Corona en toeslagenaffaire…ook privacy een issue?

Afbeelding Corona en toeslagenaffaire…ook privacy een issue?

De beste wensen voor het nieuwe jaar! Dat 2022 een jaar wordt om, om de goede redenen, niet te vergeten! 

Dat geldt overigens niet voor 2021. Veel mensen willen het jaar 2021 graag snel vergeten. Het Nederlands elftal ging op het EK roemloos ten onder tegen Tsjechië, de Nederlandse inzending van het Eurovisie Songfestival kon geen hoge gooien en Mathieu van der Poel miste een plankje en vergooide daarmee zijn kans op een Olympische gouden medaille. Gekkigheid natuurlijk. Wat vermoedelijk écht in het geheugen van Nederlanders gegrift zal staan zijn de verhitte discussies over (het bestaan van) corona, de maatregelen daaromtrent en het al dan niet invoeren van de (2G of 3G) coronapas, én de (afhandeling van de) toeslagenaffaire. Beide onderwerpen waren niet alleen voer voor verhitte discussies aan de eettafel, maar ook op privacy vlak hebben ze aardig wat stof doen opwaaien.  

Mogen werkgevers registreren dat een medewerker corona heeft gehad? Mogen werkgevers vragen of een medewerker zich heeft laten vaccineren? En mogen werkgevers dit ook administreren? Zo maar wat vragen waar werkgevers tegenaan liepen in het afgelopen jaar. Vragen waarvan de antwoorden niet alleen tot grote verdeeldheid op de werkvloer leiden, maar waarbij ook een schending van de AVG op de loer ligt. Immers, de antwoorden op al deze vragen zeggen iets over de gezondheid van een medewerker en behoren daarmee tot de categorie bijzondere persoonsgegevens uit artikel 9 AVG. Ga je daar als werkgever niet op de juiste wijze mee om, dan overtreed je de AVG met alle mogelijke gevolgen van dien. 

Vooralsnog hanteert de AP een strikte lijn ten aanzien van de mogelijkheden van de verwerking van bijzondere persoonsgegevens door werkgevers. Volgens de AP is er op dit moment geen specifieke wettelijke basis voor werkgevers om gegevens over corona(vaccinaties) van werknemers te registreren. Ook al heeft de European Data Protection Board (EDPB) hier in bepaalde gevallen wel iets meer ruimte voor gegeven in deze uitzonderlijke omstandigheden. Het kabinet onderzoekt nog altijd de mogelijkheden om deze wettelijke basis wel te krijgen en onder meer het (omstreden maar facultatieve) coronatoegangsbewijs op de werkvloer te introduceren. Of dit echter dé uitkomst biedt voor werkgevers is maar zeer de vraag. Want ook dan moet nog altijd rekening gehouden worden met zaken als proportionaliteit en subsidiariteit. Over dit onderwerp is het laatste woord dan ook vermoedelijk nog niet gezegd en zullen we in 2022, niet in de laatste plaats vanuit de privacy hoek, vast nog veel meer horen.  

Dan dat andere hete hangijzer: de toeslagenaffaire. Een privacyschending van formaat waarvoor de Belastingdienst op 25 november een niet onaardige boete van €2.750.000,- opgelegd heeft gekregen van de AP. Uit onderzoek van de AP is namelijk gebleken, dat de Belastingdienst jarenlang de (dubbele) nationaliteit van aanvragers onrechtmatig, discriminerend en daarmee op onbehoorlijke wijze heeft verwerkt. Een gegeven dat in 2014 reeds door de Belastingdienst verwijderd had moeten worden… 

In plaats daarvan is de (dubbele) nationaliteit van aanvragers meegewogen als factor bij het toekennen van kinderopvangtoeslag, gebruikt om georganiseerde fraude te bestrijden én als indicator ingezet in een risicosysteem. Terwijl voor geen van die activiteiten de noodzaak voor het gebruik van gegevens omtrent nationaliteit aanwezig was. Door het op deze manier inzetten van deze gegevens handelde de Belastingdienst discriminerend en daarmee in AVG-termen ‘onbehoorlijk’ (artikel 5, eerste lid, aanhef en onder a, van de AVG). Een inbreuk op het fundamentele recht niet gediscrimineerd te worden. 

Het lezen van het rapport van de AP heeft mij enige helderheid verschaft in deze zaak. Maar daarnaast heb ik ook nog heel veel vragen. Vooropgesteld: de Belastingdienst heeft fouten gemaakt. Grote fouten ook. Kort gezegd is er op grote schaal gebruik gemaakt van een persoonsgegeven, de dubbele nationaliteit, van een groot aantal inwoners van Nederland terwijl daarvoor geen grondslag meer bestond. Dit gegeven werd sinds 2014, in navolging van de invoering van de wet Basisregistratie Personen (BRP) waarbij de gegevens uit de GBA (Gemeentelijke Basisadministratie) zijn overgezet in de BRP, niet langer geactualiseerd of aangevuld. De dubbele nationaliteit van die betreffende personen was voor de overgang echter ook nog in een aantal andere systemen van de Belastingdienst bewaard en daaruit niet (tijdig) verwijderd. In de jaren daarna heeft het daarom kunnen gebeuren dat er, zonder grondslag, verwerkingen hebben plaatsgevonden met die gegevens. Waarbij discriminatie het gevolg is geweest. Vanuit privacy perspectief begrijp ik de boete van de AP dan ook zeker. Overigens hebben deze onrechtmatige verwerkingen an sich niet geleid tot beslissingen over het toekennen, uitkeren of afwijzen van toeslagen. Het heeft geleid tot nader onderzoek. 

Vanuit Compliance perspectief heb ik vooral vragen. Waarom is niet (eerder) gesignaleerd dat er gebruik werd gemaakt van gegevens waarover de Belastingdienst niet langer mocht beschikken? Waren er beleids- en procesdocumenten omtrent het gebruik van indicatoren voor het draaien van query’s en, zo ja, wat stond daarin? Werden dergelijke documenten niet getoetst aan wettelijke kaders? Werden medewerkers voldoende getraind over hun verantwoordelijkheden en dat wat wel en niet mogelijk is binnen de wettelijke kaders? Helaas geeft het rapport van de AP daar geen antwoord op.  

Uit de bevindingen van de AP proef ik geen moedwillige discriminatie van de Belastingdienst ten opzichte van mensen met een dubbele nationaliteit. Wat het dan wel is geweest hoe dit heeft kunnen gebeuren? Het is wat mij betreft wederom een voorbeeld van een situatie waaruit blijkt dat binnen het bestuur van ons land (waar ik voor het gemak de Belastingdienst ook onder schaar) (veel) te weinig aandacht is voor het beheersen van risico’s. En dan kom ik toch weer terug op de conclusie van mijn vorige blog: er ligt een mooie, zeer interessante compliance-uitdaging voor de liefhebber van het compliancevak binnen de bestuurlijke laag van ons land. Bij het Nederlands Compliance Instituut zijn ze van harte welkom voor wat advies.