Belastingdienst kreeg 76 inzageverzoeken na ingang van AVG

De Belastingdienst kreeg vorig jaar 76 keer een inzageverzoek van burgers binnen. De fiscus handelde al die verzoeken volgens de AVG af.

Dat schrijft staatssecretaris van Financiën Menno Snel in een brief aan de Tweede Kamer. Daarin beantwoordt hij vragen over onderzoek van de Autoriteit Persoonsgegevens naar de beveiliging van de Belastingdienst, en dan specifiek de afdeling Data & Analytics.

Snel zegt dat de Belastingdienst alleen kan zeggen hoeveel inzageverzoeken er bij de hele organisatie zijn ingediend. Sinds mei 2018 waren dat er 76, schrijft hij. Die periode was het moment dat de privacywet AVG gehandhaafd werd. Daarvóór bestond ook al het recht op inzage van gegevens, maar door de AVG maakte de Belastingdienst het makkelijker zo'n verzoek in te dienen en ontstond er meer bewustzijn over het recht.

In 2018 zijn er volgens de staatssecretaris twee datalekken bij de D&A-afdeling van de fiscus geweest. Het ging daarbij in beide gevallen om het kwijtraken van een apparaat met versleutelde gegevens. Ook in 2019 gebeurde dat tot nu toe één keer. Beide incidenten zijn volgens snel aan de AP doorgegeven.

Snel schrijft ook dat de Belastingdienst bijna voldoet aan de AVG, maar dat er nog een paar pijnpunten zitten. Met name het opschonen van systemen met oude gegevens duurt langer dan verwacht, en het feit dat zelfstandigen verplicht hun bsn moeten gebruiken in hun btw-nummer is tegen de wet. De Belastingdienst is wel bezig dat te veranderen.

IT-banen

Reacties (95)

Darses

14 juni 2019 21:09

Volgens mij ben ik dan 1 van 76 personen die wel eens wilde weten wat de belastingdienst van mij weet.

Redelijk afgebakende vraag gestuurd gericht op die data analyses waarbij ze aardig wat categorieën persoonsgegevens verwerken. Meer dan mij nodig lijkt in ieder geval, bij veel andere aspecten zoals rijtuigenbelasting leek het mij redelijk voor de hand welke gegevens er bekend zijn en waarvoor die gebruikt worden.

Mooi antwoord terug dat de belastingdienst geen gegevens aan derden mag geven i.v.m. geheimhouding (artikel 67 wet rijksbelastingen, lariekoek natuurlijk aangezien het om mijn eigen gegevens gaan), dat het niet mogelijk is omdat ze in een groot bestand stonden met de gegevens van andere mensen (het is blijkbaar te moeilijk om alleen mijn gegevens er uit te halen) en omdat inzage in mijn eigen gegevens (citaat) 'de financiele en fiscale doelstelling van Nederland kunnen aantasten'.

Daar komt bij dat de gegevens gebruikt worden voor opsporing doeleinden, wat het een uitzondering maakt op een inzage verzoek. Dat lijkt mij echter onzin aangezien de gegevens ook voor andere doeleinden gebruikt worden. Daarmee zou een mooie loophole bestaan voor de belastingdienst om alle gegevens aan te merken als in gebruik voor opsporing en zo nergens meer inzage in te hoeven geven.

Uiteraard kan je dan binnen 6 weken bezwaar aan tekenen, er werd niets gemeld over een klacht aan de AP zoals wel verplicht is, maar ik had de hoop al opgegeven dat er nog iets van zou komen. Maar uiteraard wel binnen de termijn een antwoord gehad en daarmee mag de staatsecretaris dit als netjes afgehandeld beschouwen...

Killjoy @Darses • 14 juni 2019 22:37

Het lijkt erop dat de behandelaar van jouw verzoek het niet als een inzageverzoek op grond van artikel 15 AVG heeft geïnterpreteerd. Stuur even een e-mail met een klacht naar fg@minfin.nl Vermeld dat het om de belastingdienst gaat en het kenmerk van de brief die je hebt ontvangen. Dan wordt het correct opgepakt.

Darses

@Killjoy • 14 juni 2019 23:07

Ik citeer uit de brief: "U wilt graag inzake en beroept zich daarbij op de Algemene Verordening gegevensbescherming (AVG)" en "In uw brief verzoekt u nog specifiek om gegevens te willen inzien [..]"

Volgens mij was mijn inzage verzoek duidelijk en ook als zodanig geïnterpreteerd. De reactie die ik kreeg was geen misverstand.

Killjoy @Darses • 14 juni 2019 23:36

Vreemd. Het komt op mij over dat de belangenafweging niet juist is gedaan. Je kunt 'opsporingsdoeleinden' ook niet zomaar aanvoeren als weigeringsgrond. Dan moet er al sprake zijn van een traject.

De klachtenroute via fg@minfin.nl zou ik zeker aanbevelen.

En ook expliciet aangeven dat er niet gewezen wordt op de mogelijkheid om een klacht bij de AP in te dienen.

ManiacsHouse @Killjoy • 14 juni 2019 23:58

Je kunt 'opsporingsdoeleinden' ook niet zomaar aanvoeren als weigeringsgrond. Dan moet er al sprake zijn van een traject.

Vind ik ook een vreemde. Maar gaan ze het je dan ook vertellen als er iets loopt? Lijkt me niet. Ben hier ook wel nieuwsgierig naar eigenlijk... Mooie manier om alles af te serveren of een bevestiging dat ze blijkbaar iedereen wantrouwen en onder het vergrootglas hebben.

Killjoy @ManiacsHouse • 15 juni 2019 09:12

Als er een onderzoek loopt naar strafbare feiten door een betrokkene, dan is dat een reden om het recht op inzage te beperken ( artikel 23 AVG)

Maar goed; het is allemaal raden zo. Klaag bij de fg over de inhoudelijke behandeling van jouw verzoek.

no00waa @Killjoy • 15 juni 2019 09:19

@Darses ik ben op zich wel benieuwd of je dit traject gaat bewandelen wat @Killjoy aanraad. Ik zit er over te denken om naar aanleiding van jouw reactie ook een AVG verzoek in te dienen puur omdat dit soort wetten er met een reden zijn gekomen en de belastingdienst lijkt hier nu makkelijk van af te willen maken..

[Reactie gewijzigd door no00waa op 23 juli 2024 08:29]

Darses

@no00waa • 15 juni 2019 10:54

Mijn verzoek had ik gedaan puur uit interesse wat de belastingdienst allemaal aan gegevens verzameld. Had naast een inzage verzoek voor die data analyses ook nog enkele specifieke vragen over het privacy beleid welke niet helemaal duidelijk waren (voorbeeldje: kun jij mij vertellen hoelang de belastingdienst je domeinnaam gegevens bewaard?) . Als je dan een uitgeprinte kopie van het privacy beleid terug krijgt met 2 alinea's aan onzin tekst waarom je geen inzage krijgt, maakt het volgens mij redelijk duidelijk dat de ze er geen zin in hebben.

Ik ben geen beroeps wobber en had geen zin in ellenlange bezwaar procedures. Het AP heeft het volgens mij druk zat met koffie drinken met de belastingdienst zonder consequenties te verbinden aan zaken die niet op orde zijn. Nee, heb ik er geen vertrouwen in dat er iets mee gebeurt tenzij ik er zelf veel moeite in moet gaat stoppen. Dat is mij teveel werk.

[Reactie gewijzigd door Darses op 23 juli 2024 08:29]

ManiacsHouse @Darses • 14 juni 2019 23:33

Ze hebben er bij de belastingdienst een flink handje naar om niet een gedegen antwoord te geven, maar meteen te gaan smijten met wetteksten en regeltjes. Vaak nog zo krom als wat en totaal niet kloppend met de situatie. Staat er ook nog mooi onder 'geautomatiseerd vervaardigd, dus niet ondertekend'. Zit iemand gewoon doodleuk dingen af te vinken en daar komt dan een standaard brief uit, lekker persoonlijk en ook echt onderzoek gedaan naar de daadwerkelijke vraag... Not. Ook al maanden bezig met ze en telkens weer dezelfde bullshit krijg je terug. Ze negeren gewoon wat je toevoegd in je reactie. Dit en dit klopt er niet in uw reactie. Prompt brief terug met weer hetzelfde antwoord.

MrFax @ManiacsHouse • 15 juni 2019 05:03

Dit is natuurlijk gewoon de situatie waarin de Belastingdienst zich bevindt: Ze kunnen zich niet houden aan de AVG. Dit is nu al meerdere malen naar buiten gekomen. Als alle data op 1 bestand staat dan is dat heel lastig om inzage te geven zonder hierbij een heleboel andere wetten en regels te breken.

supersnathan94 @MrFax • 15 juni 2019 10:51

Tuurlijk niet. Dat is hoe een database werkt. Als je die data niet kunt queryen op de 1 of andere manier dan is die data kompleet nutteloos en kun je het direct weggooien. Uiteraard hebben ze software om spul van 1 persoon eruit te halen. Anders kunnen ze er echt helemaal niets mee.

MrFax @supersnathan94 • 15 juni 2019 17:40

Je zou het idd kunnen query'n, maar je weet niet met wat voor software de Belastingdienst werkt, wie weet kan deze data helemaal niet zomaar eruit gehaald worden om het zo voor de klant klaarmaken voor inzicht, zonder dat een medewerker hierbij 5 regels breekt en ontslagen wordt.

supersnathan94 @MrFax • 15 juni 2019 21:55

Maar als dat niet kan, waarom wordt die data dan nog bewaard? De belastingdienst gaat over rechtspersonen en dus moet de data te allen tijde per rechtspersoon opvraagbaar zijn (een bv is dat bijvoorbeeld ook).

CivLord

Belastingdienst

@Darses • 15 juni 2019 12:49

En heb je dat via een brief aan een willekeurige afdeling van de belastingdienst gedaan? Of heb je gebruik gemaakt van de webpagina die de Belastingdienst voor dat soort verzoeken beschikbaar heeft gemaakt?

Het lijkt me dat je het eerste hebt gedaan. De weigering is dan ook logisch (misschien wat onhandig geformuleerd) omdat geen enkele normale medewerker bij al jouw gegevens kan komen en ook een redelijk afgebakende vraag al snel meerdere systemen overstijgt. Daarnaast zijn de meeste medewerkers niet geautoriseerd om die gegevens aan anderen te verstrekken, ook niet aan de betrokkene zelf. Degenen die dat wel mogen en kunnen krijgen de verzoeken via de daarvoor ingestelde webpagina.

Nog een belangrijk puntje voor de geheimhouding. Welk bewijsmateriaal heb je met je vraag meegestuurd waaruit onomstotelijk bleek dat jijzelf die gegevens over jezelf hebt opgevraagd? Iedereen kan onder jouw naam een vraag stellen om jouw gegevens op te vragen. Ze kunnen erop gokken een ander adres op te geven, op de kans dat dat niet geverifieerd met je woonadres dat bij de gemeente geregistreerd is. Maar je buurman kan het ook in jouw vakantie opvragen en het antwoord uit je brievenbus proberen te hengelen.
De website zal DigID vragen, waardoor het in ieder geval duidelijk is dat jij de aanvraag gedaan hebt.

Darses

@CivLord • 15 juni 2019 15:31

Ik had de vraag gesteld aan de functionaris gegevensbescherming, dit is de reactie die ik kreeg op mijn inzage verzoek en daar was geen misverstand over.

De weigering is niet logisch, als je niet weet wat je aan het doen bent dan had dit intern doorgestuurd moeten worden. In de wet staat duidelijk aangegeven dat je bij iedereen van de organisatie een verzoek zou kunnen doen. Een speciaal ingerichte webpagina of aparte procedures zijn daarbij dus zelfs niet toegestane barrières, al kan ik mij voorstellen dat het het proces wel wat stroomlijnt.

Bij mijn verzoek heb ik een kopietje van mijn ID gestuurd en kreeg ik de post op mijn huisadres. Er is nergens genoemd dat dit onvoldoende zou zijn voor identificatie.

Killjoy @Darses • 15 juni 2019 17:17

Sorry, maar wat jij stelt, staat niet in de wet. Lees artikel 12 en 15 AVG er maar op na. Het is juist de bedoeling dat een organisatie processen inricht. Want je heb maar beperkte tijd om verzoeken te behandelen.

Het is trouwens niet zo dat de fg inzage verzoeken zelf behandeld. Op de klachtafhandeling heeft Jan volgens mij wel zicht.

[Reactie gewijzigd door Killjoy op 23 juli 2024 08:29]

Darses

@Killjoy • 16 juni 2019 09:17

De AVG schrijft niet voor dat betrokkenen een bepaalde procedure zouden moeten volgen. Een inzage verzoek gesteld via de belastingtelefoon is net zo geldig als dat deze per brief gesteld zou worden. Ik kan mij voorstellen dat je in sommige gevallen extra identificatie vereist en daar een proces voor hebt, maar inzage weigeren omdat deze niet via het juiste formuliertje is gesteld lijkt mij in strijd met de wet. Dat baseer ik op de interpretatie van de Britse toezichthouder: https://ico.org.uk/for-or...rights/right-of-access/#4

Daarmee is het dus niet mogelijk dat een verzoek bij een verkeerde afdeling beland en vervolgens geweigerd wordt.

Killjoy @Darses • 16 juni 2019 11:21

Dat is op zich correct. Je kunt niet voorschrijven in welke vorm een verzoek wordt gedaan. Ook kun je geen consequenties verbinden aan het niet volgen van een door een organisatie geadviseerde voorkeursprocedure.

Overigens moet een verzoek wel schriftelijk (papier of electronisch) worden gedaan.

Gladiator5 @Darses • 14 juni 2019 22:49

Bizar dat het zo word ''opgelost''.

tot zover de nieuwe privacy wet.

Killjoy @Gladiator5 • 15 juni 2019 09:45

De nieuwe wet maakt het nu wel transparant dat organisaties niet altijd even goed omgaan met je rechten. Dat is ook waardevol.

Nu hopen dat genoeg mensen hun rechten ook gebruiken. En bij uitblijvend resultaat de autoriteit persoonsgegevens op de hoogte stellen.

Verder is de aandacht die oa Tweakers eraan geeft ook heel nuttig. Publiciteit helpt om misstanden aan te kaarten.

t_captain @Darses • 14 juni 2019 23:20

Is Justitie wettelijk een derde partij?

Killjoy @t_captain • 15 juni 2019 09:17

Ten opzichte van de Belastingdienst niet. Beiden zijn onderdeel van de Staat der Nederlanden. Wel zijn het verschillende beleidsterreinen. Dus de ministeriële verantwoordelijkheid ligt bij verschillende ministers.

theduke1989 @Darses • 15 juni 2019 05:39

Kan je dan ook zeggen ik wil dat jullie stoppen met delen of wat dan ook? Anders is de AVG een nutteloze iets aangezien je toch juist wilt dat ze dan per direct stoppen met delen of wat dan ook? Heb me niet echt verdiept in dat.

Killjoy @theduke1989 • 15 juni 2019 09:25

Dat is zeer afhankelijk van de situatie. Het kan ook zijn dan er een verplichting is voor organisaties om jouw persoonsgegevens te delen met anderen. Wel is het zo dat verstrekker en ontvanger je moeten informeren over wat ze waarom met wie delen.

karma4 @Killjoy • 17 juni 2019 17:17

De gdpr is vrij duidelijk. Waar een wettelijke verplichting voor is daar is geen toestemming voor nodig om persoonsgegevens te verwerken.

Het disproportioneel opvragen van eigen gegevens is geen recht en hoeft niet op gereageerd te worden.
Opvragen welke auto's je bezit terwijl je die zelf hebt aangegeven is disproportioneel. Je kunt die gegevens overigens zelf raadplegen op "mijnoverheid".

Er zijn wat hiaten met basisregistraties waarvan je denkt dat de informatie overal bekend is maar die aanname is fout. Dat kan een goede grond voor navraag zijn al krijg je achterliggende probleem niet opgelost.

stuiterveer @Darses • 14 juni 2019 21:42

Kijk eens aan, en dat beschouwen ze dus alszijnde (en ik citeer) "conform de normen van de AVG".

ManiacsHouse @Darses • 14 juni 2019 21:59

Serieus... Ze verkondigen dat het makkelijker is gemaakt om zo'n verzoek in te dienen. En vervolgens wimpelen ze je af vanwege geheimhouding (al zijn het jouw gegevens) of dat ze het gebruiken voor opsporingdoeleinden... Wtf... Hoezo geen zin of iets te verbergen...
Jou vertellen of ze met een onderzoek naar je bezig zijn mogen ze zeker ook niet?
Heb je het er bij laten zitten? Ik had het hogerop gezocht als zijnde richting media/pers

Verwijderd @Darses • 15 juni 2019 01:05

En zo je dus precies dat vrijheid en privacy zijn slechts een schijn, als ze willen kunnen ze alles met je (gegevens) doen. Het is dat je in Europa en VS het gevoel krijgt dat je het wel hebt en in het oosten van de wereld zoals China of N.Korea al van tevoren weet dat je het niet hebt.

swinepork @Darses • 16 juni 2019 00:29

De minister van VWS interpreteert 'persoonsgegevens' als naam, adres etc en stuurt slecht een overzichtje van documenten. Hij bestrijdt dat de AVG recht op een kopie geeft.
Ik denk dat een domeinnaam onder persoonsgegevens valt en dat je recht hebt te controleren of die informatie klopt.

Ambtenaren volgen speciale cursussen waarin ze leren hoe ze met AVG- en Wob verzoeken om moeten gaan; lees: hoe ze zo min mogelijk kunnen openbaren. Tot zover de transparantie van de Nederlandse overheid.

Mijn bezwaar op het besluit is (natuurlijk) afgewezen; ik ben nu met mijn beroep bezig bij de bestuursrechter. Daarna de Raad van state en het Hof van Stratburg.
en dan jurisprudentie!

lhuizing @Darses • 17 juni 2019 14:04

De AVG stelt nergens dat de genoemde bezwaren kunnen worden aangevoerd als reden om geen inzage te bieden. Slaat nergens op. Je had inzage moeten krijgen, maar de Belastingdienst vindt dat te lastig. En heeft geprobeerd je het bos in te sturen met een serieus klinkend antwoord. Je kunt gewoon een nieuwe aanvraag doen en dan wel bezwaar maken bij de FG - en vervolgens bij de AP.

Antrax 14 juni 2019 20:16

> Met name het opschonen van systemen met oude gegevens duurt langer dan verwacht.

Als ontwikkelaar snap ik dit niet. Productie omgevingen kan ik in enkele seconden kapot gemaakt hebben.

Tsurany @Antrax • 14 juni 2019 20:24

Vaak hebben ze daar een speciaal clean team voor dat ook zorg draagt dat eventuele backup omgevingen schoon zijn en alle data echt netjes verwijderd is. Zeker als je selectief moet verwijderen uit een draaiend systeem kan je je echt geen fouten permiteren.

Daarnaast zitten er procedures aan vast om te voorkomen dat een ontwikkelaar zo maar even wat doet zonder expliciete goedkeuring van alle stakeholders.

bazs2000 @Tsurany • 15 juni 2019 01:04

Plus, en dat mag ook niet vergeten worden, dat niet alle stakeholders volledig op de hoogte kunnen zijn van alle risico's. Stakeholders zul je dus moeten informeren en daar is documentatie voor nodig. Documentatie is een dingetje aangezien in de loop der jaren niet iedere verandering of aanpassing even netjes is vastgelegd.

Hierdoor krijg je al snel de situatie waarin iets moet gebeuren maar omdat niet alle feiten duidelijk zijn, dat er eerst nog onderzoeken moeten plaatsvinden. Dit vergt tijd en al helemaal omdat het om ingrijpende zaken gaat. Mensen die zich beroepen op het recht om vergeten te worden zijn lastig. Niet omdat de mensen zelf moeilijk zijn maar omdat het lastig is om dergelijke verzoeken uit te voeren.

Voor ieder verzoek moeten vele zaken worden uitgezocht. Wat is de omvang van het verzoek bijvoorbeeld? Hoe verwijder je 'iemand' zonder het risico te lopen dat je zaken verwijdert die nog niet verwijderd mogen worden? Daarnaast is er nog een lastig vraagstuk. Bij de belastingdienst worden alle documenten gedigitaliseerd (tenminste, bijna alles). De brief met het verzoek, sla je deze op of niet? Voor de bedrijfsvoering is het uiterst belangrijk dat je deze bewaart wat weer tegenstrijdig is aan het verzoek en zo zijn er nog meer haken en ogen.

Zelf werk ik niet bij de belastingdienst maar bij het UWV en ik krijg, net als een aantal collega's dergelijke brieven en documenten binnen. Wij sturen deze vervolgens door naar onze functionaris gegevensbescherming voor de verdere verwerking. Dezelfde vraagstukken spelen ook bij ons en in de praktijk blijkt het vrij lastig te zijn om de omvang van dergelijke verzoeken te bepalen.

Dit maakt mijn werk meteen interessant omdat je wel processen kunt bedenken en implementeren maar je kunt ze nooit sluitend maken. Er bestaat altijd het risico dat een verzoek niet 100% volledig uitgevoerd kan worden omdat sommige documenten niet weg mogen omdat je aan wetgeving gebonden bent. En deze wetgeving is soms dusdanig opgesteld dat deze niet volgens de letter van de wet uitgevoerd kan worden. Hierdoor kost het vaak veel tijd om te bepalen wat ervoor nodig is om iemand 'te vergeten'.

En dan heb je nog de 'datalekken'. Mijn werkveld is documentaire informatievoorziening en je moet bedenken dat dit een zeer grote tak van documentverwerking is. Je hebt te maken met ingezonden formulieren, brieven en dossiers. Formulieren en brieven worden centraal gedigitaliseerd (wat gebruikelijk is) maar dossiers worden elders gearchiveerd en beheerd. Je kunt niet zomaar dossiers opvragen en intern laten versturen zonder gedegen registratie. Wat doe je met deze registratie wanneer iemand zich beroept op zijn/haar recht op vergetelheid? Aan de éne kant dien je dit te verwijderen maar aan de andere kant heb je deze registratie nodig om aan te tonen wat er met een dossier is gebeurd.

Bijna dagelijks heb ik te maken met AVG-gerelateerde zaken die ervoor zorgen dat ik een paar keer mijn hoofd krab omdat niet meteen duidelijk is wat er moet gebeuren. Hiervoor is de functionaris gegevensbescherming alleen betekent dit niet dat het verwerken van deze verzoeken versoepelt.

Soms lijken mensen te denken dat het recht op vergetelheid betekent dat een bedrijf of instantie even een "DELETE * FROM tbl.etcetera" uitvoert en dat het dan klaar is. Dat gaat in een productie-omgeving dus niet gebeuren. Je kunt dit simpelweg niet doen dus mensen zullen ieder verzoek individueel moeten behandelen en bepalen wat de beste methodiek is om aan het verzoek te voldoen. Dit kost tijd en middelen en de groep mensen die zich hierover buiten is niet groot. Dergelijke verzoeken kennen om deze reden een vrij grote verwerkingstijd.

supersnathan94 @bazs2000 • 15 juni 2019 13:02

Het is geen probleem om metadat records te bewaren voor een dossier wat leeg is en niet meer traceerbaar naar een persoon. Zeker als dit een fysiek dossier is. Wat je kunt doen is bijvoorbeeld zeggen okee we verwijderen de data in het dossier maar de brief met jouw verzoek vergeten te worden blijft in het dossier achter zodat de audit trail in stand blijft. Het is immers belangrijk dat je aan kunt tonen gehoor te hebben gegeven aan het verzoek. Ii vraag me af in hoeverre en functional delete voldoende is om gehoor te geven aan het verzoek. Want dan kun je simpelweg (vooral digitaal) alles vlaggen zodat de data niet meer bruikbaar is.

theduke1989 @Tsurany • 15 juni 2019 05:40

Wat doet killdisk dan? Gewoon even wat van die dingen runnen en het is echt weg lijkt me niet moeilijk..

dingo35 @Antrax • 14 juni 2019 20:30

Ten eerste is het juist de kunst om de productie omgeving intact te houden en toch de oude informatie te verwijderen.

Ten tweede moeten ook de backups geschoond worden, en die zijn daaarvoor nooit ontworpen. Denk aan backups op write once, read many media; incrementele backups waarvan je de oude increments niet zo maar kan weggooien zonder de nieuwere invalide te maken. En zo zullen er nog veel meer problemen zijn....

ArmEagle

@dingo35 • 15 juni 2019 00:01

Je hoeft backups vziw voor de AVG niet op te schonen. Je kunt ook een lijst van (verwijzingen naar) gegevens bijhouden om die, na eventueel terugzetten van een backup, weer te verwijderen.

Administratief moet data verwijderd zijn, technisch hoeft dat niet altijd volledig.

Het is überhaupt bijzonder dat de belastingdienst gegevens bijhoudt die verwijderd kunnen worden!

burne @Antrax • 14 juni 2019 20:34

Ik maak backups van de backupmachines. En ergens in een kluis liggen backups van cruciale momenten. (Nieuwe versie leidde tot ingrijpende conversie. Klant wilde een kopie van de oude versie, met alle data, voor het geval dat, en dat moet 7 jaar en 52 weken in de kluis blijven liggen, dan zijn alle termijnen verlopen..) Knap als je ook daar gegevens uit weet te wissen.

Zoijar @burne • 14 juni 2019 20:50

Inderdaad. Of dingen als dat je bij wet 5 jaar audit gegevens op write-once media moet bewaren; niet alleen technisch lastig om iets aan te doen, want by-design kan het niet, maar ook onwettig. Of als je 2PB ongestructureerde data hebt: sequential scan? ...

[Reactie gewijzigd door Zoijar op 23 juli 2024 08:29]

burne @Zoijar • 14 juni 2019 21:22

Als je een wettelijke bewaartermijn hebt is de AVG natuurlijk niet van toepassing. Anders kom je wel heel makkelijk van je openstaande boetes, strafblad of bkr-registratie af.

Osxy @burne • 14 juni 2019 20:49

Onder de AVG wetgeving moet je zorgen dat bij een eventuele restore alle verwijderde data (op AVG verzoek) niet wordt hersteld.

Kan op paar manieren, veiligste is data ook uit de kluis backup verwijderen.

Verwijderd @Osxy • 14 juni 2019 21:39

Kan op paar manieren, veiligste is data ook uit de kluis backup verwijderen.

Denk erom dat de belastingdienst op dit moment geen boodschap heeft aan de AVG en met regelmaat dingen van ons wil weten die de klant heeft laten verwijderen.

Dus U heeft op dit en die datum dat en dat verkocht aan die en die. Wilt U ons vertellen wie die en die is?
Nee dat kan ik niet omdat die en die de data heeft laten verwijderen
Aha als U geen compleet bewijs heeft van de verkoop beschouwen we dat als een witwas poging.
Ja maar dat is het dus niet, AVG etc.
Dan moet U maar bij de AVG instantie klagen, hier is de boete.

Geen grap, in onze Franse vestiging al drie keer gebeurd, in Duitsland al twee keer en het speelt nu ook in Nederland. Onze reactie is dat we ons niet meer aan de AVG houden, ik kan het me gewoon niet veroorloven. De boetes van de AVG zijn lager dan die van de belastingdiensten. In veel landen is de AVG gewoon een ongelofelijke puinhoop. Soms lig je gewoon in een deuk wanneer een klant al zijn data heeft laten wissen en daarna eist dat we service geven terwijl we zijn data niet meer kennen. Met regelmaat krijgt zo'n klant het voor elkaar om service af te dwingen. Ik heb gewoon alle prijzen met 5% verhoogd. Leve de AVG. Als mensen vragen waarom, leggen we het vriendelijk uit. Als een support officer zeker weet dat ie een piraat moet supporten betaal ik zijn lunch.

Om duidelijk te zijn, elke keer als een klant vraagt of we al zijn data willen wissen gaat er een email naar de belastingdienst dat er een klant wiens info we niet kunnen delen uit het system is en dat we dus wellicht de belasting aangifte niet volledig kunnen onderbouwen. Werkelijk elke keer krijgen we een email terug dat dat niet acceptabel is en dat elke verkoop naar een klant herleid moet kunnen worden gedurende 5 jaar.

De klanten betalen voor deze waanzin. De 5% verhoging dekt de kosten en we hebben er 1.6 werknemer bij om het af te handelen. Iedereen blij. Behalve de mensen met meer dan drie hersencellen.

xleeuwx @Verwijderd • 14 juni 2019 23:59

Buiten de reacties dat je het kan of mag bewaren kan je de data ook anonimiseren waardoor de klant zijn data niet meer herleidbaar is. Dit zou je eventueel met de belastingdienst kunnen overleggen of dit voldoende is.

RefriedNoodle @xleeuwx • 15 juni 2019 09:26

Lijkt me niet waarschijnlijk. Dat zou de deur voor illegale zaken doen wagenwijd open zetten, en witwaspraktijken extreem makkelijk maken, als je niet bij hoeft te houden van wie het geld afkomstig is.

De wet zegt dat het recht op vergetelheid niet opgaat waar het je wettelijke plichten raakt. Je boekhouding moet volledig zijn, dus mét namen.

Osxy @Verwijderd • 14 juni 2019 21:42

Dat klopt, als er een legitieme reden is om de data te bewaren mag je dit. Bewijslast voor belastingdienst is er daar 1 van, maar ook andere wettelijke bewaartermijnen.

[Reactie gewijzigd door Osxy op 23 juli 2024 08:29]

Groningerkoek @Verwijderd • 14 juni 2019 22:37

Ik snap je probleem niet, gegevens die jij nog voor de bedrijfsvoering nodig bent zoals bijvoorbeeld de bewaarplicht van de belasting dan kan de klant hoog en laag springen en heeft die pech en houd jij zin gegevens gewoon. Als de gegevens niet voor de bedrijfsvoering nodig zijn en ook niet onder de bewaarplicht vallen heeft de belastingdienst gewoon pech gehad. Het probleem hier leest eerder als dat jullie niet goed met de AVG om weten te gaan.

fortfort @Verwijderd • 16 juni 2019 07:27

Zo werkt de AVG ook niet. Als er andere zwaar wegende factoren zijn om gegevens te bewaren (in dit geval controle belastingdienst) dan moet je de voor belastingdienst specifieke gegevens dus ook pas na 5 jaar wissen. En niet meteen omdat iemand dat vraagt. Maar heb je ook de bv de kliks en website gebruik vastgelegd van de persoon. Dan dienen die wel verwijderd te worden.

Watisdat @Verwijderd • 16 juni 2019 09:26

Jou klanten hebben in het geval dat ze bij jou een aankoop hebben gedaan helemaal geen wettelijke basis om die gegevens te laten verwijderen. De belastingdienst houdt zich hier precies aan de wet jij bent diegene die de wet aan het overreden is.

Sjefke81 @Verwijderd • 17 juni 2019 18:54

Ik ben bang dat de AVG verkeerd is geinterpreteerd; Alleen gegevens die niet bewaard moeten worden moeten na een verzoek direct verwijderd worden. Andere zaken moet je bewaren en mogen/moeten daarna pas verwijderd worden.

bron: https://www.autoriteitper...ten/recht-op-vergetelheid

Trouwens:
Leuke voor als data uit backup mag niet worden restored; Veeam Staged Restore.
Werkt als een zonnetje; script met GDPR regel laten lopen en *bam* geen data herstellen die je niet meer mag/wil hebben. Werkt natuurlijk ook goed voor security/compliancy/etc, niet alleen GDPR

_Thanatos_ @Antrax • 14 juni 2019 20:19

Je onderschat de legacyness van legacysystemen bij een lomp orgaan als een belastingdienst.

Ablaze @_Thanatos_ • 14 juni 2019 20:34

Dat geloof ik, zo'n IBM 2401 heeft minuten per spoel nodig...

Auteur

TijsZonderH Nieuwscoördinator @Antrax • 14 juni 2019 20:54

Eerder hadden ze er wat meer gedetailleerdere info over gegeven: nieuws: Belastingdienst voldoet na jaar nog steeds niet aan AVG - update

supersnathan94 @TijsZonderH • 15 juni 2019 14:03

Opzich snap ik het ook wel hoor. Bij het kadaster is het ook een issue met bijvoorbeeld de BRK. Wettelijk moeten ze dat bijhouden inclusief namen en het moet tegen kostprijs beschikbaar zijn. Het probleem is bij de belastingdienst nog veel erger aangezien zij heeeeeeel veel meer persoonlijk data hebben en de systemen ook zo legacy zijn dat ze voor 2000 al legacy waren. Men is daar nu al een tijdje bezig om bijvoorbeeld over te stappen op cloud native applicaties door in ieder geval zo veel mogelijk met docker te gaan doen. Helaas hebben ze maar beperkt expertise in huis om teams zelf containers te laten bouwen en het beheer hier ook op te doen dat ze over moeten naar platforms als pivotal cloudfoundry zodat beheer door een klein subteam gedaan kan worden. Devops wordt nu pas een beetje ingeregeld en zelfs dan nog steeds niet zoals je het zou moeten willen.

Kaastosti @Antrax • 14 juni 2019 20:21

Dan heeft men de productie omgeving kennelijk niet op orde, want als ontwikkelaar hoor je daar wellicht op analyse en debugging na echt niets te kunnen. Tenzij je fysiek bij de server kan, dan kan ik ook dingen stuk maken

thomasv @Antrax • 14 juni 2019 20:33

IngressDB, look it up. Zoals hieronder ook al aangegeven, legacy systemen zat bij onze openbare organen zoals de belastingdienst. Experts moeten wel eens ingehuurd worden om specifieke handelingen uit te voeren op deze legacy systemen. Daarnaast is een systeem kapot maken vaak eenvoudiger dan het zorgvuldig verwijderen van geselecteerde data.

CivLord

Belastingdienst

@Antrax • 15 juni 2019 12:06

> Met name het opschonen van systemen met oude gegevens duurt langer dan verwacht.

Als ontwikkelaar snap ik dit niet. Productie omgevingen kan ik in enkele seconden kapot gemaakt hebben.

Het wissen van alle gegevens is niet het probleem.
Het probleem is dat niet alle gegevens verwijderd moeten worden. Sommige gegevens hebben hun waarde verloren onmiddellijk nadat een verzoek is behandeld en kunnen in principe onmiddellijk verwijderd worden. Andere gegevens moeten tot 5 of 7 jaar bewaard worden, of tot 5 of 7 jaar na afhandeling van het laatste bezwaar of beroep. Sommige andere gegevens, zoals bv. over hypotheken moeten tot 30 jaar + 5 jaar worden bewaard nadat de laatste aangifte waarin gegevens over die hypotheek zijn gebruikt onherroepelijk is geworden.
Veel zaken moeten handmatig beoordeeld worden, omdat al die systemen niet zijn opgezet met de AVG in het achterhoofd.

Webgnome @Antrax • 15 juni 2019 08:46

Kapot is iets anders dan zorgvuldig alle informatie verwijderen uit een systeem..

karma4 @Antrax • 17 juni 2019 17:29

Als je dat doet ligt dan lig je er uit en wordt de boel teruggezet.
De productie ofwel inning belasting moet wel doorgaan. Doe je dat niet dan moet heel nl thuis gaan zitten. 1 naar huis dan we 17 miljoen thuis is een eenvoudige keuze.

Goed. Tipje van de sluier het gaat om vrije velden aantekeningen die in vrije velden gemaakt zijn. Als dar 95% onmisbaar van is en je wilt er 5% van uit halen dan heb je een gigantisch probleem. Gebruik je meerdere systemen die informatie doorspelen dan moeten al die systemen doorlopen worden. Dat is nog uit te werken als alle ict systemen bij de ict uitgewerkt en in beheer zijn.

Daar komt de volgende, shadow-ict. Dat betekent dat gebruikers het zelf gebouwd hebben. Falen door ontwikkelaars is de reden. Uit wat bronnen zag ik dat hr t bij de Bd voor boven de 50% om shadow ict gaat. Ga je gang om dat naar beneden te krijgen.

Borgmeister 14 juni 2019 20:18

Ik ben benieuwd hoeveel van die verzoeken hebben plaatsgevonden omdat de persoon in kwestie echt iets van de informatie wou weten.

Ik krijg bij dit soort berichten altijd het idee dat mensen het doen om het pesten zodat ze moord en brand kunnen schreeuwen als het niet gaat zoals het hoort. En/of misschien een schadevergoeding proberen te scoren om er zelf winst uit te slaan of iets dergelijks.

stok @Borgmeister • 14 juni 2019 23:21

Huh? Dus mensen vragen het op (om te zien hoe en wat). Gaat vervolgens niet volgens de normen die de overheid wel van haar onderdanen eist. En dan zou je niet daar een punt van mogen maken? Wat is er mis met controle op de overheid? Of neem jij altijd blind alles aan?

Pietervs @stok • 15 juni 2019 00:51

Voor sommige mensen is het WOBben een extra bron van inkomsten, tenminste een poging tot: als de overheid niet binnen gestelde termijnen reageert kan er aanspraak gemaakt worden op vergoedingen...

Jantimon @stok • 15 juni 2019 01:03

Controle op overheid is prima natuurlijk. Het recht om je eigen gegevens in te zien is ook top. Het is mogelijk om een schadevergoeding tekrijgen als men niet correct met je gegevens om gaat. Zie dit artikel op tweakers. Er zijn mensen die op zoek gaan naar deze schadevergoeding. Nu vervullen ze natuurlijk wel een zeker maatschappelijk nut, maar volgens mij worden ze over het algemeen beschouwd als enigzins louche types.

ManiacsHouse @Borgmeister • 15 juni 2019 00:09

Simpele feit dat je het recht hebt om te weten wat ze van je weten en registreren rechtvaardigt zo'n verzoek al vind ik. En zoals stok aangeeft, controle van.

_Thanatos_ 14 juni 2019 20:21

Beetje gek dat juist de Belastingdienst hiermee in het nieuws komt. Het is toch juist het werk van de Belastingdienst om zoveel mogelijk van je te weten? Anders kunnen ze hun werk niet doen.

En ja, inzageverzoek is niet meer dan dat, maar toch, je mag toch verwachten dat wat ze vooraf op je aangifte invullen, dat dat hetgeen is dat ze van je weten...

L-VIS @_Thanatos_ • 14 juni 2019 21:04

Als dat het enige is, of afgeleide is dat prima. Maar als ze veel meer info over je hebben, dan kan dat best interessant zijn om te weten. Denk aan een profiel die ze gemaakt hebben van je, zodat je in een specifieke target groep valt. Of gegevens waarom je aangifte is goedgekeurd/afgekeurd.

_Thanatos_ @L-VIS • 14 juni 2019 23:31

Ik zou het vooral interessant vinden wat ik precies betaal als ik de belastingaanslag weer binnen krijg. Het is altijd gewoon "nou meneer, betaal maar weer 400 euro" zonder te vertellen waar dat precies voor is. Ik kan me niet voorstellen dat ze die gegevens niet hebben.

bazs2000 @_Thanatos_ • 15 juni 2019 01:22

De belastingdienst zegt nooit "Betaal maar $bedrag" zonder de berekening mee te geven. Bij het te betalen of ontvangen bedrag hoort een onderbouwing die je kunt narekenen. Kun je het zelf niet narekenen dan kun je dit laten doen.

Of ik nu moest betalen of ontvangen, ik heb nog nooit een brief van de belastingdienst gehad zonder de achterliggende berekening.

Philpend @bazs2000 • 15 juni 2019 11:56

Jij wellicht niet, maar ik wel. Ruim een jaar geleden werden mijn toeslagen gestopt omdat de belastingdienst vermoedde dat ik en mijn vrouw teveel vermogen hadden. Zonder nadere toelichting, zonder aan te geven wat we dan aan vermogen zouden hebben en waar zich dat zou bevinden. In de bezwaarprocedure die we glansrijk wonnen hierom gevraagd maar geen antwoord op gekregen.
Enkel het vermoeden van de belastingdienst zonder enige onderbouwing leidde tot hun besluit om onze toeslagen te stoppen. Ik vraag mij nog steeds af wat hier aan de hand was, maar het is mij wel heel helder dat de belastingdienst hierbij Niet uitging van feiten en bedragen.

bazs2000 @Philpend • 15 juni 2019 12:23

Dat heb ik ook meegemaakt maar is niet de strekking waar ik op reageerde.

Een paar jaar geleden werden mijn toeslagen ook stopgezet zonder goede reden. Het heeft 9 maanden geduurd voordat dit was opgelost. Voor mij was dit een probleem omdat ik dat jaar ook werkeloos raakte en de uitkering alleen niet genoeg was om van rond te komen. De belastingdienst heeft veel begrip getoond maar van begrip kan ik de rekeningen niet betalen.

Uiteindelijk kwam het goed en kreeg ik welgemeende excuses al waren het 9 lange en moeilijke maanden.

Ik reageerde dan ook op de 'normale' situatie aangaande de inkomstenbelasting en de toeslagen in het algemeen. Daar zit altijd een onderbouwing bij die nagerekend kan worden. Wat mij is overkomen staat er ook los van, dit is namelijk geen normale situatie wat het voor jou ook niet was.

Tegenwoordig heb ik geen recht meer op toeslagen wat ik heel fijn vind.

supersnathan94 @bazs2000 • 15 juni 2019 14:10

Ik vind het vooral raar dat ik uberhaupt nog zou moeten betalen. Mijn werkgever heeft een behoorlijk dichte administratie en ik betaal zelfs iedere maand zodat er een paar biertjes op kantoor kunnen staan (€120 per jaar!!) toch krijg ik nog steeds een brief met berekening waar ik dan extra moet betalen en ik heb geen idee waarom.

Ja ze geven de berekening, maar als alles netjes wordt afgedragen door mijn werkgever, hoe kan het dan dat ik toch meer moet betalen? Ze geven in de brief nooit aan wat er dan gebeurt is: “ oh meneer uw boekhouder heeft uw salaris verhoging niet goed verwerkt en dus is de inkomstenbelasting niet goed verrekend. Derhalve heeft us vanaf 1 juni t/m 31 december te weinig afdracht gehad. “

Dat zou een prima reden geweest zijn bijvoorbeeld ware het niet dat ik de vooringevulde aangifte 1-op-1 over kan nemen. Kennelijk heeft de administraie zijn werk dus goed en zorgvuldig gedaan. Ze weten immers hoe en wat. Dus hoe kan het dan dat je alsnog een naheffing krijgt? Uiteindelijk komt het bedrag uit op ‘NIHIL’ maar toch. Ik bedoel, waar komt die fout vandaan?

Eix @supersnathan94 • 16 juni 2019 12:12

Als je werkgever te weinig heeft afgedragen dan wordt dat rechtgetrokken in de aangifte. Hoe kom je erbij dat omdat de belastingdienst de data van je werkgever overneemt deze zijn werk "goed en zorgvuldig" gedaan heeft? Als het immers niet klopt dan wordt het gewoon rechtgetrokken in de jaarlijkse aangifte. Op het einde van het jaar weet de BD pas "hoe en wat", en volgt de individuele berekening (de aangifte).

Ik snap trouwens niet wat die biertjes te maken hebben met je salarisadministratie / vooraf ingevulde aangifte. Maar afijn. Mijn werkgever betaald mij iedere maand salaris waarna ik een aantal biertjes thuis koud leg.

[Reactie gewijzigd door Eix op 23 juli 2024 08:29]

supersnathan94 @Eix • 16 juni 2019 14:38

Die biertjes worden bijgeteld als loon in natura. De belastingdienst vind het verkapte verloning en dus moet daar inkomstenbelasting over betaald worden (valt dus onder salaris administratie).

Als mijn werkgever de salaris administratie niet goed op orde heeft dan weet de belastingdienst dat iedere maand. Immers zijn er gewoon automatische koppelingen vanuit het boekhoud programma. De belastingdienst is als het goed is eerder op de hoogte van exacte bedragen dan ik zelf. De loonheffing wordt maandelijks (1x per 4 weken) aangegeven. Men had dit dus al lang kunnen regelen. Op basis van de standaard aangifte verwacht ik geen extra betaling te hoeven doen. Als men dit zo zou doen hadden we nu ook niet die vage “NIHIL” regeling gehad waarbij bedragen onder de €42 niet betaald hoeven worden of worden uitgekeerd. Mocht je namelijk teveel hebben betaald en je hebt het niet heel breed dan is het raar dat de belastingdienst dan maar gaat zeggen dat je het niet krijgt.

Nee als de belastingdienst pas aan het eind van het jaar zou weten wat er aan de hand is, waarom hebben ze dan zo gruwelijk veel data nodig? Ze weten echt alles van je. Alle data van je bank, inschrijvingen bij de gemeente, salaris vanuit je werkgever. Dat had prima iedere maand alvast verrekend kunnen worden.

_Thanatos_ @bazs2000 • 16 juni 2019 14:21

Kom nou toch, op de aanslag die je krijg, waarop staat hoeveel je terugkrijgt of moet betalen, staat geen enkele vorm van berekening. Ik heb het over Nederland heh.

Kaastosti 14 juni 2019 20:18

Je kunt niet gelukkig zijn met de blauwe enveloppen die geld kosten, maar dit valt me eigenlijk aan alle kanten mee.

"De Belastingdienst kreeg vorig jaar 76 keer een inzageverzoek van burgers binnen. De fiscus handelde al die verzoeken volgens de AVG af."

Top toch, ik zeg goed bezig! In heel veel gevallen krijg je bij andere partijen nul op het rekest, duurt het te lang, of gebeurt er niets. Volgens de wet zou alles al geregeld moeten zijn, maar dat er nog pijnpunten zijn vind ik eerlijk gezegd logisch... er zijn altijd lastigheden bij dit soort wetswijzigingen. Als je 90% af kunt dekken heb je het denk ik nu al goed voor elkaar.

[Reactie gewijzigd door Kaastosti op 23 juli 2024 08:29]

stuiterveer @Kaastosti • 14 juni 2019 21:46

Top toch, ik zeg goed bezig! In heel veel gevallen krijg je bij andere partijen nul op het rekest, duurt het te lang, of gebeurt er niets.

Als ik naar de reactie van @Darses kijk is dit helaas niet waar. De reactie die je krijgt is "nee, je krijgt geen info van ons", en daarna vinken ze mooi af dat ze een dataverzoek hebben afgehandeld en geven ze zichzelf een mooi schouderklopje in een brief naar de Tweede Kamer.

bazs2000 @stuiterveer • 15 juni 2019 01:18

Dat mag je dan onderbouwen want dat is nogal een stelling. Ieder verzoek dient namelijk geregistreerd te worden en er zal moeten worden vastgelegd hoe het verzoek is verwerkt, of eraan is voldaan en wat de uitkomst is.

Niets doen en toch het vinkje zetten is 'zelfmoord' aangezien je het betreffende verzoek niet sluitend hebt kunnen maken en dus ook niet de uitkomst hebt kunnen vastleggen. Succes bij de rechtbank!

karma4 15 juni 2019 14:45

Dat de belastingdienst niet het bsn zou mogen gebruiken omdat het niet wettelijk zou zijn is onzin.
Elke overheidsinstelling is verplicht het bsn te gebruiken om fouten in administratie te minimaliseren. Het is het AP dat tegen de wet van het bsn in gast (mvt 2007) door het als een bewijs van identiteit te zien.

lhuizing @karma4 • 17 juni 2019 14:01

Het BSN is een persoonsgegeven, omdat het 1 op 1 herleidbaar is tot een individu - of het een 'bewijs van identiteit' is of niet. Het BSN mag volgens de wet alleen verwerkt worden als daar in de wet een verplichting toe is opgenomen. Door het BSN onderdeel te maken van het BTW-nummer van ZZP'ers heeft de fiscus het voor bedrijven onvermijdelijk gemaakt om het te verwerken als ze ZZP'ers inhuren. Het BTW-nummer moet immers op facturen worden vermeld. Maar er staat nergens in de wet dat je het BSN moet verwerken als je facturen ontvangt en betaalt. Dus zijn bedrijven verplicht om de wet te breken.

Het kan best anders: het BTW-nummer hoeft het BSN niet te bevatten. Dus stelt de AP terecht dat de belastingdienst het BSN onrechtmatig verwerkt en laat verwerken. En dat de Belastingdienst daarmee moet stoppen lijkt me evident.

karma4 @lhuizing • 17 juni 2019 16:40

Je zou net zo goed kunnen stellen dat omdat het een overheidsverplichting is het daarmee ook wettelijk geregeld is.

De betreffende administratie is Hoe dan ook altijd een terugkoppeling naar een overheid. Fraude met btw maak je wel heel makkelijk als je de controle wie vaan heeft en wie nog geld terug krijgt onmogelijk maakt.

Het bedrijf en zzp-er moeten beide de btw verantwoorden waarbij de zzp-er in persoon ofwel via zijn bsn aansprakelijk is. Er is een wettelijke verplichting om te controleren dat de persoon en het bsn bij elkaar horen. Het ap negeert die wet en propageert het als bewijs van juiste persoon.

Zorg gebruikt het bsn, je studie zit vaataandoeningen het bsn, werkgever moet het bsn verwerken en nog wat gevallen.

Intussen ontstaan door de foute insteek van het bsn als bewijs van pesoon verkeerde foute administraties met grove privacy schendingen als gevolg.

De inhuren partij is altijd verplicht om het bsn te verifiëren en ye verwerken juist met een zzp-er voor inhuur.

[Reactie gewijzigd door karma4 op 23 juli 2024 08:29]

lhuizing @karma4 • 18 juni 2019 09:54

Je kunt er een mooie redenatie over opzetten, maar het klopt niet. Als je geen overheid bent, en je gebruikt toch het BSN, moet je voldoen aan de volgende omschrijving:

ieder ander dan een overheidsorgaan of degene aan wie het burgerservicenummer is toegekend, voor zover deze werkzaamheden verricht waarbij het gebruik door hem of haar van het burgerservicenummer bij of krachtens de wet is voorgeschreven; (Wet Algemene Bepalingen BSN, Art 1, sub d.2)

Het gebruik van het BSN door niet-overheden moet dus gebeuren (en alleen gebeuren) als dat door de wet wordt voorgeschreven. Wijst u me aub aan waar staat dat bedrijven het BSN nummer moeten gebruiken bij het verantwoorden van de BTW. Die wet bestaat niet. Dus mag het niet.

Jij stelt dat de inhurende partij altijd verplicht is het BSN te verifiëren. Dat is bij mijn weten niet waar. Dat geldt voor medewerkers, niet standaard voor zelfstandigen - maar dan nog: het BSN mag dan alleen verwerkt worden bij het aannemen van de nieuwe ZZP'er - niet bij het uitbetalen van facturen. Dat gebruik staat zeker niet in de wet. En is dus een onrechtmatige verwerking, in de zin van AVG art 5.1. De verwerking dient rechtmatig te zijn of niet plaats te vinden. Rechtmatig betekent onder meer gebaseerd op een geldige grondslag (Art 6 AVG). BSN kan alleen rechtmatig worden verwerkt op basis van Art 6 sub c (verplichting in de wet), echter die verplichting ontbreekt. De verwerking is onrechtmatig en mag niet plaatsvinden.

Tegelijk is verwerking van het BTW-nummer wel verplicht bij het betalen van facturen aan ZZP'ers. Bedrijven worden dus in een onmogelijke positie gebracht. Die positie kan alleen worden opgelost door de Belastingdienst, die nooit het BSN op had mogen nemen in het BTW-nummer.

(edit: zinnetje weggehaald dat voor verwarring kan zorgen)

[Reactie gewijzigd door lhuizing op 23 juli 2024 08:29]

karma4 @lhuizing • 18 juni 2019 15:10

Je hebt artikel 12 van het gebruik bsn overgeslagen.
https://wetten.overheid.nl/BWBR0022428/2018-07-28
Letterlijk dat er een gedegen controle moet zijn.

De mvt bij de invoering is er nog helderder over.
https://www.rvig.nl/docum...l-wet-burgerservicenummer

De controle op Id is wettelijk verplicht ook bij inhuur en derden.
https://www.mkbservicedes...iteit-bij-buitenlands.htm

Hetgeen je ontkent blijkt gewoon een wettelijke verplichting te zijn. Ik kan het niet anders maken. Helaas verzet het ap zich tegen de wet kennelijk omdat er wat mensen rondlopen die privacy s hulp voor fraude zien. Dat is jammer.
Je tandarts als zorgverlener is ook verplicht het nodige onder vermelding van bsn door te geven. Dat is een bestuurlijk iets net zoals het opgeven van de betaalde btw en de teruggevraagd btw.

Hoe zou je die controle sluitend willen krijgen als je beide niet aan elkaar mag relateren?
Je opteert voor de eenvoudig te plegen fraude met een rare privacy reden. Leg eens uit....

Bedenk de fiscale eenheid bij een zzp er is de persoon ofwel zijn bsn. Beroepsfraudeurs gaan graag met lege hulzen en kerstbomen aan bv's aan de slag.

[Reactie gewijzigd door karma4 op 23 juli 2024 08:29]

lhuizing @karma4 • 20 juni 2019 10:30

OK, nu kan ik je niet meer volgen. Begrijp je wel wat Art 12 zegt? Heeft geen enkele relatie met waar we het hier over hebben. Er kan pas gedegen controle zijn als er sprake is van een rechtmatige verwerking van BSN - en de rechtmatigheid ontbreekt bij gebruik op een factuur. Ik weet niet op welke quote uit de MvT je duidt, dus daar kan ik verder niet op reageren, behalve dan dat de MvT glashelder maakt dat gebruik van de BSN alleen kan binnen door de wet gecreëerde kaders - en de wet creëert geen kader voor gebruik van het BSN bij facturering.

De controle op het ID - je verwijst naar een site die een https error geeft, dus die open ik niet. Maar de link verwijst naar inhuur van buitenlandse krachten, niet van Nederlandse eenmanszaken.

Ja, in de zorg wordt BSN verwerkt. Dus? Daar is een wet voor. Zoals het hoort. Die ontbreekt dus bij facturering.

Je argument voor fraude slaat kant noch wal. De facturen bevatten het BTW-nummer. Dat zou geen BSN moeten bevatten, maar kunnen toch gerelateerd worden aan de opdrachtnemer. Ik zie niet in waarom fraude moeilijker opspoorbaar wordt door een net iets ander BTW-nummer. En ik hoef niet uit te leggen hoe ik 'de controle sluitend zou moeten krijgen' - die controle die jij hier vooronderstelt bestaat niet eens. Het gebruik van het BSN in het BTW-nummer is loos. Het wordt niet gekoppeld - want ook daar ontbreekt een wettelijke basis. Waarom zou ik dan een alternatieve oplossing moeten verzinnen voor een imaginair probleem dat jij uit de hoge hoed trekt?

Een BV kun je zo oprichten. Krijg je een gratis BTW-nummer van de fiscus - en die bevat niet je BSN, want een BV is geen extensie van een natuurlijke persoon.

Ik ga niet meer reageren op een eventuele reactie van jouw kant.

karma4 @lhuizing • 23 juni 2019 12:46

Je komt met aannames en verwijten die kant nog wal raken en aangeven dat je je niet in de achterliggende zaken wil dan wel kunt verdiepen. Dat is jammer.

Het betekent dat de werkelijke argumenten en inhoud geen waarde voor je hebben.

Tja dan wordt het niet willen reageren duidelijk. Ik zie het iets is van de huidige tijd met het eigen gelijk. O nee maak ik een fout, het is vaker voorgekomen in de geschiedenis. Menselijke natuur.

En voor de zorg. Die wet is vrij globaal en noemt echt niet elke handeling instelling of wat dan ook.

[Reactie gewijzigd door karma4 op 23 juli 2024 08:29]

Wannial @Pepsichoco • 14 juni 2019 21:48

Zit je nou te trollen of heb je een paar jaar onder een steen gewoond? De AlgemeneVerordeningGegevensbescherming, ofwel de GDPR (general data protection regulation), zijn ze al jaren mee bezig om in Europa een gelijke wet te creëren om oa persoonsgegevens te beschermen

Pepsichoco @Wannial • 14 juni 2019 21:59

Ik zit helemaal niet te trollen, maar ik weet niet wat dat AVG is. GDPR heb ik al wel van gehoord. Misschien hebben ze AVG hier in Belgie niet. Ik volg dat ook helemaal niet. Zo een rare vraag vind ik dat niet.

rain2reign @Pepsichoco • 14 juni 2019 22:29

AVG is de Nederlandse benaming voor het GDPR binnen de Nederlandse staat. Algemene Verordening Gegevensbescherming

Killjoy @Pepsichoco • 14 juni 2019 22:53

https://www.gegevensbeschermingsautoriteit.be

Arator @Pepsichoco • 15 juni 2019 00:49

Echt? Ik woon ook in België en ik ken vooral "AVG" ipv "GDPR". Het wordt ook zo gebruikt door onze overheid.

Daarom bestaat er een wet die bepaalt hoe personen en diensten met uw gegevens moeten omgaan: de privacywet. Sinds mei 2018 is ook de Algemene Verordening Gegevensbescherming (AVG) van kracht, die voor nog meer transparantie en controle over uw gegevens zorgt.

quote van https://www.belgium.be/nl...cherming_persoonsgegevens

Ken je dan ook de DSGVO niet en de RGPD of de GVKY?

Ben zelf een beetje teleurgesteld erin dat alle staten niet een vaste naam hebben kunnen bedenken voor de afkorting, desnoods gewoon wat random letters, zodat geen enkel land zich tegen de kop voelt gestoten.

Dnomyar96 @Pepsichoco • 15 juni 2019 21:54

... en zie ook niet in waarom.

Dan hoop ik dat jij niks te maken hebt met gegevens van klanten of medewerkers van jou bedrijf (of andere mensen). Want als je dan niet weet wat het inhoudt, dan kan je bedrijf nog wel eens een groot probleem krijgen, helemaal als je er met die instelling in staat...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: