Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg inzake Uitkomsten extern onderzoek Risico Analyse Model (RAM) (Kamerstuk 31066-1465)

De vaste commissie voor Financiën heeft op 4 april 2025 enkele vragen en opmerkingen
aan de Staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane voorgelegd
over zijn op 6 maart 2025 toegezonden brief inzake de uitkomsten extern onderzoek
Risico Analyse Model (RAM) (Kamerstuk 31 066, nr. 1465).

De voorzitter van de commissie,

Nijhof-Leeuw

Adjunct-griffier van de commissie,

Lips

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de stukken en hebben
hierover vragen en opmerkingen. Deze zullen deze per punt uit de Kamerbrief uiteenzetten.
In algemeenheid stellen de leden voorop dat de overheid altijd zorgvuldig met persoonsgegevens
moet omgaan.

De leden van de GroenLinks-PvdA-fractie delen ten aanzien van Wat was RAM de analyse
van de Staatssecretaris dat de Belastingdienst RAM nooit had moeten en mogen gebruiken.
Dit wordt duidelijk in de geschiedenis die de Staatssecretaris schetst van RAM. De
Staatssecretaris schrijft dat «gevoelde maatschappelijke en politieke druk» hebben
geleid tot het gebruik en de datahonger van de overheid, waar de Kamer volgens deze
leden en het rapport «Ongekend onrecht» mede verantwoordelijk voor is geweest. Is
het politieke bestel volgens de Staatssecretaris voldoende bestand tegen soortgelijke
patronen? Welke garanties kan de Staatssecretaris geven dat dit niet nog een keer
zal gebeuren?

De leden van de GroenLinks-PvdA-fractie menen ten aanzien van de bevindingen van KPMG
dat het verzamelen van grote hoeveelheden persoonsgegevens standaard zal leiden tot
het gebruiken van deze gegevens. Het beschikbaar stellen van gekoppelde persoonsgegevens
in één overzicht en het onzorgvuldig delen van deze datasets zet de deur in de ogen
van deze leden altijd open voor oneigenlijk gebruik. Deelt de Staatssecretaris de
mening dat het bestaan van een dergelijk totaaloverzicht als RAM met selectiemogelijkheden
in essentie een risico vormt?

De leden van de GroenLinks-PvdA-fractie zijn benieuwd hoe wordt bepaald wat de «minimale
hoeveelheid gegevens» is die nodig is voor subjectgerichte controle, zoals beschreven
in spoor 3 na het uitzetten van RAM. Hoe wordt dataminimalisatie daarin toegepast?

Volgens de leden van de GroenLinks-PvdA-fractie is ten aanzien van het punt van belastingplichtigen
in RAM het massaal verzamelen van persoonsgegevens van burgers in essentie een risico.
Daarmee is enkel het feit dat men hierin staat opgenomen op zichzelf al een reden
tot zorg, met name voor burgers met een nationaliteit die buitenproportioneel hard
is benadeeld. Deelt de Staatssecretaris die analyse? Kan de Staatssecretaris daarnaast
uitleggen hoe het kan dat het nut, de noodzaak en het gebruik van risicoscores in
spreadsheets die KPMG aan heeft getroffen niet beschikbaar waren? Is de Staatssecretaris
het ermee eens dat het verwerken van persoonsgegevens altijd gemotiveerd moet zijn?

De leden van de GroenLinks-PvdA-fractie twijfelen op het punt van gebruik van selectie-instrumenten
op basis van risico-indicatoren aan de objectiviteit van selectie-instrumenten. In
de analyse van deze leden heeft het algoritmisch selecteren van burgers, met modellen
die discriminatoire vooroordelen bevestigen, ook invloed op de handmatige controles
die daaruit volgen. Een waarborgenkader «waarbinnen gewerkt dient te gaan worden»
is volgens de leden van de GroenLinks-PvdA-fractie te vrijblijvend en te vaag om dit
risico te ondervangen. Hoe gaat de Staatssecretaris ervoor zorgen dat dit kader breed
wordt nageleefd? Op welke termijn en schaal wordt dit kader ingezet? Soortgelijke
zorgen hebben deze leden over de verschillende mensenrechtentoetsen die worden uitgevoerd
bij algoritmes. Is er een wetenschappelijke norm voor deze toetsen? Worden alle risicomodellen
die reeds in gebruik zijn ook voorzien van zo’n toets? Wat is het gevolg als een toets
aantoont dat een model risicovol is?

De leden van de GroenLinks-PvdA-fractie willen graag weten wat de precieze taken zijn
van het ethisch team dat werkt aan de inzet van algoritmes. Hoe wordt dit team samengesteld
en welk mandaat heeft het team om ethisch gebruik van algoritmes af te dwingen? Ook
zijn deze leden benieuwd naar het vullen van het Algoritmeregister door de Belastingdienst.
Welk aandeel van de gebruikte algoritmes zijn op dit moment geregistreerd? Zijn deze
algoritmes altijd toegankelijk uitgelegd, zodat meteen duidelijk is met welk doel
deze worden gebruikt?

De leden van de GroenLinks-PvdA-fractie schrikken op het punt van de gevonden spreadsheets
uit RAM van het grote aantal RAM-spreadsheets dat is gevonden in het onderzoek van
KPMG. Dit wijst op een slordige informatiehuishouding, waarin vervuilde data blijft
hangen en mogelijk wordt hergebruikt. Op welke termijn gaat de Belastingdienst andere
omgevingen doorzoeken om RAM spreadsheets op te sporen en te verwijderen? Hoe groot
acht de Staatssecretaris de kans dat er alsnog gebruik is gemaakt van deze data nadat
RAM is stopgezet door het bewaard blijven van RAM spreadsheets?

De leden van de GroenLinks-PvdA-fractie zijn niet verrast dat vernietigingstermijnen
van datasets op grote schaal niet worden nageleefd. Deze leden achten het noodzakelijk
dat dit alsnog gebeurt en wijzen op de verantwoordelijkheid om hier beter op te handhaven.
Waarom worden vernietigingstermijnen op grote schaal niet nageleefd? Wat is het doel
van deze termijnen en wat zijn de kwalijke gevolgen als dit niet gebeurt? Deze leden
vragen de Staatssecretaris om duidelijk uit te leggen wat hij bedoelt met het «naar
een hoger volwassenheidsniveau» brengen van de Belastingdienst per 2026.

De leden van de GroenLinks-PvdA-fractie zien op het punt van het verstrekken van gegevens
uit RAM aan andere organisaties in het ontbreken van informatie over verstrekte gegevens
uit RAM wederom bevestigd dat het de overheid ontbreekt aan eenduidig databeleid.
Op welke termijn verwacht de Staatssecretaris van de Belastingdienst dat zij de door
hem genoemde verbetermogelijkheden volledig heeft uitgevoerd? Hoe helpt de Staatssecretaris
de dienst hierbij? Kan de Wet waarborgen gegevensverwerking Belastingdienst, Toeslagen
en Douane (WGBTD) ook voorzien in het recht van burgers om proactief te worden geïnformeerd
over de persoonsgegevens die de overheid van hen verwerkt, of hier op aanvraag inzage
in te krijgen?

De leden van de GroenLinks-PvdA-fractie snappen ten aanzien van het punt van lokaal
ontwikkelde applicaties (LOA) de overweging om bepaalde specialistische applicaties
lokaal te ontwikkelen en gebruiken. Deze leden lezen echter ook dat de Staatssecretaris
erkent dat het breder gebruiken van zo’n LOA riskant kan zijn, wegens het gebrek aan
ethische kaders. Sinds wanneer houdt de Belastingdienst deze applicaties zelf in beheer?
Hoe zorgt de Staatssecretaris ervoor dat de ICT-kennis in huis is én blijft om deze
applicaties goed te blijven managen, ook als de originele ontwikkelaar(s) niet meer
in dienst is (zijn)?

De leden van de GroenLinks-PvdA-fractie hebben ten aanzien van de bevindingen van
KPMG over RAM in relatie tot wettelijke eisen en interne kaders zorgen over het gebrek
aan beveiliging van RAM-gegevens. Door gebrekkig beleid is het niet duidelijk hoe
en op welke schaal RAM-gegevens zich door de overheid hebben verspreid, waarbij privacy-
en archiveringswetgeving niet is nageleefd. Is de Staatssecretaris het met deze leden
eens dat doelbinding een basisprincipe is van het privacyrecht? Welke gevolgen heeft
het voor burgers dat hun persoonsgegevens zijn gebruikt voor andere doeleinden dan
waar zij toestemming voor hebben gegeven?

De leden van de GroenLinks-PvdA-fractie erkennen op het punt van beheersing van gegevensbescherming
de meerwaarde van interne expertise opbouwen over het privacyrecht. Bewustwording
is in de ogen van deze leden echter nog geen structurele oplossing, zolang de systemen
die worden gebruikt het toestaan dat data oneigenlijk wordt gekoppeld en verwerkt.
Zijn er sinds de bewustwordings- en bijscholingscampagnes minder privacyschendingen
geweest? In hoeverre is dit de individuele verantwoordelijkheid van werknemers?

De leden van de GroenLinks-PvdA-fractie vragen de Staatssecretaris om uit te leggen
waarom het nodig is dat «de Belastingdienst beziet welke maatregelen kunnen bijdragen
aan het verantwoorden over toegang tot specifieke informatie,» als logging en monitoring
hiertoe effectieve methoden zijn. Ook zijn deze leden benieuwd waarom de Belastingdienst
nu pas is «begonnen met de realisatie van het «need to know» principe en dataminimalisatie.»
Was dat tot nu toe niet het geval? Welke maatregelen worden er de komende jaren concreet
genomen om hier aan bij te dragen?

Verder vragen de leden van de GroenLinks-PvdA-fractie om niet alleen de ambitie te
stellen dat medewerkers de gegevens kunnen inzien die zij nodig hebben voor hun taak,
maar ook om burgers het recht te geven om te weten hoe hun gegevens worden verzameld
en verwerkt voor in het toezicht.

De leden van de GroenLinks-PvdA-fractie zijn op het punt van de bevindingen van KPMG
ten aanzien van profilering teleurgesteld over het gebrek aan duidelijkheid over hoe
nationaliteit als persoonsgegeven is verwerkt. Eén van de meest discriminatoire aspecten
van het Toeslagenschandaal is daardoor moeilijk te controleren. Is de Staatssecretaris
het eens met KPMG dat het onmogelijk is om te achterhalen of er nadelige effecten
voor belastingplichtigen hebben plaatsgevonden door risicoselecties te doen op basis
van nationaliteit of ziet de Staatssecretaris mogelijkheden om dit alsnog te doen?

De leden van de GroenLinks-PvdA-fractie vinden de reactie van de Staatssecretaris
op het punt van mogelijk sprake zijn van ongelijke behandeling op de kans dat er ongelijke
behandeling heeft plaatsgevonden door RAM mild. Deze leden lezen dat selectie op basis
van nationaliteit niet mag en dat de Belastingdienst eventuele gevolgen die dit heeft
gehad dient terug te draaien. Hoe verenigt de Staatssecretaris dit met zijn constatering
dat hij niet kan vaststellen of er wel of geen ongelijke behandeling heeft plaatsgevonden?
Wat gaat de Staatssecretaris doen om de Belastingdienst te ondersteunen in haar terechte
poging om uit te zoeken of hier wél sprake van is geweest? Wanneer is volgens de Staatssecretaris
voldoende onderbouwd dat er definitief wel of geen sprake is geweest van ongelijke
behandeling?

De leden van de GroenLinks-PvdA-fractie vragen de Staatssecretaris op het punt van
verwerking van nationaliteit of fiscaal strafrechtelijke- of medische gegevens welke
consequenties de Staatssecretaris eraan verbindt dat RAM bijzondere persoonsgegevens
over nationaliteit beschikbaar stelde, terwijl dit niet was toegestaan. Wat betekent
dit voor de acties die zijn genomen op basis van deze dataset? Zijn deze acties niet
per definitie onrechtmatig?

De leden van de GroenLinks-PvdA-fractie vragen op het punt van de bevindingen van
KPMG ten aanzien van besluitvorming over RAM de Staatssecretaris om een nadere reflectie
op waarom er, ondanks bekende risico’s, meermaals is gekozen om RAM niet stop te zetten.
Hoe is het belang van toezicht afgewogen tegenover het risico dat grondrechten worden
geschonden? Waarom zijn er destijds geen alternatieve systemen uitgewerkt die RAM
hadden kunnen vervangen met een hogere mate van beveiliging?

De leden van de GroenLinks-PvdA-fractie benadrukken op het punt van de besluitvorming
door de Belastingdienst dat signalen over mogelijk risicovolle algoritmen altijd serieus
moeten worden genomen. Veelal worden signalen wel intern afgegeven, maar vervolgens
niet gecommuniceerd naar de politieke leiding. Waarom is dit destijds niet gebeurd?
Welke maatregelen zijn er nu genomen om signalen wél politiek bespreekbaar te maken,
ook als het ongemakkelijk is? Merkt de Staatssecretaris dat de bereidheid om signalen
te melden is toegenomen en wordt hier effectief op gehandeld?

De leden van de GroenLinks-PvdA-fractie vragen de Staatssecretaris op het punt van
omgang met RAM vergelijkbare analysesystemen of in het onderzoek naar de vijf systemen
ook is gekeken naar strategische autonomie als onderdeel van de informatiebeveiliging.
Zijn er in de verwerking, uitwisseling of opslag van gegevens in deze systemen strategische
afhankelijkheden van één (niet-Europese) leverancier? Zo ja, wat doet de Staatssecretaris
om deze afhankelijkheden te verminderen?

De leden van de GroenLinks-PvdA-fractie vragen waarom het toepassen van logging en
monitoring op (de meest risicovolle) systemen slechts een voornemen is en geen harde
doelstelling. Vindt de Staatssecretaris het wenselijk dat deze methoden worden gebruikt
om zo verantwoording af te kunnen leggen over het verwerken van persoonsgegevens?
Welke reden is er om deze methoden niet te gebruiken? Erkent de Staatssecretaris dat
het ontbreken van logging en monitoring in het onderzoek naar RAM zorgde voor gebrekkig
inzicht? Is dat niet genoeg reden om dit nu als harde eis te hanteren bij soortgelijke
systemen?

De leden van de GroenLinks-PvdA-fractie ontvangen over het onderzoek van de Autoriteit
Persoonsgegevens graag meer informatie over het voorgenomen onderzoek van de Autoriteit
Persoonsgegevens zodra de toezichthouder dit kan aanleveren.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met interesse kennisgenomen van de brief «Uitkomsten
extern onderzoek Risico Analyse Model (RAM)». Deze leden hebben nog enkele vragen.

De leden van de VVD-fractie lezen ten aanzien van lopende onderzoeken dat de Autoriteit
Persoonsgegevens heeft aangegeven verder onderzoek te verrichten naar RAM. Daarnaast
onderzoekt de Belastingdienst of het gebruik van gegevens uit RAM in specifieke situaties
mogelijk tot een schendig van de grondrechten heeft geleid. Wat is de stand van zaken
van deze twee onderzoeken? Wanneer kan de Kamer de resultaten van deze twee onderzoeken
verwachten?

De leden van de VVD-fractie lezen ten aanzien van de bevindingen van KPMG dat RAM
mede is ontworpen om de controle van midden- en kleinbedrijven efficiënter en effectiever
plaats te laten vinden, wegens een beperkte controlecapaciteit en het groeiende aantal
MKB-bedrijven. Betekent dit dat er voornamelijk gegevens van MKB-bedrijven in RAM
konden worden gevonden? Is RAM voornamelijk gebruikt om MKB-bedrijven te controleren?
Heeft het gebruik van RAM geleid tot een effectievere en efficiëntere manier van controle?
In welke mate heeft dit geleid tot extra administratieve lasten en/of regeldruk voor
MKB-bedrijven?

De leden van de VVD-fractie lezen op het punt van verstrekken van gegevens uit RAM
aan andere organisaties dat de Belastingdienst tegenwoordig beter zicht houdt op de
gegevensverstrekking aan andere partijen. Welke stappen zet het kabinet om verbetermogelijkheden,
zoals het periodiek evalueren van convenanten, aan te pakken? Ook lezen deze leden
dat de naleving van de afspraken over het toezicht op de afspraken voor gegevensdeling
binnen de Belastingdienst worden versterkt. Hoeveel fte is nodig voor dit toezicht?
Hoeveel fte is nu gevuld voor dit toezicht? Hoe voorkomt het kabinet dat dit voor
extra werkdruk zorgt voor de Belastingdienst?

De leden van de VVD-fractie lezen dat indien de noodzakelijkheid en evenredigheid
zijn vastgesteld, van andere departementen wordt verlangd dat zij in hun eigen wetgeving
voorzien in een grondslag voor de Belastingdienst om gegevens te morgen verstrekken
voor dit specifieke doel. Wachten de departementen af totdat noodzakelijkheid en evenredigheid
zijn vastgesteld, voordat de departementen in hun eigen wetgeving voorzien in een
grondslag voor de Belastingdienst om gegevens te mogen verstrekken? Zo ja, zorgt dat
niet voor een vertraging op het proces van gegevensverstrekking?

De leden van de VVD-fractie lezen op het punt van toezicht op fiscaal dienstverleners
dat op dit moment een inventarisatie plaats vindt of de waarborgen op grond van de
FD-monitor afdoende zijn. Wat is de stand van zaken van deze inventarisatie? Wanneer
kan de Kamer een brief over de inventarisatie en de resultaten verwachten?

Vragen en opmerkingen van de leden van de NSC-fractie

De leden van de NSC-fractie danken de Staatssecretaris voor de toezending van het
KPMG-onderzoek, maar geven tegelijkertijd aan geschrokken te zijn van de bevindingen
die het onderzoek van KPMG aan het licht brengen. RAM is jarenlang gebruikt op een
wijze die structureel in strijd was met wettelijke eisen op het gebied van gegevensbescherming,
beveiliging en archivering. Het gebruik van RAM vond plaats met onvoldoende waarborgen
en zonder voldoende inzicht in de gevolgen voor burgers. Deelt de Staatssecretaris
deze opvatting?

De leden van de NSC-fractie nemen kennis van de reconstructie dat RAM vanaf 1998 groeide
van een lokale toepassing tot een landelijk dataplatform met 69 gekoppelde databronnen.
RAM-tabellen bevatten bijzondere persoonsgegevens, zo constateren deze leden. In de
brief van de Staatssecretaris wordt een voorbeeld gegeven van het gebruik van RAM
ten behoeve van overheidsbrede samenwerkingsverbanden. De leden van de NSC-fractie
vragen of de Staatssecretaris kan aangeven in hoeverre RAM-extracties ook buiten de
Belastingdienst zijn verspreid? Kan een overzicht worden gemaakt van de samenwerkingsverbanden
waarbij RAM werd gebruikt als datavoorziening? In hoeveel procent van de gevallen
betreft het hier samenwerkingsverbanden ten behoeve van de uitvoering van socialezekerheidsregelingen?
Wat was het doel van deze samenwerkingsverbanden? In hoeverre is het aannemelijk dat
de partijen die onderdeel waren van deze samenwerkingsverbanden ook buiten het samenwerkingsverband
om gebruik maakten van deze data? Kan een overzicht worden gegeven van de convenanten
die golden tussen voor deze samenwerkingsverbanden? Zijn er redenen om aan te nemen
dat deze samenwerkingsverbanden onrechtmatig gebruik hebben gemaakt van deze data
enkel door gebruikmaking van deze RAM-extracties? Kan de Staatssecretaris specificeren
welke gegevens wel via RAM beschikbaar waren, maar niet of niet in dezelfde combinatie
verstrekt hadden kunnen worden zonder RAM? Betreft dit uitsluitend samengestelde risicoscores
of ook bijzondere persoonsgegevens (zoals nationaliteit, fraudesignalen of strafrechtelijke
gegevens)? Welke datagegevens zijn enkel in RAM beschikbaar?

De leden van de NSC-fractie merken ten aanzien van het punt van RAM in relatie tot
wettelijke eisen en interne kader op dat in 14 van de 1.170 gevonden RAM-spreadsheets
nationaliteit als selectiecriterium is gebruikt. Uit het commissiedebat Belastingdienst
dat recent is gevoerd bleek bovendien dat deze 14 spreadsheets gezamenlijk circa 50.000
unieke burgerservicenummers (BSN’s) bevatten. Kan de Staatssecretaris bevestigen dat
deze BSN’s zijn geselecteerd (mede) op basis van nationaliteit? Is overwogen om burgers
uit deze spreadsheets hierover te informeren? Wordt onderzocht of intern sprake is
geweest van waarschuwingen of signaleringen omtrent het gebruik van deze specifieke
spreadsheets?

De leden van de NSC-fractie constateren op het punt vam besluitvorming over RAM dat
uit het KPMG-onderzoek naar voren komt dat de formele besluitvorming over RAM jarenlang
diffuus is geweest. Eigenaarschap was niet vastgelegd, aansturing vond versnipperd
plaats en het uitzetten van het systeem gebeurde zonder formeel besluit. De leden
van de NSC-fractie vragen of de Staatssecretaris een chronologisch overzicht kan geven
van de formele en informele besluitmomenten rond RAM (invoering, uitbreiding, wijziging,
uitfasering) en daarbij aangeven welke ambtelijke en/of bestuurlijke actoren daarbij
betrokken waren. Is onderzocht of binnen de Belastingdienst waarschuwingen of signaleringen
zijn gegeven over RAM die zijn genegeerd of onbeantwoord gebleven?

De leden van de NSC-fractie vragen op het punt van openbaarmaking van artikel 68 (Gw)-verzoek
voor hoeveel documenten uiteindelijk de uitzonderingsgrond «tegen het belang van de Staat» is toegepast? Kan de Staatssecretaris concreet aangeven welke belangen van de Staat in deze afweging een rol hebben gespeeld? Bijvoorbeeld: betrof dit operationele
informatie over toezichtstrategieën, internationale afspraken of iets anders? Is overwogen
om de desbetreffende documenten eventueel geanonimiseerd of gedeeltelijk beschikbaar te stellen?

De leden van de NSC-fractie vragen op het punt van het lopende onderzoek door de Autoriteit
Persoonsgegevens (AP) of er zicht is op de reikwijdte en planning van het onderzoek
van de AP?

De leden van de NSC-fractie zijn tot slot van mening dat het dossier-RAM vraagt om
volledige transparantie, bestuurlijke rekenschap en herstel richting mogelijk getroffen
burgers. Deze leden zien de beantwoording van deze vragen daarom met belangstelling
tegemoet.

Vragen en opmerkingen van de leden van de DENK-fractie

De leden van de DENK-fractie hebben met grote zorg kennisgenomen van de Kamerbrief
van 6 maart 2025 en de bijbehorende bijlagen over het Risico Analyse Model (RAM).
De uitkomsten van het externe onderzoek, uitgevoerd door KPMG, bevestigen opnieuw
dat sprake was van grootschalige onrechtmatige gegevensverwerking, gebrekkige governance
en fundamenteel tekortschietend toezicht binnen de Belastingdienst.

Deze leden stellen vast dat het onderzoek opnieuw onderstreept wat zij reeds eerder
naar voren brachten: burgers, met name mensen met een migratieachtergrond, zijn stelselmatig
blootgesteld aan discriminerende risicoselectie op basis van nationaliteit, postcode
en andere indirecte indicatoren. Deze leden vinden het onacceptabel dat dergelijke
praktijken jarenlang konden plaatsvinden zonder duidelijke politieke of bestuurlijke
verantwoording en vragen een kritische zelfreflectie van het kabinet omtrent deze
zorgelijke ontwikkeling.

De leden van de DENK-fractie constateren dat bij het stopzetten van RAM geen adequate
waarborgen zijn genomen om het systeem veilig te stellen voor verder onderzoek. Deze
leden vragen het kabinet waarom bij het uitschakelen van RAM niet is gekozen voor
het veiligstellen van het systeem ten behoeve van nader onderzoek. Wie heeft hierover
het besluit genomen en betrof dit een kabinetsbesluit? Deze leden ontvangen graag
een gedetailleerde tijdlijn van de afbouw tot en met de definitieve ontmanteling van
RAM, inclusief de momenten waarop cruciale besluiten zijn genomen.

De leden van de DENK-fractie achten het essentieel dat de Kamer tijdig en volledig
wordt geïnformeerd over eventuele discriminatoire elementen binnen overheidsbeleid.
Daarom vragen deze leden op welke momenten de Kamer is geïnformeerd over de werking
van RAM, specifiek omtrent het gebruik van nationaliteit als selectiecriterium of
risico op vooringenomenheid. Zijn hierover waarschuwingen vanuit de dienst of toezichthouders
ontvangen? Kunnen deze leden een exact feitenrelaas ontvangen?

Het feit dat RAM jarenlang zonder ingrijpen heeft kunnen functioneren, wijst volgens
de leden van de DENK-fractie op structurele tekortkomingen binnen de Belastingdienst.
Welke interne structuren en procedures, die tussen 1998 en 2018 hadden moeten functioneren
om dergelijke praktijken te signaleren en te stoppen, hebben gefaald? Op welke momenten
had het kabinet moeten ingrijpen en waarom heeft het kabinet dit niet gedaan?

Het onderzoek van KPMG toont aan dat grote hoeveelheden persoonsgegevens werden verwerkt
binnen RAM. De leden van de DENK-fractie vragen van welke persoonsgerichte gegevens
RAM-spoor 1 precies geschoond is. Kan het kabinet een uitsplitsing geven van hoeveel
informatie over personen en bedrijven is verwerkt in RAM-spoor 1, 2 en 3?

De leden van de DENK-fractie constateren dat het kabinet stelt dat RAM deels in gebruik
moest blijven voor toezichtdoeleinden, terwijl uit het KPMG-rapport blijkt dat slechts
een beperkt aantal mensen toegang had tot de drie sporen van RAM. Hoe verhouden deze
bevindingen zich tot elkaar? Uit het onderzoek blijkt dat RAM op verschillende punten
niet voldeed aan wettelijke vereisten. Kan het kabinet per spoor (1, 2 en 3) specifiek
toelichten aan welke wet- en regelgeving (onder andere de AVG, Archiefwet, Wet GBA
en interne beleidsregels) niet werd voldaan?

De leden van de DENK-fractie constateren een zorgpunt uit het onderzoek dat alleen
de datalogging vanaf 2017 met KPMG is gedeeld, hoewel RAM dus al langer actief was.
Waarom is logging vanaf 2012 niet beschikbaar gesteld? Kan het kabinet garanderen
dat hierdoor geen belangrijke constateringen gemist zijn en is zij bereid aanvullend
onderzoek uit te voeren? Het «broedkamer»-systeem binnen de Belastingdienst kwam recentelijk
in opspraak door een groot datalek, constateren deze leden. Wat was hierbij de betrokkenheid
van RAM?

De leden van de DENK-fractie constateren dat slechts 125 van de 167 aangeschreven
personen deelnamen aan de interne enquête. Waarom hebben 42 personen niet deelgenomen
en hoeveel van hen zijn nog steeds werkzaam bij de Belastingdienst of Douane?

Verder constateren de leden van de DENK-fractie dat er bij het onderzoek 35 spreadsheets
aangetroffen zijn met gegevens over burgers en bedrijven. Waarom zijn deze niet direct
meegenomen in het onderzoek? Hoeveel personen en bedrijven staan hierin vermeld? Kan
een geanonimiseerde weergave van een representatief voorbeeld worden gedeeld, inclusief
uitleg over wat bedoeld wordt met gegevens gebaseerd op postcode en in mindere mate
achternaam? Uit het rapport blijkt ook dat bepaalde sectoren, zoals genoemd op pagina
130 (Project Lekkerbek, Beveiligingsbedrijven, Schoonmaakbranche en Taxibedrijven
Amsterdam), intensief zijn gecontroleerd. Zijn deze projecten uitgevoerd met voldoende
waarborgen tegen directe of indirecte discriminatie? Gezien de gebleken benadeling
vragen deze leden ook hoe het kabinet gedupeerden actief informeert en compenseert.
Overweegt het kabinet een schadefonds, vergelijkbaar met de toeslagenaffaire?

Om herhaling te voorkomen, vragen de DENK-leden welke maatregelen het kabinet neemt
om invoering van vergelijkbare systemen te voorkomen. Wat wordt bijvoorbeeld gedaan
om ervoor te zorgen dat in de toekomst alle dataverwerking tijdig en correct wordt
gedocumenteerd en vastgelegd in registers? Welke concrete stappen zijn inmiddels gezet
om de aanbevelingen van KPMG over privacybescherming en dataminimalisatie te implementeren?
Worden nieuwe toezichtsystemen verplicht extern getoetst op discriminatie en proportionaliteit
door bijvoorbeeld de Autoriteit Persoonsgegevens of het College voor de Rechten van
de Mens? Is het kabinet bereid om periodiek te rapporteren aan de Kamer over de voortgang
van de implementatie van deze aanbevelingen?

Tot slot benadrukken de leden van de DENK-fractie dat het RAM-dossier opnieuw aantoont
dat fundamentele veranderingen nodig zijn binnen uitvoeringsorganisaties, waarbij
transparantie, rechtsgelijkheid en respect voor grondrechten centraal staan. De leden
van de DENK-fractie zullen deze inzet voortzetten richting kabinet en samenleving.