Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belastingdienst voldoet na jaar nog steeds niet aan AVG - update

De Belastingdienst voldoet nog steeds niet aan de AVG, de grote Europese privacywet. Met name de opslag van oude persoonsgegevens blijft problematisch. Die moet de fiscus verwijderen, maar door verouderde ICT-systemen gaat dat niet op tijd lukken.

De Belastingdienst kondigde vorig jaar al aan dat hij niet op tijd klaar zou zijn voor de Algemene Verordening Gegevensbescherming. De organisatie had meer tijd nodig om alle systemen op orde te krijgen. Nu, bijna een jaar na de invoering van de wet, voldoet de Belastingdienst nog steeds niet aan de eisen, schrijft de Belastingdienst in zijn halfjaarsrapportage.

Het probleem zit voornamelijk in de opslag van oude persoonsgegevens. Veel verouderde data zou inmiddels verwijderd moeten zijn, maar dat duurt langer dan verwacht. "Voor een aantal oude systemen is het niet mogelijk om de verouderde gegevens op basis van de AVG-normen te verwijderen", schrijft de Belastingdienst. "Sommige systemen zijn gebaseerd op een databasemanagementsysteem dat niet voorziet in de mogelijkheid om records fysiek te verwijderen", vertelt een woordvoerder aan Tweakers. "Records kunnen daar alleen gemarkeerd worden als zijnde 'niet meer geldig'." Om dat te veranderen bouwt de Belastingdienst dat systeem om naar een andere database. "De aanpassingen zijn dusdanig groot dat dat niet op korte termijn mogelijk is", zegt de woordvoerder.

Volgens de Belastingdienst moeten alle gegevens bovendien handmatig worden beoordeeld op de aanwezigheid van persoonsgegevens. Het zou gaan om 'honderden miljoenen documenten'. "Het kost meer tijd om dat te realiseren", schrijft de Belastingdienst.

De Belastingdienst neemt maatregelen om te zorgen dat niet iedere medewerker bij de oude data kan. "De gegevens worden in een zogenoemde datakluis geplaatst", staat in de brief. De digitale kluis is een 'afgeschermde omgeving' waar medewerkers alleen toegang toe hebben met 'nadrukkelijke toestemming'. Vorig jaar zei de Belastingdienst dat het inventariseren van dergelijke authenticatieprotocollen een van de prioriteiten was om aan de AVG te voldoen. Volgens een woordvoerder is dat inmiddels opgelost. Eind mei wordt de Tweede Kamer ingelicht over de situatie. Ondertussen gaat de Auditdienst Rijk onderzoek doen in hoeverre het Ministerie van Financiën voldoet aan de AVG.

Update 17.48: Reactie Belastingdienst toegevoegd.

Door Tijs Hofmans

Redacteur

18-04-2019 • 14:52

111 Linkedin Google+

Submitter: Danny.G

Reacties (111)

Wijzig sortering
"Nu, bijna een jaar na de invoering van de wet,"

Ehm, die wet is al in mei 2016 ingevoerd. De eerste 2 jaar was als overgangsperiode, niet als we-wachten-af-en-doen-niks-periode...
Dat 2026 zie ik iedere keer staan bij mensen die ontevreden zijn en waren over snelheid van uitvoering. Maar ik snap die opmerking niet zo goed. De Autoriteit Persoonsgegevens omschrijft het zelf ook als Sinds 25 mei 2018.

Dat die wet al 2 jaar daarvoor was goedgekeurd door het Europarlement is leuk, maar ik denk dat behalve wat juristen in 2016 ook maar enig idee had wat ze nou precies moesten doen om aan die wet te voldoen. Als ze al wisten dat die wet aangenomen was.

Sterker nog, ik denk dat er nu een jaar na de officiele ingangsdatum nog steeds veel onduidelijk is. Hopelijk niet voor de Belastingdienst, maar hun oude systemen die alle wijzigingen in de weg staan, zijn dan met de AVG-implementatie natuurlijk ook heel lastig.
In 2016 was de definitieve tekst al kenbaar, dus kon elke organisatie zich voorbereiden.
Echter zoals zo vaak dachten de meeste bedrijven en organisaties dat het niet zo'n vaart zou lopen en dat ze het snel konden regelen.

Ik heb een onderzoek gehouden onder hoge scholen en universiteiten en daaruit bleek dat eind 2017 bijna niemand klaar was. De meeste waren er nog niet eens aan begonnen en voldeden zelfs niet aan de Wbp
In 2016 was de definitieve tekst al kenbaar, dus kon elke organisatie zich voorbereiden.
In Juli 2016 hebben wij 12 vragen gesteld (waaronder welke wetgeving voorrang had, de bewaarplicht of het recht op verwijdering). In October 2018 kregen we antwoord, terwijl in januari van dit jaar er nog aanduidingen bij kwamen.

Ik heb geen idee in hoeverre jij met deze zaak actief bezig bent geweest maar het duurde tot dit in 2018 voor je precies wist wat er gedaan moet worden. Als jij dat in 2016 wist dan heb je vast enorm veel geld verdiend. Overigens weten we nog altijd niet of de door de belastingen gestelde bewaarplicht voor het recht op verwijdering gaat. Wij kiezen nu voor het laatste, laat de belasting het dan maar uitzoeken. Overigens fantastisch als je wat zwart geld hebt want je roept nu gewoon dat het van klanten komt van wie je alles hebt moet verwijderen. Die overboeking naar onze rekening? Geen flauw idee, wellicht moet U het even navragen bij diegene die het geld heeft overgemaakt?
Bewaarplicht gaat boven vergeetrecht, dat is volgens mij geen moeilijke vraag. In artikel 17 staat dat je alleen een vergeetrecht/verwijderplicht hebt voor gegevens die niet langer nodig zijn. Als er een plicht tot bewaren is, dan zijn de gegevens nodig voor die plicht. Ik heb nog nooit gehoord van onduidelijkheid op dit punt, maar dat zal aan mij liggen.
Ik pretendeer niet dat ik alles wist, maar men was er gewoon helemaal nog niet mee bezig.
Er staat inderdaad wat Arnaud ook al schrijft duidelijk in de AVG: tenzij er wettelijke voorschriften zijn.

Wat mij stoort is dat organisaties zo iets hadden van "de soep wordt vast niet zo heet gegeten" en het zal wel niet voor mij gelden.

Ik kom nu nog bedrijven tegen die nog steeds niks geregeld hebben
Dat 2026 zie ik iedere keer staan bij mensen die ontevreden zijn en waren over snelheid van uitvoering. Maar ik snap die opmerking niet zo goed. De Autoriteit Persoonsgegevens omschrijft het zelf ook als Sinds 25 mei 2018.
Klopt, vanaf die periode treedt het in werking. Dat betekend dat vanaf die periode het ingeregeld moet zijn, niet moet worden! Vanaf begin 2016 was het bekend en is deze wetgeving van kracht gegaan, met als deadline dat je als bedrijf zijnde er vanaf 25 mei 2018 aan moet voldoen.

Nu is de realiteit dat pas vanaf die datum de meeste bedrijven dachten, dat doen we wel ff. Bij mijn werkgever zijn we er ook niet al in 2016 mee begonnen, maar waren we wel voor 25 mei 2018 klaar. Het is bij veel bedrijven een puinhoop qua processen en gegevenopslag en blijkbaar (dit wisten we allemaal al) bij de belastingdienst ook. Het is gewoon om je te schamen dat als een overheid een wet in werking laat treden, dat er veel takken zijn van deze overheid die het zelf gewoon aan hun laars lappen / niet voor elkaar krijgen.
Nou dan betaal je toch ook de belasting niet meer, als zij niet aan de wetten van het land hoeven te voldoen waarom jij dan wel? :+ (doe toch maar gewoon betalen de overheid staat boven de wet jij niet)

Maar even serieus natuurlijk deed niemand iets van af 2016 omdat simpel weg nog niemand de impact van de wet en de implementatie van de wet kende. Ik heb redelijk wat consultants zien rond huppelen omdat ze weer eens een belachelijke wet hadden om uit te leggen aan de ICT groepen in verschillende bedrijven.

Daar naast is te implementatie redelijk simpel, gewoon er voor zorgen dat een mens, vergeten kan worden, data niet langer bewaren dan noodzakelijk voor de bedrijfsvoering en mensen de mogelijkheid geven om de gegevens die over hun persoon zijn opgeslagen op te vragen. (in grote lijnen natuurlijk de details kunnen wat ingewikkelder zijn).
Er is weinig echt mis met de wet anders dan dat de meeste bedrijven er lak aan hebben en daar gewoon mee weg komen omdat er vrijwel niemand de moeite neemt om er echt een groter probleem van te maken als een bedrijf de regels weer eens schend. Het zijn voornamelijk journalisten en andere mensen met een platform die graag hun platformen gebruiken om op deze manier bedrijven het leven moeilijk te maken. De rest van de mensen accepteert nog steeds gewoon dat hun data oneindig lang opgeslagen wordt en dat ze echt de gegevens die over hun zijn opgeslagen niet kunnen opvragen nog dat ze vergeten kunnen worden bij de meeste bedrijven.
Het leven als journalist is er dankzij de AVG niet bepaald makkelijker op geworden hoor. Het aantal takedown verzoeken is geëxplodeerd sinds 25 mei 2018. Foto's van een Sinterklaasintocht, de Nieuwjaarsduik, ongevallen (met geblurde kentekens) of zelfs rouwadvertenties die online zijn doorgepraat (met toestemming). Je krijgt de vreemdste takedownverzoeken van mensen die denken dat ze in hun recht staan..
Dat 2026 zie ik iedere keer staan bij mensen die ontevreden zijn en waren over snelheid van uitvoering. Maar ik snap die opmerking niet zo goed. De Autoriteit Persoonsgegevens omschrijft het zelf ook als Sinds 25 mei 2018.

Dat die wet al 2 jaar daarvoor was goedgekeurd door het Europarlement is leuk, maar ik denk dat behalve wat juristen in 2016 ook maar enig idee had wat ze nou precies moesten doen om aan die wet te voldoen. Als ze al wisten dat die wet aangenomen was.

Sterker nog, ik denk dat er nu een jaar na de officiele ingangsdatum nog steeds veel onduidelijk is.
Die 'onduidelijkheid' schuilt hem dan voornamelijk in het feit dat iedereen als de dood is om een precedent te scheppen. Er zijn flink wat partijen waar het verdienmodel gebaseerd is op het, wel haast zoveel als mogelijk, niet voldoen aan de GDPR en die AVG. Degenen waar het nog meevalt zijn vaak (niet allemaal natuurlijk) benauwd dat ze gezeik krijgen met andere partijen.

Zoals bijvoorbeeld de NPO die op z'n lazer kreeg omdat ze tè transparante en tè klantvriendelijk hun cookiemelding hadden ingeregeld. Allerhande RTL's van dit land die gelijk krokodillentranen kwamen miepen dat het zó toch zeker niet bedoeld was. Toch? Toch?!

Of, ja ik zal hem ook maar aandragen, óók tweakers waar -neem ik aan- best wat kennis in huis is over hoe het geïnformeerde electoraat aankijkt tegen commercieel gesjor aan hun privé. Steeds weer dat riedeltje dat men lekker doorgaat de wet te overtreden in afwachting van een eerste boete bij de holding.

Ècht dit is dus gewoon onwil en verzet. Niks onduidelijkheid. Men wil geen eerste zet doen uit de angst dat iedere milimeter compliance vanaf dan wordt afgestraft met de wetenschap dat dat wild westen gewoon nooit meer terug komt.
Heel leuk gevonden, maar het is redelijk irrelevant.

Wat er exact verwijderd moest worden dat zijn de details waar in 2018 (en op sommige plekken nu nog) onduidelijkheid was.
Dat er iets verwijderd moest worden was gewoon al in 2016 bekend. Oftewel als je een soft-delete systeem hanteerde in 2016 wist je al dat je dat moest overzetten naar een mogelijkheid tot hard-delete.

Je weet van te voren dat als jij een soft-delete systeem hebt en je moet er specifieke data uithalen (redelijk ongeacht wat de precieze eisen voor de data zijn) dan ben je te laat als je pas na daadwerkelijke bekendmaking eisen gaat werken aan je hard-deletes.
En zeker bij de belastingdienst waren er zelfs in 2016 al een aantal dingen superduidelijk (als je zelf tegen consumenten zegt een BSN geheim te houden omdat het persoonsgegeven is en tegelijk verplicht je ZZP'ers om het op elke factuur en website etc te noteren omdat het ook je BTW-nummer is, dan zie je zoiets echt wel aankomen...)
Niet om het één of ander maar de WBP was al vanaf 2001 van kracht en toen moest het ook hé? Het is niet zo dat we pas vanaf 2016 privacy wetgeving hebben in Nederland. Dat velen dat blijkbaar niet wisten of het gewoon hebben genegeerd maakt nog niet dat ze van de wettelijke verplichting van de WBP waren ontheven.
De Belastingdienst is niet de enige plaats waar tot april 2018 niemand ergens erg in had.

Ga maar eens bij je ziekenhuis kijken bijvoorbeeld.
Bij veel organisaties is dit niet anders dan bij overheidsdiensten. Werkende in de ict branche werden ook onze klanten pas wakker toen de AVG in het nieuws kwam en trokken toen aan de bel voor de nodige support. Van kleine bedrijven tot groot mkb.

Wat niet hielp is dat we in een mailing klanten geïnformeerd over de daadwerkelijke intreding van de wet met tips over o.a. privacy voorwaarden en soortgelijke zaken.

We hosten legio websites die al in de basis op geen vlak voldoen aan de AVG. Noch op de wet bescherming persoonsgegevens die daarvoor actief was.

Ik ben sinds 1999 actief in hosting, e-commerce en online marketing en heb in al die jaren welgesteld 1 keer een schrijven ontvangen van een handhavende instantie over het ontbreken van een cookie notificatie.

Dat er een wet is die voorschrijft hoe om te gaan met persoonsgegevens vind ik zelf prettig. Maar er is en zal nooit genoeg capaciteit te zijn om die wetgeving te handhaven.

De cookie wall die tweakers opgooit (zonder cookies website niet te bezoeken) mag ook niet van de AVG.
Om pagina's op Tweakers te kunnen bekijken, moet u de cookies accepteren door op 'Ja, ik accepteer cookies' te klikken.
een website moet gewoon beschikbaar zijn zonder niet noodzakelijke cookies conform de AVG.

Dan nog privacy by design, er zijn maar weinig websites/apps die met die gedachte in het achterhoofd zijn ontwikkeld. Denk aan een contact formulier die je niet kunt versturen omdat een telefoonnummer verplicht is terwijl dat persoonsgegeven geenszins nodig is voor het beantwoorden van een simpele vraag.

Ik ben pro AVG, maar zonder handhaving is het niet compleet.
Waar baseer je het we-wachten-af-en-doen-niks op? dat kan ik uit de teks niet opmaken?
Waarschijnlijk het deel "een jaar na de invoering"??
Waar het woord invoering eigenlijk vervangen moet worden voor strafbaar.

(Maar dat geld waarschijnlijk alleen voor bedrijven.)

[Reactie gewijzigd door Redstone op 18 april 2019 15:30]

Welke wet is dan in mei 2016 ingevoerd? Je bedoelt de europese verordening? Dat is geen wet - maar wel van toepassing. De uitvoeringswet is pas in 2018 ingevoerd: https://wetten.overheid.nl/BWBR0040940/2018-05-25

Dat afwachten en niets doen viel trouwens aardig mee, zeker in 2017 en begin 2018, maar het kost nou eenmaal jaren om dit soort dingen te regelen binnen grote bedrijven en de overheid.
Nee, op 25-5-2018 is de wet actief geworden en op 16-5 officieel ondertekend. Op dat moment (25-5) diende je dus te voldoen aan de wet. Wij zijn in 2017 al begonnen met de voorbereidingen. Er waren nog een aantal onduidelijkheden, maar dat ging vooral om uitzonderingsposities..
De belastingdienst publiceert dit in een publieke rapportage. Dat is netjes en transparant. Ik vraag me af hoeveel instellingen en bedrijven er zijn waar het eveneens nog niet op orde is, zelf denk ik een aanzienlijk deel of wellicht het merendeel.
Het verwijderen van persoonsgegevens waar geen grondslag voor verwerking meer voor is, is voor dergelijke instanties met zoveel verschillende systemen en interfaces een mega-operatie omdat systemen voorheen niet in gebruik werden genomen met in het achterhoofd om later gegevens gestructureerd te archiveren of verwijderen. Dat gebeurde overigens wel impliciet door het aanbesteden van nieuwe systemen, waarbij dan oude gegevens niet mee werden geconverteerd naar een nieuw systeem. Ik denk dat dat dan ook de meest praktisch te belopen route is: zorg bij het inkopen van nieuwe systemen ervoor dat verwijderfunctionaliteit vereist is. En ga in de bestaande systemen pragmatisch om met het doorvoeren van maatregelen, want ik denk dat het qua tijd en kosteninvestering niet realistisch is om te verwachten dat binnen korte tijd een instantie als de belastingdienst volledig AVG compliant zal zijn.
Dat ze het publiceren is netjes, maar gewoon niet zoals het hoort.

In mijn ogen is het dan ook nog niet gepast voor de Nederlandse overheid om controles te gaan uitvoeren op andere bedrijven en boetes op te leggen als zelfs de Belastingdienst zijn zaakjes nog niet op orde heeft.
Het blijft immers een overheidsorgaan, en als die zelf de wet niet nastreeft heeft de overheid niet echt recht van spreken...

We noemen Google en Facebook altijd wel data gedreven bedrijven (dat zijn ze ook) maar de Belastingdienst en andere organen zijn pas data gedreven. Het blijken systemen die zelfs geen data kunnen verwijderen, en zelfs niet functioneren zonder data..
Ik vraag mij af of de belastingdienst niet ook gewoon boetes opgelegd kan krijgen. Op overheidsniveau dan wel borstzak-vestzak, maar denk toch best een prikkel.
Overigens is de Belastingdienst zo'n beetje het bedrijf met de meeste klanten, veel mensen zelfs meerdere keren. Dus worden ook wel erg zwaar getroffen door de AVG.
We kunnen de periode waar we nu inzitten denk ik ziens als een overgangsperiode waarin de AP nig niet heel streng is op naleving van de wet. Hoewel het wel goed zou zijn als hier en daar eens een boetetje of berisping uitgedeeld zou worden in mijn optiek, om bestuurders er scherp op te houden.
Ik zit ergens halverwege operatie en bestuur in een grote organisatie en zie heel veel gaten als het gaat om naleving van dw AVG en bestuurders kijken vooral de kat uit de boom. In mijn functie adviseer ik daar toch wat actiever op te handelen, maar dat slaat men veelal in de wind. wat ook te begrijpen is als er geen of amper consequenties zijn.
Het belangrijkste is voorlopig denk ik dat he bij een audit kunt aantonen dat je er mwe bezig bent en er enige voortgang wordt geboekt en vooral documentatie daarvan kunt aandragen.

Dus wel een goed signaal daat zo'n grote organisatie als de belastingdienst hier transparant over is. Vraag me wel af of het handig is voor henzelf, hoewel het naruurlijk ook een instantie is die toch niet failliet kan en zodoende goed als voorbeeld voor de rest van Nederland kan dienen.
De belastingdienst is een van de eerste die op de hoogte was van de regels. Al ruim voordat de regel uberhaupt in ging.

Laat ik het even (misschien onnodig) hard spelen. Maar er zijn mogelijk mensen geweest die zeiden. Ow dat redden we wel. Ow dat hoeven we niet.

Die mensen die moeten ontslagen worden en mogen dergelijk werk niet meer uitvoeren. Laat ze maar lekker papiertjes rapen voor een uitkering.

Dit is niet omdat er op tijd geschakeld is. Maar omdat van bovenaf het niet belangrijk genoeg gevonden werd. En er zodoende gefaald is.
Iedereen was op hetzelfde moment op de hoogte. Namelijk het moment dat de tekst gestemd werd. Maar het moment van de stemming, in 2016, betekende nog niet dat alles ook onmiddelijk duidelijk was. Gedurende 2 jaar lang zijn mensen advies gaan vragen bij verschillende instanties in Europa over hoe bepaalde onderdelen moesten toegepast worden of hoe ze geïnterpreteerd moesten worden. Sommige van die adviezen zijn pas begin 2018 gegeven. Als je dan nog grote systemen moet gaan aanpassen kom je sowieso te laat.
Sterker nog - er is nog heel erg veel onduidelijk! Scholen, sportclubs, hobbywebsite - allemaal zijn ze in een kramp geschoten naar GDPR/AVG - niemand wist hoe heet de soep gegeten ging worden, niemand wist wat voor soep 't überhaupt was.

En 't is natuurlijk mooi om dan, a la @Kevinp te roepen dat ambtenaren die 'mogelijk' hebben geroepen 'Ow dat redden we wel' maar moeten worden ontslagen - ik denk dat we binnen Nederland snel met 9 miljoen werklozen zitten op het moment dat we dat waarmaken.
De onduidelijkheid zat in hoe welke gegevens je mag opslaan en hoe waarvoor je toestemming moet vragen. Niet in dat je alles na X jaar moet verwijderen. Een beetje document management systeem weet vanaf wanneer welk document is (dat kun je zelfs in windows explorer zien).

Zal vast een project van enkele miljoenen zijn om alles ouder dan X datum vanaf vandaag te verwijderen.
Niet in dat je alles na X jaar moet verwijderen.
En als je levenslang garantie op een product bied? Of als de belasting wil dat bepaalde invoices (met daarop klantgegevens) 12 jaar moet bewaren? En als de klant verleden jaar nog informatie over die order heeft gevraagd?

Je hebt een zeer beperkte kijk op de problematiek. Ik denk dat Croky geheel gelijk heeft als ie denkt dat de er in de meeste bedrijven nog veel mis is. Het is on-ge-lo-fe-lijk complex als je eenmaal aan de slag gaat.

Wat als jij alles van jou op tweakers weg wilt hebben? Ik heb een deel van jouw bericht als quote gebruikt. Moet die ook weg? Alleen jouw deel of mijn hele bericht? En wat dan als mijn bericht daarom als kut op dirk slaat? In dit geval niet erg maar soms zijn hele discussies opgehangen aan een mening. Ik sta op plekje 200 zoveel in de karma lijst, als ik me helemaal wil laten vergeten door Tweakers krijgen dan alle mensen 'onder' mij een plaatsje hoger?

Zo kan je in elk bedrijf reeksen problemen vinden. Deze week nog vond ik een telefoon die nog inbelnummers uit 2001 had. Soms met naam. Mag dat? Moet die telefoon weg? Is er een manier om de dat te wissen? Bestaat die afdeling van Siemens nog?
Goed verwoord, de meeste systemen zijn decennia oud en tot voor kort hielden we met programmeren er geen rekening mee dat alles wat met een persoon te maken heeft invulden ook weer 'vergeten' zou moeten worden.

Nieuwe software houden we er rekening mee, maar alle oude software aanpassen is niet alleen veel werk, maar kost ook veel geld.
De situaties die je schetst zijn reeel, maar toch ben ik van mening dat dit vragen zijn over uitvoering, niet over onduidelijkheid in de wet.

Levenslange garantie: je hebt een legitieme reden om de relevante klantdata (naam, product, aankoopdatum) te bewaren, want anders kun je niet borgen dat de klant zijn recht kan uitoefenen. Wil de klant toch vergeten worden? Prima, met dien verstande dat de klant dan ook akkoord gaat met het vervallen van de levenslange garantie (uitaard wel na geinformeerd te zijn), want dan kun je niet meer controleren of de klant ook recht heeft op iets. Helemaal niet ingewikkeld qua regelgeving, maar uitvoering kan lastiger zijn m.b.t. ICT.

De wet stelt dat persoonsgegevens die niet langer nodig zijn, verwijderd dienen te worden. Dus een bedrijf met een webformulier waarop je je telefoonnummer achterlaat om een antwoord op een vraag te krijgen, dient je telefoonnummer te verwijderen, nadat zij jou hebben gebeld om je vraag te beantwoorden. Het nummer is nergens meer voor nodig dus verwijderen. Niet ingewikkeld qua regelgeving, maar kan in de uitvoering een dingetje zijn.

De reactie van REDSD vind ik ook ongenuanceerd. De WBP verplichtte ook al tot heel veel van deze maatregelen, maar daar is door veel verwerkers (iedereen die persoonsgegevens verwerkt) niet naar gekeken bij software implementatie. Het was 10 jaar geleden echt niet ingewikkeld om dit in te bouwen en ook niet veel kostbaarder. Bij het ontwerp had het een klein ding kunnen zijn. Nu betaald men de prijs om het te repareren. Beetje huilen om eigen falen dan.

De enige groep waar ik medelijden mee kan hebben, zijn de kleine verenigingen e.d. waar tante truus altijd de ledenlijst bijhield en die daar nu een hele administratie bij krijgt en niet weet hoe en wat.
Maar ach, nu is het een issue, over een hele poos wordt het weer vergeten, de AP kan maar beperkt handhaven en de media heeft een primeur als er een keer iemand een fiikse boete oploopt (en die kunnen nu heel fors zijn overigens).
Dat de belastingdienst onderdeel is van de overheid maakt nog niet dat ze al eerder op de hoogte waren, Pino. De overheid is groot en bestaat uit veel verschillende en onafhankelijke organen: Het is niet een groepje van 200 ambtenaren die samen de wetten schrijven én de belasting innen.

Daarnaast: Als men alvast begonnen was met maatregelen die later nutteloos bleken omdat de definitieve wet nog niet duidelijk was, dan had men weer de mond vol gehad van kapitaalvernietiging en onverantwoordelijk omgaan met belastinggeld.
Maar in plaats van wachten kon je ook uitgaan van het meest negatieve scenario of het meest positieve scenario voor de "klant".
Leuk, op papier.
Maar nu even de praktijk: Is het bijvoorbeeld persé positief dat de belastingdienst al je data overboord flikkert na een jaar (goed voor compliancy) of is het toch handig dat ze je history kennen zodat je gewoon door je aangiftes kan klikken en na 5 minuten klaar bent (goed voor klant)? Als je verschillende mensen dat vraagstuk voorlegt krijg je verschillende antwoorden.

En moeten ze zo als een kip zonder kop investeren in ICT met belastinggeld? Denk het niet. Maar dat is wel min of meer wat je van ze vraagt als je wil dat ze onduidelijk beleid moeten implementeren.

[Reactie gewijzigd door Koffiebarbaar op 18 april 2019 16:23]

[...]


Leuk, op papier.
Maar nu even de praktijk: Is het bijvoorbeeld persé positief dat de belastingdienst al je data overboord flikkert na een jaar (goed voor compliancy) of is het toch handig dat ze je history kennen zodat je gewoon door je aangiftes kan klikken en na 5 minuten klaar bent (goed voor klant)? Als je verschillende mensen dat vraagstuk voorlegt krijg je verschillende antwoorden.
Dat hele gedoe van vóór ingevulde formulieren maakt het vooral makkelijker om zo snel mogelijk te vergeten dàt je belasting hebt afgedragen. Een 'pijnloos proces' is wat men dus nastreeft. :X

Terwijl een beetje ondernemer weet dat tijd en moeite investeren om jezelf te informeren en zaken zelf in te vullen pegels scheelt bij de belastingdienst. Dat is klassenbelasting en dat vind ik niet zo klasse eigenlijk :Y) - Dus láát dat vóór invullen maar zitten en laat dan dus maar wat meer mensen aanmodderen voor een voordeeltje, tenminste wel -soort van :X - gelijke kansen.

[Reactie gewijzigd door BStorm op 18 april 2019 17:34]

[...]
zodat je gewoon door je aangiftes kan klikken en na 5 minuten klaar bent (goed voor klant)?
Was dat maar zo.......
al dit soort verwerken moeten vanwege de AVG worden vastgelegd in een register. Iedere verwerking moet daarbij een grondslag hebben die je kunt onderbouwen.
Bv je voorbeeld voor gegevens bewaren omdat dit goed is voor de klant: daar is geen vooraf vastgestelde wettelijke grondslag voor dus dien je daarvoor toestemming te vragen aan de betrokken klant. Indien deze geen toestemming geeft dan mag je het niet bewaren.

De belastingdienst zal voor haar kernverwerkingen een wettelijke grondslag hebben obv de archiefwet en allerlei andere wetten waarvoor het nodig is gegevens x jaar te bewaren.
Maar enkel omdat je wacht op antwoorden/vragen hoe precies om te gaan met bepaalde situaties is geen excuus om niets te doen totdat al die details bekend zijn. Je kan (&moet) gewoon doorgaan met implementatie van zaken die wel duidelijk zijn. Dat je dan nog wat moet aanpassen in 2018 voor bepaalde uitzonderingen is prima te doen, als de wil er tenminste is
De belastingdienst is een van de eerste die op de hoogte was van de regels. Al ruim voordat de regel uberhaupt in ging.
Ze waren niet fundamenteel eerder of later op de hoogte.
Roepen dat dit er al vanaf 2016 aan kwam is ook te makkelijk want niemand wist sinds dat moment wat er moest gebeuren, die consensus is er volgens mij pas een jaar, en volgens mij wordt er nog steeds gewoon glashard discussie gevoerd over hoe en wat.
Laat ik het even (misschien onnodig) hard spelen. Maar er zijn mogelijk mensen geweest die zeiden. Ow dat redden we wel. Ow dat hoeven we niet.

Die mensen die moeten ontslagen worden en mogen dergelijk werk niet meer uitvoeren. Laat ze maar lekker papiertjes rapen voor een uitkering.
Als we mensen om fouten direct tot op de grond toe af moeten branden ben je inderdaad onnodig hard en tevens onproductief bezig.
Wie gaat ooit nog ergens verantwoordelijkheid voor nemen als er zo'n risico aan vast zit voor je privéleven bij één enkele misser?
Er vallen hier geen doden ofzo. Laten we het dus ook niet als zodanig behandelen.
Dit is niet omdat er op tijd geschakeld is. Maar omdat van bovenaf het niet belangrijk genoeg gevonden werd. En er zodoende gefaald is.
Ik snap dus niet hoe je dit kan zeggen zonder concreet in kaart te hebben hoe het (de infra) er bij de belastingdienst uit ziet. Ik denk dat je veilig kan stellen dat het om wat meer gaat dan procesmatig wat excel bestanden verwijderen.
Als ik me visualiseer hoeveel data zij accuraat moeten verwerken wordt ik duizelig. Laat staan wat voor aftandse ellende ze allemaal mee moeten koppelen want overheids IT is nog steeds niet zo gestroomlijnd als het moet zijn dus als iemand aldaar roept dat dat een lappendeken van ellende is dan geloof ik dat gewoon direct.
En dan zit je daar als compliancy officer toch wel stevig tussen een trein en een ander hard object.

[Reactie gewijzigd door Koffiebarbaar op 18 april 2019 19:12]

...En ga in de bestaande systemen pragmatisch om met het doorvoeren van maatregelen, want ik denk dat het qua tijd en kosteninvestering niet realistisch is om te verwachten dat binnen korte tijd een instantie als de belastingdienst volledig AVG compliant zal zijn.
Ik zou hier wel de kanttekening bij plaatsen dat het niet al te vrijblijvend moet zijn: "Zie maar wanneer je het af hebt". Voor nu voldoende als de niet compliant systemen extra goed worden bewaakt, maar er moet wel een duidelijke eindige roadmap zijn om compliant te worden.
Ik had niet anders verwacht.
Niet omdat het 'de belastingdienst' is, maar dit zal voor veel meer bedrijven de situatie zijn. (mijn aanname)
Niet alle applicaties hebben een RMA functionaliteit met een bijbehorende selectielijst.
Lijkt me overigens een prima (tijdelijke) oplossing om een 'bevroren archief' aan te leggen waar slechts een enkeling bij kan komen.
Bij het overdragen van oude archieven naar de SharePoint omgeving blijken de avg plugins prima te werken. Het aantal inmiddels verboden, opgeslagen bsn nummers is ongelooflijk. Wrl moet je dan per document gaan bekijken wat je ermee gaat doen. Veel, maar noodzakelijk werk.
"De gegevens worden in een zogenoemde datakluis geplaatst", staat in de brief. De digitale kluis is een 'afgeschermde omgeving' waar medewerkers alleen toegang toe hebben met 'nadrukkelijke toestemming.'
Role based access dus. Maak het niet ingewikkelder dan het is. Op stokoude systemen. Heel veilig als het onderliggende systeem of software oud is, niet gepatched of vol met exploits.
Als die air gapped is hoeft ook dat geen probleem te zijn.
Als het zo is maar uit ervaring weet ik dat eindgebruikers gaan stuiteren en het alsnog in het reguliere netwerk gehangen wordt.
Dan maar stuiterende medewerkers, voldoen aan wettelijke plicht heeft prioriteit.
Een stuiterende medewerker met de juiste contacten binnen het management krijgt veel geregeld jammer genoeg. Al ben ik het zeker met je eens.
Als het hogere management dan even wil tekenen voor de persoonlijke juridische aansprakelijkheid....

Toegegeven, dit is de belastingdienst. Ambtenaren hebben strafrechtelijke immuniteit (Pikmeer arrest, uiteraard alleen in functie). Maar voor bedrijven helpt het wel om het management eraan te herinneren dat zij geen ambtenaar zijn en dus niet immuun.
U hebt de uitspraak Pikmeerarrest 2 gemist?
Het uitdiepen van een publiek vaarwater werd zo een exclusieve overheidstaak, het dumpen van vervuild slib werd een in theorie te privatiseren handeling. Dit laatste type handelingen mag door het Openbaar Ministerie worden vervolgd. Deze nieuwe uitspraak is bekend geworden als het tweede Pikmeerarrest, kortweg Pikmeer II.
Bekend, dat was waarom ik de kwalficatie "in functie" toevoegde. En in dit geval (belastingdienst) was de nuance ook niet heel erg relevant; belastingen zijn een exclusieve overheidstaak.

Overigens is in Pikmeer-II ook niemand veroordeeld. De politiek kan wel vinden dat ambtenaren strafrechtelijk vervolgd moeten kunnen worden, de ambtenaren van het OM dachten daar toch anders over.
Zo heel oud is meeste software niet hoor die ze bij belastingdienst gebruiken. Vaak zit het probleem meer in de complexe wijze waarop allerlei systemen aan elkaar geknoopt zitten waardoor niemand er meer aan durft te zitten of ook maar iets nieuws te proberen onder het mom van het werkt toch zo??...
Ik zie niet zo het probleem dat de belastingdienst niet op tijd klaar is voor de AVG, los van het feit dat de overheid het goede voorbeeld moet geven!
Dat ze gegevens langer hebben dan de bedoeling tja, ze hebben al meer gegevens die ik zou willen ;-) en het recht om '' vergeten' te worden gaat ook al niet op.

Het enige in dit stuk wat ik echt belangrijk vind is dat niet elke medewerker toegang moet krijgen tot alle gegevens.
Maar maybe zie ik het helemaal verkeerd
Hoe staan overheden in andere EU er eigenlijk eigenlijk voor?
Vooral het recht om vergeten te worden is best een probleem. Schijnt te botsen met hun bedrijfsvoering.
Artikel 17 van de GDPR geeft een beperkt aantal gronden voor het recht om vergeten te worden. De voornaamste hiervan is het intrekken van consent als er geen andere grondslag voor de verwerking bestaat.

Gelukkig is onze belastingdienst niet afhankelijk van consent als grondslag voor verwerking van persoonsgegevens, dus hoeven persoonsgegevens niet verwijderd te worden op basis van art. 17.

[Reactie gewijzigd door Tux4life op 18 april 2019 15:51]

Anders reageer je even serieus 8)7
Ik moest glimlachen. ;)
Ik ook :) Maar ik krijg elk jaar geld terug van de belastingdienst.
Leuk voor jou, maar bedenk: Je krijgt alleen maar terug wat je teveel betaald hebt.. :)
Klopt, maar met de huidige rentestand kan het net handig zijn als je onder een bepaalde hoogte van bijv spaargeld blijft waar je anders bij dezelfde Belastingdienst belasting over moest betalen ;)
Tijd voor een onderzoekscommissie, en nog meer regeltjes... ;)
Nee, het wordt tijd de de volledige belastingwet vanaf nul wordt bedacht en opgetuigd. Daar zal een nieuw systeem voor moeten worden gemaakt. Dan kunnen ze de rond de 600 (!) oude software programma's eindelijk afschrijven.
Waarschijnlijk kunnen ze dan 10+ jaar aan het werk om die nieuwe applicatie te bouwen en al die tijd veranderen de specificaties. Je kan namelijk de wet niet in laten gaan en daarna pas beginnen met bouwen.

Of je laat de wet nog niet ingaan, maar begint pas met bouwen. Zolang de nog niet ingaat kan (en zal) deze dus aangepast worden, waardoor je specificaties veranderen.

Linksom of rechtsom, de oude applicaties zullen in die tijd nog gewoon onderhouden en aangepast moeten worden. Misschien nadat het nieuwe systeem live is, heb je nog steeds data uit deze oude applicaties nodig en zal je ze dus ook live moeten houden. Dus heb je daarna 601 applicaties te onderhouden.

Aan de andere kant bestaat een platform als Netflix ook uit 500+ applicaties (zgn microservices). Dit is een prima model gebleken en hier kun je ook langzaam naartoe migreren.

Een nieuw systeem van scratch optuigen lijkt me niet de slimste keuze. :-D
Ik blijf erbij dat de belastingwet van scratch zal moeten worden opgebouwd.
Ik durf te wedden dat niemand volledig begrijpt hoe alles in elkaar zit.
Zie daarvoor ook artikel bij computable.
https://www.computable.nl...r-de-belastingdienst.html

Wellicht daarnaast ontwikkelen of iets daarna. Maar er zal een stap moeten worden gezet. En natuurlijk pas daarna van de oude programmatuur af.
Wat een tenenkrullende gang van zaken , beschreven in dat artikel.
En uiteraard is er maar 1 slachtoffer : de belastingbetaler. :( |:(
Ik blijf erbij dat de belastingwet van scratch zal moeten worden opgebouwd

De belastingwet hoeft niet herschreven te worden, om iets opnieuw op te bouwen. De wet ga je ook niet herschrijven omdat het systeem niet in orde is. De wet wijzig je enkel als de wet zelf niet goed is.

Probleem is overigens vooral de oude data. Die is niet gemigreerd en ook niet makkelijk te migreren naar nieuwe systemen.
Onder andere het probleem is dat er zoveel verschillende wetten zijn, die vervolgens weer met andere wetten gecorrigeerd worden. Juist daarom zou het m.i. opnieuw moeten worden geschreven.
Daarnaast klopt het systeem niet. Woningbouwvereniging moet verhuurdersheffing betalen aan overheid -> huur gaat omhoog -> huurtoeslag gaat omhoog -> wordt betaald door overheid.

Zo zijn er veel meer voorbeelden te bedenken.
Maar dat is een ander argument.

Het argument dat omdat de ICT niet op orde is, men de wet moet veranderen is uiteraard de omgekeerde wereld. De ICT moet de wet implementeren.

Dat veel belastingwetten vermeend oneerlijk zijn en onlogisch en complex zal ik nooit betwisten.
Toch heeft het met elkaar te maken. Complexe wetten zorgt voor complexe software. Natuurlijk zijn we het eens dat de ICT mogelijkheden de wet niet moet beperken.

Mijn punt is met name is dat je twee vliegen in één klap van moet slaan. :)
Dat werkt prima met films.
Dat werkt wat lastiger wanneer je vele rekenboxen hebt die vele rekenregeltjes uitrekenen en samen tot de juiste oplossing moeten komen, dan moeten toch alle regeltjes tegelijk live!

De belastingwet is iets minder agile dan het streamen van films!
De huidige staat is bijna 900 applicaties bij de belastingdienst.
Op sommige afdelingen zijn de applicaties beter dan de andere.

Als ik goed heb is de FIOD redelijk up to date. Toeslagen was ook wel oke.
De echte probleem software pakketten bevinden zich in.
Loonheffingen, Inningen, Auto belasting dacht ook beroep bezwaar.

Laatste keer dat ik wat moest regelen met ze omtrent fout afgeschreven auto belasting duurde het tergend lang voordat het gecorrigeerd was. Daarin tegen toeslagen was in een week gecorrigeerd.
Zou dat niet wat meer te maken hebben met dat ze door de ene fout meer geld dan de bedoeling was gekregen hebben en door de andere meer geld kwijt?

;) :9
Ja das natuurlijk ook een optie :D
Dan is het makkelijker om die 600 oude applicaties langzaam om te bouwen naar 1 applicatie. Want de belastingwet vanaf nul herbedenken is eigenlijk een onbegonnen taak..
Sowieso begrijp ik niet helemaal waarom het zo'n probleem zou zijn. Dat het een helse klus is om te inventariseren en dan een nieuw platform te bedenken, ja dat geloof ik wel, maar ook DAT is eigenlijk nog helemaal niet zo heel moeilijk op te lossen.
Oftewel stuur maar een emmer geld op. (belasting gaan omhoog wel te begrijpen..)
Wat heb je eraan? We weten allemaal al (behalve de verantwoordelijke bewindslieden) dat de Belastingdienst nog niet eens een ontslagronde goed kan regelen. Vrijwillige ontslagregeling voor iedereen, inclusief de ICT functies die niet gemist kunnen worden. :|
Klinkt leuk, maar is een bewuste keuze van het management geweest. Heeft ook precies uitgepakt zoals voorspeld door de vakbonden. Het is dus precies zo geregeld als dat het is bedacht en uiteindelijk uitgepakt. Dat dat de bedrijfsvoering niet ten goede is gekomen is een vooraf ingecalculeerd gegeven geweest.
Haha, nog meer bureaucratie, I like it!
En gaat de belastingdienst nu boetes krijgen, van 'de overheid'? En aan wie gaan ze die boetes dan betalen, ook aan 'de overheid'? Tekorten moeten vervolgens bijgeplust worden vanuit... u voelt hem al aankomen ;)
Laat ze het maar even moeilijk hebben. Wellicht gaat het gedrocht Belastingdienst én de politiek dan eens inzien dat er gewoon minder regeltjes moeten zijn omdat zélfs hún dat niet kunnen handelen. Goed voorbeeld |:(

Nederland, regeltjes land.

edit; ik ben wel voor beter privacy regels trouwens, maar doel meer op allerlei belasting gerelateerde data die dus bewaard moet worden. Minder belasting geneuzel = minder opslaan.

[Reactie gewijzigd door JorzoR op 18 april 2019 15:19]

Dat geld gaat vermoedelijk pas naar de overheid nadat er een paar juristen er een aantal eurotjes uit gehaald hebben. Boetes geven aan een overheidsbedrijf is geldvernietiging. Dat geld komt wel weer terug. Het werk moet worden gedaan. Moeilijk om te straffen! Ze moeten op de een of andere manier de directie hier de rekening van laten betalen, maar dat zal juridisch moeilijk liggen. Over het algemeen kosten falende ambtenaren alleen maar meer geld.
Geef ze maar een flinke boete!

Wij, als zijnde een klein/middel MKB, moesten ook zorgen dat onze zaakjes op orde waren.
Gewoon AVG in orde maken, gemakkelijker kan het niet.
Iets met vestzak broekzak?!
ja een overheidsbedrijf die een boete moet betalen aan de overheid:/
Schenken ze die boete maar aan het goed doel (maar niet de Notre Dame).
Prima natuurlijk, maar in de praktijk vinden belastingplichtigen het heel vervelend dat de Belastingdienst niet over alle gegevens beschikt die je zou verwachten. Heel veel (echt heel veel) belastingplichtigen hebben er belang bij dat de Belastingdienst beschikt over de gegevens uit de jaren 80. Dat soort gegevens raakt de Belastingdienst meer en meer kwijt. Niet altijd in het kader van AVG. Maar ze zijn er dan niet meer als de belastingplichtige ze graag boven water wil krijgen.
Gewoon AVG in orde maken, gaat heus wel lukken, maar de termijnen zijn gewoon kort. De database van de Belastingdienst is meer dan gigantisch groot.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Google

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True