Brief regering : Uitkomsten extern onderzoek Risico Analyse Model (RAM)

Nr. 1465
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 maart 2025

Mijn ambtsvoorganger heeft in de Kamerbrief van 31 augustus 20231 tezamen met de voormalig Staatssecretaris van Financiën – Toeslagen en Douane – aangegeven
dat er een extern onderzoek naar het Risico Analyse Model plaatsvindt. Uw Kamer is
op 19 december 20232 geïnformeerd over de start van de aanbesteding van het externe onderzoek en de onderzoeksvragen.
Met de stand van zakenbrief Belastingdienst3 van 7 februari 2024 bent u geïnformeerd over de voortgang. KPMG heeft dit onderzoek
inmiddels afgerond. Hierbij ontvangt u, mede namens de Staatssecretaris van Financiën
– Herstel en Toeslagen – het rapport (bijlage 1) en mijn reactie hierop.

Ook heeft het lid Omtzigt op grond van artikel 68 van de Grondwet gevraagd om alle
memo's over RAM die de top van de Belastingdienst (vanaf schaal 16) en/of de politieke
top bereikt hebben sinds 2015, aan uw Kamer te verstrekken. Bijgaand (bijlage 2) verstrek
ik deze informatie.

De Belastingdienst maakte 20 jaar lang gebruik van een database waarin (fiscale) gegevens
van burgers en bedrijven waren opgenomen. Dit was het Risico Analyse Model (RAM).
De Belastingdienst heeft RAM in mei 2018 uitgeschakeld, voor de inwerkingtreding van
de Algemene Verordening Gegevensbescherming, wegens strijdigheid met deze wetgeving
wegens onvoldoende mitigerende maatregelen. Op basis van het onderzoek van KPMG concludeer
ik dat het gebruik van RAM niet voldeed aan de destijds geldende (wettelijke) eisen
op het gebied van privacywetgeving, beveiligingsvoorschriften en de Archiefwet. Ik
stel vast dat de Belastingdienst RAM niet had moeten en mogen gebruiken en ik betreur
dat. De Autoriteit Persoonsgegevens (AP) heeft aangegeven verder onderzoek te verrichten
naar RAM. Daarnaast onderzoekt de Belastingdienst of het gebruik van gegevens uit
RAM in specifieke situaties mogelijk tot een schending van grondrechten heeft geleid.

Burgers en bedrijven moeten er zeker van kunnen zijn dat de Belastingdienst conform
wet- en regelgeving werkt, waaronder de algemene beginselen van behoorlijk bestuur
en dat zij vertrouwen kunnen stellen in de Belastingdienst. Vanaf 2018 zijn verbeteringen
doorgevoerd die leiden tot een betere balans tussen toezicht en gegevensbescherming.
Onder meer de vergroting van het bewustzijn en de introductie van waarborgen hebben
ertoe geleid dat beter omgegaan wordt met gegevensbescherming en beveiliging. De Belastingdienst
van nu functioneert daarmee anders dan de Belastingdienst van toen. Er wordt nog steeds
toezicht gehouden en dit blijft een data-intensieve taak, maar wel omkleed met de
nodige waarborgen. Desondanks is er nog het nodige werk te verzetten, getuige ook
het recente advies van de AP.4

De opzet van deze brief

In deze brief ga ik in op wat RAM was, RAM in relatie tot wettelijke eisen en interne
kaders, de besluitvorming over RAM en met RAM vergelijkbare risico-analysesystemen.
Per deelaspect vat ik samen welke bevindingen KPMG daarbij heeft. Daarna reageer ik
op dat aspect en beschrijf ik wat er sindsdien is veranderd bij de Belastingdienst
en welke stappen er nog te zetten zijn. Tot slot besteed ik aandacht aan het verzoek
om de memo’s over RAM te openbaren en het onderzoek dat de AP verricht naar RAM.

Voor het KPMG onderzoek geldt dat gezien de lange historie van RAM, het gebruik van
RAM reeds zes jaar voor aanvang van het onderzoek is stopgezet en dat het systeem
inclusief bijbehorende gegevens niet meer beschikbaar is, niet alle informatie die
benodigd is voor het volledig beantwoorden van de onderzoeksvragen aanwezig is.

1. Wat was RAM

1.1. Bevindingen KPMG

Vanaf 1998 groeide de behoefte om centraal binnen de Belastingdienst te beschikken
over de belastingrisico’s per branche. Daarnaast moest de controle van midden- en
kleinbedrijven efficiënter en effectiever plaatsvinden, wegens een beperkte controlecapaciteit
en het groeiende aantal MKB-bedrijven. Door ontbrekende applicatiefunctionaliteiten
ontwikkelden medewerkers eigen voorzieningen om hier invulling aan te geven. Zo ontstond
RAM in 1998 als database. Medewerkers hoefden niet langer per belastingplichtige informatie
in verschillende bronsystemen op te zoeken, maar konden in RAM van één of meerdere
belastingplichtigen gegevens vanuit verschillende bronnen in één keer raadplegen.
Geleidelijk werd deze database uitgebouwd van lokale applicatie tot een omvangrijk
datawarehouse. Het aantal gebruikers nam toe tot 281. Belastingdienstmedewerkers die
betrokken waren bij het houden van toezicht konden gegevensselecties aanvragen bij
deze gebruikers en gegevens konden naar Excel worden geëxporteerd. Hierdoor werden
de resultaten uit RAM breed binnen de Belastingdienst gebruikt. RAM werd intensief
gebruikt, tot het in mei 2018 werd uitgeschakeld. Zo zijn er in 2017 circa 20.000 selecties
gemaakt van gegevens over burgers of bedrijven en trof KPMG 1.170 unieke spreadsheets
met RAM-selecties aan. RAM werd ook gebruikt voor gegevensleveringen aan andere (overheids)organisaties,
voornamelijk in het justitie- en sociale domein. Uit interviews bleek dat de behoefte
aan een dergelijk systeem als RAM in de tijd werd versterkt door de gevoelde maatschappelijke
en politieke druk om goed toezicht uit te kunnen voeren en waar nodig fraude te bestrijden
met informatiegestuurd toezicht.

Uiteindelijk zijn de data van 69 interne en externe bronsystemen in RAM opgenomen,
waarmee RAM uitgebreide gegevens van vrijwel alle belastingmiddelen en alle belastingplichtige
bedrijven en particulieren bevatte. Zo omvatte RAM-tabellen gegevens over aangiften,
toeslagen, vastgoed, bedrijven en autobezit, maar ook eerste en tweede nationaliteit
en fiscaal strafrechtelijke gegevens. Social media gegevens zijn daarbij niet aangetroffen
en uit interviews is gebleken dat die niet in RAM waren opgenomen.

In RAM waren ook totalen opgenomen of die werden berekend van bijvoorbeeld aantallen
per belastingplichtige, per kantoor, per land of per fiscaal dienstverlener. Dit betrof
bijvoorbeeld het aantal keer dat een nationaliteit voorkwam, het aantal registraties
van fiscaal strafrechtelijke gegevens of het aantal registraties in de Fraude Signaleringsvoorziening
(FSV). Daarnaast waren er berekende risico-indicatoren aanwezig. Deze hadden betrekking
op verhoudingscijfers, zoals de omzet in relatie tot de winst (materialiteit) of op
Fiscaal Dienstverleners (FD’s). Voor FD’s waren procesparameters, toezichtparameters
en marginale toetsingsparameters aanwezig. Op basis van de proces- en toezichtparameters
werd een risicoscore voor een fiscaal dienstverlener berekend. KPMG heeft deze gegevens
aangetroffen in de spreadsheets, maar heeft niet kunnen vaststellen hoe deze gegevens
zijn gebruikt.

Met het uitzetten van RAM viel een systeem weg dat belangrijk was in het uitoefenen
van toezicht. Om alsnog aan deze toezichtstaak te voldoen, heeft de Belastingdienst
vervangende voorzieningen voor RAM opgezet. Daar zijn drie verschillende scenario’s
gelijktijdig voor uitgewerkt.

• Spoor 1 is ingezet als noodvoorziening en had als doel een geschoonde RAM database
beschikbaar te stellen die AVG-compliant was. Spoor 1 was actief per 15 juni 2018
en is in mei 2019 beëindigd. 10 gebruikers hadden toegang en voor hen was extern e-mailen,
internet- en USB-toegang uitgeschakeld. Uit interviews blijkt dat het gebruik van
spoor 1 slechts was toegestaan op basis van een omschreven opdracht per zoekslag en
omschreven gebruiksvoorwaarden en procedures; een zogenoemde Willen, Mogen en Kunnen
(WMK) toets. KPMG heeft niet onderzocht of de database daadwerkelijk AVG-compliant
werd gemaakt.

• Spoor 2 is opgezet als noodvoorziening met als doel om een geheel nieuw systeem in
te richten dat de taken van RAM kon overnemen en dat voldeed aan de AVG. Dit betrof
de (geschoonde) dataset uit spoor 1, die door analisten aangevuld kon worden met brongegevens,
indien het gebruik van deze brongegevens werd goedgekeurd door een stuurgroep. Circa
25 gebruikers hadden toegang. Spoor 2 was actief van 27 augustus 2018 tot 1 januari
2021. Daarna hebben nog gegevensleveringen plaatsgevonden uit deze voorziening voor
enkele specifieke toezichtsvraagstukken. In afwijking van het rapport van KPMG hebben
deze leveringen plaatsgevonden tot in het vierde kwartaal van 2024.

• Spoor 3 is opgezet als structurele oplossing om analyses in het kader van subjectgericht
toezicht te ondersteunen en als alternatief voor RAM, waarbij een minimale hoeveelheid
gegevens verwerkt werd die bovendien AVG-compliant was. Dit spoor is onafhankelijk
van RAM en de sporen 1 en 2 opgezet. Spoor 3 bevatte «opgewerkte gegevens» in plaats
van brongegevens en een beperkt aantal medewerkers (maximaal circa 15) had toegang.
Spoor 3 was actief vanaf 25 mei 2019 tot en met december 2023.

Specifiek voor Dienst Toeslagen geldt dat uit het KPMG rapport blijkt dat vijf medewerkers
van Toeslagen toegang hadden tot RAM, maar dat daarbij niet duidelijk wordt of en
hoe zij RAM ook daadwerkelijk gebruikt hebben. Uit de enquête van KPMG blijkt dat
door vier personen is aangegeven dat zij de gegevens van Toeslagen gebruikten. Omdat
de enquête anoniem was, is niet bekend waar de betreffende vier medewerkers werkzaam
waren. Op basis van de logging over 2017 is vastgesteld dat in 2017 één uitdraai is
gemaakt voor gegevens uit RAM door een medewerker van Toeslagen zelf. KPMG stelt voor
Toeslagen dat op basis van de beschikbare onderzoeksinformatie het daadwerkelijke
gebruik bij toezicht van gegevens uit RAM niet meer te achterhalen is en derhalve
bovenstaande de enige beschikbare informatie is waar KPMG een verband tussen Dienst
Toeslagen en RAM heeft aangetroffen.

Specifiek voor de Douane blijkt uit het KPMG rapport dat vier medewerkers van de Douane
toegang hadden tot RAM en dat ook bij de Douane niet duidelijk is geworden of en hoe
zij RAM daadwerkelijk gebruikt hebben. Uit de anonieme enquête blijkt dat een persoon
heeft aangegeven voornamelijk de gegevens van de Douane te gebruiken. Daarnaast is
in de enquête aangegeven dat een persoon vanuit de Douane toegang heeft gehad en/of
gebruik heeft gemaakt van RAM.

Op basis van de logging over 2017 is voor de Douane vastgesteld dat in dat jaar 137 uitdraaien
zijn gemaakt voor gegevens uit RAM door een medewerker van de Douane. KPMG stelt voor
Douane, net als bij Dienst Toeslagen, dat op basis van de beschikbare onderzoeksinformatie
het daadwerkelijk gebruik bij toezicht van gegevens uit RAM niet meer te achterhalen
is. Verder worden in een document uit 2017 opvragingen voor een tactische verkenning
voor twee gezamenlijke projecten van Belastingdienst en Douane genoemd.

1.2 Belastingplichtigen in RAM

RAM was een database waarin (fiscale) gegevens van burgers en bedrijven waren opgenomen,
waarin veel databronnen aan elkaar werden gekoppeld en gegevens van vrijwel alle belastingplichtigen
waren opgenomen. Alhoewel RAM niet voldeed aan de wettelijke eisen en interne kaders,
ondervond een belastingplichtige geen schade of nadeel van het enkele feit dat zijn
of haar gegevens waren opgenomen in RAM. De gegevens van deze belastingplichtigen
waren immers ook in afzonderlijke systemen van de Belastingdienst of in andere (basis)registraties
beschikbaar.

Er kan wel nadeel zijn ontstaan op het moment dat met gegevens uit RAM aanvullende
informatie werd gegenereerd die niet in de afzonderlijke (bron)systemen beschikbaar
was, deze informatie gebruikt werd in het toezicht op het niveau van een belastingplichtige
of zijn fiscaal dienstverlener en er onvoldoende waarborgen waren dat dit op een juiste
manier gebeurde. Die aanvullende informatie betrof berekende velden met totalen die
in RAM waren opgenomen en risicoscores die voor een fiscaal dienstverlener werden
berekend. Alhoewel deze totalen en risicoscores zijn aangetroffen door KPMG in spreadsheets,
heeft KPMG niet kunnen vaststellen of deze benut zijn en op welke wijze. Gezien de
verstreken tijd en het feit dat KPMG het gebruik niet heeft kunnen vaststellen, zie
ik geen mogelijkheid om dat inzicht alsnog te krijgen.

In de volgende paragraaf ga ik in op hoe nu omgegaan wordt met selectie-instrumenten
op basis van risico-indicatoren bij de Belastingdienst en in paragraaf 2.2.2 ga ik
nader in op eventueel nadeel dat is ontstaan door het maken van bepaalde selecties
in RAM, zoals op nationaliteit.

1.3 Gebruik selectie-instrumenten op basis van risico-indicatoren

De Belastingdienst gebruikt selectie-instrumenten, zoals risicomodellen of selectiemodules
met als doel aangiften en aanvragen waarin onzekerheden worden onderkend te selecteren
voor een handmatige controle. Selectiemodules maken gebruik van simpele beslisregels
– opgesteld door vaktechnische experts – waar een wel/niet antwoord uit volgt. Risicomodellen
maken gebruik (al dan niet in combinatie met beslisregels) van een statistische weging
om te bepalen hoe groot een risico is.

Er is een waarborgenkader selectie-instrumenten ontwikkeld en aan uw Kamer gestuurd5 waarbinnen gewerkt dient te gaan worden. Het waarborgenkader wordt momenteel doorontwikkeld
tot een integraal kwaliteitsmanagement systeem voor alle gegevensverwerking binnen
de Belastingdienst onafhankelijk van de verwerking of het gebruik (zoals Algoritmen,
AI, selectie-instrument). Nu al worden er bias- en fairnesstoetsen uitgevoerd om inzichtelijk
te hebben waar onderscheid tussen groepen op ongewenste gronden wordt gemaakt of te
voorkomen dat dit onderscheid wordt gemaakt. Er worden mensenrechten toetsen gedaan
tijdens de ontwikkeling van risicomodellen, de zogenoemde Impact Assessment Mensenrechten
en Algoritmes (IAMA). De selectieregels van een model worden getoetst aan de AVG.
Ook is er een ethisch team dat multidisciplinair werkt aan de ethische vraagstukken
rondom de inzet van algoritmes. Tot slot zorgt de Belastingdienst ervoor dat voor
het einde van 2025 alle algoritmes met hoge impact in het Nederlandse Algoritmeregister zijn opgenomen. In mei 2025 wordt de voortgang aan u gerapporteerd via de
Jaarrapportage bedrijfsvoering Rijk.

1.4 Gevonden spreadsheets uit RAM

KPMG heeft in het onderzoek 1.170 unieke RAM spreadsheets aangetroffen in archiefbestanden
op netwerkschijven van de Belastingdienst. 17 spreadsheets zijn door medewerkers aangeleverd,
de overige spreadsheets stonden in een archief dat niet toegankelijk was voor medewerkers.
Daarnaast kwam in interviews naar voren dat mogelijk op lokale schijven en op USB-sticks
nog andere RAM spreadsheets zijn opgeslagen. Het is onaannemelijk dat medewerkers
nog toegang hebben tot USB-sticks met RAM spreadsheets. Oude USB-sticks zijn niet
meer te gebruiken, ook niet buiten de werkomgeving van de Belastingdienst. Sinds medio
2023 kunnen alleen nieuw uitgereikte USB-sticks met hardwarematige beveiliging op
de werkomgeving van de Belastingdienst gebruikt worden. Bovendien is slechts voor
een beperkt aantal medewerkers met specifieke taken een ontheffing te krijgen voor
het gebruik van een USB-stick en is het beleid6 om strikt met het gebruik van USB-sticks om te gaan.

De Belastingdienst zal andere omgevingen op spreadsheets uit RAM doorzoeken die niet
geraakt zijn in het KPMG onderzoek en eventueel aan te treffen bestanden veiligstellen
in een datakluis en de bestanden op de oorspronkelijke locatie verwijderen.

Conform de selectielijst Belastingdienst Centrale Administratie7 kennen de meeste bestanden die in het primaire proces gebruikt worden, vernietigingstermijnen
van 5, 7 of 12 jaar, afhankelijk van het belang dat een dergelijk bestand heeft voor
het uitvoeringsproces en voor welk belastingmiddel het bestand gebruikt werd. Afhankelijk
van de aanmaakdatum van de spreadsheet, had een groot gedeelte van de 1.170 aangetroffen
spreadsheets overeenkomstig de Archiefwet vernietigd moeten zijn. Het kleine aantal
spreadsheets dat is aangetroffen uit de laatste jaren dat RAM werd gebruikt, bevestigt
het beeld dat de Belastingdienst het archiefbeheer onvoldoende op orde had. In de
Kabinetsreactie op het rapport «Ongekend onrecht» is aangekondigd dat het archiefbeheer
bij de Rijksoverheid moet verbeteren en is het programma Informatie op Orde aangekondigd.
Met dit programma worden de Wet open overheid en de Archiefwet verder geïmplementeerd.
Het streven is om de informatiehuishouding bij de Belastingdienst per 2026 naar een
hoger volwassenheidsniveau te brengen.

1.5 Verstrekken van gegevens uit RAM aan andere organisaties

Ik maak uit het KPMG onderzoek op dat RAM een vehikel was om projecten die overheidsbreed
werden uitgevoerd van data te voorzien. Er zijn bijvoorbeeld gegevensverstrekkingen
naar voren gekomen aan de samenwerkingsverbanden Landelijke Aanpak Adreskwaliteit
(LAA), het Financieel Expertise Centrum (FEC), de Regionale Informatie- en Expertisecentra (RIEC’s), het Landelijk Informatie- en Expertisecentrum (LIEC) en
de Landelijke Stuurgroep Interventieteams (LSI).

Dat het gebruik van RAM beperkt voldeed aan waarborgen rondom gegevensbescherming,
betekent niet dat verondersteld moet worden dat een dataverstrekking aan andere partijen
per definitie onrechtmatig was. Voor een verstrekking van data aan deze en andere
partijen waren – ook destijds – convenanten gesloten waarin is opgenomen welke data
verstrekt kunnen worden en welke wet- en regelgeving daaraan ten grondslag lag. Zonder
RAM hadden grotendeels dezelfde data verstrekt kunnen zijn als met RAM, alleen hadden
dan data uit één of meerdere systemen van de Belastingdienst gecombineerd moeten worden.
Gegevens die alleen in RAM beschikbaar waren vormen hierop een uitzondering. Naast
een verantwoordelijkheid bij de verstrekkende partij, rust ook een verantwoordelijkheid
bij de ontvangende partij als verwerkingsverantwoordelijke om ontvangen data te beoordelen
op proportionaliteit en subsidiariteit.

Deze gegevensverstrekkingen hebben plaatsgevonden in een periode van 20 jaar en uiterlijk
tot mei 2018 met gegevens uit RAM. Uit eerdere analyses naar aanleiding van vragen
van uw Kamer over specifieke projecten van RIEC, LIEC en LSI werd duidelijk dat de
data die werden gebruikt voor deze projecten niet meer beschikbaar waren. Gezien de
verstreken tijd is het dan ook onmogelijk om te achterhalen hoe data voor overheidsbrede
projecten door andere organisaties beoordeeld en gebruikt zijn.

De Belastingdienst houdt tegenwoordig beter zicht op de gegevensverstrekkingen aan andere partijen. In nieuw opgestelde convenanten (en de bijbehorende
bijlagen) worden de afspraken vastgelegd over het leveren en ontvangen van (persoons)gegevens
en hoe hier toezicht op wordt gehouden. De Belastingdienst houdt een overzicht bij
van de op de convenanten uitgevoerde toetsen, zoals de WMK-toets. Er zijn ook verbetermogelijkheden.
Zo is nog niet elk convenant gepubliceerd op de website van de Belastingdienst, lukt
het nog niet om het streven te realiseren dat elk convenant periodiek wordt geëvalueerd
en waar nodig herzien en bevat nog niet elk convenant de specificatie van de te leveren
gegevens als bijlage. Het toezicht op de afspraken voor gegevensdeling en de naleving
van deze afspraken zal daarom binnen de Belastingdienst worden versterkt. In de stand
van zakenbrief Belastingdienst die in het najaar van 2025 aan u wordt aangeboden,
informeer ik u nader over de uitvoering van deze verbeteracties.

In het wetstraject Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen en
Douane (WGBTD)8 wordt een versteviging van de wettelijke grondslagen voor onder andere het structureel
verkrijgen van persoonsgegevens en het verstrekken van persoonsgegevens aan (overheids)organisatie
voorzien.

Daarnaast is het uitgangspunt dat nieuwe verzoeken om gegevensverstrekking door de
Belastingdienst worden afgewezen, omdat dit een niet-fiscale taak is, tenzij er zwaarwegende
redenen voor honorering zijn. De redenen worden per casus getoetst en afgewogen. Door
middel van een «verstrekkingenkader» wordt getoetst of de gevraagde gegevens noodzakelijk
zijn en of de doorbreking van de geheimhoudingsplicht evenredig is aan het beoogde
doel. Deze vragen zijn van belang om te waarborgen dat er zorgvuldig wordt omgegaan
met gegevens van belastingplichtigen. Indien de noodzakelijkheid en evenredigheid
zijn vastgesteld wordt van andere departementen verlangd dat zij in hun eigen wetgeving
voorzien in een grondslag voor de Belastingdienst om gegevens te mogen verstrekken
voor dit specifieke doel.

1.6 Toezicht op Fiscaal Dienstverleners

De Belastingdienst heeft als doel de compliance van de FD’s te vergroten en via de
FD’s die van zijn klanten. Dit bereikt de Belastingdienst onder andere door de kennis
bij FD’s te vergroten, maar ook door te handhaven.

In RAM waren hiervoor marginale, toezicht- en procesparameters, totaalscores en risicoscores
beschikbaar, waar ook variabelen in betrokken werden als het aantal FSV meldingen.

Voor het handhaven en het bijbehorende toezichtsproces gebruikt de Belastingdienst
tegenwoordig de FD-monitor. Met deze monitor krijgt de Belastingdienst per FD inzicht
in bijvoorbeeld het aantal maal dat uitstel is verleend, aangiften afwijkend van de
indiening zijn vastgesteld en of sprake is van aangifteverzuim. Van het klantenbestand
van de FD wordt inzichtelijk welke branches dit betreft, wat het financieel belang
is en of er sprake is van horizontaal toezicht. Buiten deze gegevens, spelen kenmerken
van het klantenbestand geen rol in het toezicht op FD’s.

Op dit moment vindt een inventarisatie plaats of de waarborgen op grond waarvan de
FD-monitor wordt gebruikt afdoende zijn. Afhankelijk van de uitkomst van deze inventarisatie
worden vervolgstappen bepaald.

Daarnaast worden soortgelijke FD’s met een query met elkaar vergeleken op basis van
procesvariabelen als tijdige, juiste en volledige aangiften. Afwijkingen tussen FD’s
worden nader geanalyseerd en indien nodig betrokken in een interventie, zoals een
kwaliteitsgesprek.

1.7 Lokaal ontwikkelde applicaties (LOA)

Uit de bevindingen over LOA’s maak ik op dat het initiatief voor RAM ontstond uit
een gebrek aan digitale ondersteuning bij het houden van toezicht. Om die taken efficiënt
uit te kunnen voeren, werd het systeem RAM ontwikkeld «vanaf de werkvloer». Het systeem
was nooit voorzien om op landelijk niveau gebruikt te worden en er werd niet als zodanig
op gestuurd in de ontwikkeling. Daardoor kon een systeem ontstaan met een gebrek aan
voldoende uniforme waarborgen.

Tegenwoordig neemt de Belastingdienst zoveel als mogelijk applicaties die bedrijfskritisch
en op lokaal niveau ontwikkeld zijn via de architectuur in beheer. Hiervoor worden
deze applicaties omgebouwd tot zogenoemde Robuuste Tijdelijke Voorzieningen en worden
de voorwaarden die gelden voor het voortbrengingsproces van de informatievoorziening
van toepassing. Dit betekent dat Belastingdienst-brede kaders en wet- en regelgeving
ook op deze applicaties toegepast worden en ontstaat meer zicht op de naleving hiervan.
Zo wordt via de architectuur gegevensextractie uit systemen zeer beperkt toegestaan en expliciet beoordeeld. Overigens
is de totstandkoming van een LOA nooit in zijn geheel te voorkomen, omdat het opstellen
van een spreadsheet immers al aan deze kwalificatie voldoet. De AP heeft in het jaarplan
2025 opgenomen dat het in het kader van het toezichtarrangement onderzoek verricht
naar de LOA’s binnen de Belastingdienst. Dit jaarplan wordt u met de stand van zakenbrief
Belastingdienst aangeboden, die rond dezelfde datum als deze brief aan u wordt verstuurd.

2. RAM in relatie tot wettelijke eisen en interne kaders

KPMG heeft op basis van de nog beschikbare informatie onderzoek gedaan naar de wettelijke
en interne kaders waar het de beveiliging, privacy, archivering, profilering betreft.
Daarbij is KPMG uitgegaan van de eisen die ten tijde van de gehele levensduur van
RAM van toepassing waren.

2.1 Beveiliging, privacy en archivering

2.1.1 Bevindingen KPMG

Volgens KPMG was er een beperkt aantal beveiligingsmaatregelen getroffen om te kunnen
voldoen aan de wettelijke en interne kaders voor informatiebeveiliging.

KPMG heeft op basis van documentatie en interviews afgeleid dat RAM vanaf 2012 aan
circa 10 van de 27 beveiligingseisen voldeed. KPMG heeft ook afgeleid dat de beveiligingsprocessen
informeel van aard waren en dat 200 van de 248 op autorisatieoverzichten aangetroffen
gebruikers in 2017 onbeperkte toegang hadden tot RAM. Zij konden gegevens in RAM exporteren
en onbeveiligd via e-mail versturen of op USB-sticks plaatsen. In de periode 2012
tot en met 2017 heeft de Belastingdienst aanvullende beveiligingsmaatregelen in RAM
genomen, zoals het loggen van toegang, het onmogelijk maken van verspreiding van RAM-gegevens
via USB-sticks en e-mail, het aanscherpen van autorisaties en het door gebruikers
kunnen pseudonimiseren van gegevensselecties.

KPMG stelt vast dat in en rondom het RAM-systeem een beperkt aantal technische en
organisatorische maatregelen waren getroffen om te kunnen voldoen aan de wettelijke
kaders voor privacy en archivering. Het waarborgen van de naleving van de beginselen
van privacy- en archiveringswetgeving werd bijna geheel aan (eind)gebruikers van de
RAM-gegevens overgelaten.

KPMG stelt vast dat geen analyse van grondslagen en doelbinding heeft plaatsgevonden
voor het koppelen van gegevens in RAM of voor het maken van selecties voor toezichtsactiviteiten.
De gegevensverwerking met RAM was niet opgenomen in het register van verwerkingen
en niet aangemeld bij de Functionaris Gegevensbescherming van het Ministerie van Financiën
of de externe privacytoezichthouder.

KPMG heeft geconstateerd dat een beperkt aantal technische en organisatorische maatregelen
was getroffen. In interne onderzoeken heeft de Belastingdienst dit ook vastgesteld,
bijvoorbeeld in een Gegevensbeschermingseffectbeoordeling (GEB) in 2017, waarna maatregelen
zijn getroffen die hierboven reeds zijn genoemd, zoals de beperking van exportmogelijkheden
en het beperken van het aantal gebruikers. Uiteindelijk heeft de constatering dat
niet voldaan zou worden aan de voorwaarden van de AVG geleid tot het uitschakelen
van RAM in mei 2018 bij de inwerkingtreding van de AVG. Andere maatregelen, zoals
het introduceren van leveringscriteria en een intakeformulier en het kunnen pseudonimiseren,
waren in beperkte mate geoperationaliseerd.

2.1.2 Beheersing gegevensbescherming

De verbeteringen die de Belastingdienst heeft ingezet om te voldoen aan de AVG, zijn
vanaf 2018 gestart. Dat was te laat om aan de AVG te voldoen. Alhoewel het voldoen
aan de AVG continu aandacht vereist, zie ik dat de Belastingdienst de achterstand
op dit gebied inloopt, maar ook dat er nog verdere verbeteringen zijn te treffen.

Om medewerkers te ondersteunen met kennis over privacyrecht is er een vaktechnische
structuur opgezet en zijn vanaf 2018 datacoördinatoren aangesteld. Het bewustzijn
van medewerkers op het gebied van zorgvuldig gebruik van gegevens, informatiebeveiliging
en privacy is vergroot door bewustwordingsacties, verplichte awareness cursussen,
ook op het gebied van vooroordelen. Alle nieuwe medewerkers van de Belastingdienst
die in de uitvoering aan de slag gaan, worden hierin opgeleid in hun opleidingsprogramma.
Voor huidige medewerkers is er een apart opleidingsprogramma met deze aandachtsgebieden
gestart.

Ik heb uw Kamer geïnformeerd9 dat de Belastingdienst een toetsing verricht op de opzet van alle bedrijfsprocessen
op onderdelen van de AVG, Baseline Informatiebeveiliging Overheid (BIO) en Archiefwet.
Hiermee ontstaat er inzicht in de processen en risico’s, waardoor de beheersing verbetert.
In de stand van zakenbrief Belastingdienst, die rond dezelfde datum als deze brief
aan u wordt aangeboden, wordt nader ingegaan op de activiteiten die de Belastingdienst
uitvoert en nog moet uitvoeren in het kader van de AVG.

Veel van de applicaties die de Belastingdienst gebruikt voorzien niet in logging en
monitoring. De Belastingdienst beziet welke maatregelen kunnen bijdragen aan het verantwoorden
over toegang tot specifieke informatie. Daarbij wordt gezocht naar methodes met weinig
impact op de IV-portfolio.

Verder is de Belastingdienst begonnen met de realisatie van het «need to know» principe
en dataminimalisatie. Dit krijgt de komende jaren verder vorm. De toenemende dreiging
van ondermijning, technologische ontwikkelingen als cloudgebruik en het inrichtingsprincipe
voor met name de toezichtsprocessen waardoor veel gegevens raadpleegbaar zijn, maken
dat er opnieuw nagedacht wordt over de invulling van het «need to know» principe.
De ambitie is om te zorgen dat medewerkers alleen gegevens kunnen inzien die zij nodig
hebben voor de uitoefening van hun taak.

2.2 Profilering

2.2.1 Bevindingen KPMG

KPMG heeft geen aanwijzingen aangetroffen dat met RAM op ras, etniciteit of godsdienst
is geselecteerd. KPMG heeft wel selecties aangetroffen op andere aspecten, zoals nationaliteit.
In 14 van de 1.170 spreadsheets werd gebruik gemaakt van eerste en/of tweede nationaliteit
als selectiecriterium. In deze spreadsheets werd geselecteerd op de Bulgaarse, Roemeense,
Afghaanse en/of Albanese nationaliteit. Aanvullend bleek uit enquêtes dat in 4 toezichtprojecten
geselecteerd zou zijn op de Chinese, Turkse, Italiaanse en Nederlandse nationaliteit.
Deze spreadsheets zijn niet aangetroffen door KPMG. Met RAM was overigens een voorselectie
gemaakt van in totaal 17 nationaliteiten10 en zes groepen11 nationaliteiten per adres. In het ontwerp van RAM was deze voorselectie opgenomen,
het daadwerkelijk gebruik hiervan is niet door KPMG aangetroffen.

Uit enquête is gebleken dat met RAM geselecteerd werd op postcode eventueel in combinatie
met huisnummer. Die selectie is aangetroffen in 35 van de 1.170 unieke spreadsheets.
In mindere mate werd geselecteerd op achternaam, IP-adres en fiscaal strafrechtelijke
gegevens. Ook waren er risico-indicatoren beschikbaar in RAM, die zijn reeds beschreven
in paragraaf 1.1 en daar ben ik in paragraaf 1.3 nader op in gegaan.

KPMG stelt dat het wegens het ontbreken van een gestructureerde vastlegging in RAM
en/of in individuele controledossiers geen mogelijkheid ziet om integraal eventuele
nadelige effecten voor belastingplichtigen te identificeren.

2.2.2 Mogelijk sprake van ongelijke behandeling

In het onderzoek van KPMG komt naar voren dat nationaliteiten van belastingplichtigen
in RAM waren opgenomen. Als zonder zwaarwegende redenen op nationaliteit is geselecteerd
en dit gegeven als enige of doorslaggevende criterium is gebruikt voor het instellen
van een controle van de aangifte(n) van een specifieke belastingplichtige, kunnen
belastingplichtigen op basis van alleen nationaliteit ongelijk zijn behandeld. Dit
mag zich nooit voordoen. Ik vind dat de Belastingdienst als een dergelijk geval zich
heeft voorgedaan, dit dient te corrigeren door de gevolgen van de selectie en het
onderzoek terug te draaien. Dit is in lijn met een arrest12 van de Hoge Raad, waarin wordt geconcludeerd dat gegevens verkregen uit onderzoek
dat voortvloeit uit een selectie in strijd met een grondrecht, zoals het verbod op
ongelijke behandeling op basis van afkomst, geaardheid of geloofsovertuiging, onder
omstandigheden niet gebruikt mogen worden bij het vaststellen van een belastingaanslag.

KPMG stelt dat eventuele nadelige effecten van het gebruik van RAM niet te duiden
zijn. De Belastingdienst wil dit toch proberen uit te zoeken, omdat een schending
van een grondrecht vergaand is. Hiervoor gebruikt de Belastingdienst de werkwijze
die ontwikkeld is om de Wet compensatie wegens selectie aan de poort uit te voeren.
De Belastingdienst gaat bij de 14 aangetroffen spreadsheets na of aangiften van belastingplichtigen
zijn geselecteerd op voor het (fiscale) toezicht relevante en objectief gerechtvaardigde
gronden. Over de uitkomst van deze analyse, de mogelijkheden en de eventuele noodzaak
voor herstel informeer ik u uiterlijk in juni 2025. Een eventueel hersteltraject zou
dan vorm kunnen krijgen in lijn met de Wet compensatie wegens selectie aan de poort.

2.2.3 Verwerking nationaliteit, fiscaal strafrechtelijke- of medische gegevens

Uit het KPMG onderzoek bleek dat bijzondere persoonsgegevens en gegevens over nationaliteit
in RAM beschikbaar waren. Het aanwezig zijn van dergelijke gegevens in RAM vind ik
niet juist, omdat die gegevens niet zomaar voor andere doelen verwerkt mochten worden
en dat verwerking met waarborgen omgeven moesten en moeten zijn.

In sommige gevallen is het toegestaan om bijzondere persoonsgegevens, strafrechtelijke
gegevens of nationaliteit te verwerken. U kunt hierbij denken aan medische gegevens
bij aftrekposten of het doen van een beroep op een coulanceregeling naast het gebruik
van strafrechtelijke gegevens bij het opleggen van boetes. Nationaliteit mag bijvoorbeeld
verwerkt worden bij buitenlandse belastingplichtigen. Op 30 mei 2022 is een overzicht13 met grondslagen voor het verwerken van nationaliteit aan uw Kamer gestuurd.

Naar aanleiding van de bevindingen rondom de FSV is het programma Herstellen, Verbeteren,
Borgen uitgevoerd. In dit programma heeft de Belastingdienst alle centraal beheerde
applicaties voor alle processen van de Belastingdienst doorzocht op het gebruik van
nationaliteit, fiscaal strafrechtelijke en medische gegevens en beoordeeld of er een
rechtsgrond voor bestaat. Voor 2 applicaties van de Belastingdienst is destijds onvoldoende
gebleken dat een rechtsgrond voor het registreren van deze typen persoonsgegevens
aanwezig is en zijn reeds passende maatregelen getroffen. Dit betroffen FSV (in februari
2020 uitgezet) en Invordering Lokaal (INL), waarover eerder met uw Kamer is gecommuniceerd14.

3. Besluitvorming over RAM

3.1 Bevindingen KPMG

Over de periode 1998 tot 2010 was de beslissingsbevoegdheid over RAM decentraal belegd.
KPMG heeft geen besluiten aangetroffen over het initieel ontwikkelen of over het toevoegen
van gegevensbronnen aan RAM. Vanaf 2011 is met de vorming van landelijke directies
de verantwoordelijkheid voor RAM op landelijk niveau belegd. Over die periode heeft
KPMG diverse beslissingen herleid.

Er is diverse malen besloten om RAM niet stop te zetten, omwille van het belang dat
RAM had in het toezicht. Er is naar het gebruik en werking van RAM wel op meerdere
momenten onderzoek uitgevoerd. Zo heeft de Belastingdienst in 2016 een onderzoek laten
uitvoeren door de SIG (Software Improvement Groep) en uw Kamer over onder meer dit
onderzoek in reactie op Kamervragen van oktober 2023 geïnformeerd. Op basis van onderzoeken
zijn voor de geconstateerde risico’s aanvullende technische, privacy of beveiligingsmaatregelen
voorgesteld. Niet alle destijds voorgestelde verbeteringen zijn doorgevoerd of waren
effectief. Uiteindelijk werd in april 2018 besloten tot het uitwerken van noodscenario’s
om RAM te vervangen en werd RAM direct voorafgaand aan de inwerkingtreding van de
AVG uitgezet.

3.2 Besluitvorming bij de Belastingdienst

De Belastingdienst was ten tijde van RAM voornamelijk gericht op het invulling kunnen
geven aan het houden van toezicht. Andere zaken, zoals gegevensbescherming, waren
ondergeschikt. Dit blijkt ook uit de door KPMG in beeld gebrachte besluitvorming over
RAM. Bij meerdere beslissingen over het voortbestaan van RAM werd het belang dat RAM
had voor het toezicht zwaarder meegewogen op het moment dat zich risico’s voordeden
op het gebied van gegevensbescherming.

Het is helder dat de Belastingdienst bij het gebruik van RAM rekening had moeten houden
met wettelijke kaders. De Belastingdienst had ervoor moeten zorgen dat RAM aan de
eisen voldeed of op een andere wijze in de informatiebehoefte van medewerkers en management
belast met toezicht moeten voorzien. Ook had de Belastingdienst kunnen signaleren
dat het beperkingen in het toezicht ervoer en dit (politiek) bespreekbaar kunnen maken.

Met het programma besturing Belastingdienst en bijbehorende herinrichting van de topstructuur
is de besturing van de Belastingdienst vereenvoudigd en verbeterd. De top van de Belastingdienst
stuurt op strategische onderwerpen en er worden sneller besluiten genomen met een
evenwichtige afweging tussen de verschillende collectieve belangen. Hierdoor worden
Belastingdienst brede onderwerpen, zoals vaak met ICT-systemen of processen het geval
is, aan de juiste tafel besproken en met hen die hierover een beslissing kunnen nemen.
Daarnaast is op meerdere manieren voorzien in het ontvangen en op de juiste tafel
krijgen van signalen vanuit de Belastingdienst, mede naar aanleiding van het rapport
«Ongekend Onrecht» van de Parlementaire ondervragingscommissie Kinderopvangtoeslag.
Tot slot wordt in de Stand van de uitvoering en de Staat van de uitvoering op regelmatige
basis gerapporteerd over de uitvoeringspraktijk en kunnen signalen uw Kamer bereiken.

4. Met RAM vergelijkbare analysesystemen

4.1 Bevindingen KPMG

KPMG heeft de hulpmiddelen en applicaties voor toezicht bij de Belastingdienst, Dienst
Toeslagen en Douane in kaart gebracht. Systemen/processen die aan elk van de onderstaande
criteria voldoen, zijn geclassificeerd als «vergelijkbaar met RAM:

• Er bestaat de mogelijkheid tot:

○ (risico)selecties of de berekening van risicoscores,

○ of het genereren van klantbeelden,

• Het wordt gebruikt voor toezicht en/of handhaving,

• Het betreft geen primair (transactie/relatie) systeem, bijvoorbeeld voor een belastingmiddel,

• Het systeem is de laatste 10 jaar in gebruik geweest.

Twaalf systemen voldoen volgens KPMG aan deze criteria. Vijf systemen hiervan zijn
nog in gebruik bij de Belastingdienst. Dit zijn: Gruff, Inforay Selectie Module OB
(SMOB), Infosjabloon, Klantbeeld toezicht applicatie (KTA) en het Invorderings Hulp
Programma (IHP). Eén systeem is nog in gebruik bij de Douane, dit betreft Profielgebaseerd
Risico Management (PRISMA).

KPMG heeft in dit onderzoek niet onderzocht of deze systemen voldoen of voldeden aan
wettelijke kaders. Vanaf paragraaf 6.4 in het KPMG-rapport (bladzijde 262) is een
overzicht opgenomen van de eigenschappen van deze systemen en een nadere beschrijving.

4.2 Omgang met RAM vergelijkbare analysesystemen

De Belastingdienst heeft voor vijf systemen die nog in gebruik zijn een eerste analyse
(bijlage 3) uitgevoerd om een beeld te vormen over de beheersmaatregelen rondom privacy
en informatiebeveiliging. De analyse heeft plaatsgevonden op basis van beschikbare
documentatie en gesprekken met betrokkenen. Uit de resultaten van de analyse blijkt
dat de systemen worden gebruikt om klantbeelden ten behoeve van het toezicht samen
te stellen uit bronsystemen. Van de data die zijn opgenomen in de systemen is het
logisch dat de Belastingdienst die inzet voor toezicht. Op basis van de beschikbare
informatie is niet gebleken dat er geautomatiseerde selecties en profilering plaatsvindt.
Tevens is niet gebleken dat er bijzondere persoonsgegevens voorkomen in deze systemen.

Op het gebied van informatiebeveiliging is geconstateerd dat er waarborgen zijn genomen
voor toegang, gegevensopslag, gegevensuitwisseling en monitoring. De Belastingdienst
onderkent ook risico’s en verbetermogelijkheden rondom de toegang, privacy en het
toekomstbestendig maken van deze systemen. Een nadere analyse wordt uitgevoerd hoe
geconstateerde verbetermogelijkheden kunnen worden doorgevoerd, zodat deze systemen
meer toekomstbestendig kunnen worden gemaakt. Belangrijke elementen uit deze analyse
zijn:

• Een tijdspad voor het actualiseren van de verwerkingen en daar waar nodig uitvoeren
van een DPIA;

• Een planning van (voorgenomen) maatregelen die organisatorisch van aard zijn en risico’s
rondom ongeautoriseerde toegang kunnen mitigeren;

• Een analyse van technische onmogelijkheden gerelateerd aan de moderniseringsopgave
rondom autorisatieconcepten of logging met daarbij:

○ Prioritering in het portfolio van de Belastingdienst (wanneer zijn maatregelen nodig
of worden applicaties vervangen).

○ Planning van tijdelijke maatregelen om risico’s verder te beperken.

Bij één systeem, de Klantbeeld Toezicht Applicatie (KTA), heeft de Belastingdienst
direct verbeteringen doorgevoerd gezien de bevindingen rondom de toegang tot dat systeem.
Op dit moment hebben 22.000 gebruikers toegang tot KTA, waarin veel fiscale gegevens
van belastingplichtigen te vinden zijn. Duizenden gebruikersaccounts die niet gerelateerd
zijn aan directies die toezicht uitoefenen, worden gecontroleerd ingetrokken. Daarnaast
wordt naast de reeds beschikbare logging, actieve monitoring direct geïmplementeerd.

Dergelijke maatregelen op het gebied van informatiebeveiliging werden reeds voorzien
in het kader van de aanpak weerbaarheid tegen ondermijning en in het kader van de
beheersing gegevensbescherming, zie voor dit laatste paragraaf 2.1.2. Waar het de
ondermijning betreft bent u met de brief van 25 april 202415 geïnformeerd. In die brief is het belang genoemd van het beheer van autorisaties
van ICT-systemen en logging en monitoring, om het risico te beperken dat gegevens
in verkeerde handen vallen. Met het oog op efficiënte en klantgerichte dienstverlening
en landelijk werken van de Belastingdienst, werden autorisaties breed verstrekt. De
keerzijde is dat veel medewerkers toegang hadden tot persoonsgegevens.

Daarnaast is vanuit de weerbaarheid aandacht voor de op dit moment beperkte logging
en monitoring van systemen bij de Belastingdienst. Hiervan onderkent de Belastingdienst
dat de technische mogelijkheden voor logging en monitoring verbeterd moeten worden.
Hiervoor kunnen passieve (afwijking in toegang achteraf zichtbaar) en actieve monitoring
(afwijkingen in toegang direct zichtbaar) worden gebruikt. Passieve monitoring is
op een aantal systemen reeds mogelijk. Het voornemen is om actieve monitoring toe
te passen op de meest risicovolle systemen.

Het systeem Prisma wordt door de Douane gebruikt om selecties te maken op de goederenaangiften
die de Douane via diverse aangifte-systemen ontvangt. Er kan met Prisma geen klantbeeld
gegeneerd worden noch op andere wijze downloads worden gemaakt. De gegevenselementen
die in Prisma kunnen worden gebruikt zijn de gegevens die voor elke aangifte moeten
worden gebruikt door de aangever (bijlage B uit het Douane Wetboek van de Unie). Bij
de vereiste gegevenselementen worden geen directe persoonsgegevens gevraagd, maar
bedrijfsnamen. De Douane is wettelijk verplicht om douanecontroles hoofdzakelijk te
baseren op geautomatiseerde risicoanalyse (artikel 46 lid 2 Douane Wetboek van de
Unie). In het kader van informatiebeveiliging zijn de standaard informatiebeveiligingsmaatregelen
van de Douane van toepassing.

5. Tot slot

5.1 Resultaten verzoek artikel 68 Grondwet

Bij de beantwoording van de Kamervragen over RAM op 13 oktober 2023, heeft mijn ambtsvoorganger
de documenten betreffende RAM van de eerste zoekslag naar uw Kamer gezonden.16 Hierbij is benadrukt dat deze zoekslag enkel betrekking had op stukken die door het
directieteam van de Belastingdienst zijn besproken en zijn opgenomen in Digidoc, het
centrale systeem voor stukkenstroom en archivering daarvan binnen het Ministerie van
Financiën.

Er heeft inmiddels een vervolgzoekslag plaatsgevonden naar documenten in de mailboxen
van diegene in de top die mogelijk met (besluitvorming over) RAM te maken hebben gehad.
In bijlage 2 zend ik u de documenten over RAM die de top van Belastingdienst (vanaf
schaal 16) en/of de politieke top bereikt hebben sinds 2015. Voor de interpretatie
van het verzoek en de werkwijze van de zoekslag naar deze documenten verwijs ik naar
bijlage 4. Voor dit informatieverzoek is alleen in mailboxen gezocht, voor de zoekactie
ten behoeve van KPMG zijn daarnaast ook de netwerkschijven op relevante documenten
doorzocht. De documenten die door KPMG in haar rapportage zijn genoemd, worden wanneer
deze inzichtelijk zijn bij de volgende stand van zakenbrief Belastingdienst met uw
Kamer gedeeld.

5.2 Onderzoek Autoriteit Persoonsgegevens

Zoals eerder aangekondigd heeft de AP aangegeven een onderzoek naar RAM te starten.17 Het KPMG onderzoek evenals de resultaten van het onderzoek ingevolge artikel 68 Grondwet
zijn inmiddels aan de AP verstrekt. Als onafhankelijk toezichthouder bepaalt de AP
de scope van het vervolgonderzoek, de planning en op welke wijze wordt gerapporteerd.

5.3 Afsluitend

In deze brief heb ik beschreven hoe de Belastingdienst in het verleden is omgegaan
met RAM en welke conclusies en acties ik daaraan verbind. Daarnaast heb ik genoemd
op welke wijze de Belastingdienst nu werkt met aspecten als gegevensbescherming, gegevensverstrekking,
bijzondere persoonsgegevens en besluitvorming. Tot slot heb ik aandacht besteed aan
stappen die de Belastingdienst nog wil zetten ter verdere verbetering. Hierover ga
ik graag met u het gesprek aan. Als u behoefte heeft aan een nadere toelichting op
het KPMG rapport, is de Belastingdienst hiervoor beschikbaar.

De Staatssecretaris van Financiën,
T. van Oostenbruggen