Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. De AVG geldt voor bedrijven, instellingen en ook voor de overheid. Volgens de staatssecretaris van Financiën duurt het nog een jaar voordat de Belastingdienst kan voldoen aan de eisen van de AVG. Dat zegt hij in antwoord op Kamervragen.
Wel heeft de Belastingdienst inmiddels een register van verwerkingsactiviteiten aangelegd waarin alle verwerkingen zijn opgenomen. Volgens de staatssecretaris is gewaarborgd dat wijzigingen in verwerkingen en nieuwe verwerkingen worden opgenomen in het register. Op de website van de Belastingdienst is een overzicht van verwerkingen van persoonsgegevens te vinden. Voor een aantal verwerkingen is onvoldoende wettelijke grondslag. Hiervoor wordt een wettelijke grondslag voorbereid of worden alternatieven uitgewerkt. Waar vaststaat dat de grondslag ontbreekt, is de verwerking van de gegevens gestaakt.
De Belastingdienst heeft een aantal applicaties waarin gegevens zijn samengebracht voor gebruik in toezichts- en bedrijfsvoeringsprocessen. Deze applicaties worden aangepast of vervangen omdat zij op het punt van gegevensbeperking en toegang tot gegevens niet aan de eisen van de AVG voldoen. Ook heeft de Belastingdienst achterstanden bij het schonen van gegevensbestanden.
De Belastingdienst beoordeelt beveiligingsincidenten waarbij mogelijk persoonsgegevens verloren zijn gegaan of waarbij mogelijk onrechtmatige verwerking van persoonsgegevens plaatsvindt. In 2017 zijn 1.275 meldingen geregistreerd, waarvan er na beoordeling 225 zijn doorgestuurd naar de AP. In 84 gevallen zijn ook de betrokkenen geïnformeerd omdat die incidenten mogelijk een hoog risico inhielden voor hun rechten en vrijheden.