Overheidsinstellingen als de belastingdienst zijn nog niet klaar voor de nieuwe privacywet. Volgende week, 25 mei, wordt de de AVG (Algemene Verordening persoonsgegevens) van kracht. Op de overtreding staan forse boetes die kunnen oplopen tot € 20 mln of 4% van de omzet. De belastingdienst bezit ongelooflijk veel persoonsgegevens.
Ulko Jonker FD
De Belastingdienst kan niet op tijd voldoen aan de nieuwe privacywet en overlegt daarover met de Autoriteit Persoonsgegevens. De overgangsperiode van twee jaar was voor de fiscus niet genoeg. De Algemene verordening gegevensbescherming (AVG) wordt volgende week vrijdag definitief van kracht.

De toezichthouder waarschuwt onvermurwbaar te zijn en dat ook de Belastingdienst vanaf volgende week, net als iedere andere organisatie, volledig aan de wet moet voldoen. De Autoriteit wil echter niet zeggen hoe ze de nieuwe wet gaat handhaven. ‘Er mag geen twijfel over bestaan dat ook de Belastingdienst gewoon aan de AVG moet voldoen. Voor zo’n organisatie, die heel veel persoonsgegevens verwerkt en heel veel van ons weet, is naleving extra belangrijk’, zegt een woordvoerster van de Autoriteit.
De wet, die voortvloeit uit EU-regelgeving, stelt veel strengere eisen aan het vergaren, gebruiken en opslaan van persoonsgegevens. Op overtreding staan boetes die kunnen oplopen tot € 20 mln of 4% van de wereldwijde omzet, als dat meer is.
Sociale Verzekeringsbank
Ook andere overheidsdiensten, zoals de Sociale Verzekeringsbank (SVB), blijven op onderdelen nog in gebreke, blijkt uit navraag door het FD. Zo is in de SVB-systemen het anonimiseren van productiedata en naleving van de bewaartermijn nog niet op orde. Het UWV, dat de werknemersverzekeringen uitvoert, werkt vanaf volgende week wel conform de nieuwe wet.
Wel worden alle rechten van ‘klanten’ van de SVB, zoals de 3,4 miljoen ontvangers van AOW en de 1,9 miljoen gezinnen die recht hebben op kinderbijslag, door de uitvoeringsinstantie voor de sociale zekerheid gegarandeerd. Dan gaat het onder andere om het inzagerecht dat de AVG toekent.
De Belastingdienst, die persoonsgegevens van vrijwel alle Nederlandse ingezetenen onder zijn hoede heeft, liet eerder al weten niet op tijd klaar te zijn voor de AVG. Net als bij andere processen speelt de versnipperde ICT-infrastructuur de dienst parten.
‘Het zou de overheid hebben gesierd als ze ten minste op tijd klaar was geweest en zeker niet later dan de eis die ze aan anderen stelt’
• Tom van Engers, hoogleraar juridisch kennismanagement UvA
Volgens hoogleraar kennismanagement Tom van Engers (UvA) is het ‘niet onredelijk’ dat de Belastingdienst tijd nodig heeft. ‘Het is bepaald geen sinecure. Maar het zou de overheid hebben gesierd als ze ten minste op tijd klaar was geweest en zeker niet later dan de eis die ze aan anderen stelt.’
Verouderde systemen
De fiscus erkent nu ook al niet te voldoen aan de bestaande Wet bescherming persoonsgegevens. Daardoor vergt naleving van de nieuwe regels een onevenredig grote inspanning. De enorme hoeveelheid gegevens van ‘heel veel externe bronnen’ die in honderden deels verouderde IT-systemen moeten worden verwerkt, stellen de dienst voor een bijna onmogelijke opgave.
Verantwoordelijk staatssecretaris Menno Snel van Financiën sprak in een eerdere rapportage al over ‘substantiële risico’s’ bij een aantal verwerkingen van gegevens, waartegen nog voor 25 mei maatregelen moesten worden genomen. Voor minder risicogevoelige verwerkingen wordt ‘een groeipad voor structurele naleving’ in het vooruitzicht gesteld. Dat wordt ook onderdeel van de reorganisatie van de dienst en de modernisering van de systemen bij de fiscus.