Vastgesteld door: Dienst Toeslagen / Programma Directoraat‑Generaal Herstel (pDG Herstel)
Datum: 29-09-2025 Versie: 0.8

Verwerkingsverantwoordelijke en contactgegevens

Programma Directoraat Generaal Herstel (pDG Herstel) kwalificeert als verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens die we verwerken. Voor vragen naar aanleiding van deze privacyverklaring of voor klachten, kan contact opgenomen worden met pDG Herstel per reguliere post:

Programma Directoraat Generaal Herstel (pDG Herstel)
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Functionaris voor Gegevensbescherming (FG)

pDG Herstel heeft een Functionaris voor Gegevensbescherming (FG) aangesteld. De FG controleert van binnenuit of we ons bij het beschermen van persoonsgegevens aan de regels houden. Meer informatie over de taken van de FG leest u op de website van de Autoriteit Persoonsgegevens (AP). De FG is te bereiken op het volgende adres:

Ministerie van Financiën (Dienst Toeslagen)
T.a.v. Functionaris voor Gegevensbescherming
Postbus 20201
2500 EE Den Haag

Of per e-mail: fg@minfin.nl

Doeleinden van de verwerking

Wij verwerken uw persoonsgegevens voor de volgende doeleinden:

• Identificatie en authenticatie bij aanmelding (DigiD voor burgers, eHerkenning voor gemachtigden).
• Informeren over routes voor aanvullende schade en het keuzeproces en de keuzes die ouders zelf kunnen maken (activatie/oriëntatie).
• Inzamelen en verwerken van aanvragen voor vergoeding van aanvullende schade (invullen schadeposten, uploaden ondersteunende).
• Verifiëren van gegevens met beschikbare overheidsbronnen ter ondersteuning van de beoordeling.
• Inhoudelijke beoordeling en vaststelling van schadeposten en het opstellen van de Vaststellingsovereenkomst (VSO).
• Administratieve afhandeling en uitbetaling van vergoedingen.
• Communicatie, logging, kwaliteitstoetsing, nazorg en het afhandelen van vragen en klachten.

Welke persoonsgegevens verwerken wij?

Afhankelijk van uw situatie en de gekozen route verwerken wij onder meer:

• Identificatie en contactgegevens: naam, adres, woonplaats, email (ook voor eventuele gemachtigden), telefoonnummer (ook voor eventuele gemachtigden), geboortedatum, Burgerservicenummer (BSN), eHerkenning (voor gemachtigden).
• Financiële gegevens: Integrale Beoordeling gegevens, inkomensgegevens, IBAN, betalingsachterstanden, voorschotten en vastgestelde toeslagjaren.
• Woon‑ en vermogensgegevens: huurovereenkomsten, kadastergegevens, relevante documenten over vermogen of erfenissen.
• Gezinssituatie: partnergegevens, relatiegegevens, overlijdensgegevens.
• Werk en opleiding (indien relevant): Startdatum IVA-uitkering, referentiejaar arbeidsuren, opvolgende jaren na referentiejaar looninkomen, inschrijfing en uitschrijving datum opleiding en datum diploma.
• Bijzondere persoonsgegevens (alleen indien noodzakelijk en met duidelijke doeleinden): gezondheidsgegevens en andere gevoelige informatie die relevant is voor een schadeclaim.
• Overige gegevens: dossierstatus, wachtrijnummer, machtigingen voor gemachtigden, logs en communicatiegegevens.

Bronnen van persoonsgegevens

Wij ontvangen persoonsgegevens:

• Direct van u of uw gemachtigde via het centraal aanmeldportaal of per post.
• Uit interne administraties en systemen binnen de uitvoering (waar relevant).
• Via rechtmatige gegevensvorderingen of uitwisseling met andere overheidsinstanties (bijvoorbeeld van of via de Belastingdienst of Toeslagen) wanneer dit noodzakelijk is voor de beoordeling.

Rechtsgrond voor de verwerking

We gebruiken persoonsgegevens alleen als dat mag volgens de Algemene Verordening Gegevensbescherming (AVG). Daarin staat dat persoonsgegevens verwerkt mogen worden als dat nodig is voor de vervulling van een wettelijk vastgelegde taak van algemeen belang.

pDG Herstel verwerkt uw persoonsgegevens op grond voor vervulling van wettelijk vastgelegde taak van algemeen belang. De taak is het geven van erkenning en financiële vergoeding aan KOT-gedupeerde. Dit doen we op basis van de Wet herstel toeslagen.

Voor het gebruik van het BSN geldt de geldende wettelijke grondslag, op grond van nationale regelgeving, vastgesteld in artikel 10 van de Wet algemene bepalingen burgerservicenummer.

Verwerkingen van bijzondere persoonsgegevens vinden uitsluitend plaats voor zover dit noodzakelijk is voor de vaststelling van een recht op compensatie en binnen de hiervoor geldende wettelijke kaders.

Geautomatiseerde besluitvorming en ondersteuning

MijnHerstel maakt gebruik van geautomatiseerde, regelgebaseerde verificaties ter ondersteuning van de beoordeling van bewijsstukken. Deze geautomatiseerde controles ondersteunen behandelaars; de uiteindelijke vaststelling van een volledige schadevergoeding wordt door bevoegde medewerkers beoordeeld en vastgesteld. Voor het ontsluiten van data worden algoritmes toegepast. Het betreft hier geen lerende algoritmes. Met automatisering wordt data gebundeld. Hiermee wordt voorzien in betrouwbare data ter ondersteuning van behandeling aanvullende schade in MijnHerstel​. U heeft recht op informatie over de toepassing van geautomatiseerde beslissingen en op menselijke tussenkomst waar van toepassing.

Ontvangers en gedeelde gegevens

Afhankelijk van uw keuze en de fase van de aanvraag delen wij gegevens met:

Aanvrager en/of (ex)toeslagpartner: indien een (ex)toeslagpartner zich voegt bij de route, dan worden persoonsgegevens zoals genoemd onder: “Welke persoonsgegevens verwerken wij?” tussen beide (ex)partners, zowel aanvrager als (ex)toeslagpartner, zichtbaar gemaakt in de aanvullende schaderoute. Dit is noodzakelijk om tot een juiste berekening te komen voor aanvullende schade.

Belastingdienst: als u kiest voor de MijnHerstel, worden uw gegevens, die al bij de Belastingdienst bekend zijn, gebruikt om u te helpen. Deze gegevens worden gebruikt om te controleren of er bewijs is voor de geleden schade.

Dienst Toeslagen: als u kiest voor d MijnHerstel wordt hier vastgesteld of u schade geleden heeft. Vervolgens wordt beoordeeld of u schade vergoed krijgt en, zo ja, hoeveel. Ten slotte wordt een overeenkomst gesloten, waarin wij vastleggen welke schade u geleden heeft en welke vergoeding wij u daarvoor aanbieden. Als u kiest voor de route van Stichting (Gelijk)waardig Herstel, dan worden de gegevens van Dienst toeslagen verwerkt, zodat Stichting (Gelijk)waardig Herstel uw zaak verder kan afhandelen.

Ministerie van Financiën: als u kiest voor de route van de Stichting (Gelijk)waardig Herstel worden uw gegevens via het ministerie van Financiën gedeeld, zodat zij uw zaak verder kunnen afhandelen.

Commissie Werkelijke Schade: als u kiest voor de route van de Commissie Werkelijke Schade worden uw gegevens met de Commissie Werkelijke Schade gedeeld, zodat zij uw zaak verder kunnen afhandelen. In het portaal kunt u zien wanneer u aan de beurt bent voor behandeling bij de Commissie Werkelijke Schade.

Stichting (Gelijk)waardig Herstel: als u kiest voor de route van de Stichting (Gelijk)waardig Herstel worden uw gegevens met de Stichting (Gelijk)waardig Herstel gedeeld, zodat zij uw zaak verder kunnen afhandelen. In het portaal kunt u zien wanneer u aan de beurt bent voor behandeling bij de Stichting (Gelijk)waardig Herstel.

Stichting Pleio: Pleio is de functioneel beheerder van het centraal aanmeldportaal en MijnHerstel. Zij verwerken uw gegevens namens de Belastingdienst.

Wij verstrekken geen persoonsgegevens aan partijen buiten de EU/EEA zonder passende waarborgen. Indien noodzakelijk worden bijzondere persoonsgegevens verwerkt bij de ontvangers.

Bewaartermijnen en archivering

Persoonsgegevens in het aanmeldportaal worden gedurende de periode bewaard die noodzakelijk is voor de uitvoering van de doeleinden en in overeenstemming met de toepasselijke archiefwetgeving. Voor dossiers in het kader van hersteloperaties geldt een bewaartermijn die kan oplopen tot 20 jaar, waarna gegevens conform de Archiefwet kunnen worden overgedragen aan het Nationaal Archief. Wanneer gegevens niet langer nodig zijn en er geen wettelijke bewaarplicht is, worden zij verwijderd of geanonimiseerd.

Beveiliging

Wij nemen passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang, wijziging of ongeoorloofde verstrekking. Voorbeelden van maatregelen:

• Toegangscontrole en rolgebaseerde autorisaties.
• Logging en audittrail van toegang en wijzigingen.
• Encryptie van gegevens waar nodig.
• Periodieke audits, pentests en continuïteitsmaatregelen bij leveranciers.
• Datalekprocedures en meldingsprotocollen.

Datalekken

Een datalek is als iemand toegang tot persoonsgegevens heeft gekregen of gegevens heeft aangepast zonder dat dit mag of de bedoeling is. Een datalek kan ook zijn dat een organisatie (tijdelijk) niet bij gegevens kan. De persoonsgegevens zijn dan bijvoorbeeld gestolen, kwijtgeraakt of verloren gegaan. Voorbeelden van datalekken zijn:

• kwijtgeraakte USB-stick met persoonsgegevens
• gestolen laptop
• inbraak van een hacker in een databestand
• besmetting van een computer met malware
• onverwachte noodsituatie, zoals brand in een datacenter
• post die op een verkeerd adres is bezorgd
• gegevens die voor het einde van de bewaartermijn zijn weggegooid

We proberen ervoor te zorgen dat datalekken niet kunnen ontstaan, zoals door het beveiligen van onze systemen. Als er toch data worden gelekt, dan nemen we zo snel mogelijk maatregelen om de gevolgen tegen te gaan en ervoor te zorgen dat het niet meer gebeurt. Denk aan organisatorische of technische maatregelen, zoals aanpassingen in onze processen of systemen.

We melden datalekken bij de Autoriteit Persoonsgegevens (AP). Bij elk datalek onderzoeken we of er bijzondere of gevoelige persoonsgegevens zijn gelekt, zoals kopieën van identiteitsbewijzen of burgerservicenummers (BSN). Dit kan namelijk nadelige gevolgen hebben voor degenen om wie het gaat, zoals identiteitsdiefstal. Het datalek melden we dus ook aan deze personen.

Melden datalek

Denkt u dat uw persoonsgegevens onvoldoende zijn beveiligd in onze computers of dat uw gegevens worden misbruikt? Lees dan bij Meld datalek, beveiligingslek, zwakke plek of misbruik computersystemen wat u moet doen.

Cookies en vergelijkbare technieken

Op het aanmeldportaal gebruiken wij cookies voor noodzakelijke functionaliteit, sessiebeheer en (anonieme) analyse. Cookies leggen doorgaans geen persoonsgegevens vast. Meer informatie en de mogelijkheden om cookie‑instellingen te beheren staan in de cookieverklaring in het portaal.

Wilt u uw persoonsgegevens bekijken?

In Mijn toeslagen en de app Toeslagen kunt u zien welke persoonsgegevens we van u gebruiken voor in het kader van de verwerkingsactiviteiten die zijn gerelateerd aan toeslagen.

Uw rechten

U heeft onder de AVG verschillende rechten, waaronder:

Recht op inzage in de persoonsgegevens die wij van u verwerken.

Inzageverzoek doen

Is het na het bekijken van Mijn toeslagen en de app onduidelijk welke persoonsgegevens we van u gebruiken, dan kunt u aan ons vragen of u uw gegevens mag zien. Dit heet een inzageverzoek. Stuur ons hierover een brief. Zet hierin welke gegevens u wilt bekijken, uw naam, adres, postcode, woonplaats en het telefoonnummer waarop we u overdag kunnen bellen.

Stuur uw inzageverzoek naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Beslissen over uw inzageverzoek

U hoort meestal binnen 1 maand of we uw verzoek goedkeuren. We kunnen deze periode met 2 maanden verlengen. Als we dat doen, dan laten we u dit weten.

In sommige gevallen mag u uw persoonsgegevens niet zien. Dan zijn andere zaken belangrijker dan uw recht om uw gegevens te bekijken. Dit is het geval als het gaat om:

• Openbare veiligheid
• Taak op het gebied van toezicht
• Inspectie of regelgeving
• Beschermen van de degene die de persoonsgegevens wil bekijken of van de rechten en vrijheden van anderen
• Innen van civielrechtelijke vorderingen

Met de volgende wetten beoordelen we of u uw persoonsgegevens mag bekijken:

Artikel 23 van de Algemene verordening gegevensbescherming
Artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming

Recht op rectificatie van onjuiste gegevens.

Als de persoonsgegevens die we van u hebben fout of niet compleet zijn, dan kunt u die meestal zelf wijzigen:

Adres aanpassen
Rekeningnummer aanpassen
Toeslagen aanpassen

Correctieverzoek doen

Kunt u uw persoonsgegevens niet zelf wijzigen, dan kunt u aan ons vragen om dat voor u te doen. Dit heet een correctieverzoek. Stuur ons hierover een brief. Zet hierin welke gegevens u wilt laten aanpassen, uw naam, adres, postcode, woonplaats en het telefoonnummer waarop we u overdag kunnen bellen.

Stuur uw correctieverzoek naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Beslissen over uw correctieverzoek

U hoort meestal binnen 1 maand of we uw verzoek goedkeuren. We kunnen deze periode met 2 maanden verlengen. Als we dat doen, dan laten we u dit weten.

Als we uw verzoek goedkeuren, dan passen we uw gegevens aan. We laten aan u weten als we dat hebben gedaan. Hebben we uw persoonsgegevens ook aan andere organisaties gegeven, dan krijgen zij voortaan de juiste gegevens.

Recht op verwijdering (voor zover geen wettelijke bewaarplicht dit verhindert).

U mag de persoonsgegevens die wij van u bewaren laten verwijderen. Dit kan bijvoorbeeld als de gegevens niet (meer) nodig zijn om ons werk goed te kunnen doen of die niet te hoeven worden bewaard volgens de Archiefwet.

Verzoek doen

Kunt u uw persoonsgegevens niet zelf verwijderen door ze aan te passen, dan kunt u aan ons vragen om dat voor u te doen. Stuur ons dan een brief. Zet hierin welke gegevens u wilt laten verwijderen, uw naam, adres, postcode, woonplaats en het telefoonnummer waarop we u overdag kunnen bellen.

Stuur uw brief naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Beslissen over uw verzoek

U hoort meestal binnen 1 maand of we uw verzoek goedkeuren. We kunnen deze periode met 2 maanden verlengen. Als we dat doen, dan laten we u dit weten.

Als we uw verzoek goedkeuren, dan verwijderen we uw gegevens. Wijzen we uw verzoek af, dan krijgt u een brief waarin staat wat hiervan de reden is.

Recht op beperking van verwerking

Als u vindt dat we bepaalde persoonsgegevens van u niet mogen gebruiken, dan kunt u ons vragen om dit te beperken. Dat betekent dat we die gegevens nog wel hebben, maar er (tijdelijk) niets meer mee doen. Dit kan in de volgende gevallen:

• Uw persoonsgegevens kloppen niet.
• Als wij uw gegevens gebruiken, maar dit eigenlijk niet mag.
• Als u bezwaar hebt gemaakt tegen het gebruik en wacht op de beslissing.
• Bepaalde gegevens zijn niet meer nodig om te gebruiken.

Stuur ons een brief en zet hierin van welke gegevens u het gebruiken wilt beperken. Stuur uw brief naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Recht om bezwaar te maken tegen verwerking

U kunt aan ons vragen om uw persoonsgegevens niet te gebruiken, bijvoorbeeld bij het berekenen van toeslagen. Stuur ons dan een brief. Zet hierin welke gegevens we niet mogen gebruiken, uw naam, adres, postcode, woonplaats en het telefoonnummer waarop we u overdag kunnen bellen.

Stuur uw bezwaar naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Beslissen over uw bezwaar

U hoort meestal binnen 1 maand of we uw bezwaar goedkeuren. We kunnen deze periode met 2 maanden verlengen. Als we dat doen, dan laten we u dit weten.

Als we uw bezwaar goedkeuren, dan gebruiken we uw gegevens niet. U krijgt hierover een brief. Wijzen we uw bezwaar af, dan krijgt u een brief waarin staat wat hiervan de reden is.

Recht op informatie over en menselijke tussenkomst bij geautomatiseerde besluitvorming

U heeft het recht om te vragen of er voor uw persoonsgegevens geautomatiseerde besluitvorming plaatsvindt, inclusief profilering.

Indien er geautomatiseerde besluitvorming plaatsvindt, heeft u het recht op duidelijke informatie over:

• de onderliggende logica van de verwerking,
• de betekenis en de beoogde gevolgen van die verwerking voor u,
• de gebruikte criteria of belangrijkste factoren die tot het besluit leiden

U heeft het recht verzoeken om menselijke tussenkomst, om uw standpunt kenbaar te maken en om het besluit te laten heroverwegen of aan te vechten.

Stuur uw bezwaar naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Hoe u uw rechten uitoefent

Stuur een schriftelijk verzoek of vraag naar:

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Vermeld in uw verzoek uw naam, adres, postcode, woonplaats en een telefoonnummer waarop u overdag bereikbaar bent, en geef duidelijk aan welke handeling u wenst (inzage, correctie, verwijdering, beperking, overdracht of bezwaar).

Wij streven ernaar op verzoeken binnen één maand te reageren. Indien noodzakelijk kan deze termijn met twee maanden worden verlengd; wij informeren u dan tijdig.

Klachten en toezichthouder

Als u van mening bent dat wij uw persoonsgegevens onjuist verwerken of dat uw verzoeken niet goed worden behandeld, kunt u contact opnemen met de Functionaris voor Gegevensbescherming (fg@minfin.nl). U heeft daarnaast het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl

Machtiging en vertegenwoordiging

U kunt een gemachtigde aanwijzen die namens u handelt. Machtigingen verlopen via de daarvoor gepresenteerde procedures in het aanmeldportaal (bijvoorbeeld machtigingslink naar de cliënt). Voor professionele gemachtigden zijn er specifieke autorisatiestappen en verificatie met eHerkenning.

Wijzigingen in deze privacyverklaring

Wij kunnen deze privacyverklaring aanpassen vanwege wijzigingen in wetgeving, uitvoering of technische inrichting. De meest recente versie is altijd beschikbaar in het aanmeldportaal. Belangrijke wijzigingen worden actief gecommuniceerd.

Contactgegevens (samenvatting)

Dienst Toeslagen
T.a.v. Bureau Directeursondersteuning
Graadt van Roggenweg 500
3531 AH Utrecht

Functionaris voor Gegevensbescherming: fg@minfin.nl
Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl

Deze privacyverklaring is bedoeld om u duidelijk te informeren over de verwerking van uw persoonsgegevens in het Centraal Aanmeldportaal en de route MijnHerstel. Heeft u vragen of wilt u meer informatie, dan kunt u contact opnemen via bovenstaande gegevens.