De systemen kwamen in beeld na eerdere ophef over het Risico Analyse Model (RAM), dat leidde tot grote maatschappelijke onrust. De AP besloot naar aanleiding van een rapport over RAM een breder onderzoek te starten naar verwante toepassingen binnen de Belastingdienst. Zes daarvan bleken in strijd met de privacyregels te opereren.

Het Klant Toezicht Model geeft medewerkers via één BSN toegang tot vrijwel alle persoonsgegevens van een belastingplichtige. Het systeem toont onder andere informatie over studiefinanciering, WOZ-waarden en zelfs vaartuigen. De AP stelt vast dat te veel medewerkers zonder afgebakende autorisaties toegang hebben tot deze schermen.

De combinatie van bepaalde gegevens binnen het systeem maakt bovendien de seksuele gerichtheid van burgers indirect zichtbaar, bijvoorbeeld via geregistreerde partnerschappen. Ook ontbreekt logging bij het exporteren van data, waardoor niet traceerbaar is wie welke informatie heeft bekeken of gedeeld.

Het tweede systeem, Informatiesjabloon, wordt al sinds 1999 gebruikt. Medewerkers ontvangen daarin persoonsgegevens via Excel-bestanden met macro’s en berekeningen. De beveiliging schiet ernstig tekort: onvoldoende autorisatiecontroles, geen degelijke logging, en slecht toezicht op de noodzaak van gegevensverwerking. Volgens de AP kunnen gevoelige gegevens op allerlei locaties blijven hangen: van mailboxen tot netwerkschijven.

Ook zouden er te veel persoonsgegevens zijn gedeeld met politie, het Openbaar Ministerie en mogelijk andere overheden of samenwerkingsverbanden, zonder duidelijkheid over het doel of de proportionaliteit van die verstrekkingen.