6.3.1 Algemene Verordening Gegevensbescherming (AVG)
Het project AVG voor het kerndepartement is in 2019 afgerond en de lijnorganisatie is in staat gesteld om in 2020 en verder zelfstandig aan de AVG te voldoen. De lijnorganisatie gebruikt daarbij instrumenten zoals het verwerkingsregister, verwerkersovereenkomsten en privacy impact analyses die in 2019 zijn geactualiseerd. Tevens wordt de lijnorganisatie ondersteund door opleidingen en bewustwordingscampagnes. Om de kwaliteit te bewaken en verbeteren, is de PDCA (Plan-Do-Check-Act)-cyclus in gang gezet waarin bijvoorbeeld audits worden gedaan door de ADR en toezicht wordt gehouden door de Functionaris Gegevensbescherming. Mede op basis van de aanbevelingen worden verbetermaatregelen vastgesteld. Zo wordt in 2020 onder meer gewerkt aan het verder implementeren van privacyrisicomanagement, het verbeteren van het (d)PIA ((data) Protection Impact Assessment105)-proces, de kwaliteit en de vulling van het AVG-register en de controle daarop. Daarnaast blijft het ministerie van Financiën actief meewerken aan een nog door het Ministerie van Justitie en Veiligheid (J&V) te ontwikkelen rijksbreed normenkader.
Vanaf 25 mei 2018 is de AVG rechtstreeks van toepassing op alle gegevensverwerkingen door de Belastingdienst. In mei 2019 is geconstateerd dat het niet zou lukken om in 2019 de achterstand bij het verwijderen van verouderde gegevens geheel weg te werken. Om te voorkomen dat de niet-tijdig verwijderde gegevens onrechtmatig kunnen worden verwerkt door medewerkers van de Belastingdienst, heeft de Belastingdienst mitigerende maatregelen genomen. De verouderde documenten worden in een zogenoemde datakluis geplaatst, waarmee er geen toegang is tot de persoonsgegevens. Deze (digitale) datakluis is een afgeschermde omgeving, die alleen toegankelijk is voor daartoe aangewezen beheerders. De Belastingdienst neemt actie om de gegevens uit de datakluis nader te beoordelen en, als de gegevens geen permanente waarde hebben of verouderd zijn, daadwerkelijk te verwijderen. De ADR heeft in 2019 aanvullend onderzoek gedaan naar de implementatie van de verschillende vereisten van de AVG bij de Belastingdienst. De ADR constateert dat de Belastingdienst aan de slag is gegaan met de eerdere bevindingen, maar dat er nog een aantal structurele voorzieningen moeten worden getroffen die borgen dat de naleving van de AVG in de toekomst voldoende aandacht krijgt. Hierbij kan worden gedacht aan het verder implementeren van privacyrisicomanagement, het verbeteren van het (d)PIA-proces, de kwaliteit en de vulling van het AVG-register en de controle daarop. Het is verder van belang dat er voldoende capaciteit beschikbaar is bij de privacyofficers en datacoördinatoren en kennis en bewustwording binnen de hele organisatie. De Belastingdienst neemt de nodige maatregelen. In 2019 is een GegevensbeschermingsEffectBeoordeling (GEB) uitgevoerd naar de FraudeSignaleringVoorziening (FSV). Uit de GEB bleek dat de FSV geen goede aansluiting heeft op de beginselen inzake verwerking van persoonsgegevens van artikel 5 AVG (rechtmatig, behoorlijk, transparant, doelbinding). De voorziening is tijdelijk gestopt in afwachting van maatregelen die borgen dat het systeem voldoet aan de wettelijke vereisten. Onderzocht wordt of er binnen de Belastingdienst andere applicaties worden gebruikt waar zich vergelijkbare vraagstukken voordoen.