Recordboete voor Belastingdienst wegens schending AVG – volgt een massaclaim?
Op 7 december maakte de Autoriteit Persoonsgegevens (AP) bekend dat zij een boete aan de Belastingdienst oplegt van 2,75 miljoen euro. Van de 16 (openbaar gemaakte) boetes die de AP heeft opgelegd sinds zij daartoe per 25 mei 2018 de bevoegdheid heeft, is deze boete veruit de hoogste. Maar een onverwachtse boete is het niet. In april 2017 ontving de AP een signaal over het mogelijk verwerken van de dubbele nationaliteit van aanvragers van kinderopvangtoeslag door de Belastingdienst. Daarop startte de AP een onderzoek, waarvan op 16 juli 2020 een rapport verscheen. In dit onderzoeksrapport stelde de AP toen al vast dat drie typen verwerkingen van de Belastingdienst onrechtmatig waren, en dat de Minister als verwerkingsverantwoordelijke de Algemene verordening gegevensbescherming (AVG) overtrad.
Onderzoeksrapport van de AP
Welke verwerkingen van de Belastingdienst waren onrechtmatig? De eerste onrechtmatige verwerking was de verwerking van de dubbele nationaliteit van Nederlandse aanvragers. De AP oordeelt in het onderzoek dat dit onrechtmatig was omdat de verwerking van deze gegevens niet nodig was voor de uitvoering van de taak van de Belastingdienst. De tweede onrechtmatige verwerking was het gebruik van de nationaliteit van aanvragers in het zogenoemde ‘risico-classificatiemodel’. Dit is, kort gezegd, een systeem dat risicovolle aanvragen selecteert, waarna die aanvragen door personeel van de Belastingdienst worden gecontroleerd. De AP oordeelde dat ook het gebruik van de gegevens over de dubbele nationaliteit in dit systeem niet noodzakelijk was, omdat minder vergaande vorm van verwerking mogelijk was. De derde onrechtmatige verwerking was het gebruik van de nationaliteit van aanvragers van kinderopvangtoeslag in het kader van de opsporing van georganiseerde fraude. Ook deze verwerking achtte de AP niet noodzakelijk in het licht van het doel van de verwerking. De AP oordeelde tevens dat de tweede en derde verwerkingen discriminerend en daarmee onbehoorlijk waren.
De genoemde verwerkingen zijn daarmee in strijd met artikel 5 lid 1 a AVG, waarin is bepaald dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Ook zijn de verwerkingen in strijd met artikel 6 lid 1 AVG, omdat de verwerkingen niet voldoen aan de voorwaarde dat de verwering noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Voor zover de verwerkingen voor de invoering van de AVG op 25 mei 2018 hebben plaatsgevonden, is de Wet bescherming persoonsgegevens (Wbp) van toepassing, waardoor die verwerkingen inbreuk op de artikelen 6 en 8 aanhef en onder e Wbp opleveren.
Boetebesluit
In het handhavingsbesluit legt de AP voor alle drie de verwerking de hoogste basisboete op die binnen de bandbreedte van de Boetebeleidsregels mogelijk is, namelijk een boete van € 750.000. Op grond van de Boetebeleidsregels kan de boete worden verhoogd ‘indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat’. In dit geval oordeelt de AP dat dat dat het geval is, mede door de ‘onbehoorlijkheid’ van de verwerkingen vanwege het discriminerende karakter daarvan. Zij verhoogt de boete voor de tweede en derde verwerkingen tot een bedrag van €1.000.000, waarbij rekening is gehouden met het feit dat het hier gaat om ‘opzettelijk dan wel nalatig handelen door een overheidsorgaan’ en de ‘bijzondere verantwoordelijkheid’ van de Belastingdienst om zorgvuldig om te gaan met de persoonsgegevens die zij verwerkt. Ook oordeelt de AP dat de Belastingdienst de verwerkingen ‘van het persoonsgegeven nationaliteit tot het minimale [had] moeten beperken en met dusdanige waarborgen [had] dienen te omkleden dat het risico op discriminerende verwerkingen zoveel als mogelijk was uitgesloten’. De AP oordeelt tenslotte dat de Belastingdienst onvoldoende heeft samengewerkt met de AP om de inbreuk te verhelpen en de gevolgen daarvan te beperken.
Een duidelijk signaal: wanneer de persoon van wie gegevens worden verwerkt afhankelijk is van de overheidsinstantie die de gegevens verwerkt, komt aan de bescherming van persoonsgegevens extra zorgvuldigheid toe en is een hogere boete dus op zijn plaats.
AP-voorzitter Aleid Wolfsen zegt over de boete het volgende:
“Veel zaken lopen uitsluitend via de overheid. Daarin heb je als burger geen keuzevrijheid. Je bent daardoor gedwongen gegevensverwerkingen van de overheid te ondergaan. Juist daarom moet je er blind op kunnen vertrouwen dat dit netjes gebeurt. Dat de overheid niet onnodig informatie over jou opslaat en verwerkt. En dat discriminatie geen rol speelt in jouw contact met de overheid. Dat is bij Toeslagen vreselijk misgegaan, met alle gevolgen van dien. Natuurlijk kan deze boete dat niet ongedaan maken. Maar het is wel een belangrijke stap in een breder herstelproces.”
Smartengeld?
Dit deed mij denken aan een andere opmerking van Aleid Wolfsen in zijn privacyblog van 22 februari 2021: “Smartengeld moet de regel zijn, geen uitzondering”.
Kunnen de slachtoffers van de Toeslagenaffaire ook aanspraak maken op een civielrechtelijke schadevergoeding voor immateriële schade (smartengeld) uit de onrechtmatige verwerking van hun persoonsgegevens? Zoals Wolfsen in de genoemde blog opmerkt is voor het toekennen van smartengeld voor onrechtmatige verwerkingen van persoonsgegevens in de jurisprudentie zeker ruimte. Wolfsen verwijst naar een uitspraak van de Raad van State van 1 april 2020 (ECLI:NL:RVS:2020:898) waarin de minister voor Rechtsbescherming werd veroordeeld tot het betalen van €500 smartengeld voor het onrechtmatig verwerken/verstrekken van medische gegevens, en een uitspraak van de kantonrechter waarin eveneens een schadevergoeding van €500,- werd toegewezen omdat de gemeente het BSN, mailadres en telefoonnummer van een inwoner onrechtmatig op haar website had geplaats, en concludeert:
“Wat deze uitspraken zo mooi en helder maken, is dat ze bevestigen dat het schenden van de kern van dit vrijheidsrecht op zichzelf al zo ernstig is, dat er bij een schending als gevolg van onnadenkend of onzorgvuldig gedrag sowieso recht is op smartengeld. De schending zelf en wie daar aansprakelijk voor is, moeten dan uiteraard nog wel worden bewezen.”
De AP heeft de Minister van Financiën als verwerkingsverantwoordelijke verantwoordelijk gehouden voor de onrechtmatige verwerkingen, en ook het onzorgvuldig handelen staat vast. In principe zou het vorderen van immateriële schadevergoeding op grond van artikel 82 AVG bij de rechter dus mogelijk zijn. Zo’n schadevergoeding kan zowel bij de civiele rechter als bij de bestuursrechter worden gevorderd.
In samenwerking met de overheid is de Belastingdienst bezig met het compenseren van de slachtoffers van de Toeslagenaffaire. Daarvoor zijn verschillende regelingen gehanteerd, waaronder de ‘compensatieregeling’, de ‘hardheidsregeling’ en de ‘O/GS (‘Opzet of Grove Schuld’) tegemoetkoming’. De compensatie die volgt uit de compensatieregeling en de hardheidsregeling ziet, naast materiele schadevergoeding, ook op de immateriële schade voor “zorgen en leed”. Slachtoffers krijgen voor de immateriële schade een vergoeding van €500,- per half jaar, te rekenen vanaf de datum waarop de belastingdienst voor het eerst onterecht vroeg om kinderopvang terug te betalen of de kinderopvangtoeslag stop zetten. De O/GS tegemoetkoming voorziet niet in immateriële schadevergoeding.
Dit betekent dat slechts een deel van het de mensen van wie de Belastingdienst gegevens onrechtmatig heeft verwerkt en/of heeft gebruikt, via de weg van de compensatieregeling en de hardheidsregeling in aanmerking komen voor immateriële schadevergoeding. Voor de andere mensen van wie de dubbele nationaliteit geregistreerd stond in systemen van de Belastingdienst biedt de AVG de mogelijkheid om hun immateriële schade vergoed te krijgen. Daarbij ligt voor de hand de vorderingen tot immateriële schadevergoeding van die mensen te bundelen tot één collectieve actie, waarna de rechter de vordering vervolgens in één keer kan afwikkelen. Het voeren van zo een collectieve schadevergoedingsactie is mogelijk sinds de inwerkingtreding van de Wet afwikkeling massaschade in collectieve actie (de WAMCA) op 1 januari 2020. Voorbeelden van collectieve acties die zijn of worden gevoerd tegen bedrijven die grootschalige privacy inbreuken hebben gemaakt, zijn de zaken tegen TikTok, Facebook, Salesforce en Oracle en de minister van Volksgezondheid, Welzijn en Sport wegens een grootschalig datalek bij de GGD. Het zou mij niet verbazen als een collectieve actie tegen de Belastingdienst aan dit lijstje wordt toegevoegd.