Belastingdienst schond privacywet met gebruik van RAM-database
De Belastingdienst heeft met het gebruik van de Risico Analyse Model (RAM) database de privacywetgeving geschonden en had het systeem niet moeten en mogen gebruiken, zo laat staatssecretaris Van Oostenbruggen van Financiën aan de Tweede Kamer weten. Via de RAM-database, waar de fiscus 20 jaar mee werkte, werd op grote schaal persoonlijke informatie van burgers verzameld, onder andere verkregen door middel van online scraping. De database werd bij de invoering van de AVG in mei 2018 uitgeschakeld, maar de verzamelde data bleef tot begin 2021 beschikbaar.
"Uiteindelijk zijn de data van 69 interne en externe bronsystemen in RAM opgenomen, waarmee RAM uitgebreide gegevens van vrijwel alle belastingmiddelen en alle belastingplichtige bedrijven en particulieren bevatte. Zo omvatte RAM-tabellen gegevens over aangiften, toeslagen, vastgoed, bedrijven en autobezit, maar ook eerste en tweede nationaliteit en fiscaal strafrechtelijke gegevens", zo stelt de staatssecretaris.
In RAM waren ook totalen opgenomen of die werden berekend van bijvoorbeeld aantallen per belastingplichtige, per kantoor, per land of per fiscaal dienstverlener. Dit betrof bijvoorbeeld het aantal keer dat een nationaliteit voorkwam, het aantal registraties van fiscaal strafrechtelijke gegevens of het aantal registraties in de Fraude Signaleringsvoorziening (FSV). FSV was de zwarte lijst van de fiscus waarop signalen van vermeende of bewezen fraude werden bijgehouden. Met deze lijst overtrad de Belastingdienst de AVG en kreeg het een boete van 3,7 miljoen euro van de Autoriteit Persoonsgegevens.
Het kabinet liet onderzoek doen naar de RAM-database en het gebruik ervan door de Belastingdienst. "Op basis van het onderzoek van KPMG concludeer ik dat het gebruik van RAM niet voldeed aan de destijds geldende (wettelijke) eisen op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Ik stel vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en ik betreur dat", aldus Van Oostenbruggen.
Het onderzoek toonde aan dat er een beperkt aantal beveiligingsmaatregelen was getroffen om te kunnen voldoen aan de wettelijke en interne kaders voor informatiebeveiliging. Vanaf 2012 voldeed de RAM-dabase niet aan 17 van de 27 beveiligingseisen. Ook bleek dat de beveiligingsprocessen informeel van aard waren en dat 200 van de 248 op autorisatieoverzichten aangetroffen gebruikers in 2017 onbeperkte toegang hadden tot RAM. Zij konden gegevens in RAM exporteren en onbeveiligd via email versturen of op USB-sticks plaatsen.
De onderzoekers stelden ook vast dat er een beperkt aantal technische en organisatorische maatregelen waren getroffen om te kunnen voldoen aan de wettelijke kaders voor privacy en archivering. Het waarborgen van de naleving van de beginselen van privacy- en archiveringswetgeving werd bijna geheel aan gebruikers van de RAM-gegevens overgelaten. De gegevensverwerking met RAM was niet opgenomen in het register van verwerkingen en niet aangemeld bij de Functionaris Gegevensbescherming van het ministerie van Financiën of de externe privacytoezichthouder.
De Autoriteit Persoonsgegevens (AP) heeft aangegeven verder onderzoek te zullen doen naar het gebruik van de RAM-database door de Belastingdienst. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schending van grondrechten heeft geleid. "Als onafhankelijk toezichthouder bepaalt de AP de scope van het vervolgonderzoek, de planning en op welke wijze wordt gerapporteerd", aldus de staatssecretaris.
Als ze zelf in de schuld zitten horen we er niets meer van.
For thee but not for me.
De onderzoekers stelden ook vast dat er een beperkt aantal technische en organisatorische maatregelen waren getroffen om te kunnen voldoen aan de wettelijke kaders voor privacy en archivering.
Je kunt random belastingplichtigen controleren op bijvoorbeeld zwarte inkomsten. Je kunt ook heel specifiek kijken naar de registraties van auto's,die niet te rijmen valt met het inkomen.
Zo ken ik er nog wel een paar.
Eerst is het "maar" een risico-analyse. Daarna gaat iemand "iets doen" met die risico-analyse.
En opeens hebben we een toeslagenaffaire. Niet vanwege zo'n risico-analyse. Natuurlijk niet.
Sorry meneer de rechter, maar de data was er. Daar hebben we alleen maar gebruik van gemaakt om burgers de schuld in te jagen en hun kinderen af te nemen. Want er stond een sterretje bij hun naam agv die risico-analyse. Hoe dat wkam, dat weten we niet meer. Die log-data is er niet (meer).
Als je zoiets opzet, dan doe je dat met afgebakende gebruiksdoelen, goede wet- en regelgeving en beschermende maatregelen. En laten we onafhankelijk toezicht vooral niet vergeten. Voor het geval ze uit de bocht vliegen. Zoals gebeurd is.
Dan laat je niet jan en alleman erin grasduinen. En al helemaal niet usb-stickies meenemen.
Flapdrol(len)
Het is onderhand tijd dat de belastingdienst en een aantal poltici onder curatele gezet worden.
Het zelflerend vermogen is gewoon te laag. Dat blijkt keer op keer weer.
HMM What?
Lijkt Schoof wel. Schijt aan de wet.Of de NCTV . Sleepwet. Altijd betreuren ze het.Waarom doen ze het dan?
Ondermijning van de Rechtsstaat is het . Maar.... dat zou de overheid toch juist bestrijden? ONDERMIJNING?
Gaat de overheid zichzelf bestrijden? NEE dus.
Leuk he?
En de boetes?
Die betalen wij...
Het is zo triest allemaal.
De overheid is de vijand. Dat blijkt ook nu weer. Maar ja, de schaapjes blijven het maar accepteren he...
Voor toezicht op belastingbetalers en het bedrijfsleven was het RAM-systeem van de Belastingdienst cruciaal:
https://www.nrc.nl/nieuws/2025/03/12/van-prostituees-tot-belgische-pensionados-in-het-privacyschendende-ram-systeem-van-de-belastingdienst-heerste-de-willekeur-a4886148
Van enige vorm van controle, beveiliging of logging van het gebruik van het RAM-systeem was nauwelijks sprake:
Donderdag 13 maart 2025 debatteerde de Tweede Kamer over de situatie bij de Belastingdienst: vaste commissie voor Financiën, trefwoorden: 'vroegsignalering', 'geautomatiseerde selectietechnieken', 'ethisch verantwoord omgaan met data'
https://www.tweedekamer.nl/debat_en_vergadering/commissievergaderingen/details?id=2025A00629
zaterdag 8 maart 2025, 08:49 door Redactie
https://www.security.nl/posting/879058/Veel+applicaties+Belastingdienst+bieden+geen+logging+en+monitoring
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
