De manier waarop de FSV gebruikt werd, voldeed niet aan de privacyregels van de AVG. Hiervoor heeft de Belastingdienst een boete gekregen. Waar was deze boete voor? En welk systeem komt er in de plaats van de FSV?
Waar was de boete voor?
De Autoriteit Persoonsgegevens (AP) houdt toezicht: zij kijken of de regels van de AVG goed gevolgd worden. Zo bekeek de AP ook de FSV. De FSV voldeed niet aan de regels. Er hadden bijvoorbeeld te veel medewerkers van de Belastingdienst toegang tot de FSV. Ook werden gegevens te lang bewaard en sommige informatie mocht er niet in staan.
De FSV is op 27 februari 2020 uitgezet en wordt niet meer gebruikt. Omdat de FSV niet voldeed aan de privacyregels van de AVG, kreeg de Belastingdienst een boete van 3,7 miljoen euro. Het is de hoogste boete die ooit door de AP was uitgedeeld.
Testen mogelijk nieuw systeem
We willen leren van de fouten zodat we ze niet opnieuw maken. We hebben daarom de AP gevraagd mee te kijken naar een mogelijke opvolger van de FSV: de TSV (Tijdelijke Signalering Voorziening).
Voordat we de TSV kunnen gebruiken, moet goed gekeken worden of deze aan alle regels en eisen van de AVG voldoet. Voor het behandelen van veel of gevoelige gegevens, vraagt de AVG een strenge toets. Met die toets wordt vastgelegd wat het doel van de TSV is en welke regels en eisen nodig zijn. Ook wordt gekeken naar de risico’s en wat je kunt doen om deze te verkleinen.
Advies voor verdere ontwikkeling
De AP heeft de TSV getoetst en komt tot de conclusie dat er nog extra maatregelen nodig zijn. We kunnen het systeem daarom nog niet gaan gebruiken.
In de beoordeling van de TSV geeft de AP de volgende adviezen:
- Er zijn duidelijke regels nodig voor elke keer dat persoonsgegevens worden opgeslagen in de TSV. Deze regels moeten zo nodig in de wet vastgelegd worden.
- De persoonsgegevens mogen alleen verwerkt worden voor het doel waarvoor ze nodig zijn. Dat gebeurt nog niet genoeg. Hier moet strenger op worden gelet.
- Er moet beter gekeken worden naar nadelige gevolgen die mensen kunnen hebben van een registratie. Wordt over iemand een melding van mogelijke fraude gedaan en worden gegevens over deze persoon daarom geregistreerd? Dan kan deze persoon daarvan misschien al gevolgen hebben terwijl nog niet bekend is of de melding klopt en of er sprake is van fraude. Er moeten duidelijke regels komen om dat te voorkomen.
- De gegevens moeten juist zijn. Oude en onjuiste informatie mag niet meer gebruikt worden bij nieuwe beoordelingen van fraudesignalen.
Deze adviezen van de AP worden meegenomen in de verdere ontwikkeling van de TSV. De TSV zal pas gebruikt worden als alles volgens de eisen van de AVG is geregeld.