Aandachtspunt: Risico’s bij algoritme van de Belastingdienst voor het opsporen van carrouselfraude
Deelonderzoek behorend bij het verantwoordingsonderzoek ministerie van Financiën en Nationale Schuld.
De Belastingdienst heeft een wettelijke taak om belastingfraude te bestrijden. Een omvangrijke vorm van belastingfraude is carrouselfraude. Bij carrouselfraude handelt een keten van Europese bedrijven met elkaar. Een van de bedrijven verkoopt zijn producten met btw, maar houdt de btw voor zichzelf. Doordat het frauderende bedrijf de btw niet afdraagt aan de Belastingdienst mist Nederland geld.
De Europese Commissie schat in dat een kwart van alle gemiste btw-inkomsten in Europa door carrouselfraude komt. Nederland liep in 2022 € 6 miljard aan btw-inkomsten mis (Europese Commissie, 2024). De schade van carrouselfraude zou in Nederland dan neerkomen op € 1,5 miljard.
Het algoritme omzetbelasting carrouselfraude
In de praktijk is het voor de Belastingdienst lastig om carrouselfraude snel op te sporen. Om carrouselfraude eerder op te sporen en schade te verminderen, gebruikt de Belastingdienst het algoritme omzetbelasting carrouselfraude (OBCF). Het OBCF-algoritme zoekt Nederlandse bedrijven op die mogelijk betrokken zijn bij carrouselfraude. Hiervoor gebruikt het algoritme gegevens van bedrijven, zoals hun omzetbelastingaangiftes en gegevens over hun bestuurders. Met deze gegevens berekent het algoritme verschillende risicoscores. Hoe hoger de scores, hoe hoger het risico dat een bedrijf betrokken is bij carrouselfraude.
Conclusie
Het OBCF-algoritme helpt de Belastingdienst om carrouselfraude vroeg op te sporen. Hiermee voorkomt het algoritme schade voor de Nederlandse schatkist. Ook waarderen we dat de minister een traject is gestart om de privacy rondom het algoritme te verbeteren. Met dit traject heeft de minister verschillende privacy risico’s verminderd.
Tegelijkertijd constateren we dat een aantal belangrijke punten nog niet op orde zijn. De monitoring is ongestructureerd en de doelstellingen zijn onduidelijk. Hierdoor bestaat het risico dat het algoritme minder kan gaan presteren dan bedoeld, zonder dat de Belastingdienst dit op tijd merkt en bij kan sturen. Ook heeft de Belastingdienst het verbetertraject voor de privacy niet volledig uitgevoerd. Een data protection impact assessment (DPIA) ontbreekt en transparantie over het algoritme is onvoldoende. Daarmee voldoet het OBCF-algoritme niet aan de Algemene verordening gegevensbescherming en worden persoonsgegevens onvoldoende beschermd. Dat rekenen we de minister aan. Tot slot was de functiescheiding en het wijzingenbeheer van de Belastingdienst niet aantoonbaar op orde, waardoor ontwikkelaars en beheerders mogelijk het algoritme ongemerkt kunnen wijzigen.
| Lees meer over dit onderzoek in paragraaf 4.5.2 (pagina 58) van Resultaten verantwoordingsonderzoek 2024 ministerie van Financiën en Nationale Schuld. |