De Belastingdienst heeft jarenlang ip-adressen verzameld om 'afwijkend risicovol gedrag' te signaleren. De gegevens werden in een systeem genaamd Heidi opgeslagen. Demissionair staatssecretaris Van Rij van Financiën kan echter niet met zekerheid zeggen voor welke doeleinden het systeem is ontwikkeld, welke gegevens er naast ip-adressen nog meer in stonden en welke onderdelen binnen de Belastingdienst er allemaal gebruik van maakten.
Het Heidi-systeem werd in 2013 in opdracht van het Managementteam Fraude van de Belastingdienst ontwikkeld om afwijkend risicovol gedrag zo vroeg mogelijk te kunnen signaleren, zo laat Van Rij in een brief aan de Tweede Kamer weten. "Heidi was een database-functionaliteit om ip-adressen vast te leggen en te ontsluiten. De functionaliteit registreerde portaldata, waaronder de ip-adressen waarmee toeslagaanvragers het Toeslagen-portal (mijntoeslagen.nl) benaderden", voegt de staatssecretaris toe.
De Belastingdienst voerde destijds geen privacyonderzoek naar het systeem uit. Iets wat in die tijd ook nog niet verplicht was. "Hierdoor is niet met zekerheid vast te stellen en te reconstrueren voor welke doeleinde(n) Heidi I is ontwikkeld en welke gegevens er in Heidi I stonden en door welke andere dienstonderdelen (naast Toeslagen) deze voorziening is gebruikt", aldus Van Rij. Het systeem werd eind 2017 op advies van de privacy officer van de Belastingdienst "on hold" gezet, omdat het niet zou voldoen aan de eisen van de Wet bescherming persoonsgegevens (Wbp).
Gegevens van het Heidi II-systeem zijn gebruikt door een team binnen de Belastingdienst dat fraude bij zogenoemde tussenpersonen zoals belastingadviseurs aanpakt. "Hiervoor was het onder andere van belang om te weten of er vanaf één adres meerdere belastingaangiften of aanvragen voor toeslagen werden ingediend. Voor aangiften inkomstenheffing gebeurde dit eerst door een analyse in Excel waarin uitschieters op variabelen van fiscaal dienstverleners werden gedetecteerd. Hierin is ook gebruik gemaakt van ip-adressen die verkregen werden via Heidi", aldus Van Rij.
De staatssecretaris stelt dat de FIOD geen toegang had tot Heidi. Wel heeft de dienst van begin 2020 tot eind 2023 een kleine honderd informatieverzoeken/vorderingen gedaan om informatie te verkrijgen die afkomstig was uit Heidi II. In de hieraan voorafgaande periode is er geen administratie bijgehouden. Bij de verzoeken werd er onder andere om ip-adressen gevraagd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.