De Belastingdienst krijgt geen boete of andere sancties opgelegd wegens ernstige overtredingen met het RAM-systeem, zo heeft de Autoriteit Persoonsgegevens (AP) besloten. Via het RAM-systeem, waar de fiscus 20 jaar mee werkte, werd op grote schaal persoonlijke informatie van burgers verzameld, onder andere verkregen door middel van online scraping. Het systeem werd bij de invoering van de AVG in mei 2018 uitgeschakeld, maar de verzamelde data bleef tot begin 2021 beschikbaar.
Het systeem werd volgens interne rapportage waarover NRC berichtte gebruikt voor ‘profiling’ en het detecteren van 'verwonderadressen', waar volgens de verzamelde data sprake was van mogelijk afwijkende gedragspatronen. De gegevens die de fiscus gebruikte waren uit tientallen bronnen, binnen en buiten de overheid, afkomstig. Informatie uit het systeem kon zonder controle worden geëxporteerd naar Excel-sheets en meegenomen op eigen usb-sticks. Wie het systeem gebruikte en voor welke informatie werd niet bijgehouden.
"De Belastingdienst heeft met de applicatie RAM gedurende lange tijd de regelgeving ten aanzien van de bescherming van persoonsgegevens stelselmatig overtreden. De AP oordeelt dat er sprake is van ernstige overtredingen", aldus de toezichthouder in een brief aan demissionair staatssecretaris Van Oostenbruggen van Financiën.
De AP stelde vast dat met RAM op onrechtmatige wijze persoonsgegevens zijn verwerkt , waaronder bijzondere categorieën van persoonsgegevens en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten. Tevens werden via het systeem discriminerende verwerkingen uitgevoerd, waren er geen passende technische en organisatorische maatregelen getroffen voor het beveiligen van persoonsgegevens. Ook onttrok de Belastingdienst zich jarenlang aan het toezicht door geen meldingen te doen, terwijl die wel wettelijk verplicht zijn.
"Het gaat om overtredingen die dermate ernstig zijn dat een stevige sanctie niet zou misstaan", zo oordeelt de privacytoezichthouder. Omdat de overtredingen inmiddels langer dan zeven jaar geleden zijn begaan heeft de AP besloten geen sancties op te leggen. De toezichthouder laat aanvullend weten dat hierbij ook meespeelt dat de staatssecretaris heeft erkend dat er fouten zijn gemaakt en dat de Belastingdienst zegt maatregelen te zullen nemen om soortgelijke fouten in de toekomst te voorkomen.
"Het is belangrijk dat een dergelijke situatie zich niet opnieuw voordoet en kan voordoen bij de Belastingdienst", reageert de staatssecretaris op de brief. Volgens Van Oostenbruggen had het RAM-systeem nooit op deze manier gebruikt moeten en mogen worden. "Het verleden kan ik niet veranderen, ik wil me dus richten op wat we in het heden moeten doen om te zorgen dat in de toekomst deze problematiek niet meer voorkomt."
De AP deed onlangs onderzoek naar zes 'RAM-achtige' systemen van de Belastingdienst. Twee van deze systemen moet de fiscus wegens overtredingen van de AVG zo snel mogelijk stopzetten, vier andere moet het aanpassen, maakte de Autoriteit Persoonsgegevens gisteren bekend.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.