De Belastingdienst heeft de eerst zo gebrekkige beveiliging van informatie inmiddels op orde gebracht. Dit concludeert de Autoriteit Persoonsgegevens (AP) na een vervolgonderzoek. Dit onderzoek is daarmee gesloten.
Aanleiding voor de onderzoeken waren ernstige beveiligingsrisico’s van twee jaar geleden. Toen constateerde de AP dat er vooral op de afdeling Datafundamenten & Analytics van de Belastingdienst ernstige tekortkomingen waren.
Data
De AP startte een eerste onderzoek naar de afdeling van de Belastingdienst na een uitzending van Zembla in februari 2017. In de periode van 2013 tot 2016 kon diefstal en verlies van gegevens volgens ZEMBLA niet worden uitgesloten. Dat blijkt uit vertrouwelijke documenten van de Belastingdienst die het onderzoeksprogramma in bezit kreeg.
De Autoriteit Persoonsgegevens stelde vervolgens bijvoorbeeld fouten in de logging van activiteiten aan de kaak. Data, ook gevoelige data, kon namelijk ongemerkt worden gekopieerd of geëxporteerd. Nergens in de keten legde de afdeling vast wie, welke data mogelijk onrechtmatig buiten de Belastingdienst bracht.
En als data de Belastingdienst onrechtmatig verliet kon de Belastingdienst dit niet via controle op de logging opmerken. Ook was het achteraf niet mogelijk om na te gaan wie welke data naar buiten bracht.
Een ander belangrijk lek zat in het beheer van de autorisaties. Hierdoor kon de afdeling niet uitsluiten dat medewerkers toegang tot data hadden die niet strikt noodzakelijk was.
Deze lekken kwamen na het eerste onderzoek aan het licht. De Autoriteit Persoonsgegevens sommeerde de dienst de gebreken te verhelpen en de dienst te informeren als dit was gebeurd. In november 2018 had de AP aanleiding te vermoeden dat de Belastingdienst nog niet alle benodigde verbetermaatregelen had getroffen. Daarop volgde een vervolgonderzoek. De resultaten daarvan zijn nu in orde.
Datafundamenten & Analytics
De afdeling Datafundamenten & Analytics van de Belastingdienst beschikt over een enorme hoeveelheid gevoelige persoonsgegevens. Dat vereist een hoog beveiligingsniveau.
Het gaat bijvoorbeeld om data die de Belastingdienst heeft verkregen in het kader van werkzaamheden op het gebied van inkomstenbelasting, omzetbelasting, vennootschapsbelasting en bezwaarschriften. De afdeling analyseert deze intern beschikbare data van de Belastingdienst om de data beter te kunnen benutten.
De AP adviseert de afdeling Datafundamenten & Analytics het niet bij de huidige verbetermaatregelen te laten. Aleid Wolfsen: ‘Informatiebeveiliging vraagt om een continu proces. Wij moedigen de Belastingdienst dan ook aan om steeds opnieuw risico’s en maatregelen te herbeoordelen.’
