Grote Nederlandse gemeenten en de Belastingdienst voldoen niet aan de regels van de Algemene Verordening Gegevensbescherming (AVG) die sinds 25 mei 2018 van kracht is. De Belastingdienst verwerkt burgerservicenummers van zzp’ers op een wijze die in strijd is met de wet. Ook blijken vier op de tien websites van grote gemeenten niet te voldoen aan de AVG.
De Autoriteit Persoonsgegevens (AP) meldt dat de Belastingdienst geen wettelijke basis heeft om het burgerservicenummer (bsn) te gebruiken in het btw-identificatienummer van zelfstandigen met een eenmanszaak. De toezichthouder licht toe: ‘Het burgerservicenummer – bsn – is een wettelijk identificatienummer om de communicatie tussen overheid en burgers te vergemakkelijken. Burgers kunnen met hun bsn bij elk loket van de overheid terecht. Het voordeel van een bsn is dat burgers hun persoonsgegevens niet bij elke overheidsorganisatie steeds opnieuw hoeven aan te leveren.’
Volgens de AP is de werkwijze die de Belastingdienst hanteert, kwetsbaar voor fraude. ‘Als het bsn in kwaadwillende handen valt, kan het mogelijk leiden tot identiteitsfraude. Een kwaadwillende kan met de persoonsgegevens van een ander bijvoorbeeld een auto huren en daarmee schade veroorzaken.’ De toezichthouder benadrukt dat in de huidige situatie zelfstandigen met een eenmanszaak hun bsn niet kunnen beschermen. ‘Zij zijn verplicht hun bsn kenbaar te maken omdat het bsn een onderdeel vormt van hun btw-identificatienummer.’
Volgens de AP moeten die overtredingen zo snel mogelijk beëindigd worden. ‘Gebeurt dat niet, dan kan de AP handhavende maatregelen treffen’, staat in een persbericht.
Zeeuwse gemeenten scoren het laagst
Uit een ander onderzoek, onder gemeenten, komt naar voren dat die lokale overheden het ook niet zo nauw nemen met de nieuwe privacyregels. Het bedrijf Leadsupply uit Den Bosch onderzocht de naleving van de AVG bij 115 grote gemeenten en stelt dat 40 procent van de onderzochte gemeenten de privacywet overtreedt.
Het bedrijf licht toe: ‘Er is in dit onderzoek gekeken naar de aanwezigheid en volledigheid van de privacyverklaring, zoals omschreven in Artikel 12 van de Algemene Verordening Gegevensbescherming. In veertig gevallen was de privacyverklaring niet toereikend of zelfs compleet afwezig. De meest voorkomende fout heeft betrekking tot Artikel 37. Dit onderdeel stelt het verplicht een functionaris voor gegevensbescherming aan te stellen. Transparantie over wie deze persoon is, ontbrak bij veel gemeenten.’
Ook werd de score per provincie berekend. Met een score van 83 procent hebben de onderzochte websites van gemeenten in Flevoland de privacyverklaring het meest op orde. Zeeland behaalt met 33 procent de laagste score.
