekregen over mogelijke fraude en wil weten wat er over deze belastingbetaler in de FSV staat. Dat is een probleem: de zwarte lijst is onwettig verklaard, is ruim een jaar eerder uitgezet en kan formeel niet worden ingezien.
Tussen begin 2017 en nu, grofweg het tijdsbestek waarover dit onderzoek gaat, waren namens het ministerie van Financiën vier staatssecretarissen verantwoordelijk voor de Belastingdienst.
Eric Wiebes (VVD) was staatssecretaris in het kabinet-Rutte II, van februari 2014 tot oktober 2017. In Rutte III werd de functie vervuld door Menno Snel (D66), die twee jaar later, in december 2019, aftrad vanwege de Toeslagenaffaire. Hij werd kort daarna opgevolgd door Hans Vijlbrief (D66). Toen Rutte IV in januari 2022 werd beëdigd, ging de portefeuille naar Marnix van Rij (CDA), de huidige staatssecretaris van Financiën.
Maar de medewerker heeft gehoord dat er misschien een sluiproute is. Hij mailt: „Nu weet ik uiteraard dat FSV ‘dicht’ zit maar volgens [naam] zou jij mogelijk nog kunnen achterhalen wat de inhoud van de tip bij ons was…” Niet veel later krijgt hij de formeel niet beschikbare informatie per mail opgestuurd.
Deze gang van zaken is geen uitzondering, blijkt uit onderzoek van accountantsbureau PWC, dat in opdracht van het ministerie onderzoek deed naar het gebruik van de FSV. Het bureau vond onder meer bovengenoemde mail. „Tevens hebben wij exports van FSV aangetroffen op de lokale schijven (Q-schijven) van MKB-kantoren dat actief gebruik indiceert. De mate van raadpleging van FSV [...] is niet vastgelegd en daarmee niet te kwantificeren.”
Delen van de FSV worden ook op andere plekken gevonden. Staatssecretaris Vijlbrief moet in december 2021 aan de Kamer toegeven dat PWC „meer dan 25 lokaal opgeslagen (deel)extracties van FSV gevonden [had] op netwerkschijven van Toeslagen”. Erger nog: volgens PWC heeft informatie uit de FSV ook op grote schaal zijn weg gevonden naar andere systemen bij de dienst.
Het resultaat, aldus PWC: informatie uit de FSV is „tot op heden” in te zien door medewerkers van de Belastingdienst. Anders gezegd: onjuiste informatie uit een zwarte lijst die duizenden ouders in grote problemen bracht, die onwettig is en daarom formeel is uitgezet, wordt nog actief gebruikt – en er is geen makkelijke manier om daar een eind aan te maken.
En zelfs als ‘corrupte’ FSV-informatie wel uit de systemen geschoond zou kunnen worden, zou dat de problemen niet oplos Source: NRC