Nieuws
image

Belastingdienst schond privacywet met gebruik van RAM-database

vrijdag 7 maart 2025, 10:03 door Redactie, 8 reacties

De Belastingdienst heeft met het gebruik van de Risico Analyse Model (RAM) database de privacywetgeving geschonden en had het systeem niet moeten en mogen gebruiken, zo laat staatssecretaris Van Oostenbruggen van Financiën aan de Tweede Kamer weten. Via de RAM-database, waar de fiscus 20 jaar mee werkte, werd op grote schaal persoonlijke informatie van burgers verzameld, onder andere verkregen door middel van online scraping. De database werd bij de invoering van de AVG in mei 2018 uitgeschakeld, maar de verzamelde data bleef tot begin 2021 beschikbaar.

"Uiteindelijk zijn de data van 69 interne en externe bronsystemen in RAM opgenomen, waarmee RAM uitgebreide gegevens van vrijwel alle belastingmiddelen en alle belastingplichtige bedrijven en particulieren bevatte. Zo omvatte RAM-tabellen gegevens over aangiften, toeslagen, vastgoed, bedrijven en autobezit, maar ook eerste en tweede nationaliteit en fiscaal strafrechtelijke gegevens", zo stelt de staatssecretaris.

In RAM waren ook totalen opgenomen of die werden berekend van bijvoorbeeld aantallen per belastingplichtige, per kantoor, per land of per fiscaal dienstverlener. Dit betrof bijvoorbeeld het aantal keer dat een nationaliteit voorkwam, het aantal registraties van fiscaal strafrechtelijke gegevens of het aantal registraties in de Fraude Signaleringsvoorziening (FSV). FSV was de zwarte lijst van de fiscus waarop signalen van vermeende of bewezen fraude werden bijgehouden. Met deze lijst overtrad de Belastingdienst de AVG en kreeg het een boete van 3,7 miljoen euro van de Autoriteit Persoonsgegevens.

Het kabinet liet onderzoek doen naar de RAM-database en het gebruik ervan door de Belastingdienst. "Op basis van het onderzoek van KPMG concludeer ik dat het gebruik van RAM niet voldeed aan de destijds geldende (wettelijke) eisen op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Ik stel vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en ik betreur dat", aldus Van Oostenbruggen.

Het onderzoek toonde aan dat er een beperkt aantal beveiligingsmaatregelen was getroffen om te kunnen voldoen aan de wettelijke en interne kaders voor informatiebeveiliging. Vanaf 2012 voldeed de RAM-dabase niet aan 17 van de 27 beveiligingseisen. Ook bleek dat de beveiligingsprocessen informeel van aard waren en dat 200 van de 248 op autorisatieoverzichten aangetroffen gebruikers in 2017 onbeperkte toegang hadden tot RAM. Zij konden gegevens in RAM exporteren en onbeveiligd via email versturen of op USB-sticks plaatsen.

De onderzoekers stelden ook vast dat er een beperkt aantal technische en organisatorische maatregelen waren getroffen om te kunnen voldoen aan de wettelijke kaders voor privacy en archivering. Het waarborgen van de naleving van de beginselen van privacy- en archiveringswetgeving werd bijna geheel aan gebruikers van de RAM-gegevens overgelaten. De gegevensverwerking met RAM was niet opgenomen in het register van verwerkingen en niet aangemeld bij de Functionaris Gegevensbescherming van het ministerie van Financiën of de externe privacytoezichthouder.

De Autoriteit Persoonsgegevens (AP) heeft aangegeven verder onderzoek te zullen doen naar het gebruik van de RAM-database door de Belastingdienst. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schending van grondrechten heeft geleid. "Als onafhankelijk toezichthouder bepaalt de AP de scope van het vervolgonderzoek, de planning en op welke wijze wordt gerapporteerd", aldus de staatssecretaris.

Reacties (8)
Reageer met quote
07-03-2025, 10:10 door Anoniem
Ze leren zo weinig van de toeslagenaffaire... Waarvam ze nog steeds schadevergoedingen moeten betalen.
Als ze zelf in de schuld zitten horen we er niets meer van.
For thee but not for me.
Reageer met quote
07-03-2025, 10:35 door DeZin

De onderzoekers stelden ook vast dat er een beperkt aantal technische en organisatorische maatregelen waren getroffen om te kunnen voldoen aan de wettelijke kaders voor privacy en archivering.
Ik merk op dat er geen enkele maatregel die getroffen was genoemd wordt, en dat ‘nul’ ook een beperkt aantal is.
Reageer met quote
07-03-2025, 12:25 door Anoniem
Wanneer vallen er ontslagen en worden de misbruikers persoonlijk aangepakt?
Reageer met quote
07-03-2025, 12:38 door Anoniem
Door Anoniem: Ze leren zo weinig van de toeslagenaffaire...
Let op de tijdlijn, het gebeurde grotendeels tegelijk. Pas in 2017 begon de toeslagenaffaire in de aandacht te komen, en toen die in september 2018 groot in het nieuws kwam was de database waar het nu over gaat al een paar maanden afgesloten.
Reageer met quote
07-03-2025, 14:25 door Anoniem
Ik zie het probleem niet met deze verzameling, zolang je dit alleen gebruikt voor een risico analyse. Slim bekijken waar je als belastingdienst capaciteit inzet is niet verkeerd. Dat doen ze ook bij de controle van het bedrijfsleven.
Je kunt random belastingplichtigen controleren op bijvoorbeeld zwarte inkomsten. Je kunt ook heel specifiek kijken naar de registraties van auto's,die niet te rijmen valt met het inkomen.
Reageer met quote
07-03-2025, 15:21 door Anoniem
Door Anoniem: Ik zie het probleem niet met deze verzameling, zolang je dit alleen gebruikt voor een risico analyse.

Zo ken ik er nog wel een paar.
Eerst is het "maar" een risico-analyse. Daarna gaat iemand "iets doen" met die risico-analyse.
En opeens hebben we een toeslagenaffaire. Niet vanwege zo'n risico-analyse. Natuurlijk niet.

Sorry meneer de rechter, maar de data was er. Daar hebben we alleen maar gebruik van gemaakt om burgers de schuld in te jagen en hun kinderen af te nemen. Want er stond een sterretje bij hun naam agv die risico-analyse. Hoe dat wkam, dat weten we niet meer. Die log-data is er niet (meer).

Als je zoiets opzet, dan doe je dat met afgebakende gebruiksdoelen, goede wet- en regelgeving en beschermende maatregelen. En laten we onafhankelijk toezicht vooral niet vergeten. Voor het geval ze uit de bocht vliegen. Zoals gebeurd is.
Dan laat je niet jan en alleman erin grasduinen. En al helemaal niet usb-stickies meenemen.

Flapdrol(len)

Het is onderhand tijd dat de belastingdienst en een aantal poltici onder curatele gezet worden.
Het zelflerend vermogen is gewoon te laag. Dat blijkt keer op keer weer.
Reageer met quote
07-03-2025, 18:27 door Anoniem
Ik stel vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en ik betreur dat", aldus Van Oostenbruggen
HMM What?
Lijkt Schoof wel. Schijt aan de wet.Of de NCTV . Sleepwet. Altijd betreuren ze het.Waarom doen ze het dan?
Ondermijning van de Rechtsstaat is het . Maar.... dat zou de overheid toch juist bestrijden? ONDERMIJNING?
Gaat de overheid zichzelf bestrijden? NEE dus.
Leuk he?
En de boetes?
Die betalen wij...
Het is zo triest allemaal.
Reageer met quote
Gisteren, 07:06 door Anoniem
Met deze lijst overtrad de Belastingdienst de AVG en kreeg het een boete van 3,7 miljoen euro van de Autoriteit Persoonsgegevens
Voor het illegaal verzamelen van de gegevens van zeg 15 miljoen mensen. Ofwel: het illegaal bijeen harken van de data van 1 persoon levert een boete van zeg 40 cent op. Koopje!

De overheid is de vijand. Dat blijkt ook nu weer. Maar ja, de schaapjes blijven het maar accepteren he...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure