Belastingdienst RAMde onze privacy decennia lang. Wat gaat de Autoriteit Persoonsgegevens doen?

Logo Autoriteit PersoonsgegevensIn een schokkend artikel in de NRC (Van prostituees tot Belgische pensionado’s: in het privacyschendende RAM-systeem van de Belastingdienst heerste de willekeur) wordt nog maar een keer duidelijk dat de Nederlandse Belastingdienst het niet zo nauw neemt met de privacy:

De Belastingdienst deed dit vanaf 1998 met het zelfgebouwde computersysteem RAM (‘Risico Analyse Model’). In dat systeem was álle informatie binnen de Belastingdienst over miljoenen burgers bij elkaar gebracht, aangevuld met informatie van bijvoorbeeld Kadaster, de Kamer van Koophandel en de Dienst Wegverkeer.

Wie welke gegevens uit het systeem haalde en wat daarmee gebeurde, werd niet bijgehouden.

Het gebruik van RAM werd jarenlang niet gemeld bij de Autoriteit Persoonsgegevens, hoewel dit wel verplicht was.

En er is meer:

Zo blijkt dat elementen van het RAM-systeem nog tot 2021 werden gebruikt, hoewel het systeem in 2018 formeel was uitgezet. Twee externe medewerkers van ict-bedrijf Cap Gemini, konden jarenlang bij alle RAM-gegevens – en dus alle gegevens van belastingplichtigen inzien.

Dit is allemaal op basis van het Rapport onderzoek Risico Analyse Model (RAM) bij de Belastingdienst, Dienst Toeslagen en Douane, het resultaat van een onderzoek uitgevoerd door KPMG. Maar dat alles laat onverlet dat de staatssecretaris hier het volgende over woordbrijt in zijn brief aan de Eerste en Tweede Kamer van 6 maart 2025:

De Belastingdienst heeft RAM in mei 2018 uitgeschakeld, voor de inwerkingtreding van de Algemene Verordening Gegevensbescherming, wegens strijdigheid met deze wetgeving wegens onvoldoende mitigerende maatregelen. Op basis van het onderzoek van KPMG concludeer ik dat het gebruik van RAM niet voldeed aan de destijds geldende (wettelijke) eisen op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Ik stel vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en ik betreur dat. De Autoriteit Persoonsgegevens (AP) heeft aangegeven verder onderzoek te verrichten naar RAM. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schending van grondrechten heeft geleid.

Betekent het dat RAM niet strijdig was met de voorganger van de AVG, de Wet bescherming persoonsgegevens? Daar doet de de staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane – T. van Oostenbruggen geen uitspraken over. En dat vind ik opvallend, aangezien Van Oostenbruggen een collega is van Pieter Omtzigt, die mede de Toeslagenaffaire aan het rollen heeft gebracht. Dat laatste overigens zonder enige medewerking van de Belastingdienst, maar dat is natuurlijk geen verrassing. Maar Van Oostenbruggen betreurt de gang van zaken. Een privacy-schending die in potentie alle Nederlanders kan hebben getroffen, maar niemand die dat weet. Van Oostenbruggen zou zich de haren uit zijn hoofd moeten trekken (of is hij kaal?) en zich met as overstrooien. Maar nee, geheel in politiek teflon gehuld betreurt Van Oostenbrugge dit.

En dan is er nog dit in de brief van de staatsecretaris:

Zoals eerder aangekondigd heeft de AP aangegeven een onderzoek naar RAM te starten. Het KPMG onderzoek evenals de resultaten van het onderzoek ingevolge artikel 68 Grondwet zijn inmiddels aan de AP verstrekt. Als onafhankelijk toezichthouder bepaalt de AP de scope van het vervolgonderzoek, de planning en op welke wijze wordt gerapporteerd.

Trouwe lezertjes zijn op de hoogte van het tempo en de impact van de Autoriteit Persoonsgegevens. En wat gaat de AP nou eigenlijk onderzoeken? De periode van 2001 – 2018 (ten tijde van de Wet bescherming persoonsgegevens), de periode 2018 – 2025 (ten tijde van de AVG en ook de periode waarover de staatssecretaris zegt dat de overtredingen waren gestopt?). De periode voor 2001? Volstrekt onduidelijk.

Binnenlands Bestuur zegt hierover het volgende:

Of met het gebruik van RAM grondrechten van individuele burgers geschonden, is onderwerp van aanvullend onderzoek. De uitkomsten daarvan verschijnen naar verwachting in juni 2025.

Ik ga er vanuit dat dit aanvullend onderzoek door de AP moet worden gedaan. En een termijn van drie maanden klinkt dan ineens zorgwekkend kort.

De Belastingdienst had met RAM niet alleen een onrechtmatig systeem gebouwd, ze was ook het één en ander vergeten te realiseren:

Volgens KPMG was er een beperkt aantal beveiligingsmaatregelen getroffen om te kunnen voldoen aan de wettelijke en interne kaders voor informatiebeveiliging. KPMG heeft op basis van documentatie en interviews afgeleid dat RAM vanaf 2012 aan circa 10 van de 27 beveiligingseisen voldeed. KPMG heeft ook afgeleid dat de beveiligingsprocessen informeel van aard waren en dat 200 van de 248 op autorisatieoverzichten aangetroffen gebruikers in 2017 onbeperkte toegang hadden tot RAM. Zij konden gegevens in RAM exporteren en onbeveiligd via email versturen of op USB-sticks plaatsen.

Lees en huiver:

KPMG stelt vast dat in en rondom het RAM-systeem een beperkt aantal technische en organisatorische maatregelen waren getroffen om te kunnen voldoen aan de wettelijke kaders voor privacy en archivering. Het waarborgen van de naleving van de beginselen van privacy- en archiveringswetgeving werd bijna geheel aan (eind)gebruikers van de RAM-gegevens overgelaten. KPMG stelt vast dat geen analyse van grondslagen en doelbinding heeft plaatsgevonden voor het koppelen van gegevens in RAM of voor het maken van selecties voor toezichtsactiviteiten. De gegevensverwerking met RAM was niet opgenomen in het register van verwerkingen en niet aangemeld bij de Functionaris Gegevensbescherming van het ministerie van Financiën of de externe privacytoezichthouder.

Huiver in kwadraat:

De verbeteringen die de Belastingdienst heeft ingezet om te voldoen aan de AVG, zijn vanaf 2018 gestart. Dat was te laat om aan de AVG te voldoen. Alhoewel het voldoen aan de AVG continu aandacht vereist, zie ik dat de Belastingdienst de achterstand op dit gebied inloopt, maar ook dat er nog verdere verbeteringen zijn te treffen.

Ik stop hier maar, want mijn vingers beginnen te trillen. Van boosheid, omdat een staatssecretaris naar aanleiding van deze absolute clusterfuck zou moeten aftreden.

Aanvullende informatie
Met behulp van Zeta Alpha heb ik zelf nog wat aanvullende informatie uit het KPMG rapport kunnen peuteren:

De vijf belangrijkste bevindingen uit het rapport zijn:

  1. RAM verzamelde gegevens uit 69 interne en externe bronnen, waarmee RAM uitgebreide gegevens van vrijwel alle belastingmiddelen en alle belastingplichtige bedrijven en particulieren bevatte. Zo omvatte RAM-tabellen over aangiften, toeslagen, vastgoed, bedrijven en autobezit, maar ook eerste en tweede nationaliteit en fiscaal strafrechtelijke gegevens.

  2. Het systeem was niet adequaat beveiligd; RAM-extracties waren niet standaard beveiligd en konden eenvoudig worden gedeeld

  3. Er waren significante privacy- en beveiligingsproblemen, met onvoldoende maatregelen om aan wettelijke eisen te voldoen

  4. RAM maakte gebruik van nationaliteitsgegevens, wat leidde tot mogelijke profilering en ongelijke behandeling van bevolkingsgroepen

  5. Na de uitschakeling van RAM in 2018 zijn opvolgers ontwikkeld, maar de naleving van wettelijke kaders is niet geverifieerd

De rapportage constateert verschillende overtredingen van de Algemene Verordening Gegevensbescherming (AVG), waaronder:

  1. RAM was niet aangemeld bij de Functionaris Gegevensbescherming en de Autoriteit Persoonsgegevens, wat een schending van de meldplicht inhoudt

  2. Er was geen adequate privacy-impactanalyse uitgevoerd, en de gegevensverwerking voldeed niet aan de vereisten van de AVG

  3. Gevoelige persoonsgegevens, zoals strafrechtelijke gegevens, werden niet correct behandeld en konden als risico-indicatoren worden gebruikt zonder de juiste waarborgen

  4. De gegevensverwerking was niet opgenomen in het interne register van verwerkingen, wat een verplichting onder de AVG schendt

  5. Er waren onvoldoende technische en organisatorische maatregelen getroffen om onbevoegde toegang en datalekken te voorkomen

De rapportage constateert verschillende overtredingen van de Wet bescherming persoonsgegevens (WBP), waaronder:

  1. RAM-extracties werden niet adequaat beveiligd, waardoor onbevoegde toegang en verspreiding mogelijk was

  2. Er was geen analyse van grondslagen en doelbinding voor het koppelen van diverse gegevensbronnen in RAM, wat in strijd is met de WBP

  3. RAM was niet aangemeld bij de Functionaris Gegevensbescherming en de Autoriteit Persoonsgegevens, wat een schending van de meldplicht inhoudt

  4. Er werden geen maatregelen getroffen voor de verwerking van bijzondere persoonsgegevens, zoals strafrechtelijke gegevens, die onder strengere eisen vallen

  5. De gegevensverwerking met RAM was niet opgenomen in het interne register van verwerkingen, wat een verplichting onder de WBP schendt

Het rapport vermeldt geen specifieke privacy-overtredingen die zijn geconstateerd in de periode 1998 – 2001. Het richt zich voornamelijk op de bredere evaluatie van RAM en de naleving van privacywetgeving in latere jaren, vooral met betrekking tot de AVG en de WBP. Gedetailleerde informatie over overtredingen in de vroege jaren van RAM is niet beschikbaar in de documentatie.

Gerelateerde berichten:

  1. 8vance en de AVG, geen match made in heaven. Deel 1
  2. 8vance en de AVG, geen match made in heaven. Deel 2
  3. Autoriteit Persoonsgegevens krijgt foei waar billenkoek op zijn plaats is
  4. Blijf van onze data af, 8vance!
Geef een reactie