De Autoriteit Persoonsgegevens (AP) gaat toezicht houden op de Belastingdienst om er zo voor te zorgen dat persoonsgegevens van burgers en bedrijven beter worden beschermd. Dat laat demissionair staatssecretaris Van Rij van Financiën in een brief aan de Tweede Kamer weten (pdf). De privacytoezichthouder verwacht dat het 'toezichtarrangement' vijf jaar zal duren.

Naar aanleiding van berichtgeving over het Risico Analyse Model (RAM) nam de Autoriteit Persoonsgegevens contact op met de staatssecretaris over het instellen van een 'toezichtarrangement'. Via de RAM-database werd op grote schaal persoonlijke informatie van burgers door de fiscus verzameld, onder andere verkregen door middel van online scraping.

"In de afgelopen jaren heeft de AP een aantal onderzoeken uitgevoerd bij de Belastingdienst, en daarbij bleek steeds dat de Belastingdienst nog niet AVG-compliant was", laat de AP aan de staatssecretaris weten. Daarbij wijst de toezichthouder ook naar de meerdere AVG-boetes die het de fiscus de afgelopen jaren oplegde. Voor het toezicht vraagt de AP een bedrag van 2 miljoen euro per jaar (pdf).

"De AP stelt een toezichtarrangement in om de acties van de Belastingdienst te kunnen volgen en te controleren, maar ook het bieden van begeleiding bij het duurzaam verbeteren van de bescherming van persoonsgegevens", legt Van Rij aan de Tweede Kamer uit. De staatssecretaris voegt toe dat de toezichthouder zich zal richten op verschillende thema's, waaronder het gebruik van risicomodellen, de cultuur binnen de Belastingdienst met betrekking tot het omgaan met persoonsgegevens, de uitwisseling van gegevens en de staat van de privacyorganisatie.

Vorig maand is de privacytoezichthouder begonnen met het voeren van inventariserende gesprekken met medewerkers van de Belastingdienst om een beeld te krijgen van de huidige situatie bij de fiscus. Op basis van deze gesprekken zal de AP besluiten welke acties nodig zijn. De Autoriteit Persoonsgegevens kan bijvoorbeeld afspraken maken met de fiscus over het uitvoeren van tussentijdse audits op nieuwe processen en systemen. Daarnaast is het toezicht gericht op het versterken van de privacyorganisatie zodat de Belastingdienst de bescherming van persoonsgegevens structureel kan verbeteren.

De Autoriteit Persoonsgegevens verwacht dat het toezicht vijf jaar zal duren. Jaarlijks zal er een evaluatie plaatsvinden om vast te stellen welke verbeteringen er door de Belastingdienst zijn gerealiseerd en welke aanvullende acties er nog nodig zijn, laat Van Rij verder weten.