791 bedrijfsprocessen Belastingdienst worden getoetst op AVG-compliance
Het kabinet wil dat alle applicaties van de fiscus versneld gecontroleerd worden op AVG-compliance. Volgens staatssecretaris Van Rij kan dit eind 2024 klaar zijn. In totaal moeten 791 bedrijfsprocessen getoetst worden.
De Belastingdienst heeft geen beste reputatie als het gaat om het naleven van de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens concludeerde in oktober 2021 dat de Belastingdienst tussen november 2013 en februari 2020 onrechtmatig persoonsgegevens van Nederlanders verzamelde. Ook was de beveiliging van de Fraude Signalering Voorziening (FSV) niet op orde, waardoor duizenden medewerkers van de Belastingdienst toegang hadden tot de gegevens in de systemen. De privacywaakhond legde destijds een boete van 3,7 miljoen euro op aan de Belastingdienst.
Informatiehuishouding niet op orde
In een brief aan de Tweede Kamer schrijft Van Rij dat er verschillende hersteltrajecten zijn opgestart in de afgelopen periode. Maar hij sluit niet uit dat in de toekomst nog andere applicaties of lijsten worden ontdekt met persoonsgegevens. ‘Een belangrijke oorzaak hiervan is dat de informatiehuishouding bij de Belastingdienst niet op orde was. De Belastingdienst heeft een actieplan ter verbetering van de informatiehuishouding opgesteld, maar daarmee is niet te repareren wat in het verleden niet goed is gegaan.’
Toets op AVG-compliance
Als het gaat om de AVG-compliance heeft hij op verzoek van het kabinet een versnelling doorgevoerd. Inmiddels zijn 791 bedrijfsprocessen geïdentificeerd. ‘Dit was een groot karwei en is nodig om de toetsing van alle processen op AVG te kunnen verrichten en waar nodig de juiste beheersmaatregelen te kunnen treffen waar dit nog niet is gebeurd.’ Alle 17 ketens van de Belastingdienst hebben hun planning voor de volledige toetsing van alle processen inmiddels gemaakt. De bedoeling is dat deze toetsing voor alle ketens eind 2024 geheel is afgerond.
Alle applicaties of processen? Of allebei? Een proces is breder dan de applicatie die dat proces ondersteunt. Dan pak je ook bijv beleidskaders die voor dat proces gelden, mee.
En doen ze dat dan met processmining …? Zoveel vragen… Maar het lijkt me wel een heel leuk project!