Brief regering; Rapporten PwC over Fraudesignaleringsvoorziening (FSV) - Particulieren en externe gegevensdeling - Belastingdienst - Hoofdinhoud
Deze brief is onder nr. 957 toegevoegd aan dossier 31066 - Belastingdienst.
Inhoudsopgave
| Officiële titel | Belastingdienst; Brief regering; Rapporten PwC over Fraudesignaleringsvoorziening (FSV) - Particulieren en externe gegevensdeling |
|---|---|
| Documentdatum | 25-01-2022 |
| Publicatiedatum | 26-01-2022 |
| Nummer | KST31066957 |
| Kenmerk | 31066, nr. 957 |
| Commissie(s) | Financiën (FIN) |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2021-2022
31 066
Nr. 957 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 25 januari 2022
Conform de planning uit de brief van 16 december 20211 stuur ik uw Kamer hierbij de rapporten van twee onderzoeken van PwC naar de Fraudesignaleringsvoorziening (FSV) van de Belastingdienst2; het eerste over de effecten van FSV voor burgers die door de directie Particulieren geregistreerd zijn, het tweede over de deling van gegevens uit FSV met externe partijen. Ik wil PwC hartelijk danken voor de zorgvuldigheid waarmee het beide onderwerpen in kaart heeft gebracht. De rapporten volgen op het rapport over FSV-registraties door Toeslagen3 en gaan vooraf aan die voor registraties door de directie MKB en «query's aan de poort». De conclusies in de rapporten zijn hard en bevestigen dat FSV fundamentele tekortkomingen vertoonde. Ik weeg de bevindingen mee bij de vormgeving van een tegemoetkomingsregeling voor onterechte gevolgen van FSV. Ik zal hieronder per rapport de bevindingen kort en zo feitelijk mogelijk beschrijven. Vervolgens zal ik mijn appreciatie geven en op de genomen beheersmaatregelen ingaan.
Onderzoek naar gevolgen FSV-registraties door directie Particulieren 2014-2019
PwC constateert dat FSV in het toezichtproces van Particulieren een registratie- en raadpleegfunctie vervulde en daarmee een beperkt direct effect had, maar dat geregistreerde burgers niettemin effecten hebben ondervonden - van de registratie in FSV zelf of van het afhandelings-proces waarvan FSV deel uitmaakte. De grootste effecten traden op wanneer een signaal de directie van opvoer verliet. Hoewel in een klein deel (6%) van de door toezicht onderzochte dossiers behandelverslagen ontbreken, concludeert PwC dat de directie Particulieren zorgvuldig te werk ging bij het vastleggen van onderzoeken en het onderbouwen van
1 Kamerstuk 31 066, nr. 949
2 Raadpleegbaar via www.tweedekamer.nl
3 Bestuurlijke reactie op onderzoeksrapport FSV Toeslagen «Effecten Fraude Signaleringsvoor-ziening op toeslaggerechtigden», 3 december 2021
kst-31066-957 ISSN 0921 - 7371 's-Gravenhage 2022
conclusies. Volgens PwC lijkt FSV geen rol te hebben gespeeld bij het trekken van conclusies over aangiften.
Verschillende waarnemingen duiden echter op gebrekkige borging van de algemene beginselen van behoorlijk bestuur, waaronder enkele constateringen ten aanzien van het gebruik van nationaliteit door het Combiteam Aanpak Facilitators (CAF). Daarnaast hebben de onderzoekers voorbeelden aangetroffen in communicatie binnen en met de Belastingdienst over de signalering van risico's waarbij het risico op fraude werd gebaseerd op persoonskenmerken zoals nationaliteit en uiterlijk voorkomen. Deze keur ik ten strengste af.
Effecten van FSV: invordering
In lijn met bevindingen die eerder met uw Kamer zijn gedeeld en besproken1 concludeert PwC dat het zeer aannemelijk is dat burgers zijn uitgesloten van minnelijke schuldsanering natuurlijke personen (MSNP), kwijtschelding van belastingschuld of een persoonlijke betalingsregeling voor een toeslagenschuld wanneer bij hun registratie in FSV het «1x1-vinkje» aanstond. Naar schatting 4% van de onderzoekspopulatie heeft een dergelijk verzoek gedaan. Het 1x1-vinkje duidde op mogelijke fraude, maar kon door de afdeling Invordering worden geïnterpreteerd als bewezen fraude.
Effecten van FSV: privacyschending
Net als in het rapport van de Autoriteit Persoonsgegevens (AP) over FSV2, concluderen de onderzoekers dat de privacy van de in FSV geregistreerde burgers geschonden is. Zo werden registraties vrijwel nooit verwijderd en schat PwC dat bij een deel (11%) van de populatie bijzondere persoonsgegevens of informatie over nationaliteit vermeld staan. De verwerking van deze gegevens in FSV was onrechtmatig.
Afhandelingsproces rondom FSV: intensief toezicht na analyse aan de poort
In het proces «analyse aan de poort» kunnen aangiften inkomstenbelasting worden geselecteerd voor controle op mogelijke onjuistheden3.
Tot begin 2018 werden de hierin betrokken burgers ook in FSV geregistreerd. Net als in het eerdere onderzoek door de Belastingdienst zelf naar «analyse aan de poort»4 concludeert PwC dat een deel (6% van FSV-registraties) van deze burgers langer met intensief toezicht te maken heeft gehad dan volgens de interne voorschriften had gemoeten. Daarnaast zijn bestanden die gebruikt zijn om de uitkomsten van het proces «analyse aan de poort» in FSV te registreren niet verwijderd van de schijven van de Belastingdienst.
Waarnemingen rondom Combiteam Aanpak Facilitators (CAF)
PwC schat dat zo'n 5% van de onderzochte populatie is geregistreerd in FSV op basis van een signaal van CAF. Uit de dossieranalyse op basis van deze registraties is een aantal zorgpunten gekomen. PwC constateert dat in verschillende CAF-onderzoeken analyses op nationaliteit zijn gedaan om zicht te krijgen op groepen die vermoedelijk gebruik maakten van facilitators. Mijn voorganger heeft 15 november 20195 soortgelijke signalen met uw Kamer gedeeld en daar zeer terecht afstand van genomen. De onderzoekers hebben documentatie aangetroffen waarin lijkt te worden gesuggereerd dat onderzoek naar burgers werd gestart om als pressiemiddel in het onderzoek naar een facilitator te gebruiken.
Onderzoek naar externe deling gegevens uit FSV
PwC heeft circa 300.000 e-mails geanalyseerd vanuit de functionele postbussen waarin signalen die in FSV werden geregistreerd bij de Belastingdienst binnenkwamen. PwC heeft hierin 536 keer deling met een derde partij waargenomen. Daarbij onderscheidt PwC grofweg drie typen: exports, informatie over registraties en losse signalen.
Exports
Er zijn vier e-mails gevonden met lijsten van bij elkaar opgeteld meer dan 11.000 BSN's. Bij deze waarneming heb ik toelichting op het rapport gevraagd en gekregen: één e-mail was gericht aan de softwareontwik-kelaar betrokken bij de bouw van FSV. Een keer is een lijst met burgers verzonden aan het privé e-mailadres van een medewerker met autorisatie tot FSV. De lijst werd verzonden met het verzoek om de BSN's in FSV op te nemen. Twee keer gaat het om een consultancybedrijf dat een analytische opdracht voor de Belastingdienst uitvoerde.
Informatie over FSV-registraties
In 343 e-mails zijn in totaal 576 BSN's vermeld met informatie over registratie in FSV. Dat kan direct zijn, zoals wanneer gemeld wordt dat de betrokken burger in FSV stond. Het kan ook indirect zijn, bijvoorbeeld in de reactie op een melding van een andere organisatie waarin een collega van de Belastingdienst in de cc wordt gevraagd de melding in FSV te registreren.
Separate signalen
In 189 e-mails zijn losse signalen doorgestuurd die ook in FSV voorkwamen of voor konden komen. Hierin zijn 275 burgers genoemd.
Met wie is informatie gedeeld?
Er vond deling plaats met overheidspartijen als UWV, de SVB, gemeenten, de strafrechtketen en het Ministerie van Justitie en Veiligheid. In 25 gevallen is informatie gedeeld met private partijen als zorgverzekeraars en consultancybureaus, in 21 gevallen met maatschappelijke organisaties (bijvoorbeeld voor bewindvoering) en 20 keer met overige partijen, zoals de privémail van onder andere Belastingdienstmedewerkers.
Scope
De vraag waarom informatie is gedeeld en of hiervoor een grondslag is valt buiten de scope van het onderzoek. PwC treft in een eerste analyse echter geen basis voor het waargenomen type gegevensdeling in drie onderzochte convenanten met uitvoeringsorganisaties aan. De onderzoekers wijzen erop dat er nog circa 80 andere, mogelijk relevante functionele postbussen zijn, die buiten de scope van het onderzoek vielen. Ook zijn zakelijke e-mailboxen van individuele medewerkers niet geanalyseerd.
Reactie en beheersmaatregelen voor beide onderzoeken
De bevindingen uit beide rapporten zijn ernstig en bevestigen dat de aanwezige waarborgen rondom toezicht en gegevensbescherming bij de Belastingdienst onvoldoende zijn geweest. De conclusies over MSNP, privacy en «analyse aan de poort» waren reeds bekend6, en er zijn al verbeteringsacties voor in gang gezet. Op andere punten tonen de rapporten aan dat nadere actie noodzakelijk is. Ik ga op beide in.
Eerdere maatregelen
Privacy: ontwikkeling vervangende signalenvoorziening, wetsvoorstel waarborgen gegevensverwerking
De geconstateerde privacyschending bevestigt dat de beslissing om de voorziening in februari 2020 uit te zetten terecht was7. Het signalenproces waarin FSV werd gebruikt, ligt momenteel stil. Om het proces te ondersteunen is een nieuwe voorziening ontwikkeld. Deze wordt in gebruik genomen na advies van de functionaris voor gegevensbescherming (FG) en de AP op de gegevensbeschermingseffectbeoordeling (GEB).
Verder wordt er, zoals eerder8 gecommuniceerd, gewerkt aan een wetsvoorstel Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en Douane. Dit wetsvoorstel beoogt de grondslagen voor de verwerking van gegevens te versterken, toekomstbestendig te maken en een wettelijk kader te scheppen voor de borging van een rechtmatige, behoorlijke en transparante verwerking van gegevens.
Invordering: zoekactie MSNP en tegemoetkomingsregeling
In januari 2021 is de Belastingdienst een analyse begonnen om vast te stellen van welke burgers de verzoeken tot schuldsanering mogelijk onterecht zijn afgewezen. Met de kwartaalrapportage HVB van 25 november 20219 is uw Kamer over de laatste stand ingelicht. Ik laat de signalen dat de 1x1-registratie in FSV mogelijk ook bij de beoordeling van verzoeken tot kwijtschelding is gebruikt onderzoeken. Op basis hiervan zal ik ook hiervoor het aantal getroffen burgers vaststellen en hen identificeren en benaderen. Mijn uitgangspunt is dat wie onterecht geen minnelijke schuldsanering, kwijtschelding of persoonlijke betalingsregeling heeft gekregen in aanmerking komt voor de tegemoetkomingsregeling die ik met inachtneming van het budgetrecht van uw Kamer ontwikkel.
Intensief toezicht na analyse aan de poort: aanvullende waarborgen
De resultaten van het proces «analyse aan de poort» worden sinds begin 2018 niet meer in FSV opgenomen. Daarnaast zijn aanvullende waarborgen ingericht om te voorkomen dat de aangiften van burgers onnodig lang in intensief toezicht worden betrokken10. De Auditdienst Rijk (ADR) heeft de aanwezigheid en werking hiervan getoetst en beschreven11. PwC doet op dit moment onderzoek naar de gebruikte query's (zoekopdrachten) in «analyse aan de poort». Ik verwacht dat rapport begin maart 2022 met uw Kamer te kunnen delen. De door PwC op de schijven aangetroffen bestanden met de uitkomsten van het proces «analyse aan de poort» hadden niet toegankelijk mogen zijn, behalve voor onderzoeksdoeleinden. Om eventueel toekomstig onderzoek niet te verstoren worden ze niet verwijderd, maar wel veiliggesteld in een afgeschermde omgeving.
Externe gegevensdeling: beheersmaatregelen postbussen
Externe informatie-uitwisseling is nodig om effectief toezicht te houden, maar moet wel op de juiste manier plaatsvinden. PwC adviseert om de waarborgen rondom de verspreiding van risicosignalen na te gaan. De toegang voor medewerkers tot de postbussen waar informatieverzoeken binnen komen is nu sterk beperkt en de autorisaties worden gemonitord. Voor het relevante proces van informatieverzoeken is een GEB opgesteld. Voor de lange termijn wordt gewerkt aan de brede verbetering van het proces van de informatiestromen, waaronder signalen en informatieverzoeken, ook om uitvoering te geven aan de visie van de overheid over het delen van informatie via veilige platforms.
Nationaliteit in handhaving: alleen met expliciete grondslag
Het baseren van het risico op fraude op nationaliteit of uiterlijk voorkomen vind ik onacceptabel. De waarnemingen van PwC zijn dan ook buitengewoon zorgelijk. Mijn voorganger heeft eerder aangegeven12 dat nationaliteit alleen gebruikt mag worden in handhaving mits daar een expliciete wettelijke grondslag voor is. Ik sluit me hierbij aan. De Belastingdienst is een veegactie naar applicaties en lijsten met onder andere nationaliteitsgegevens gestart. In de kwartaalrapportage HVB is uw Kamer geïnformeerd over de laatste stand13.
Aanvullende maatregelen
CAF: stopzetting en verder onderzoek
Op 27 januari 202114 meldde mijn voorganger uw Kamer dat het werk van CAF definitief is beëindigd. Ik acht het wenselijk dat er volledige duidelijkheid komt over de onderzoeken en werkwijze van CAF en de sturing daarop vanuit bijvoorbeeld het MT Fraude. Eerder heeft mijn voorganger aan het lid Omtzigt onderzoek toegezegd. Ik laat dit extern uitvoeren. Omdat het onderzoek moet worden aanbesteed, zal het helaas niet lukken om uw Kamer zoals eerder toegezegd nog deze maand te informeren. Wanneer een externe partij is geselecteerd zal ik uw Kamer via de kwartaalrapportage HVB informeren over de planning en opzet.
Externe gegevensdeling: verder onderzoek en benaderen andere organisaties
PwC wijst erop dat mogelijk meer informatie uit FSV extern gedeeld is dan uit het bijgaande onderzoek naar voren is gekomen; het heeft aanvullende e-mailboxen geïdentificeerd van waaruit mogelijk ook gegevens uit FSV zijn gedeeld. Ik vind het belangrijk dat burgers een zo volledig mogelijk beeld krijgen van met wie hun gegevens zijn gedeeld en wil ook de geïdentificeerde functionele postbussen laten onderzoeken. In dat kader zal ook nader worden bezien in hoeverre voor de geconstateerde gegevensdelingen een voldoende rechtsgrondslag bestond. De Belastingdienst treedt bovendien in overleg met de organisaties waarmee gegevens zijn uitgewisseld.
Externe gegevensdeling: informeren betrokkenen en AP
De AP heeft de Belastingdienst verzocht om nieuwe informatie over externe gegevensdeling met haar te delen. Ik heb het rapport over de deling van gegevens uit FSV met externe partijen daarom aan de AP verstrekt. In lijn met de motie van het lid Marijnissen15 zal de Belastingdienst waar mogelijk de burgers informeren over wie informatie uit of over een FSV-registratie is gedeeld.
Zoals ook al door mijn voorganger is aangegeven had FSV fundamentele tekortkomingen en had de voorziening nooit op deze wijze gebruikt mogen worden. Tegelijkertijd is het de verantwoordelijkheid van de Belastingdienst om toe te zien op de juistheid en volledigheid van aangiften. Risicoselectie en het verwerken van signalen vormen hier een wezenlijk onderdeel van. De weg naar de juiste waarborgen in toezicht en gegevensbescherming is door mijn voorganger ingezet met het plan van aanpak Herstellen, Verbeteren, Borgen16. Ik zet de trajecten daarvan voort en zal in de volgende kwartaalrapportage HVB terugkomen op de hierboven beschreven beheersmaatregelen.
Het beeld van de effecten van FSV is met deze twee onderzoeken nog niet compleet. PwC voert meerdere onderzoeken uit. Op 3 december 2021 heeft uw Kamer het eerste rapport ontvangen17, waarin de effecten van registraties door Toeslagen zijn beschreven. Verder loopt momenteel één onderzoek naar de effecten van registraties door de directie MKB en één naar de gebruikte «query's aan de poort» -zoekopdrachten die tot opname in FSV konden leiden. Helaas moet ik de planning die mijn voorganger op 16 december 202118 heeft uiteengezet enigszins bijstellen. Omdat de oplevering vertraagd is, verwacht ik het rapport voor MKB eind februari, en dat voor query's begin maart 2022 met uw Kamer te kunnen delen.
Ik zal alle bevindingen in de bijgaande en komende rapporten gebruiken bij de verdere uitwerking van een tegemoetkomingsregeling voor onterechte gevolgen van FSV, zoals door uw Kamer gevraagd in de motie van het lid Snels19. In zijn brief van 6 december 202120 is mijn voorganger ingegaan op de contouren van een dergelijke regeling en op de dilemma's die hierbij spelen.
Belangrijke vraagstukken hierbij zijn onder andere de vraag of, en zo ja hoe, het schenden van de privacy op zichzelf een grond is voor een vorm van tegemoetkoming, wie een dergelijke regeling moet uitvoeren en de gewenste en uitvoerbare mate van maatwerk bij de uitvoering van een dergelijke regeling. Ik zal in het eerste kwartaal van 2022 terugkomen op de uitwerking.
De Staatssecretaris van Financiën,
M.L.A. van Rij
Tweede Kamer, vergaderjaar 2021-2022, 31 066, nr. 957 6
Kamerstuk 31 066, nrs. 681 en 807, technische briefings 14 en 28 oktober 2021
Kamerstuk 31 066, nr. 911
Kamerstuk 31 066, nrs. 711,935 en 803
Onderzoek aangiften met AKI 1043-1044, Kamerstuk 31 066, nr. 920
Kamerstuk 31 066, nr. 538
Kamerstuk 31 066, nrs. 681,801 en 920
Kamerstuk 31 066, nr. 604
Laatstelijk bij de beantwoording van feitelijke vragen over FSV, Kamerstuk 31 066, nr. 930, onder andere antwoord 17
Kamerstuk 31 066, nr. 920
Kamerstuk 31 066, nr. 803
Kamerstuk 31 066, nrs. 802 en 920
Kamerstuk 31 066, nr. 538
Kamerstuk 31 066, nr. 920
Kamerstuk 31 066, nr. 807
Kamerstuk 28 362, nr. 41
Kamerstuk 31 066, nr. 709
Kamerstuk 31 066, nr. 935
Kamerstuk 31 066, nr. 949
Kamerstuk 31 066, nr. 776
Kamerstuk 31 066, nr. 937