Belastingdienst zet stappen naar privacybescherming

In een brief van 3 juli 2025 licht het Ministerie van Financiën toe hoe de Belastingdienst, die met een enorme hoeveelheid persoonsgegevens werkt , de bescherming van burgers en bedrijven beter waarborgt. De AVG is al sinds 2018 van kracht , maar de implementatie ervan is complex door de omvang van de gegevensverwerking en een deels verouderd ICT-landschap bij de Belastingdienst.

Versterkte privacy organisatie en AP-adviezen

De Belastingdienst heeft flink geïnvesteerd in zijn privacyorganisatie. Een belangrijke ontwikkeling is de herijking van de governance naar aanleiding van een onderzoek van de AP. De AP constateerde eerder positieve ontwikkelingen, maar ook zorgen over beperkte centrale regie en de invulling van taken.

Sinds 8 april 2025 is de nieuwe governance vastgesteld, waarbij de centrale regie is belegd bij de Chief Privacy Officer (CPO). Deze CPO wordt ondersteund door tien medewerkers, en daarnaast zijn er ongeveer 70 medewerkers actief in een vaktechnische structuur om juridische vragen over de AVG en fiscaliteit te beantwoorden. Ook adviseren datacoördinatoren managementteams over privacymanagement. Dit alles leidt tot meer grip op persoonsgegevens zonder dat heffing, inning en toezicht onnodig worden beperkt. De Belastingdienst blijft in gesprek met de AP over de voortgang.

Voortgang op diverse fronten

De Belastingdienst meldt ook andere belangrijke resultaten. Zo wordt bij de ontwikkeling van nieuwe processen en systemen nu gewerkt volgens het principe 'privacy by design'. Dit betekent dat privacy vanaf het begin wordt meegenomen in het ontwerp. Ook is het datalekproces herijkt, waarbij aanbevelingen van de AP zijn overgenomen, zoals het niet standaard registreren van het BSN van de melder en intensievere betrokkenheid van de Functionaris Gegevensbescherming (FG) van Financiën bij datalekken.

Daarnaast is de AVG verankerd in verplichte cursussen voor medewerkers over online veiligheid en omgang met persoonsgegevens. Alle ruim 700 bedrijfsprocessen van de Belastingdienst zijn in kaart gebracht en getoetst op hoofdlijnen van de AVG, waardoor een duidelijk beeld is ontstaan van waar nog tekortkomingen bestaan. Hoogrisicovolle tekortkomingen zijn direct aangepakt met structurele of tijdelijke maatregelen.

Toekomstige ambities: Register en DPIA's

Voor 2025 richt de Belastingdienst zich op twee cruciale volgende stappen om de privacybeheersing verder te versterken. Ten eerste wordt het verwerkingenregister geactualiseerd, een centraal overzicht van alle verwerkingen van persoonsgegevens. Dit register wordt in het derde kwartaal van 2025 aangeboden aan de AP en FG.

Ten tweede wordt onderzocht voor welke hoogrisicoverwerkingen nog Data Protection Impact Assessments (DPIA's) moeten worden uitgevoerd. Na deze toetsing zullen de benodigde DPIA's worden opgesteld, centraal geregistreerd en actief onderhouden.

De staatssecretaris, T. van Oostenbruggen, benadrukt dat het "in control" komen op AVG-gebied verder reikt dan de acties in 2025. Het vraagt blijvende aandacht voor de AVG en privacy in het algemeen, onder meer door bewustwordingscampagnes, opleidingen en het monitoren van naleving. De Kamer zal hierover regelmatig worden geïnformeerd, en er is een technische briefing aangeboden over het onderwerp.