De integratie van fiscale gegevens in het rijksbrede toezicht (FM nr. 155) 2018/6.6.2:6.6.2 Algemene verordening gegevensbescherming (AVG)

De integratie van fiscale gegevens in het rijksbrede toezicht (FM nr. 155) 2018/6.6.2

6.6.2 Algemene verordening gegevensbescherming (AVG)

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De gegevensbescherming geniet in toenemende mate de aandacht van het Europese parlement en dientengevolge ook van de lidstaten. Dat de informatiemaatschappij gepaard gaat met inmenging in het persoonlijke domein van individuen, is dan ook een terugkerend thema op de politieke agenda’s.1

Op 8 april 1976 droeg het Europees Parlement de Europese Commissie op feiten en inlichtingen te verzamelen te bescherming van de rechten van het individu in verband met mogelijke risico’s op het gebied van de privacy.2 Op 24 oktober 1995 komt uiteindelijk een Europese richtlijn tot stand ter bescherming van de persoonsgegevens.3 De vigerende Europese richtlijn bescherming persoonsgegevens (95/46/EG) biedt de lidstaten de mogelijkheid om met nationale wetgeving daar invulling aan te geven. In Nederland is dat gebeurd met de Wet bescherming persoonsgegevens.4 Als uitgangspunt geldt het grondrecht van de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.5 Naast de Wbp zijn er sectorspecifieke regelingen als de Wet politiegegevens (Wpg) en de Wet Justitiële en strafvorderlijke gegevens (Wjsg).6

Op 4 mei 2016 is de Algemene verordening gegevensbescherming gepubliceerd in het Publicatieblad van de Europese Unie. Vanaf 20 dagen na publicatie is de AVG in werking getreden.7 De AVG is, in verband met de implementatieperiode van twee jaar, vanaf 25 mei 2018 van toepassing binnen de Unie en vanaf dat moment geldt dezelfde privacywetging voor alle lidstaten van de Europese Unie. Op die datum vervalt de Wbp (art. 99 AVG). De regels ter uitvoering van de Verordening (EU) 2016/ 679 zijn dan opgenomen in de Uitvoeringswet Algemene verordening gegevensbescherming.8

De uitgangspunten voor de gegevensbescherming volgens de Wbp voor wat betreft de doelbinding (art. 9 Wbp),9 de transparantie (art. 35 Wbp),10 de meldingsplicht (art. 27 Wbp)11 en de bewaartermijn van gegevens (art. 10 Wbp)12 blijven als beginselen gelden (art. 5 AVG). Dit geldt ook voor de verantwoordwoordelijkheden van de gegevensverwerker ten aanzien van de beveiligingsplicht en het nemen van passende technische en organisatorische maatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan (art. 13 en 14 Wbp). Ook die blijven onverkort van kracht. De AVG hanteert namelijk dezelfde uitgangspunten als de Richtlijn en de Wbp.13 In de AVG zijn als algemene beginselen opgenomen de rechtmatigheid, de behoorlijkheid en de transparantie (art. 5 lid 1 letter a AVG), de doelbinding (art. 5 lid 1 letter b AVG), de minimale gegevensverwerking (art. 5 lid 1 letter c AVG), de juistheid (art. 5 lid 1 letter d AVG) en de beperking van de opslag (art. 5 lid 1 letter e AVG).

Ook onder de AVG dienen adequate technische en organisatorische maatregelen te worden genomen voor een passende beveiliging voor het waarborgen van de integriteit en vertrouwelijkheid van de persoonsgegevens (art. 5 lid 1 letter f AVG).14 De Autoriteit Persoonsgegevens geeft aan dat met de AVG de burgers meer mogelijkheden krijgen om voor zichzelf op te komen bij de verwerking van hun gegevens. Ook krijgen de gegevensverwerkers meer verantwoordelijkheden.15 Dit laatste komt onder andere naar voren in de verantwoordelijkheid aan te tonen dat de beginselen worden nageleefd (art. 5 lid 2 AVG).

De AVG biedt de mogelijkheid gegevens te verwerken overeenkomstig de wettelijke verplichtingen (art. 6 lid 1 letter c AVG) en publieke taakuitoefening (art. 6 lid 1 letter e AVG) mits dat doel voldoende gespecificeerd is (doelbinding). In het verlengde daarvan biedt AVG – op uitdrukkelijk verzoek van Nederland – de mogelijkheid om anderszins gegevens verder te verwerken (art. 6 lid 3 AVG en art. 6 lid 4 AVG). De minister van Veiligheid en Justitie geeft hieromtrent aan ‘In artikel 6(3a) is (...) voorts voorzien in de mogelijkheid voor de publieke sector om gegevens verder te verwerken voor een ander gespecificeerd doel dan waarvoor ze oorspronkelijk zijn verzameld indien dit bij wet wordt geregeld. Ook dit was een Nederlands voorstel.’16

Het verwerken van persoonsgegevens kan dan ook losgekoppeld worden van de doelbinding voor de (oorspronkelijk) eigen taakuitoefening.17 Hier treedt een spanningsveld op. 18De doelbinding moet immers in overeenstemming zijn met het algemene gegevensbeschermingsrecht (art. 8 EVRM).19 Voor dat andere gespecificeerde doel gelden dan ook onverkort de strikte voorwaarden– voor het recht op de bescherming van de persoonlijke levenssfeer – die de EU hanteert vanuit zowel de grondrechten (artt. 7 en 8 EU-Handvest) als het verdrag voor de rechten van de mens (art. 8 EVRM). Rechten die ook volgens de Grondwet overkort van kracht zijn (art. 10 Gw). De doelbinding blijft in beginsel van kracht. De doorbreking van de doelbinding is alleen mogelijk als dat terug te voeren op een wet in formele zin en deze bovendien dringend noodzakelijk is in verband met bepaalde maatschappelijke belangen, als bedoeld in art. 8 EVRM en art. 10 Gw.

Een verdere verwerking kan – zonder aanvullende waarborgen – alleen onder de voorwaarde dat het doel te verenigen is met het oorspronkelijke doel (art. 6 lid 3 AVG).20 De AVG bepaalt expliciet dat daarvoor het wettelijke kader (het Unierecht of het lidstatelijke recht) moetworden vastgesteld waarin gespecificeerd is opgenomen voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd.21 Voor de gegevensuitwisseling tussen bestuursorganen moet een wet in formele zin duidelijkheid verschaffen over de verenigbaarheid van verdere verwerking met het oorspronkelijk doel. In bilaterale verhoudingen moet een bijzondere wet daarvoor het wettelijke kader bieden. Bij multilaterale verhoudingen zou volgens de minister van Justitie en Veiligheid de kaderwet Gegevensverwerking door samenwerkingsverbanden het wettelijke kader kunnen bieden (zie hierna).22

In het bepalen van de verenigbaarheid moet onder andere beoordeeld worden

(1)

het kader waarin de gegevens zijn verzameld;

(2)

de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke over het verdere gebruik ervan en

(3)

de aard van de persoonsgegevens.23

De taak van de Belastingdienst is uniek namelijk het uitvoeren van de belastingwet (par. 3.5). Burgers en bedrijven moeten kunnen vertrouwen op een strikte geheimhoudingsplicht (art. 67 AWR). De aard van de (persoons)gegevens is overwegend van vertrouwelijke aard. Vanuit dat perspectief bezien beperkt een verenigbaar doel zich tot die situaties waarin wettelijk bepaald is dat de Belastingdienst gegevens – al dan niet op verzoek – verstrekt (art. 67 lid 2 letter a AWR, par. 6.3).

Het doelbindingsvereiste hoeft overigens niet knellend te werken ingeval betrokkene toestemming verleent danwel een wettelijke verplichting daartoe bestaat (art. 6 lid 4 AVG). Bij het ontbreken van die toestemming is het in uitzonderlijke situaties mogelijk gegevens te verwerken voor een ander dan het oorspronkelijke. Daarbij behoort het delen van toezichtgegevens ter waarborging van onder andere belangrijke doelstellingen van algemeen belangen economisch of financieel belang (art. 23 eerst lid AVG).24 Een wettelijke regeling ex. Art. 8 lid 2 EVRM vormt ook hier de algemene voorwaarde. Daarnaast moet sprake zijn van een belangenafweging en van individuele gevallen.25 Het structureel en geautomatiseerd verstrekken van gegevens behoort daar dus niet toe. De betrokkene heeft in beginsel het recht op de hoogte te worden gesteld van de doorverwerking (art. 23 lid 2 letter h AVG). Deze elementen ontbreken echter bij het bekendmaken van gegevens door de Belastingdienst bij ministeriële regeling (art. 43 c Uitv. reg. AWR juncto art. 67 lid 2 letter b AWR) en individuele ontheffing (art. 67 lid 3 AWR).

Het delen van gegevens met anderen ontslaat de verstrekker niet van zijn verantwoordelijkheid voor de bescherming van persoonsgegevens. In deze keten blijft de Belastingdienst als verstrekker dus verantwoordelijk voor de juiste belangenafweging in het verdere gebruik van de gegevens. De AVG is, met inachtneming van de beginselen, wat reikwijdte betreft niet van invloed op het verstrekken van gegevens aan andere bestuursorganen. Wel zal de Belastingdienst deze waarborg moeten bieden voor de verdere gegevensverwerking.26 Een waarborg die overigens niet in de huidige convenanten en samenwerkingsovereenkomsten is opgenomen. Dit moest voor 1 mei 2018 geregeld zijn. Zonder een expliciete adequate waarborg voldoet de Belastingdienst niet aan de AVG.27

De staatssecretaris van Financiën heeft aangegeven dat de Belastingdienst nog niet (geheel) voldoet aan de vereisten vanuit de AVG.28 In de Fiscale Beleidsagenda is wetgeving aangekondigd gericht op de gegevensverwerking door de Belastingdienst.29 De staatssecretaris spreekt van interactie met burgers (onder andere via portals) en transparantie/ open data. Een aanpassing van het wettelijke kader voor het verstrekken van gegevens ontbreekt echter. De staatssecretaris refereert alleen aan het wetsvoorstel gegevensverwerking (par. 6.6.3).30

Deze functie is alleen te gebruiken als je bent ingelogd.