Niemand immuun voor de AVG

Geert van der Klugt
De klap valt nog geen twee maanden nadat de Autoriteit Persoonsgegevens (AP) publiekelijk aankaart dat de Belastingdienst onwettelijk burgerservicenummers verwerkt in btw-identificatienummers van zelfstandigen met een eenmanszaak. Een verwerkingsverbod en dreigsancties worden vlak voor de jaarwisseling opgelegd.

Vanaf 1 januari 2020 dient de drijfveer achter de Nederlandse staatskas zich te schikken naar de eis van een relatieve nieuwkomer: niemand minder dan de kamerminister van Financiën zal vanaf dat moment verantwoording afleggen aan de AP, mocht de Belastingdienst het verbod overschrijden. Omdat zelfstandigen wettelijk verplicht zijn een persoonlijk btw-identificatienummer te vermelden op facturen – webshopeigenaren zelfs op hun website – en het BSN momenteel onderdeel is van deze vermelding, liggen de persoonsnummers van duizenden ondernemers op straat. Krijgt een kwaadwillende een BSN in handen, dan kan deze gebruikt worden voor identiteitsfraude.

Aleid Wolfsen

‘Dit probleem voor zelfstandigen bestaat al een langere tijd. De Belastingdienst moet dit met voorrang aanpakken’, vertelt Aleid Wolfsen, voorzitter van de AP. ‘Met ons verwerkingsverbod willen we bereiken dat er zo spoedig mogelijk, maar in ieder geval voor 1 januari 2020, een oplossing komt. Het BSN van zelfstandigen moet gewoonweg goed beschermd worden.’ Tot die tijd kunnen webshophouders stoppen met de vermelding van hun btw-identificatienummer op websites. De wet stelt momenteel dat deze vermelding verplicht is, maar vanwege de onwenselijke situatie wordt de uitsluiting hiervan gedoogd. Waar de introductie van de AVG gepaard ging met kritiek, stelt ieder nieuwsbericht daadkracht achter de wetten en bijbehorende handhaving.

Frauderisico

In theorie moeten de veranderingen frauderisico’s verminderen. Wolfsen meldt dat de Belastingdienst – en met name zijn verplichtingen rondom vermelding van BSN en btw-identificatienummer - na uitvoering verder onder de loep genomen zal worden. ‘Op papier lijken de maatregelen een oplossing te bieden voor het probleem, ofwel de brede verspreiding van de privéinformatie van zelfstandigen. We kunnen echter pas overgaan tot een verdere beoordeling wanneer de Belastingdienst de voorgestelde maatregelen ook daadwerkelijk uitvoert.’ De Belastingdienst botste eerder met de AP, toen in 2017 de gegevens van vreemden in het online Toeslagen-portal verscheen. Het BSN, de geboortedatum en inkomensgegevens van ‘spookbewoners’ (mensen die niet langer tot een betreffend huishouden behoorden) werden zowel in papieren toekenningsbrieven als in online-equivalenten gepresenteerd, waarna de Belastingdienst - na een vergelijkbare tik op de vingers - opgedragen werd het probleem op te lossen.

Om de autoriteit van de AP te meten, hoeven we de precieze beweegredenen van de aangesproken partijen niet te weten. Maakt de AP aanspraak, dan handelt de betreffende partij veelal vlot en ernstig: de reactiewijze van de Belastingdienst is hierin geen primeur. Anderzijds is er sprake van weerstand. Alhoewel een relatief zeldzame reactie van een overheidsinstantie, ging de Nationale Politie eind december 2018 in bezwaar tegen een open dwangsom van € 50.000,-. Een in september betaalde som van € 40.000,-, naar aanleiding van een vastgesteld gebrek rondom inziensmogelijkheden van gevoelige gegevens, lijkt de instantie in dit besluit niet te beïnvloeden. ‘Wij vinden het kwalijk dat de Nationale Politie na de eerste last onder dwangsom nog steeds niet voldoende maatregelen heeft getroffen’, vervolgt Wolfsen. ‘Politiegegevens moeten gewoon goed beschermd zijn. Daarom leggen wij opnieuw een last onder dwangsom op die een stuk hoger is dan de vorige keer.’

Rijksoverheid

De AP stelt dat het systeem, waarmee inkomende en uitgaande personen en goederen in het Schengengebied (de omtrek van 26 Europese Schengenlanden) tekortschiet qua beveiliging van informatie. Alhoewel de politie ondertussen maatregelen heeft getroffen voor een vijftal geconstateerde overtredingen, meent de AP dat dit niet in voldoende mate is gebeurd. Zou de politie vóór 4 februari 2019 bijvoorbeeld niet voldoende controles uitvoeren op logbestanden, dan kan de openstaande dwangsom oplopen tot € 320.000,-. Twee Rijksoverheid-instanties, één conflict. Iedere politieboete wordt gefinancierd met overheidsgeld, ironisch genoeg indirect afkomstig uit dezelfde pot waar de AP mee rondkomt. Toch blijkt geen orgaan immuun.

LEES OOK: YourSafetynet maakt beloftes AVG-appliance meer dan waar

Meldplicht van datalekken

Deel van de AVG is een strengere eisstelling rondom de documentatie van gevonden lekken binnen een organisatie. Een recent rapport, dat het aantal meldingen van datalekken toont, wijst effectiviteit uit. In de eerste zes maanden van 2018 verwerkte de AP 8.898 meldingen. 4 procent van die datalekken betrof tussen de 501 en 5.000 personen; minder dan 1 procent betrof 5.001 tot 100.000+ personen. Als reactie startte de instantie 183 onderzoeken, waarvan vrijwel elk geval eindigde in een waarschuwing. 2018 blijkt onder andere daarmee het opboksjaar van de AP te zijn geweest.

Uber

De dwangsom aan de Nationale Politie was één van de drie grootste Nederlandse zaken die resulteerde in een sanctie. Theodoor Gilissen Bankiers (TGB) werd eerder beboet met € 48.000,-; Uber later, met een torenhoge som. In 2016 kregen onbevoegden toegang tot persoonsgegevens van klanten en chauffeurs. Onder de 57 miljoen getroffen Uber-gebruikers vielen 174.000 Nederlanders. Klantgegevens namen, telefoonnummers en e-mailadressen kwamen op straat te liggen. Omdat het datalek bij Uber plaatsvond, diende de partij binnen 72 uur na ontdekking de vondst te melden.

In een door de AP gepubliceerd boetebesluit, vertelt een woordvoerder dat Uber het lek niet meldde, omdat het bedrijf meende voldoende organisatorische en technische beveiligingsmaatregelen getroffen te hebben voor de voorkoming van herhaling. ‘Dit betekent echter niet dat er geen sprake was van mogelijke ongunstige gevolgen. Veel persoonsgegevens -waaronder namen, e-mailadressen en telefoonnummers - waren ten tijde van het lek immers onbeschermd (onversleuteld) en toegankelijk voor en in het bezit van onbevoegden’, reageert de AP in hetzelfde besluit. In november 2018 bevestigde de AP de opleg van een boete van € 600.000,-: de grootste Nederlandse sommering tot nu toe.

afbeelding van Geert van der Klugt

Geert van der Klugt | Redacteur

Bekijk alle artikelen van Geert