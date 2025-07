De Belastingdienst neemt verdere stappen om volledig aan de AVG te voldoen, zo laat demissionair staatssecretaris Van Oostenbruggen van Financiën aan de Tweede Kamer weten. Volgens de bewindsman zijn de afgelopen jaren alle bedrijfsprocessen van de fiscus doorgelicht en op hoofdlijnen aan de AVG getoetst. "Hierbij is hoofdzakelijk gekeken naar de procesbeschrijvingen en -documentatie, maar nog niet naar de werking", aldus Van Oostenbruggen.

De staatssecretaris stelt dat de Belastingdienst hierdoor een duidelijk beeld heeft gekregen over waar binnen de opzet van processen belangrijke aspecten van de AVG nog onvoldoende worden meegenomen. "Hiermee ontstaat een duidelijk beeld van de acties die verder nodig zijn om meer in control te komen op de AVG." In het geval van tekortkomingen met hoge risico's zijn die volgens Van Oostenbruggen inmiddels in de procesbeschrijvingen via structurele of tijdelijke maatregelen gemitigeerd.

Op basis van de toetsingen en resterende tekortkomingen zal de Belastingdienst nu twee belangrijke stappen nemen, gaat de staatssecretaris verder in zijn brief aan de Tweede Kamer. Het gaat om het actualiseren van het verwerkingenregister en het uitvoeren van aanvullende Data Protection Impact Assessments (DPIA’s) op hoog risicoverwerkingen.

Het verwerkingsregister bevat informatie over de persoonsgegevens die een organisatie verwerkt. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen. Een DPIA is verplicht bij verwerkingen die waarschijnlijk een hoog privacyrisico opleveren, zo laat de Autoriteit Persoonsgegevens (AP) weten.

Volgens Van Oostenbruggen kijkt de AP mee bij het actualiseren van het verwerkingsregister. Het gevulde en gecontroleerde verwerkingenregister zou in het derde kwartaal van dit jaar ook moeten worden aangeboden aan de toezichthouder. Daarnaast gaat de Belastingdienst kijken op welke verwerkingen op grond van de AVG een DPIA moet worden uitgevoerd en dit nog niet gedaan is. "Dit zijn de verwerkingen waarbij er sprake is van een hoog risico voor de rechten en vrijheden van de betrokkene", legt de staatssecretaris uit.

Wanneer de toetsing is afgerond, wordt indien nodig de DPIA gemaakt, centraal aangeleverd en geregistreerd in het register van verwerkingen, gaat de bewindsman verder. "Wanneer deze acties zijn uitgevoerd is de Belastingdienst beter in control op de AVG. Dit betekent dat de Belastingdienst meer gestructureerd inzicht heeft op de meest risicovolle verwerkingen en ook op de te treffen mitigerende maatregelen." Van Oostenbruggen voegt toe dat "in control komen op AVG-gebied" meer vergt dan alleen de uit te voeren acties in 2025. "Wanneer er risico’s voortkomen uit de uitgevoerde DPIA’s moeten deze zo snel mogelijk worden gemitigeerd. Deze acties lopen mogelijk door tot na 2025."