De Belastingdienst zet concrete stappen richting volledige GDPR-naleving. Onder toezicht van de Autoriteit Persoonsgegevens worden het verwerkingsregister geactualiseerd en nieuwe risicoanalyses uitgevoerd voor gegevensverwerkingen met hoog privacyrisico.
De Belastingdienst gaat uitgebreide privacy-analyses uitvoeren op verwerkingen met hoge privacyrisico’s. Deze Data Protection Impact Assessments (DPIA’s) zijn verplicht bij verwerkingen die waarschijnlijk een hoog risico vormen voor de rechten en vrijheden van betrokkenen.
Demissionair staatssecretaris Van Oostenbruggen van Financiën heeft de Tweede Kamer geïnformeerd dat tekortkomingen met hoge risico’s inmiddels via structurele of tijdelijke maatregelen zijn gemitigeerd in de procesbeschrijvingen.
De fiscus zal systematisch beoordelen welke verwerkingen nog een DPIA vereisen. Na deze toetsing worden de benodigde analyses uitgevoerd en centraal geregistreerd in het verwerkingsregister.
Actualisatie verwerkingsregister
Naast de nieuwe risicoanalyses actualiseert de Belastingdienst het verwerkingsregister met alle persoonsgegevens die worden verwerkt. Dit register moet in het derde kwartaal van 2025 worden aangeboden aan de Autoriteit Persoonsgegevens (AP). De toezichthouder kijkt actief mee bij het actualisatieproces.
De staatssecretaris meldde dat de fiscus inmiddels een beter beeld heeft van de tekortkomingen binnen de bedrijfsprocessen. Alle processen zijn doorgelicht en getoetst aan de GDPR-hoofdlijnen. “Hiermee ontstaat een duidelijk beeld van de acties die verder nodig zijn om meer in control te komen op de AVG”, aldus Van Oostenbruggen.
Langetermijntraject naar volledige compliance
Na uitvoering van bovenstaande acties verwacht de Belastingdienst beter in control te zijn op GDPR-gebied. De organisatie krijgt meer gestructureerd inzicht in de meest risicovolle verwerkingen en de benodigde mitigerende maatregelen.
Van Oostenbruggen waarschuwt wel dat het proces niet eindigt in 2025: “In control komen op AVG-gebied vergt meer dan alleen de uit te voeren acties in 2025. Wanneer er risico’s voortkomen uit de uitgevoerde DPIA’s moeten deze zo snel mogelijk worden gemitigeerd. Deze acties lopen mogelijk door tot na 2025.”
De Belastingdienst blijft werken aan verbetering van privacyprocessen, waarbij continue monitoring en bijsturing essentieel blijven.