Privacy Nieuws
Tweeduizend Amsterdammers hebben zich inmiddels bij hun gemeente gemeld omdat hun persoonsgegevens op een harde schijf van de gemeentelijke dienst Belastingen staat die begin april 2021 werd gestolen. Op deze harddisk staan gegevens van in totaal 30 duizend Amsterdammers.
De harde schijf van de gemeentelijke dienst Belastingen werd op 7 april ontvreemd uit een computer die wordt gebruikt voor het scannen van inkomende poststukken.
Betrokkenen konden na de diefstal bellen met de gemeente om uit te laten zoeken om welke documenten het in hun geval ging.
30 duizend belastingplichtigen
De schijf bevat volgens de gemeente documenten uit de periode juli vorig jaar tot en met maart 2021 die per post zijn gestuurd door ongeveer 30 duizend belastingplichtigen. “Het gaat om uiteenlopende documenten, waaronder bezwaren, aangiftes en verzoeken om kwijtschelding, waarbij bijvoorbeeld contactgegevens, kopieën van ID-bewijzen en zorgpolisbladen kunnen zijn meegestuurd. Welke informatie is opgeslagen op de schijf verschilt van geval tot geval”, reageert verantwoordelijk wethouder Everhardt in het Parool.
Tien nieuwe ID-bewijzen
Alle betrokkenen kregen een brief waarop zij op de hoogte werden gesteld van de diefstal. In de brief zijn de Amsterdammers gewezen op het risico dat de gestolen gegevens kunnen worden gebruikt voor fraude, zoals het opmaken van valse facturen.
De gemeente heeft bij alle mensen die naar aanleiding van de diefstal contact hebben opgenomen, gecontroleerd op de aanwezigheid van kopieën van ID-bewijzen.
In totaal is in tien gevallen (gratis) een nieuw ID-bewijs verstrekt. Hiermee hoopt de gemeente identiteitsfraude te voorkomen.
Tot op heden zijn geen tekenen van fraude gesignaleerd. Het politieonderzoek naar de diefstal loopt nog.
Privacy Nieuws
De Belastingdienst meldt een zorgwekkende toename van phishing meldingen. Normaal krijgt de Belastingdienst zo’n veertig meldingen per week, maar vorige week steeg dit tot vijfhonderd meldingen en deze week ontvingen de dienst maar liefst duizend meldingen per dag.
Phishing is een methode waarbij kwaadwillenden met voornamelijk nepmailtjes hengelen naar persoonlijke data, zoals inlog- en bankgegevens.
In het geval van de Belastingdienst gaat het om sms’jes waarin wordt gezegd dat de ontvanger nog een schuld open heeft staan. Daarbij staat een link waar de ontvanger dan op moet klikken om deze schuld te betalen. Ook zijn er mails in omloop waarin een link naar een factuur wordt meegestuurd die ontvangers nog zouden moeten betalen.
De Belastingdienst waarschuwt om deze links niet te openen. “Wij vragen u nooit om betalingen te doen via e-mail of sms. Open de e-mail (en bijlage) of sms niet, maar verwijder deze meteen”, aldus de Belastingdienst.
De Fraudehelpdesk liet in oktober al weten dat dit jaar veel meer meldingen van phishing binnenkomen dan voorgaande jaren. Het ging in de periode van januari tot oktober om vijftienduizend meldingen.
Duizend meldingen op een dag is, in vergelijking met vijftienduizend meldingen verspreid over tien maanden, een explosieve stijging. Waarom juist deze week zoveel meldingen binnenkomen is bij de Belastingdienst onbekend.
Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) geldt niet altijd voor de Belastingdienst. De rechtbank in Amsterdam heeft in een kort geding bepaald dat de Stichting Museumkaart de privédata van een van zijn leden aan de Belastingdienst moet verstrekken.
De Belastingdienst wil van de Stichting Museumkaart weten wanneer een van de leden gebruik heeft gemaakt van de jaarkaart. Het betreft de gegevens van iemand die er van wordt verdacht de belasting te ontduiken door valselijk te beweren in het buitenland te wonen.
De stichting weigerde de gegevens te verstrekken. Daarbij werd verwezen naar de AVG. De Stichting heeft op 3 mei 2018 aan de
Autoriteit Persoonsgegevens (AP) tevergeefs verzocht om een zienswijze over de gevraagde verstrekking van gegevens door de Stichting aan de Staat.
De AP heeft op 22 juni 2018 schriftelijk te kennen gegeven dat het verzoek niet in behandeling zal worden genomen.
De Belastingdienst betoogt dat artikel 47 van de Algemene wet inzake rijksbelastingen (AWR) de inspecteur een zeer ruime bevoegdheid biedt om informatie – ook ten aanzien van derden – op te vragen. De enige inhoudelijke beperking waarmee op grond van artikel 47 lid 1 sub a AWR rekening moet worden gehouden is dat de verlangde gegevens en inlichtingen voor de belastingheffing van belang kunnen zijn.
De bevoegdheid ex artikel 53 juncto 47 AWR mag ook worden gebruikt om gegevens dubbel te controleren. De vordering valt volgens de Belastingdienst binnen de grenzen van de toepasselijk wet- en regelgeving op het gebied van privacy.
De rechter is het met de Belastingdienst eens. Het belang van een goede heffing van belastingen weegt in dit geval zwaarder dan het privé houden van de gegevens, oordeelt de rechtbank Amsterdam.
De Belastingdienst vraagt geregeld gegevens op bij derde partijen om onderzoek te doen naar mogelijke belastingontduikers. Het gaat vaak om privacygevoelige gegevens, zoals informatie over een lidmaatschap en betaalgegevens.
Experts zetten hun vraagtekens bij deze steeds grotere informatiehonger van de fiscus.
Om belastingontduiking tegen te gaan, krijgt de dienst de komende jaren 17 miljoen euro extra. Met dat geld moeten mensen met zogenoemd verhuld vermogen beter worden opgespoord om zo fraude in de kiem te smoren.
Maar om beter en uitgebreider onderzoek te doen, wordt ook meer gegraven in persoonlijke gegevens. Data waarover bedrijven en instanties door de digitalisering in grote hoeveelheden beschikken.
Precies daar zit volgens sommige belastingrecht- en privacyexperts een probleem. Want omdat er steeds meer informatie digitaal beschikbaar komt en er wettelijke bevoegdheden zijn, wordt de kans dat de Belastingdienst in je gegevens duikt steeds groter.
Ondertussen voldoet de Belastingdienst op meerdere punten momenteel niet aan de AVG. De Autoriteit Persoonsgegevens (AP) heeft al gedreigd sancties op te leggen.
Privacy Nieuws
De Belastingdienst kan niet garanderen dat gevoelige persoonsgegevens niet zomaar buiten de systemen belanden, schrijft directeur-generaal Jaap Uijlenbroek van de Belastingdienst in een brief aan de Autoriteit Persoonsgegevens (AP).
De toezichthouder heeft de Belastingdienst gevraagd waarom zij zich niet aan de wet houdt als het gaat om databeveiliging.
Autoriteit Persoonsgegevens vroeg in juli fiscus om opheldering
De Autoriteit Persoonsgegevens concludeerde in juli dat de Belastingdienst onder andere moet bijhouden wie bepaalde gegevens uit de systemen ophaalt voor verdere analyse.
Uijlenbroek schrijft in de brief aan de Autoriteit Persoonsgegevens dat dat ‘technisch niet mogelijk is’.
Ook zou het niet mogelijk zijn om via autorisatie de toegang tot de data te beperken.
Staatssecretaris zegt dat Belastingdienst pas volgend jaar aan AVG kan voldoen
Staatssecretaris Menno Snel van Financiën liet eerder weten dat de fiscus pas volgend jaar aan de Algemene Verordening Gegevensbescherming (AVG) kan voldoen. Daardoor is de fiscus fors in overtreding.
Grote vraag is wat de AP nu gaat doen. De Autoriteit Persoonsgegevens zegt ‘niet te schromen om handhavingsmiddelen in te zetten als de overtredingen niet beëindigd zijn’. Dat varieert van een waarschuwing tot boetes of een last onder dwangsom.
Wat gaat de Autoriteit Persoonsgegevens nu doen?
Aangezien de Belastingdienst al jarenlang op de hoogte is van de problemen – en de overheid net als andere organisaties aan de Europese privacyregels moet voldoen – lijkt het onoverkoombaar dat de Autoriteit Persoonsgegevens gaat optreden.
Onthulling tv-programma Zembla
Begin 2017 onthulde het tv-programma ‘Zembla’ dat bij een speciale afdeling van de Belastingdienst de beveiliging volstrekt onvoldoende was.
Hoogleraar computerbeveiliging Bart Jacobs verbaasd over verklaring Belastingdienst
Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit zegt in Trouw verbaast te zijn over de verklaring van Uilenbroek.
“Dit gaat om systemen waarin alle data van de Belastingdienst zijn opgeslagen. Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn.”
Of er sprake is van voldoende beveiliging hangt af van de manier waarop medewerkers daar persoonlijk invulling aan geven, zegt Jacobs.
“Ik mag hopen dat er geen enorme databestanden via de e-mail worden verstuurd. En dat gegevens die wel worden verstuurd binnen de systemen van de Belastingdienst blijven.”
Tweede Kamerlid Pieter Omtzigt gaat debat aanvragen
Tweede Kamerlid Pieter Omtzigt (CDA) noemt het gebrek aan beveiliging ‘heel ernstig’. Hij zegt een debat aan te gaan vragen.
“Een jaar geleden werden al verbeteringen beloofd die nog steeds niet plaatsvinden. De Belastingdienst heeft een van de meest privacygevoelige datasets van Nederland. In de omgang daarmee lijken ze privacy totaal niet serieus te nemen.”
Privacy Nieuws
Staatssecretaris Snel van Financiën houdt er rekening mee dat de Autoriteit Persoonsgegevens de belastingdienst een boete gaat opleggen. De fiscus houdt zich namelijk niet aan de AVG. Het duurt volgens Stel ook nog zeker een jaar voor de belastingdienst de boel op orde heeft.
De Belastingdienst heeft volgens Snel in dat opzicht geen uitzonderingspositie. „De Autoriteit Persoonsgegevens heeft benadrukt dat de AVG voor iedereen geldt”, schrijft Snel in antwoord op Kamervragen van CDA-Kamerlid Omtzigt.
In de tussentijd heeft de Belastingdienst sommige methodes van gegevensverwerking al stilgelegd, als het niet duidelijk was of dat volgens de nieuwe wet wel zou mogen. Dat gaat bijvoorbeeld om camerabeelden die de fiscus gebruikte om te controleren op de motorrijtuigenbelasting.
Omtzigt zelf vindt deze situatie, waarin de fiscus zich zelf niet aan een wet houdt, slecht voor het gezag van de Belastingdienst.
„Die moet iedereen aan de wet houden en doet dat zelf met de sterke arm door soms al boetes op te leggen na een paar dagen te laat aangifte doen of betalen. Ik wil nadere uitleg van de regering hoe het zo ver heeft kunnen komen.”
Daarnaast wil Omtzigt van de Autoriteit Persoonsgegevens weten hoe die in gaat grijpen. Hij wijst erop dat de toezichthouder al bijna twee jaar bezig is met twee onderzoeken naar de Belastingdienst: „Dat gaat om het datalek bij de zogenoemde Broedkamer waar de gegevens van alle Nederlanders opgeslagen waren en het gebruik van het BSN-nummer als btw-nummer bij zzp’ers. Dus ik wil ook nadere uitleg van de toezichthouder: wanneer kunnen we de rapporten verwachten?”
