‘Datamining met banksaldi gaat over veel meer dan privacy’

Een grote meerderheid van de Europese lidstaten zet al AI in, dus die evolutie is in België wellicht onafwendbaar.

In de gelekte supernota 2.0 staat een paragraaf waarin wordt aangekondigd dat een wettelijk kader zal worden gecreëerd voor datamining op het Centraal Aanspreekpunt (CAP). Dat is de databank bij de Nationale Bank met rekeningnummers en banksaldi. Ook de banksaldi van Belgische belastingbetalers in het buitenland, die de fiscus al automatisch ontvangt op grond van de internationale uitwisselingsverplichtingen, zullen in die databank worden opgenomen. Al die gegevens zullen worden gebruikt in het kader van datamining, die de fiscus inzet om te bepalen bij wie een controle moet worden uitgevoerd.

Schrikken we daar van? Nee. Toen de wetgever Belgische banken verplichtte ook banksaldi vanaf 2022 te melden aan het CAP, werd het al voorspeld. Maar ook informatie van buitenlandse bankrekeningen wordt, onder impuls van de G20 en de OESO, vanuit meer dan honderd landen gedeeld met België. Dat is het gevolg van een campagne voor meer transparantie, die finaal tot meer fiscale naleving moet leiden. Niemand kan dus verbaasd zijn dat de overheid die gegevens nu zo efficiënt mogelijk wil inzetten om te bepalen wie moet worden gecontroleerd.

Moeten we ons zorgen maken? In een eerste reactie wordt al beweerd dat onze privacy in gevaar is en dat het neigt naar Russische toestanden. Maar gaat het nog wel over privacy? Het inkijken en delen van bankgegevens is een inmenging in het privéleven. Daar is de nationale en supranationale rechtspraak unaniem over. Maar een inmenging in het privéleven door de overheid wordt op grond van mensenrechtenverdragen en grondwetten mogelijk gemaakt, zolang aan een aantal voorwaarden voldaan is. Vooreerst moet het de wetgevende macht zijn die de uitvoerende macht toelaat zich te mengen in het privéleven van mensen. De wetgever is dus aan zet. Het feit dat de supernota aangeeft dat er een wettelijk kader komt, is dus goed nieuws. Het is nu aan de parlementsleden om te waken over de andere voorwaarden die een inmenging in het privéleven mogelijk maken. Er moet een legitiem doel zijn. Het verhogen van de naleving van de fiscale wetten is dat zonder twijfel.

Ten slotte moet het parlement er ook over waken dat de inmengingen niet disproportioneel zijn en minstens dat er voldoende waarborgen worden ingelast opdat er geen willekeurige en onnodige inmengingen zijn in het privéleven van de burgers. Hoe moet de wetgever dat doen? Het gaat niet over de voorwaarden waaronder een ambtenaar de banksaldi van een belastingplichtige kan bekijken. Dat is al door de wet geregeld en hoewel privacyspecialisten, met inbegrip van de Gegevensbeschermingsautoriteit, daar kritisch over waren, ziet het Belgisch Grondwettelijk Hof er geen graten in.

Nu gaat het over het inzetten van al die bankgegevens – allicht geëncrypteerd – voor datamining. En daarover is officieel wel erg weinig bekend. Wordt artificiële intelligentie (AI) ingezet? Zijn dat zogenaamde ‘zelflerende’ modellen? AI kan weliswaar zelf zaken voorspellen die het menselijke brein niet kan zien of berekenen, het kan zich ook vastrijden en zich vergissen. Of wordt enkel gewerkt met instinct en ervaringen van belastingcontroleurs die het algoritme sturen? Ook die mensen kunnen bevooroordeeld zijn en zich vergissen. En als er vooralsnog geen complexe AI wordt ingezet, is het dan nu niet het moment om daar een duidelijk wettelijk kader voor te creëren, nu men datamining wil mogelijk maken op privacygevoelige gegevens zoals bankgegevens? Uit onderzoek blijkt dat een grote meerderheid van de Europese lidstaten al AI inzet, dus die evolutie is in België wellicht onafwendbaar.

Op alle gebieden is dus dringend transparantie nodig over datamining (en desgevallend AI die daarbij wordt aangewend). Wanneer en door wie wordt op een zeker moment overgegaan tot identificatie van de te controleren belastingplichtige? En worden daarbij dan banksaldi bekendgemaakt? Wat is in dat geval nog de betekenis van de voorwaarden die de wet vandaag koppelt aan een inzage van de banksaldi in het kader van een controle (onder meer de voorwaarde dat er een vermoeden van fraude moet zijn)? Hoe zijn we zeker dat die massa bankgegevens die voor datamining worden gebruikt, correct wordt beveiligd en geen lekken kunnen ontstaan? En hoe zijn we zeker dat de gegevens, waaronder dus de bankgegevens, juist zijn? Krijgt de belastingplichtige het recht zijn gegevens te controleren? En hoe gaan we waarborgen dat enkel gegevens worden gebruikt die nodig en relevant zijn voor fiscale datamining? Zijn per se alle bankgegevens nodig om tot betere voorspellingen te komen van wie potentieel de wet niet naleeft? En wie gaat dat beoordelen? Een antwoord op die en nog veel meer vragen is van belang om de juiste waarborgen in te lassen.

De wetgever krijgt met dat kleine paragraafje in de supernota dus een zeer grote taak. Hopelijk wordt er een grondig parlementair debat over gevoerd en komt er een evenwichtige wetgeving, met daarin de juiste waarborgen om risico’s voor de fundamentele rechten van de burger, waarvan het recht op privacy er maar eentje is, te vermijden.

De auteur is professor fiscaal recht aan de UAntwerpen