Zembla woensdag om 21:15 uur op NPO 2

  • Wat weet de Belastingdienst over ons?

  • Belastingdienst

    Uit onze ZEMBLA-uitzending van woensdag 1 februari beek dat financiële en persoonlijke gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven tussen 2013 en 2016 onvoldoende beveiligd zijn geweest. ‘Wat daar gebeurt is onwettig’, zei hoogleraar computerbeveiliging aan de Radboud Universiteit Bart Jacobs hierover. Maar om welke gegevens gaat het? Wat verzamelt de Belastingdienst over ons en hoe ver mag hij daarin gaan?

    Bekijk de eerste twee minuten van 'Prutsen en pielen zonder pottenkijkers'

    Veel meer dan we denken
    De Belastingdienst weet veel meer over ons dan we denken. In onze uitzending verwijzen we naar een document op de website van de Belastingdienst waar een opsomming staat van gegevens die de dienst bewaart. Daarin staan niet alleen onze adresgegevens en inkomen, ook gegevens over ons reisgedrag, schulden en vermoedens van strafbare feiten worden opgeslagen. Maar dat is niet alles.

    Bekijk het document: 'Verwerkingen van persoonsgegevens door de Belastingdienst en de FIOD'

    “Je kunt niet van mij verwachten dat ik alles aan iedereen vertel”, zei de oud-belastingtopman Hans Blokpoel in een uitgebreid interview met De Correspondent twee jaar geleden. “Dan geef ik mijn handhavingsstrategie bloot.” Zijn antwoord kwam op een vraag van De Correspondent-journalist Maurits Martijn die hem een afspraak voorlegde tussen de Belastingdienst en de Nationale Politie om kentekenregistraties van Nederlandse auto’s rechtstreeks naar de fiscus te sturen. De Belastingdienst had die afspraak niet naar buiten gebracht, het werd pas bekend toen er een rechtszaak over kwam. 

    Wanbetalers monitoren
    De fiscus heeft bijvoorbeeld ook een systeem dat signaleert als bij er wanbetalers nieuwe mogelijkheden zijn om geld te innen. Zowel bij burgers als bedrijven. Dat heet 'dynamisch monitoren'. Daarbij worden gegevens doorgestuurd naar het Landelijk Incassocentrum over belastingbetalers. Denk aan dat iemand een nieuwe auto koopt of loon heeft ontvangen. Dit is overigens alleen in gevallen waarbij er sprake is van regelmatige wanbetaling, maar toch rijst de vraag: tot hoever mag de Belastingdienst het gedrag van belastingbetalers analyseren?

    Wat gaan we met die informatie doen?
    In De Correspondent zei Hans Blokpoel op de vraag hoever je kunt gaan bij het analyseren van het gedrag van belastingbetalers: “Dan zou het dus zo kunnen zijn - en dit is een puur hypothetisch voorbeeld - dat als jij in een grijze Golf rijdt, de kans groot is dat je een aangifte doet waar iets mis mee is. Of dat mensen die in februari zijn geboren meer fouten maken. De volgende vraag is dan: Wat gaan we met die informatie doen? Welke behandeling gaan we deze mensen geven?’

    Parkeergegevens
    Er zijn meer voorbeelden van de verzameldrift van de Belastingdienst. Neem het voorval waarbij de Belastingdienst alle parkeergegevens van leaserijders opvroeg bij bedrijven waar de automobilisten met hun telefoon konden betalen voor hun parkeerplek. De fiscus kreeg zo tot in detail hun parkeergedrag in handen. Het doel ervan was te controleren of ze niet meer privékilometers reden dan mocht. Maar in het De Correspondent-interview gaf Blokpoel toe dat ook hij vond dat dit te ver ging en ermee was gestopt.

    Big DataCamerabeelden snelweg
    Vorig jaar kwam de fiscus onder vuur te liggen vanwege een andere zaak die een leaserijder had aangespannen. Een vrouw die een naheffing kreeg omdat ze volgens de Belastingdienst meer dan vijfhonderd kilometer privé zou hebben gereden, vond dat haar privacy was aangetast. De fiscus had haar geconfronteerd met foto’s van haar kenteken, gemaakt door snelwegcamera’s. De Nationale Politie mag die gegevens niet langer dan drie maanden bewaren, de Belastingdienst mag dat vijf tot zeven jaar. Maar mogen ze ook gebruikt worden als zoekmiddel om naheffingen mee op te leggen? Of druist dat in tegen de privacywetgeving?

    Wettelijk vastleggen
    Volgens Guido de Bont van De Bont Advocaten die de zaak namens de ondernemer aanspande, is ‘waarneming’ op zich niet verboden, maar gaat het om het ‘structurele karakter’ van het monitoren. De Bont vindt het niet raar dat privacy soms wordt ingeperkt in een maatschappij waarin steeds meer persoonsgegevens worden opgeslagen. Maar dan moet het wel wettelijk vastliggen. In de zaak van de leaserijder die een naheffing kreeg, was dit bijvoorbeeld niet het geval. De Bont:

    “En dat kan niet. Dat je toezichthoudend orgaan bent, betekent niet dat je ook alles mag. Dat willen we met deze zaak aantonen.”

    De advocaat-generaal van de Hoge Raad concludeerde dat een dergelijke inbreuk op de privacy alleen toegestaan als het bij wet is vastgelegd. En die wettelijke basis ontbrak bij de Belastingdienst. De zaak wacht nog op de definitieve uitspraak.

    Nieuwe privacyregels
    Dat privacywetgeving duidelijker en strenger moet worden, is inmiddels ook op Europees niveau besloten. Vanaf mei 2018 wordt de Europese privacywetgeving aangescherpt. David Korteweg van de privacyrechtenorganisatie Bits of Freedom hierover: “De transparantieverplichting wordt strenger. Europa gaat scherper toezien op wat er met onze data gebeurt. Bedrijven en instellingen moeten meer informeren over wat ze met de gegevens van hun klanten doen. Ook de Belastingdienst valt daaronder. Stel dat ze bij de Belastingdienst algoritmes (rekenmethodes, red.) gebruiken en op basis van die algoritmes geautomatiseerde beslissingen nemen, dan moeten ze je hierover voldoende informeren. Dit betekent dat ze ten minste informatie moeten verstrekken over de onderliggende logica en de verwachte gevolgen van deze geautomatiseerde beslissingen. Doen ze dat niet, dan overtreden ze de nieuwe privacyregels en riskeren ze een boete die kan oplopen tot twintig miljoen euro.”

    Inzagerecht
    Maar wat kun je als burger doen als je wilt weten welke informatie bedrijven over je opslaan? Nu al kunnen burgers gebruik maken van het inzagerecht. Dat houdt in dat je een bedrijf kunt vragen informatie te verstrekken over de data die ze over jou hebben verzameld en gebruiken. Binnen vier weken moet een bedrijf vervolgens laten weten welke gegevens ze over je gebruiken. Als die gegevens niet kloppen of verkeerd worden gebruikt, dan heb je het recht te eisen dat ze worden aangepast of verwijderd. 

    PIMPrivacy Inzage Machine
    Om gebruik te maken van het inzagerecht kunnen burgers een brief sturen naar het bedrijf waar je informatie van wil opvragen. Bits of Freedom heeft daarvoor een speciale tool ontwikkeld: de Privacy Inzage Machine, kortweg PIM. Hiermee kun je eenvoudig een brief opstellen en naar een bedrijf sturen waarvan je wilt weten wat het met je gegevens doet. Dit kan ook voor de Belastingdienst. Bits of Freedom verzamelde verschillende adressen van regiokantoren waar je de brief, vergezeld van een identiteitsbewijs, naartoe kunt sturen. Staat het adres van jouw regiokantoor er niet bij, dan kun je dat vinden op de website van de Belastingdienst.

    Vul hier de Privacy Inzage Machine in.

    Privacy op internet
    Bij onze eerdere uitzending ‘Data, het nieuwe goud’ maakten we een ZEMBLA Magazine met interviews en informatie over wat je zoal kunt doen om je persoonsgegevens te beschermen op internet en in apps op de mobiele telefoon. Lees deze verhalen in ZEMBLA Extra.  

    De Belastingdienst wilde geen commentaar geven op de genoemde voorbeelden in dit artikel. Komende week komt de dienst met een brief aan de Kamer over het onderwerp. Op donderdag 9 februari staat een debat in de Tweede Kamer gepland.

    Lees het volledige interview met Hans Blokpoel in de Correspondent: Baas Belastingdienst over Big Data: 'Mijn missie is gedragsverandering'