De Autoriteit Persoonsgegevens (AP) stelt dat honderden zelfgebouwde applicaties bij de Belastingdienst niet voldoen aan privacy- en beveiligingseisen. Burgers lopen risico doordat gegevens niet goed worden beschermd, aldus de privacywaakhond. Minister Heijnen belooft maatregelen.
De fiscus werkt met honderden Lokaal Ontwikkelde Applicaties (LOA’s) die buiten de reguliere kaders zijn gebouwd. Deze applicaties verwerken persoonsgegevens, maar de Belastingdienst stuurt onvoldoende op compliance voor databescherming. Dat concludeert de AP op basis van eigen onderzoek. Die conclusie is vanuit dezelfde instantie weleens anders geweest, zoals in 2019. Daar ging het echter om de data zelf, niet de applicaties die de Belastingdienst zelf bouwt.
Burgers kunnen hier negatieve gevolgen van ervaren. “Er is geen inzicht in de mate waarin de applicaties aan de wet- en regelgeving voldoen,” aldus de privacytoezichthouder in een brief aan de Directeur-Generaal. Gegevens worden mogelijk langer bewaard dan nodig, niet voldoende beveiligd, of verouderde data wordt niet verwijderd. Dit kan leiden tot verkeerde beslissingen.
Exportfuncties en risicoanalyses ontbreken
Van de onderzochte applicaties beschikt 65 procent over een exportfunctie. Maar de Belastingdienst heeft onvoldoende zicht op welke gegevens buiten de beveiligde omgeving terechtkomen. Ook blijkt dat voor minder dan de helft van de applicaties een risicoanalyse was uitgevoerd.
Het autorisatiebeheer voldoet niet in alle gevallen aan de eisen. “Logging en monitoring van gebruikersraadplegingen bleek nagenoeg niet te zijn geïmplementeerd,” schrijft de AP. Daarmee ontbreekt een beveiligingsmaatregel die risico’s van gebrekkig autorisatiebeheer kan adresseren.
Bredere compliance-uitdagingen
De problemen met de LOA’s zijn onderdeel van een groter AVG-vraagstuk. De Belastingdienst beheerde volgens eerdere berichtgeving meer dan 900 applicaties, waarvan 791 bedrijfsprocessen eind 2024 op AVG-compliance werden getoetst. Vertragingen ontstonden door oude data-opslag en inadequate informatiehuishouding.
In haar Jaarplan 2026 schrijft de Belastingdienst dat monitoring en control voor AVG, Wet politiegegevens en Baseline Informatiebeveiliging Overheid dit jaar worden afgerond. Ook start mogelijk een pilot voor AVG-conforme gegevensdeling.
De IT-problemen van de Belastingdienst gaan nog verder. Zo blijkt de modernisering van de eigen IT-infrastructuur, veelal op basis van verouderde standaarden waar weinigen nog experts in zijn, een hels karwei.
Lees verder: Oeroude IT Belastingdienst kan hervormingen pas vanaf 2027 aan
Plan van aanpak toegezegd
De AP doet verschillende aanbevelingen. Zo moet de fiscus een plan opstellen hoe en binnen welke termijn de LOA’s naar reguliere applicaties worden omgezet. Ook moet duidelijk worden in welke situaties het gebruik van LOA’s moet stoppen. De toegang van deze applicaties tot bronsystemen met gegevens moet worden beperkt.
Demissionair staatssecretaris Heijnen van Financiën reageert dat de Belastingdienst ook de komende periode stuurt op het terugdringen van LOA’s. “Dit wordt versterkt door medewerkers actief te informeren over het beleid rondom LOA’s.” Er komt een plan van aanpak voor een centraal overzicht van alle LOA’s en implementatie van de aanbevolen maatregelen. De Tweede Kamer wordt periodiek geïnformeerd over de vorderingen.