Kamerbrief uitkomsten extern onderzoek Risico Analyse Model

Samenvatting

De Belastingdienst maakte twintig jaar lang gebruik van een database waarin (fiscale) gegevens van burgers en bedrijven waren opgenomen. Dit was het Risico Analyse Model (RAM). De Belastingdienst heeft RAM in mei 2018 uitgeschakeld voor de inwerkingtreding van de Algemene Verordening Gegevensbescherming, vanwege strijdigheid met deze wetgeving wegens onvoldoende mitigerende maatregelen. Op basis van het onderzoek van KPMG concludeert de staatssecretaris dat het gebruik van RAM niet voldeed aan de destijds geldende (wettelijke) eisen op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Hij stelt vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en hij betreurt dat. De Autoriteit Persoonsgegevens (AP) heeft aangegeven verder onderzoek te verrichten naar RAM. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties mogelijk tot een schending van grondrechten heeft geleid.

In deze Kamerbrief gaat de staatssecretaris in op wat RAM was, RAM in relatie tot wettelijke eisen en interne kaders, de besluitvorming over RAM en met RAM vergelijkbare risicoanalysesystemen. Per deelaspect wordt samengevat welke bevindingen KPMG daarbij heeft. De staatssecretaris reageert op dat aspect en beschrijft wat er sindsdien is veranderd bij de Belastingdienst en welke stappen er nog te zetten zijn. Tot slot besteedt de staatssecretaris aandacht aan het verzoek om de memo’s over RAM te openbaren en het onderzoek dat de AP verricht naar RAM. Voor het KPMG-onderzoek geldt dat, gezien de lange historie van RAM, het feit dat het gebruik van RAM reeds zes jaar voor aanvang van het onderzoek is stopgezet en het systeem inclusief bijbehorende gegevens niet meer beschikbaar is, niet alle informatie die benodigd is voor het volledig beantwoorden van de onderzoeksvragen aanwezig is.