Laatste update: 13 juni 2018

De Belastingdienst heeft één van de grootste gegevensverzamelingen binnen de overheid. Hoe gaan we om met gegevens van burgers en bedrijven? Hoe en waarvoor gebruiken we die gegevens? Wat doen we om deze te beschermen? In dit factsheet vindt u antwoord op deze en andere vragen.

De Belastingdienst gebruikt gegevens om zijn wettelijke taken uit te voeren: het heffen en innen van belastingen, uitkeren van toeslagen, (goederen)toezicht en (fiscale) opsporing. De meeste gegevens betreffen natuurlijke personen, rechtspersonen en bedrijven. Persoonsgegevens maken hier onderdeel van uit.

De Belastingdienst ontvangt gegevens van burgers en bedrijven en wint zelf gegevens in bij veel organisaties binnen en buiten de overheid. Daarnaast verstrekt de Belastingdienst gegevens aan andere overheidsinstanties, zodat zij hun taken goed kunnen uitvoeren. Het verkrijgen, verwerken en verstrekken van gegevens gebeurt binnen wettelijke kaders die de Belastingdienst daartoe een verplichting opleggen of een bevoegdheid geven.

De bescherming van deze gegevens is belangrijk, bij de verschillende aspecten van ons eigen werk én in onze samenwerking met anderen. De Belastingdienst zet daarom steeds stappen om de diverse aspecten van het verkrijgen, verwerken en verstrekken van gegevens verder te verbeteren.

Gegevens zijn de spil van alle processen en ze zijn de grondstof voor al het werk van de Belastingdienst. Sinds jaar en dag nemen we beslissingen over belastingheffing en –invordering, het toekennen van toeslagen op basis van gegevens. En ook keuzes in handhaving worden op basis van beschikbare gegevens gemaakt.

Dit doen we steeds meer met moderne technieken. Bijvoorbeeld bij het vooraf invullen van zoveel mogelijk gegevens in de online aangifte inkomstenbelasting. En bij het gebruik van data-analyse. Effectief inzetten van gegevens helpt zo bij het goed inrichten van dienstverlening en bij het houden van toezicht. Dit zijn dan ook belangrijke thema’s in de Investeringsagenda waarmee de Belastingdienst toekomstbestendig wordt gemaakt.

De Belastingdienst heeft 10 principes vastgesteld voor het omgaan met gegevens. Deze principes zijn de basis voor alle activiteiten en werkzaamheden waarbij we persoonsgegevens verwerken.

  1. Bescherming van gegevens van burgers heeft hoge prioriteit bij elk aspect van het eigen werk en in de samenwerking met anderen.
  2. De Belastingdienst verwerkt en beheert gegevens gebaseerd op een wettelijke taak of plicht (eventueel op basis van supra- of internationaal recht), noodzakelijk en proportioneel.
  3. De Belastingdienst heeft een open oog voor maatschappelijke en technologische ontwikkelingen die gegevensverwerking raken.
  4. De Belastingdienst is transparant over en aanspreekbaar op de gegevens die hij verwerkt.
  5. De Belastingdienst stelt gegevens alleen beschikbaar aan andere (overheids)organisaties als wetgeving dat toestaat of verplicht, en als die organisaties voldoen aan voor hen geldende wettelijke eisen voor verwerking van die gegevens.
  6. Beslissingen over verwerking van gegevens zijn traceerbaar en kunnen worden verantwoord.
  7. Medewerkers van de Belastingdienst (interne en externe) gaan op integere wijze om met gegevens: zij zijn zich bewust van hun verantwoordelijkheid bij het omgaan met gegevens van burgers en bedrijven en handelen daar ook naar.
  8. De Belastingdienst streeft naar de hoogst mogelijke kwaliteit van gegevens.
  9. De Belastingdienst treft op elk punt in het proces technische en organisatorische maatregelen om de privacy te verzekeren en de kans op lekken en misbruik van gegevens zo klein mogelijk te maken.
  10. De Belastingdienst maakt bij het uitwisselen van gegevens aan andere organisaties gebruik van overheidsbrede en internationale standaarden die de principes van gegevensbescherming verzekeren.
Burgers en bedrijven zijn de belangrijkste bronnen van de gegevens die de Belastingdienst heeft. Zij leveren gegevens aan, bijvoorbeeld bij het doen van aangifte voor verschillende belastingen, bij het in- en uitvoeren van goederen en bij het aanvragen van toeslagen. Daarnaast ontvangt de Belastingdienst gegevens van organisaties zoals banken en verzekeraars, gastouderbureaus, gemeenten, woningcorporaties en vervoersmaatschappijen. Aan de hand van gegevens van die organisaties wordt getoetst wat burgers en bedrijven opgeven. Alle gegevens slaat de Belastingdienst beveiligd op in eigen systemen.

Verder krijgt de Belastingdienst gegevens uit overheidsbrede basisregistraties, zoals de Basisregistratie personen, het Handelsregister, de Basisregistratie waarde onroerende zaken en de Basisregistratie adressen en gebouwen.

Een bijzondere relatie in het uitwisselen van gegevens heeft de Belastingdienst met het UWV vanwege de loonaangifteketen.

De Belastingdienst heeft veel verschillende gegevens, zoals, naam- en adresgegevens, burgerservicenummers (BSN’s), inkomens- en vermogensgegevens en rekening- en telefoonnummers. Een overzicht van de gegevens die de Belastingdienst verwerkt op de pagina ‘privacy’ op belastingdienst.nl.

De gegevens worden verwerkt in overeenstemming met de Algemene verordening Gegevensbescherming (AVG) van de Europese Unie, die sinds 25 mei 2018 rechtstreeks van toepassing is in alle EU-lidstaten. Voor gegevens die door de Belastingdienst worden verwerkt in strafrechtelijk verband (bij opsporing van delicten), gelden de regels van de Wet politiegegevens (Wpg).

Iedere natuurlijke persoon (of hij nu als burger handelt, of in het kader van zijn bedrijf) heeft recht op inzage en correctie van persoonsgegevens die de Belastingdienst over hem verwerkt.

In het overzicht van gegevensverwerkingen kunnen burgers en bedrijven zien welke gegevens de Belastingdienst over hen verwerkt. Daarnaast kunnen zij een verzoek indienen om inzage te krijgen in de persoonsgegevens die de Belastingdienst over hen heeft. Lees op de pagina ‘privacy’ meer over het indienen van een inzageverzoek.

Burgers en bedrijven kunnen wijzigingen of onjuistheden in gegevens op verschillende manieren doorgeven. Een overzicht van de mogelijkheden om gegevens te wijzigen is op genomen op de pagina privacy. Als burgers onjuiste persoonsgegevens constateren en die niet zelf kunnen wijzigen, kunnen zij een verzoek tot correctie indienen.

De Belastingdienst gebruikt gegevens voor de uitvoering van zijn wettelijke taken: heffen, uitkeren, innen, (goederen)toezicht en (fiscale) opsporing. Onderdeel van die taken is het controleren van aangiftes en aanvragen, om eventueel na te heffen, na te vorderen of te straffen. Ook daarvoor mogen gegevens worden gebruikt.

De Belastingdienst gebruikt gegevens ook om zijn dienstverlening te verbeteren, in het kader van zijn wettelijke taken. Voorbeelden zijn de Vooraf ingevulde aangifte en de persoonlijke portalen Mijn Belastingdienst en Mijn Toeslagen.

In het overzicht van gegevensverwerkingen leest u waarvoor de Belastingdienst gegevens gebruikt.

De Belastingdienst krijgt veel gegevens van belastingplichtigen en toeslaggerechtigden. De meeste mensen doen tegenwoordig online aangifte en regelen ook hun toeslagzaken digitaal. Bij de online aangifte worden inhoudelijke wijzigingen, die burgers en bedrijven tussendoor invullen (vóór het inzenden van de aangifte), niet vastgelegd in de systemen van de Belastingdienst.

De gegevens van handelingen zoals inloggen, aantal inlogs, ophalen van de vooraf ingevulde aangifte en ondertekenen van de aangifte worden wel opgeslagen. Het ondertekenen van de aangifte is een wettelijke verplichting en is dus nodig voor de geldigheid van de aangifte. De handelingsgegevens zijn bijvoorbeeld nodig om aan te tonen dat gegevens door de Belastingdienst alleen aan de belastingplichtige of gemachtigden ter beschikking zijn gesteld. Ook worden de handelingsgegevens gebruikt om de dienstverlening te verbeteren. Als uit de loginformatie bijvoorbeeld blijkt dat mensen hun aangifte niet formeel hebben ingestuurd, kan de Belastingdienst vanuit service-oogpunt contact met hen opnemen. Daarmee wordt voorkomen dat mensen hun aangifte te laat insturen en dat de Belastingdienst ze een aanmaning moet sturen.

Lees op de pagina privacy op belastingdienst.nl hoe de Belastingdienst bezoekersgegevens gebruikt.

De Belastingdienst beschermt gegevens met diverse beveiligingsmaatregelen. Daarmee worden veel risico’s ondervangen die – bijvoorbeeld – ontstaan door virussen en hackers. Daarnaast spelen medewerkers van de Belastingdienst en burgers en bedrijven zelf een belangrijke rol bij de bescherming van gegevens. Zie voor de rol van burgers en bedrijven het antwoord op de vraag ‘Wat kunnen burgers en bedrijven zelf doen om gegevens te beschermen?’.

In het beveiligingsbeleid onderscheidt de Belastingdienst 4 aspecten:

1. Medewerkers

Wat betreft de integriteit van medewerkers en hoe zij veilig moeten omgaan met gegevens, werkt de Belastingdienst er steeds aan organisatie- en werkprocessen op een veilige manier in te richten, om risico’s binnen de werkprocessen voldoende af te dekken. Zo krijgen medewerkers bijvoorbeeld geen autorisatie voor alle systemen, maar alleen voor de systemen waarmee ze moeten werken. Toegang tot gegevens in applicaties wordt geregeld volgens de basisprincipes: need to know en need to do.

Ook past de Belastingdienst op bepaalde plekken functieroulatie en –scheiding toe. Functieroulatie voorkomt dat mensen te lang met bepaalde externe contacten werken. Functiescheiding voorkomt dat medewerkers tegelijkertijd adviseren en controleren in bepaalde situaties.

Alle personen die kennis hebben van gegevens die de Belastingdienst gebruikt, hebben een wettelijke geheimhoudingsplicht. Medewerkers mogen alleen informatie raadplegen en delen als dat nodig is voor het werk. Deze geheimhoudingsplicht geldt ook voor derden die toegang hebben tot deze gegevens. Zij moeten een geheimhoudingsverklaring ondertekenen.
Het lekken van informatie, anderen toegang geven tot informatie dan wel informatie gebruiken voor nevenwerkzaamheden, of systemen raadplegen uit nieuwsgierigheid, is een strafbaar feit. De Belastingdienst ziet dit als ernstig plichtsverzuim. In dergelijke gevallen worden passende maatregelen genomen.

2. De beveiliging van gebouwen

De beveiliging van gebouwen is Rijksbreed vastgelegd in het Normenkader Beveiliging Rijkskantoren (NKBR). De Belastingdienst volgt dit beleid.

3. Informatiebeveiliging

Gegevens worden opgeslagen in een veilig datacentrum van de Belastingdienst. Er zijn procedures voor het melden van inbreuken op de beveiligingsmaatregelen en van datalekken.

Het Security Operations Center (SOC) van de Belastingdienst bewaakt de buitengrenzen van de Belastingdienst. Dit doet het SOC zeven dagen per week en 24 uur per dag, onder ander door inkomende berichten te filteren op spam en virussen. Ook het intranet van de dienst wordt gecontroleerd op zaken als hackers en virussen. Lees op belastingdienst.nl hoe melding gemaakt kan worden bij misbruik, zwakke plekken of een beveiligingslek in onze computersystemen.

  1. Bedrijfscontinuïteit

Bij bedrijfscontinuïteit gaat het om het omgaan met risico’s die de ongestoorde bedrijfsvoering van de Belastingdienst bedreigen. De Belastingdienst streeft naar optimale dienstverlening. Soms gaat daarbij iets mis of is onderhoud nodig. Verstoringen en onderhoudswerkzaamheden worden vermeld op belastingdienst.nl op de pagina ‘verstoringen’.

Ook burgers en bedrijven spelen een rol in het veilig houden van gegevens, bijvoorbeeld door de meest recente versies van software en updates te gebruiken. Als de software niet wordt geactualiseerd, worden computers kwetsbaarder voor virussen en andere beveiligingsrisico’s.

Daarnaast is het belangrijk nooit inloggegevens te verstrekken aan derden, ook niet aan mensen die ondersteuning bieden bij belasting- en toeslagzaken. Inloggegevens zijn nodig om in te loggen bij DigiD, MijnOverheid, MijnBelastingdienst en MijnToeslagen. Derden die ondersteuning bieden kan men machtigen. Lees meer over DigiD en machtigen op belastingdienst.nl.

Op belastingdienst.nl leest u ook wat mensen kunnen doen bij het vermoeden van valse mail, valse brieven, valse telefoontjes, valse apps en/of valse WhatsApp-berichten.

Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kan worden uitgesloten.

Er zijn vele vormen van datalekken. Het kan gaan om het onbeschermd delen van gegevens, het versturen van een brief naar de verkeerde persoon of het verliezen van tablet of laptop. Op grond van de AVG geldt een meldplicht voor datalekken. Deze meldplicht houdt in dat bedrijven en overheden melding moeten doen bij de Autoriteit Persoonsgegevens als zij een ernstig datalek hebben. Niet alle datalekken hoeven te worden gemeld. Bedrijven en overheden moeten het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt) als het datalek waarschijnlijk ernstige nadelige gevolgen kan hebben voor hun persoonlijke levenssfeer.

Melden van mogelijke datalekken

De Belastingdienst heeft maatregelen genomen om gegevens adequaat te beveiligen en daarmee datalekken te voorkomen. Dat neemt niet weg dat er incidenten kunnen plaatsvinden. Daarom heeft de Belastingdienst een Melddesk Datalekken en is er een procedure voor het melden van mogelijke datalekken. Medewerkers moeten datalekken altijd melden bij deze Melddesk. Daar wordt beoordeeld of een formele melding noodzakelijk is, en er wordt naar eventuele vervolgstappen gekeken, zoals het melden bij de Autoriteit Persoonsgegevens, het informeren van betrokkenen en/of het nemen van passende maatregelen in de organisatie.

Integriteitsschending

In de procedure voor datalekken wordt onder meer bekeken of de regels met betrekking tot integriteit zijn overtreden. De meeste datalekken gebeuren niet moedwillig, maar het kan toch voorkomen dat een medewerker bewust onzorgvuldig met gegevens is omgegaan, omdat hij daarbij bijvoorbeeld zelf een belang had. Dan worden daarop maatregelen genomen. Dat kan een berisping zijn, maar in ernstige gevallen kan zelfs sprake zijn van ontslag. Afhankelijk van de aard en ernst van de overtreding kan een integriteitschending een (ambts-)misdrijf zijn volgens het Wetboek van Strafrecht.

Archieven zijn het geheugen van een organisatie. Overheidsorganisaties gebruiken en bewaren gegevens om hun wettelijke taken uit te voeren en om de dienstverlening die daarbij nodig is te ondersteunen. Ook bewaren overheidsorganisaties gegevens om verantwoording af te leggen, bijvoorbeeld aan inspecties of toezichthouders. Zo ook de Belastingdienst. Na verloop van tijd verliezen veel gegevens hun waarde voor de eigen organisatie of als bewijsmiddel. Verschillende wetten en regels, zoals de Archiefwet, regelen hoelang gegevens bewaard moeten worden of wanneer gegevens vernietigd moeten worden.

De Belastingdienst hanteert voor het bewaren en het vernietigen van gegevens termijnen die zijn vastgelegd in selectielijsten, die zijn te vinden in het Nationaal Archief. Op de pagina ‘selectielijsten’ kan worden gezocht naar de verschillende vastgestelde lijsten. Daarin staat wanneer gegevens vernietigd moeten worden en welke gegevens permanent bewaard moeten worden. Gegevens kunnen bijvoorbeeld nog van belang zijn voor historisch onderzoek, statistische doeleinden of zij zijn onderdeel van het Nederlands cultureel erfgoed.

Voor gegevens die de Belastingdienst heeft, geldt een geheimhoudingsplicht. Dat betekent dat we de gegevens niet zomaar met iedereen mogen delen. Dat mag alleen als het nodig is voor de uitvoering van onze taken, als het wettelijk is geregeld, of in bijzondere gevallen met een ontheffing van de Minister van Financiën.

Instanties waaraan de Belastingdienst gegevens verstrekt zijn onder meer andere overheden en overheidsinstanties, zoals het CBS, het UWV, de SVB en gemeenten. Ook verstrekt de Belastingdienst op basis van EU-regelgeving en verdragen gegevens aan buitenlandse belastingdiensten. Met het oog op het voldoen aan regels over bescherming van persoonsgegevens en beveiliging van gegevens maakt de Belastingdienst afspraken met de partijen waaraan wordt verstrekt over de te volgen procedures, de beveiliging. Die worden vastgelegd in convenanten. Deze convenanten worden gepubliceerd op de website van de Belastingdienst.

Een bijzondere rol in dit geheel speelt de Basisregistratie inkomen (BRI), waarvoor de Belastingdienst verantwoordelijk is. Het hergebruik van gegevens uit de BRI (het zogenoemde authentiek inkomensgegeven) is geregeld in de Algemene wet inzake rijksbelastingen (Awr). Uit oogpunt van beperking van administratieve lasten gebruiken overheidsorganisaties bij voorkeur het inkomensgegeven uit de BRI bij het uitvoeren van hun taken, zodat de burger niet steeds opnieuw dezelfde gegevens hoeft aan te leveren. De regels in de Awr geven waarborgen voor onder meer de kwaliteit van het gegeven.

Meer weten? Bekijk het overzicht van gegevensverwerkingen van de Belastingdienst.

Met een DDoS-aanval probeert de aanvaller een website niet of moeilijker bereikbaar te maken. Bij zo’n aanval worden dus geen persoonlijke gegevens gestolen, ook niet als burgers bijvoorbeeld bezig zijn met hun aangifte.
De Belastingdienst krijgt regelmatig te maken met dit soort aanvallen van buitenaf. Het Security Operations Center (SOC) is 24 uur per dag, 7 dagen per week paraat om verminderde bereikbaarheid door DDoS-aanvallen te verhelpen. Samen met onze externe internetleveranciers leiden we alle verkeer om en filteren we het verkeer dat deel uitmaakt van de DDoS-aanval eruit. Verder doet de Belastingdienst aangifte bij de politie en melding bij het Nationaal Cyber Security Centrum (NCSC).

DDoS staat voor Distributed Denial of Service.‘Denial of Service’betekent dat een server waarop een website wordt gehost van het werk wordt gehouden doordat deze zeer veel verkeer van een aanvaller te verwerken krijgt. Als de aanval‘distributed’is, dan komt dat verkeer van meerdere apparaten tegelijk.

Ja, burgers hebben een wettelijke plicht om gegevens te verstrekken aan de Belastingdienst. De Belastingdienst mag om die gegevens vragen voor het uitvoeren van zijn wettelijke taken. Een voorbeeld hiervan zijn de verschillende belastingaangiftes.

Ook bedrijven en (overheids-)instellingen hebben een wettelijke verplichtingen om persoonsgegevens te verstrekken aan de Belastingdienst. Het gaat dan bijvoorbeeld om gegevens over uitkeringen van het UWV, gegevens van banken over het saldo van rekeningen of gegevens van pensioenfondsen over inkomsten uit pensioenen. De Belastingdienst gebruikt deze gegevens voor het juist vaststellen van de verschuldigde belasting.

Het opvragen en verstrekken van deze gegevens is in lijn met de Algemene verordening gegevensbescherming (AVG).

Nee, dat is niet nodig. Omdat de Belastingdienst de persoonsgegevens gebruikt voor het uitvoeren van wettelijke verplichtingen en bevoegdheden, is hij ‘verwerkingsverantwoordelijke’ in de zin van de AVG en geen ‘verwerker’. De Belastingdienst hoeft daarom geen verwerkersovereenkomst te sluiten met burgers en bedrijven over wie hij persoonsgegevens verwerkt.
Om te voldoen aan de AVG heeft de Belastingdienst de volgende maatregelen getroffen:

  • Op Belastingdienst.nl/privacy staat een nieuwe privacyverklaring. Onderdeel daarvan is een overzicht van de persoonsgegevens die de Belastingdienst verwerkt over burgers en bedrijven
  • Alle verwerkingen van persoonsgegevens zijn geïnventariseerd en opgenomen in een register van verwerkingsactiviteiten. Op basis daarvan houdt de Autoriteit Persoonsgegevens toezicht.
  • Risico’s die zich bij verwerkingen kunnen voordoen, zijn in kaart gebracht. Waar nodig zijn verwerkingen versneld stopgezet, of aangepast om deze risico’s weg te nemen.
  • Het proces voor behandelen van verzoeken op grond van de AVG (onder meer inzageverzoeken) is verbeterd.
  • De procedure voor het melden van datalekken is verbeterd.
  • Er is een opleidings- en bewustwordingsprogramma rond het thema verantwoord omgaan met gegevens. Alle medewerkers nemen hieraan deel, ook in de toekomst.
  • Een AVG-toets, is vast onderdeel van de (inrichting van) werkprocessen en ICT-voorzieningen (via de uitvoeringstoets op nieuwe wetgeving en door principes als privacy by design en privacy by default op te nemen in architecturen) en bij verdere modernisering van de Belastingdienst. Hierdoor blijft de Belastingdienst ook in de toekomst voldoen aan de AVG.
Bij de invoering van de AVG is vastgesteld dat er aanvullende maatregelen nodig zijn om geheel te voldoen aan de AVG. Deze maatregelen zijn in drie groepen te verdelen:

  1. Schonen van systemen: gegevens die niet meer nodig zijn voor het werk, moeten worden vernietigd. Dat gebeurt nu nog handmatig; bij vernieuwing van systemen wordt geautomatiseerd verwijderen van gegevens ingebouwd.
  2. Toegang tot gegevens: autorisaties van medewerkers voor toegang tot gegevens, sluiten niet altijd meer aan op de feitelijke situatie. Deze worden geactualiseerd. Daarnaast zal worden gewerkt aan het verfijnen van toegang tot gegevens op basis van nieuwe technieken, die nog beter invulling geven aan beginselen van doelbinding, vertrouwelijkheid en integriteit.
  3. Delen van gegevens: op grond van de risico-inventarisatie worden voor nog meer verwerkingen de processen of systemen vervangen of aangepast volgens de richtlijnen van de AVG. Voor bepaalde situaties waarin de Belastingdienst gegevens krijgt of verstrekt, worden de wettelijke grondslagen verstevigd.
De Belastingdienst wil binnen een jaar, dus in mei 2019, volledig voldoen aan de AVG. Maar, ook dan is de dienst niet ‘klaar’: voldoen aan de AVG vereist continu onderhoud, dus de Belastingdienst blijft werken aan bescherming van persoonsgegevens en verantwoord omgaan met gegevens. In de nieuwe organisatiestructuur van de Belastingdienst heeft dit onderwerp daarom ook een uitdrukkelijke plaats gekregen.
Dat de Belastingdienst nog niet volledig voldoet aan de AVG betekent niet dat gegevens niet veilig zijn. We leggen de lat hoog als het gaat om bescherming van persoonsgegevens. Zo wordt de ICT-infrastructuur van de Belastingdienst 24 uur per dag bewaakt tegen aanvallen (hacks ed.) van buiten. Daarmee zorgen we dat we het risico op misbruik of verlies al zoveel mogelijk beperken.