Foto: Wethouder Wichert Stoffer CDA/PvdA/GroenLinks | Nunspeetse Buizerd
De Gemeente Nunspeet heeft (belasting)gegevens van ondernemers, waar geheimhouding op rust, gedeeld met een extern adviesbureau, zonder de ondernemers daar vooraf over te informeren zodat zij geen bezwaar konden aantekenen tegen het gebruik van hun gegevens. De verantwoordelijk wethouder Wichert Stoffer (CDA-PvdA/GroenLinks) van financiën, geeft tegenstrijdige antwoorden of geen reactie over naleving van het gemeentelijk privacybeleid.
Aanleiding
Aanleiding om vragen te stellen voor onderzoeksjournalist Sandra Bonestroo, zijn de nieuwe beleidsregels voor privacybeleid die de gemeente onlangs heeft vastgesteld en een onderzoek naar een eventueel nieuw ondernemersfonds, specifiek een Bedrijfsinvesteringszone (BIZ). Tijdens de vorige inventarisatie voor een gemeentebreed ondernemersfonds deelde de gemeente belastinggegevens van 1370 ondernemers met adviesbureau Blaauwberg, voor een analyse van trekkingsrechten. Trekkingsrechten zijn bedragen die ondernemers kunnen opvragen uit een ondernemersfonds, gefinancierd door een opslag op de onroerendezaakbelasting (OZB). De gedeelde gegevens betrof gegevens als de WOZ-waarde, het adres en de economische functie van het bedrijf. Volgens de wet (artikel 67 van de Algemene wet rijksbelastingen) rust op deze gegevens een fiscale geheimhoudingsplicht.
Informatieverstrekking niet in overeenstemming met privacybeleid
Volgens het gemeentelijke privacybeleidskader (2020-2024) hebben de ondernemers recht op uitleg over hoe hun gegevens worden gebruikt. Het beleid benadrukt transparantie en geeft aan dat ondernemers het recht hebben om bezwaar aan te tekenen tegen het gebruik van hun gegevens. Navraag bij ondernemers door Bonestroo leert dat ondernemers niet op de hoogte waren van deze gegevensdeling door de gemeente en daardoor geen gebruik konden maken van hun recht van bezwaar.
Tegenstrijdigheden in verantwoording gegevensdeling
In de beantwoording van vragen door Bonestroo, verwijst wethouder Stoffer naar een extern onderzoek door fiscaal adviesbureau Van den Bosch & Partners uit Hardinxveld-Giessendam, maar dit onderzoek gaat niet over naleving van het gemeentelijke privacybeleid. Op de vraag waarom ondernemers vooraf niet, per brief, zijn geïnformeerd over hun gegevensdeling en geen mogelijkheid van bezwaar hadden en daarmee de gemeente blijkbaar haar eigen privacybeleid heeft geschonden, geeft Stoffer geen antwoord.
Stoffer stelt verder dat ‘de gegevens intern zijn gebleven en niet verder bekend gemaakt’. Dit strookt echter niet met de feiten. Uit het, door hemzelf aangehaalde, onderzoek van Van den Bosch en uit een collegebesluit blijkt namelijk dat gegevens zijn verstrekt aan Blaauwberg, een private partij. Als de gegevens al gedeeld hadden mogen worden, had de gemeente, volgens ditzelfde collegebesluit, over de gegevensdeling van ondernemers die persoonlijk herkenbaar en/of herleidbaar zijn, een ‘gegevensdeelovereenkomst’ met Blaauwberg moeten afsluiten. De gemeente heeft een ‘verwerkersovereenkomst‘ maar geen ‘gegevensdeelovereenkomst’ afgesloten.
Verder geeft Stoffer aan ‘dat het collegebesluit op transparante wijze tot stand is gekomen en voldoende inzicht geeft in de gemaakte afwegingen’. Uit onderzoek door Bonestroo is gebleken, dat het niet transparant en controleerbaar is of het collegebesluit daadwerkelijk tot stand is gekomen. Alle parafen, voor akkoord, van de wethouders en de burgemeester, ontbreken namelijk op het besluit. Woordvoerder Wob Meijering van de gemeente bevestigde onlangs in een persoonlijk gesprek met Bonestroo, dat alle betrokkenen bij een collegebesluit vooraf publicatie worden geïnformeerd. Betrokken ondernemers zijn niet geïnformeerd. Ook is het collegebesluit over deze gegevensdeling nooit openbaar gemaakt, -bevestigde eerder ook politiek verslaggever Dick Baas in de krant-, waardoor ondernemers geen weet hadden van de gegevensdeling en geen bezwaar konden maken.
Wettelijke grondslag ontbreekt
Het gemeentelijke privacybeleid stelt dat persoonsgegevens o.a. verwerkt mogen worden als er wettelijke verplichtingen worden nagekomen’. Op vragen over de wettelijke basis voor deze gegevensdeling antwoordt Stoffer dat ‘het gebruik van de gegevens terecht heeft plaatsgevonden ten behoeve van uitvoering van de belastingwet’. Hij geeft echter geen antwoord op de vraag, op welk specifiek wetsartikel de uitvoering betrekking heeft.
De Algemene wet inzake rijksbelastingen (Awr) regelt de algemene regels voor belastingen in Nederland. De Wet waardering onroerende zaken (WOZ) bepaalt de waarde van onroerende zaken voor belastingdoeleinden. Uit een ambtelijke memo van de gemeente, blijkt dat ‘de voorgestelde werkwijze van adviesbureau Blaauwberg om beschikking te krijgen over deze belastinggegevens fiscaal juridisch niet toegestaan’ was. Een collegebesluit verduidelijkt ‘dat het delen van de gegevens op deze wijze wettelijk niet toegestaan en strafbaar is op grond van de Awr en de WOZ’.
Om deze reden ‘paste de gemeente een constructie toe, die juridisch wel door de beugel kon’. Dit roept vragen op: als de gegevensdeling daadwerkelijk noodzakelijk was voor de uitvoering van de belastingwet, waarom was er dan een ‘constructie’ nodig? En waarom is deze belastingtaak niet uitgevoerd door de eigen heffingsambtenaar, die al over de benodigde gegevens beschikt?
De fractievoorzitter van PvdA/GroenLinks, Sander Kouwenberg, stelde hierover schriftelijke vragen, waarop het college bevestigde dat de gemeente de analyse zelf kon doen en deze gegevensdeling niet noodzakelijk was. Het privacybeleidskader van de gemeente stelt dat persoonsgegevens alleen verwerkt (gedeeld) mogen worden voor zover dit noodzakelijk is.
Publieke taak
Het gemeentelijke privacybeleid stelt verder dat persoonsgegevens ook verwerkt mogen worden ‘voor zover dit noodzakelijk is voor het realiseren van publieke taken’. Op de vraag of het uitvoeren van een analyse trekkingsrechten tot de publieke taak van de gemeente hoort, geeft Stoffer geen antwoord. Uit een collegebesluit blijkt dat de kosten van de ambtelijke inzet voor de gegevensdeling voor rekening van de gemeente kwamen, omdat het college had toegezegd de werkgroep Inventarisatie Ondernemersfonds Nunspeet te ondersteunen en te faciliteren bij hun werkzaamheden.
Geen risicoanalyse
Gezien de gevoeligheid van gedeelde gegevens en de fiscale geheimhouding, had volgens de risicogedreven aanpak, genoemd in het gemeentelijke privacybeleid, een risicoanalyse uitgevoerd moeten worden. Een risicoanalyse beoordeelt mogelijke gevaren en hun gevolgen voor een organisatie. Op vragen hierover antwoordt Stoffer dat ‘er geen sprake is geweest van een risicoanalyse maar van een belangenafweging’. Een belangenafweging zet de belangen van betrokkenen tegen elkaar af. De 1370 betrokken ondernemers is echter vooraf niets gevraagd. De wethouder legt ook niet uit welke en wiens belangen zijn afgewogen, of deze belangen gerechtvaardigd zijn en hoe de privacyrisico’s daarbij zijn meegenomen.
Beginselen behoorlijk bestuur
Volgens de gemeente ‘is privacybeleidsvoering wettelijk gekoppeld aan de beginselen van behoorlijk bestuur en is daarmee ondersteunend aan het gemeentelijk integriteitsbeleid’. Behoorlijk bestuur betekent dat de gemeente eerlijk, transparant, zorgvuldig en rechtmatig handelt. Ondernemers reageren verbaasd en verontwaardigd over deze gang van zaken en dat ze nergens vanaf weten.
Verantwoordelijk
Het college van burgemeester en wethouders is eindverantwoordelijk voor de naleving van privacywetgeving en het voeren van proactief privacybeleid.
0 reacties