In maart 2025 kwam het RAM-schandaal bij de belastingdienst groot in het nieuws. Het zogeheten Risico Analyse Model bleek jarenlang te zijn gebruikt om gegevens uit tientallen bronnen te combineren. Van fiscale aangiften tot nationaliteit en zelfs strafrechtelijke gegevens. Onderzoek door KPMG en de Autoriteit Persoonsgegevens wees uit dat het systeem niet voldeed aan de privacywetgeving, de Archiefwet en elementaire beveiligingsvoorschriften. Medewerkers hadden vaak onbeperkte toegang, er was nauwelijks logging en data kon zonder restricties worden geëxporteerd.
De belastingdienst stopte in februari 2021 met de centrale beschikbaarheid van RAM, maar het kwaad was toen al geschied. Het vertrouwen van burgers kreeg opnieuw een zware klap.
In onze eerdere blog RAM-schandaal: wat jouw organisatie kan leren over risicomanagement en compliance keken we vooral naar het ontbreken van grip en opvolging. In dit blog zoomen we in op een ander, minstens zo belangrijk perspectief: de stap van toezicht naar vertrouwen. Want ook al gaat dit over een grote overheidsinstantie, dezelfde valkuil dreigt bij kleinere organisaties: vertrouwen op papieren controle in plaats van echte verantwoordelijkheid.
Wat ging er mis bij RAM?
Het RAM-systeem was ooit bedoeld om fraude beter te signaleren. In de praktijk werd het een datamegasysteem waarin alles met alles werd gekoppeld. Geen duidelijke kaders, geen verantwoording en nauwelijks toezicht. Het resultaat: willekeur, schending van privacy en een cultuur waarin “alles kan” zolang het systeem het toelaat.
De kernfout? Controle werd verward met vertrouwen. Het bestaan van een systeem gaf de illusie dat zaken goed geregeld waren. In werkelijkheid ontbrak elk mechanisme om te zien wie toegang had, waarom gegevens werden gebruikt en of dit rechtmatig gebeurde.
De herkenbare valkuil voor MKB-organisaties
Nu denk je misschien: “Dat speelt bij ons niet, wij hebben geen nationale databank.” Maar de onderliggende fout zie je ook in kleinere organisaties terug.
- “We hebben een ISO-certificaat, dus we zitten veilig.”
- “De auditor heeft afgetekend, dus de risico’s zijn onder controle.”
- “Alles staat netjes in Excel, dus we hebben overzicht.”
Het lijken geruststellende signalen, maar in de praktijk verhullen ze vaak een papieren werkelijkheid. Incidenten raken ondergesneeuwd, taken blijven liggen, en niemand voelt zich écht verantwoordelijk. Precies die cultuur leidde er ook toe dat het RAM-systeem jarenlang ongemerkt door kon draaien.
Van toezicht naar vertrouwen
De les uit het RAM-schandaal is daarom niet alleen: zorg voor betere risicobeheersing. Het gaat dieper. Toezicht moet altijd hand in hand gaan met vertrouwen. En vertrouwen ontstaat alleen wanneer processen transparant en aantoonbaar zijn.
Dat betekent concreet:
- Transparantie: laat zien welke taken en incidenten openstaan en hoe opvolging plaatsvindt.
- Logging & toegangsbeheer: leg vast wie toegang heeft en registreer acties.
- Periodieke controles: niet eenmalig tijdens de auditweek, maar doorlopend, in een vast ritme.
- Eigenaarschap: medewerkers moeten verantwoordelijkheid voelen, niet alleen vinkjes zetten.
Praktisch beginnen
Je hoeft daarvoor geen groot systeem op te tuigen, sterker nog, juist eenvoud werkt. Drie praktische stappen die je morgen kunt zetten:
- Breng in kaart wie toegang heeft tot welke gegevens en verwijder overbodige rechten.
- Leg taken en incidenten centraal vast en bespreek ze structureel in overleggen.
- Maak gebruik van tooling die dit ondersteunt, zonder onnodige complexiteit. Een lichtgewicht oplossing als CompliTrack helpt je om opvolging en aantoonbaarheid te borgen zonder Excel.
Conclusie
Het RAM-schandaal laat zien wat er gebeurt wanneer toezicht verwordt tot een papieren illusie. Ook in kleinere organisaties loert dit gevaar. Echte grip ontstaat pas wanneer transparantie, opvolging en eigenaarschap centraal staan.
Wil je meer leren van de lessen uit RAM? Lees dan ook:
- RAM-schandaal: wat jouw organisatie kan leren over risicomanagement en compliance
- Compliance werd ons vinklijstje. En toen ging het mis
En bedenk: toezicht geeft alleen zekerheid als het gepaard gaat met vertrouwen.
Geef een reactie