Privacywaakhond straft Belastingdienst om schaduw-IT

Sinds april 2024 houdt de AP verscherpt toezicht op de fiscus. De focus ligt nu op de zogeheten Lokaal Ontwikkelde Applicaties (LOA's) en Robuuste Tijdelijke Voorzieningen (RTV's). Dit zijn IT-systemen die buiten de reguliere beleidskaders van de Belastingdienst om zijn gebouwd. Omdat deze applicaties niet centraal worden beheerd, is er geen zicht op de inhoud, het gebruik of de naleving van wetten zoals de AVG.

Risico's voor de burger

De AP concludeert dat de regie op deze "schaduw-IT" ontbreekt. Burgers lopen hierdoor het risico dat hun persoonsgegevens onzorgvuldig worden behandeld. Gegevens worden mogelijk te lang bewaard, zijn onvoldoende beveiligd of leiden op basis van verouderde informatie tot verkeerde beslissingen.

Het onderzoek naar 76 specifieke toezichtapplicaties legde pijnlijke gebreken bloot:

Bij 9% van de applicaties was de juridische grondslag voor gegevensverwerking onduidelijk.

In 17% van de gevallen was niet vastgesteld of de gegevens wel voor het juiste doel werden gebruikt.

65% van de systemen heeft exportfuncties, terwijl de Belastingdienst onvoldoende zicht heeft op welke gegevens hierdoor buiten de beveiligde omgeving belanden.

Systematische risicoanalyses en goede beveiligingsmaatregelen, zoals logging en monitoring, ontbreken nagenoeg volledig.

Noodzakelijke maatregelen

De AP herinnert aan beruchte systemen uit het verleden, zoals de Fraude Signalering Voorziening (FSV), waarmee de rechten van burgers ernstig werden geschaad. Om herhaling te voorkomen, moet de Belastingdienst direct actie ondernemen.

De toezichthouder eist onder meer een centraal overzicht van alle applicaties en een concreet plan om LOA's en RTV's om te zetten naar reguliere, veilige systemen. Ook moeten de mogelijkheden om gegevens uit bronsystemen naar deze lokale applicaties te sluizen worden beperkt

De AP zal de voortgang strikt monitoren en verplicht de Belastingdienst om elk half jaar een rapportage over de verbeteringen toe te zenden