De Autoriteit Persoonsgegevens (AP) haalt stevig uit naar de Belastingdienst. De zwarte lijst waarmee de fiscus fraude signaleert, is volgens de waakhond in strijd met de privacywet. Kernbeginselen van de AVG werden door de Belastingdienst op ernstige wijze geschonden, zo luidt het verwijt.
De fiscus had nooit persoonsgegevens mogen verwerken in de Fraude Signalering Voorziening (FSV) op de manier waarop dit jarenlang gebeurde. Dit blijkt uit onderzoek dat de AP vandaag presenteert.
AP-voorzitter Aleid Wolfsen: ‘Vanzelfsprekend moet de Belastingdienst fraude aanpakken. Maar uit ons onderzoek blijkt dat de Belastingdienst fraudesignalen registreerde en gebruikte op een manier die absoluut niet is toegestaan. Onschuldige mensen zijn hierdoor gedupeerd.’
De belangrijkste overtreding is dat er geen wettelijke basis (grondslag) was voor een zwarte lijst. Zonder zo’n grondslag is het verwerken van persoonsgegevens verboden. Andere ernstige overtredingen zijn dat de signalen van fraude veel te lang in de FSV werden bewaard. Bovendien waren de gegevens in bepaalde gevallen onjuist en niet actueel.
Wolfsen: ‘Ruim een kwart miljoen mensen stond – vaak onterecht – veel te lang op deze fraudelijst zonder dat zij dit wisten. Daardoor konden ze zich niet verweren en konden ze zich ook niet van de lijst laten afhalen. Zo ontstond een gat in de rechtsbescherming. Veroorzaakt door de overheid, nota bene.’
Minderjarigen
De Belastingdienst kon de FSV bijvoorbeeld raadplegen bij het beoordelen van belastingaangiftes. Ook werd de lijst gebruikt bij aanvragen voor toeslagen en bij het invorderen van schulden. De lijst bestond uit gegevens over meer dan een kwart miljoen mensen, waaronder minderjarigen.
FSV was toegankelijk voor duizenden medewerkers van meerdere onderdelen van de Belastingdienst. De Belastingdienst gebruikte de zwarte lijst FSV van eind 2013 tot begin 2020, toen de dienst na publicaties hierover in opspraak raakte. De voorloper van FSV bestond al sinds 2001.
Op de zwarte lijst stonden allerlei signalen van (vermeende of bewezen) fraude, rijp en groen, van zowel binnen als buiten de Belastingdienst. Zoals meldingen bij Meld Misdaad Anoniem, meldingen van burgers en bedrijven (‘klikken’) en meldingen van andere overheidsorganisaties.
Wolfsen: ‘Soms werd ook geregistreerd als de gemeente iemands inkomensgegevens had opgevraagd. Dit had niks met mogelijke fraude te maken, maar die persoon kon dan tóch op de zwarte lijst terechtkomen.
De gevolgen voor de burgers die op de zwarte lijst stonden, waren ernstig. Doordat zij het stempel ‘potentiële fraudeur’ opgedrukt kregen, kregen zij te maken met intensief toezicht vanuit de Belastingdienst. Zij moesten vervolgens lang wachten op een besluit over een aangevraagde toeslag. En wat verregaande financiële gevolgen kon hebben, zoals een onterecht afgewezen persoonlijke betalingsregeling.’
Elke gegevensverwerking moet rechtmatig zijn. Dit betekent dat er een wettelijke grondslag moet zijn voor de verwerking. Als die er niet is, dan mag een organisatie geen persoonsgegevens verwerken.