Nieuws
image

Algoritmes Dienst Toeslagen en Belastingdienst voldoen niet aan AVG

woensdag 21 mei 2025, 17:29 door Redactie, 6 reacties

Algoritmes van de Dienst Toeslagen en de Belastingdienst voldoen niet aan de AVG. Dat heeft de Algemene Rekenkamer vastgesteld. De Rekenkamer bekeek drie algoritmes. Alleen het UWV heeft het gebruikte algoritme grotendeels op orde. Volgens de onderzoekers laat dit zien dat de Rijksoverheid ook eisen moet stellen als het om complexe algoritmes en AI gaat, en daarin ook de bescherming van privacy moet worden meegenomen.

Het algoritme van de Dienst Toeslagen wordt gebruikt om persoonlijke begeleiding aan te bieden aan ouders die door terugbetalingen van de kinderopvangtoeslag in problemen dreigen te komen. Op negentien punten werd het algoritme beoordeeld. Bij negen punten stelde de Rekenkamer vast dat er een hoog resterend risico is. Zo is er onvoldoende garantie dat persoonsgegevens zorgvuldig worden verwerkt. Ook zijn er onvoldoende it-beheersmaatregelen genomen om te zorgen dat het algoritme juist en veilig wordt uitgevoerd.

Verder heeft de Dienst Toeslagen voor het algoritme geen actuele data protection impact assessment (DPIA) uitgevoerd, terwijl de AVG dat verplicht. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen. "Gevoelige gegevens van een kwetsbare groep ouders zijn daarmee niet goed beschermd", luidt het oordeel. Ook maakt de Rekenkamer zich zorgen dat informatie uit het begeleidingstraject door Dienst Toeslagen ook kan worden gebruikt voor andere trajecten, zoals voor toezicht of fraudebestrijding.

De Belastingdienst gebruikt een algoritme voor het opsporen van carrouselfraude. Ook voor dit algoritme is geen DPIA uitgevoerd. "Zonder DPIA bestaat het risico dat de Belastingdienst onvoldoende zicht heeft op de privacyrisico’s en daardoor persoonsgegevens onvoldoende beschermt", aldus de Rekenkamer. Die vindt dat ook de transparantie beter moet. Het algoritme staat wel in de publieke privacyverklaring van de Belastingdienst, maar de fiscus informeert burgers en bedrijven nog niet actief over de verwerking van hun gegevens.

Volgens de Rekenkamer is het belangrijk dat de overheid eisen stelt als het gaat om complexe algoritmes en AI, en daarbij ook rekening houdt met de bescherming van privacy, adequaat it-beheer en het voorkomen van discriminatie.

Reacties (6)
Reageer met quote
21-05-2025, 17:45 door Anoniem
Het lijkt of de Rekenkamer het werk van de AP is gaan doen, omdat de AP het laat afweten.
Dank aan de Rekenkamer voor het vullen van deze gaten, maar hoe heeft deze situatie kunnen ontstaan?
Reageer met quote
21-05-2025, 20:52 door e.r. - Bijgewerkt: 21-05-2025, 20:53
Door Anoniem: Het lijkt of de Rekenkamer het werk van de AP is gaan doen, omdat de AP het laat afweten.
Dank aan de Rekenkamer voor het vullen van deze gaten, maar hoe heeft deze situatie kunnen ontstaan?
De AP gaat niet over DPIA's. En dat is de crux van dit verhaal.
Reageer met quote
21-05-2025, 20:56 door e.r.
Terechte tik op de vingers. Al heeft de belastingdienst ondertussen al voor tientallen jaren achterstallig werk doordat ze elke paar jaar het systeem op de schop moeten gooien. Ik verwacht er dus weinig van. En als het gedaan wordt, dan is het natuurlijk niet serieus maar er ff snel doorheen gejast.

Het is erg goed dat alle digitale datastromen gewoon eenduidig, inzichtelijk en veilig zijn. En een analyse hoort daar bij.

Overigens is afgl februari de nieuwe AI wet deels al gestart waar sowieso kritische AI als zodanig tegen het licht moet worden gehouden, wat vast ook niet zo zal zijn.

Wordt wat.
Reageer met quote
Gisteren, 05:55 door Anoniem
Door Anoniem: Het lijkt of de Rekenkamer het werk van de AP is gaan doen, omdat de AP het laat afweten.
Dank aan de Rekenkamer voor het vullen van deze gaten, maar hoe heeft deze situatie kunnen ontstaan?
De Algemene Rekenkamer controleert of de rijksoverheid publiek geld zinnig, zuinig en zorgvuldig besteedt (zo vatten ze zelf samen wat ze doen). De Dienst Toeslagen en de Belastingdienst zijn niet zorgvuldig als ze algoritmes gebruiken die niet aan de AVG voldoen. Het zou niet zinnig zijn als een overheidsdienst iets doet dat niet tot zijn taken behoort (geredeneerd vanuit dat takenpakket). Het zou niet zuinig zijn als ze dingen doen op een vreselijk inefficiënte manier.

Dat zijn allemaal dingen die ook een inhoudelijk oordeel vergen over wat de bedoeling is dat er gebeurt en over hoe het gedaan wordt; de Algemene Rekenkamer kijkt naar veel meer dan alleen maar de vraag of de getalletjes op de balans goed zijn opgeteld. Het zou zijn werk helemaal niet kunnen doen als ze niet inhoudelijk zouden kijken naar dingen waar ook AP en andere instanties naar kijken.

Bedenk ook dat de Algemene Rekenkamer actief periodieke audits uitvoert, terwijl AP voor een belangrijk deel reageert op signalen dat er ergens iets mis is. De audits van de Algemene Rekenkamer zijn een van de bronnen van de signalen waar AP op kan reageren. Zo bezien is het geen dubbel werk maar een taakverdeling.
Reageer met quote
Gisteren, 08:40 door Anoniem
Het lijkt of de Rekenkamer het werk van de AP is gaan doen, omdat de AP het laat afweten.
Dank aan de Rekenkamer voor het vullen van deze gaten, maar hoe heeft deze situatie kunnen ontstaan?

Wellicht komt het doordat niet de AP, maar de rekenkamer over dit onderwerp gaat.
Reageer met quote
Gisteren, 09:15 door Anoniem
Door e.r.:
Door Anoniem: Het lijkt of de Rekenkamer het werk van de AP is gaan doen, omdat de AP het laat afweten.
Dank aan de Rekenkamer voor het vullen van deze gaten, maar hoe heeft deze situatie kunnen ontstaan?
De AP gaat niet over DPIA's. En dat is de crux van dit verhaal.
Onzin. De eerste taak van de AP is "monitor and enforce the application of this Regulation;" (art. 57(1)(a) AVG).
Het uitvoeren van een DPIA is (onder omstandigheden) een verplichting van de AVG (art. 35).
Maar de AP is niet de enige die naleving van de AVG controleert. Ook de verwerkingsverantwoordelijke zelf, de FG en zelfs betrokkenen mogen (of moeten) controleren of verwerkingen rechtmatig verlopen.
En de rekenkamer ziet (volgens mij terecht) dat naleving van de AVG onderdeel kan zijn van de controletaak op de totstandkoming van de niet-financiële verantwoordingsinformatie in de jaarverslagen. En afhankelijk van de context kan een zorgvuldige/rechtmatige verwerking van persoonsgegevens zelfs onderdeel zijn van een degelijke financiële huishouding.
Dat is een omslachtige manier om te zeggen: als de AVG niet wordt nageleefd kan dat voor allerlei probelemen zorgen en zo kunnen ook allerlei partijen er iets van vinden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search