Na de toeslagenaffaire kan de AVG vertrouwen in de overheid herstellen

16-02-2021

Na de toeslagenaffaire kan de AVG vertrouwen in de overheid herstellen

Na de toeslagenaffaire moeten de Belastingdienst en burgers met elkaar verder, maar hoe? De privacy van burgers is immers geschonden, en het imago van de Belastingdienst heeft een forse deuk opgelopen. "Het kan en mag niet nog een keer zo verschrikkelijk mis gaan", zei demissionair premier Rutte hierover. Als de overheid het vereiste samenspel van mensen, processen en technologie goed voor elkaar krijgt, kan met gegevensbescherming volgens de AVG een flinke stap gezet worden richting het terugwinnen van het burgervertrouwen.

Het goede nieuws is dat overheidsorganisaties vaak vergevorderd zijn met hun privacyhuishouding. Toch is het voor hen geen simpel af te strepen agendapunt. Het monitoren van privacyrisico’s vereist continu hard werken. De snelle overgang naar een digitale overheid kan het functioneren van de publieke sector en dienstverlening aan burgers optimaliseren, maar het leidt ook tot onvoorziene risico’s.

Waar moet de overheid aan voldoen?

Het strenge toezicht op toeslagen startte al voordat de huidige Europese privacywet (de AVG) breed bekend was bij het publiek. De AVG werd op 25 mei 2018 van kracht, maar het voorstel hiervoor werd al ingediend in 2012 en goedgekeurd in 2016. Ook voorloper WBP vermeldde grotendeels dezelfde verplichtingen. Van de overheid kon dus verwacht worden dat ze zich aan de dan geldende regels hield, of die nu van de AVG of de WBP kwamen.

De privacywetgeving betekent voor overheidsinstellingen als de Belastingdienst onder meer:

  • Het aanstellen van een onafhankelijke verantwoordelijke aan met voldoende kennis en gezag, een functionaris Gegevensbescherming.
  • Vaststellen van vooraf gerechtvaardigde doelen waarvoor persoonsgegevens worden gebruikt en documenteren wat de zogeheten ‘grondslag’ is voor het verwerken van persoonsgegevens.
  • Doelbinding: In beginsel alleen verwerken van persoonsgegevens voor een vooraf vastgesteld doel.
  • Dataminimalisatie: Het slechts verwerken van persoonsgegevens die noodzakelijk zijn voor de verwerking.
  • Vooraf in kaart brengen van de privacyrisico’s voor de betrokkenen door een zogeheten ‘Data Protection Impact Assessment’ (DPIA). Deze risicoanalyse moet herhaald worden wanneer er een verandering plaatsvindt, en anders bijvoorbeeld elke drie jaar.
  • Overzicht hebben in de verwerking van persoonsgegevens. Een verwerkingsregister dat vastlegt door wie, waar, hoe lang die gegevens worden verwerkt, en voor welke doeleinden.
  • Ervoor zorgen dat het voor betrokkenen duidelijk is hoe zij hun (privacy)rechten kunnen uitoefenen.
  • Het voor betrokkenen helder maken wat er met hun gegevens gebeurt. Bij gebruik van geautomatiseerde besluitvorming en profilering, zoals zelflerende algoritmes, moet men ook nuttige informatie geven over de onderliggende logica, het belang en de verwachte gevolgen.

Wat is er gebeurd?

De overheid stond onder politieke druk om het toeslagenstelsel tijdig in te voeren. Dat zorgde ervoor dat de Belastingdienst toeslagaanvragen alleen achteraf controleerde, tot wel vijf jaar nadat de toeslag is uitgekeerd. Door deze methode kon ook de zogenoemde ‘Bulgarenfraude’ in 2013 ontstaan. Die druk paste overigens wel in het tijdsbeeld. Opinieonderzoek van Kantar TNS uit 2012 laat zien dat meer dan 60% van de bevolking van Sociale Zaken verwachtte dat het misbruik van uitkeringen zou aanpakken. De regeerakkoorden van de kabinetten Rutte I (2010) en Rutte II (2012) sturen dan ook op een strengere aanpak. Kabinet Rutte I voerde daarnaast forse bezuinigingen door bij de Belastingdienst waarvan een groot deel moest worden bereikt door versobering en efficiënter werken.

In deze situatie ontstond een gebrek aan transparantie, verboden gebruik van nationaliteit in combinatie met zelflerende algoritmen en werden privacyrechten geschonden. Dit heeft voor een grote groep ouders (en kinderen) zeer ernstige financiële en emotionele gevolgen. De Autoriteit Persoonsgegevens concludeerde dat de Belastingdienst niet heeft stilgesta an bij de vraag of de nationaliteit van aanvragers noodzakelijk was voor toeslagaanvragen en fraudebestrijding. De dienst heeft de nationaliteitsgegevens vervolgens opgenomen in allerlei systemen, bijvoorbeeld als frauderisico-indicator.

Is de AVG de boosdoener?

De AVG werd de afgelopen tijd in de media steeds vaker neergezet als boeman. Maar de AVG is geenszins debet aan het debacle bij de Belastingdienst. Wel zien we dat organisaties zich in hun privacybeleid soms laten beperken door een ‘kan niet, mag niet’-denkbeeld. Dit is gevaarlijk, want hierdoor nemen zij vaak de verkeerde beslissingen of verkrampen ze door onnodige formaliteiten. Zo wordt de AVG vaker aangehaald als reden om belangrijke informatie niet te delen, als dit wel nodig is. In de begindagen van de corona-crisis voelden instanties zich bijvoorbeeld geremd om de doodsoorzaak van patiënten te delen. Ook in de toeslagenaffaire deden zulke situaties zich voor: De gemeente Amsterdam kon gedupeerden niet helpen omdat Marjolein Moorman, wethouder armoede & schuldhulpverlening, geen volledige lijst kreeg met namen van getroffenen. De AVG werd genoemd als reden: er zou eerst toestemming gevraagd moeten worden voor verdere verwerking als schuldhulp. Echter, de AVG ziet slechts toe op levende personen en toestemming is slechts één van de opties voor het verder verwerken.

Welke maatregelen moet de Belastingdienst nu nemen?

De AVG biedt praktische handvatten voor effectieve gegevensverwerking. Organisaties beschikken daarbij over voldoende speelruimte om hun privacybeleid af te stemmen op de specifieke situatie. Op het vlak van privacy is de AVG door de Belastingdienst niet toegepast zoals deze is bedoeld. We weten niet of privacyrisico’s door middel van een DPIA in kaart zijn gebracht. Als deze is uitgevoerd, dan hadden de bestaande risico’s vervolgens onderkend en aangekaart moeten worden. De Belastingdienst had de problemen daarna zelf kunnen oplossen of om hulp kunnen vragen. Veel organisaties denken dat ze door het in huis halen van nieuwe technologie alle bestaande problemen kunnen oplossen. Wat vaak, ook bij de Belastingdienst, over het hoofd wordt gezien is dat technologie zo goed is als de bijbehorende processen, en die processen zijn zo goed als de mensen die ze uitvoeren. Technologie is dus geen wondermiddel.

De overheid vreest nu dat na de toeslagenaffaire meer vergelijkbare problemen zullen opduiken, zoals bij de inkomstenbelasting. Dat kan het gevolg zijn van de verdergaande digitalisering, een speerpunt van het Nederlandse overheidsbeleid. Algoritmen worden breed toegepast bij overheidsinstanties, van gemeenten tot de Rijksoverheid. Digitalisering kan veel opleveren, maar dergelijke technologie vereist wel vergaand inzicht in de technologie zelf, de processen waarin het wordt toegepast, door wie én uiteraard in de problemen die hiermee opgelost moeten worden. Ook moet er voortdurende aandacht zijn voor de risico’s die met het gebruik gepaard gaan, zodat de technologie privacy-proof toegepast kan worden. En dat is hard werken. Leuker kunnen we het niet maken. Wel veiliger.

Door: Nicoline Matser (foto), expert op het gebied van privacy en CEO van PrivacyPerfect

Terug naar nieuws overzicht