De Belastingdienst neemt drie risico-algoritmes opnieuw in gebruik zonder van alle algoritmes een duidelijk overzicht te hebben van de privacyrisico’s. De fiscus zegt eventuele privacyrisico’s te accepteren.
In 2021 schakelde de Belastingdienst drie risico-algoritmes, omzetbelasting carrousselfraude (OBCF), afgifte btw-nummer (ABN) en omzetbelasting negatief (OB Negatief), tijdelijk uit. De algoritmes zouden niet voldoen aan de GDPR-regelgeving en mogelijk ook grondrechten schenden.
De betreffende algoritmes zijn nu weer in gebruik genomen omdat de fiscus na onderzoek heeft overwogen dat eventuele privacyrisico’s bij het gebruik, worden geaccepteerd. Dit schrijft verantwoordelijk demissionair staatssecretaris van Financiën, Marnix van Rij in het antwoord op Kamervragen van de SP. Dit naar aanleiding van een artikel van Follow The Money.
Afweging Belastingdienst
Volgens de staatssecretaris is voor de drie risico-algoritmes een afweging gemaakt tussen de privacy van burgers en bedrijven, de dienstverlening die de Belastingdienst hen moet verlenen en het toezicht op burgers en bedrijven.
Uit deze afweging is geconcludeerd dat de betreffende risico-algoritmes weer in gebruik konden worden genomen. Eventuele privacyrisico’s hierbij worden geaccepteerd. Ook is gekeken op welke punten de algoritmes niet aan de GDPR voldoen. Het gaat in het speciaal het ontbreken van transparantie en een Data Protection Impact Assessment (DPIA) of in ambtelijk Nederlands een gegevensbeschermingseffectbeoordeling of GEB.
Deze laatste beoordeling brengt in kaart welke privacyrisico’s bij het verwerken van gegevens komen kijken en welke maatregelen moeten worden getroffen om deze risico’s te verkleinen.
Nog geen privacyonderzoek voor OB Negatief
In zijn antwoord geeft de demissionair staatssecretaris verder aan dat nog niet voor alle drie een GEB heeft plaatsgevonden. Deze ontbreekt nog voor het gebruikte algoritme OB Negatief.
Wanneer dit onderzoek plaatsvindt, is nog niet bekend. Wel geeft Van Rij aan dat na de uitvoering van dit onderzoek het algoritmeregister wordt aangevuld voor transparantie.
Lees ook: Belastingdienst toetste nog maar weinig bedrijfsprocessen aan GDPR