Soms werd ook geregistreerd als bijvoorbeeld de gemeente iemands inkomensgegevens had opgevraagd. Dit had niks met mogelijke fraude te maken, maar die persoon kon dan toch op de zwarte lijst terechtkomen. Mensen die op de lijst stonden kregen het stempel “potentiële fraudeur” en daardoor met intensief toezicht vanuit de Belastingdienst te maken, aldus de privacytoezichthouder. Dit zorgde ervoor dat mensen langer moesten wachten op een besluit over een aangevraagde toeslag.

De Belastingdienst kon de FSV bijvoorbeeld raadplegen bij het beoordelen van belastingaangiftes en aanvragen voor toeslagen en bij het invorderen van schulden. De lijst bestond uit gegevens over meer dan een kwart miljoen mensen, waaronder minderjarigen. Binnen de fiscus hadden duizenden medewerkers van meerdere onderdelen toegang tot de zwarte lijst.

Volgens de Autoriteit Persoonsgegevens was erbij de FSV geen grondslag voor de verwerking van gegevens en was het daardoor onrechtmatig. “Oftewel tegen de wet en dus verboden”, merkt de AP op. Ook aan de meeste andere kernbeginselen van de AVG voldeed de Belastingdienst niet. Zo was er geen vooraf specifiek omschreven doel van de FSV, bevatte de zwarte lijst onjuiste en niet-geactualiseerde gegevens en werden signalen veel te lang bewaard.

Verder heeft de Belastingdienst de Functionaris Gegevensbescherming van het ministerie van Financiën veel te laat van de zwarte lijst op de hoogte gebracht en betrokken bij de beoordeling van de privacyaspecten ervan. Daarnaast schoot de beveiliging van de FSV tekort. Te veel medewerkers hadden toegang tot de informatie van de zwarte lijst en het was eenvoudig om signalen te exporteren naar Excel. Tevens werden bewerkingen van persoonsgegevens in de FSV door medewerkers niet gelogd.

“Ruim een kwart miljoen mensen stond – vaak onterecht – veel te lang op deze fraudelijst zónder dat zij dit wisten. Daardoor konden ze zich niet verweren en konden ze zich ook niet van de lijst laten afhalen. Zo ontstond een gat in de rechtsbescherming. Veroorzaakt door de overheid, nota bene!”, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.

De Belastingdienst gebruikte de zwarte lijst van eind 2013 tot begin 2020, toen de dienst na publicaties hierover in opspraak raakte. De voorloper van de FSV bestond al sinds 2001. De Autoriteit Persoonsgegevens gaat nu kijken of de Belastingdienst een sanctie krijgt opgelegd zoals een boete. Eerst heeft de minister van Financiën het recht om officieel te reageren op het onderzoek van de privacytoezichthouder.

Lees meer op security.nl