De Belastingdienst heeft de financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven drie jaar lang slecht beveiligd. Ze overtraden daarmee de privacywet.
In de periode van 2013 tot 2016 kan diefstal en verlies niet worden uitgesloten. Dat blijkt uit vertrouwelijke documenten van de Belastingdienst die in bezit zijn van het onderzoeksprogramma ZEMBLA. De uitzending van het programma is woensdag 1 februari om 21:20 uur bij de VARA op NPO 2. Inmiddels is de uitzending ook terug te zien.
Onder ede
De Belastingdienst was hiervoor in maart 2015 al gewaarschuwd. Dat verklaren bronnen (tot op directieniveau) onder ede in het programma. Met die waarschuwing is niets gedaan. Eén jaar later, in maart 2016, concludeert ook de Auditdienst Rijk (ADR) in een rapport dat deze beveiligingsmaatregelen “niet geëffectueerd zijn”.
De ADR benadrukt de “adequate borging van de vertrouwelijke data”. Volgens Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, is er sprake van een ernstig gebrek aan beveiliging: “Wat daar gebeurt is onwettig.”
Autorisatiesysteem niet op orde
Het speelde zich allemaal af in de zogenaamde Broedkamer. Deze data-analyse afdeling van de Belastingdienst, had tussen 2013 en 2016 het autorisatiesysteem niet op orde. Ook vond er geen logging en monitoring van de dataverwerking plaats. De dienst kan daardoor niet achterhalen wie op welk moment met de zeer gevoelige data werkte.
Het grootste risico is identiteitsfraude, stelt Jacobs. “Bedrijven kunnen dus gechanteerd worden.” Daarbij waren tientallen externe consultants van het bedrijf Accenture betrokken bij het programma. Zij hadden dus ook toegang.
De Autoriteit Persoonsgegevens (AP) is meteen na melding van ZEMBLA een onderzoek gestart rond de vermeende schendingen van de privacywet. Volgens de beleidsregels van de AP is bij een zwakke plek in de beveiliging sprake van een beveiligingslek.
Onduidelijk
Staatssecretaris Wiebes, verantwoordelijk voor de Belastingdienst, laat in een schriftelijke reactie aan ZEMBLA weten dat voor de Broedkamer “de reguliere beveiligingseisen” golden. Wiebes geeft wel toe dat niet gemonitord is welke dataverwerking is uitgevoerd. “Verlies of diefstal van de gegevens is tot op heden niet geconstateerd”, zegt Wiebes. Volgens Professor Jacobs is niet te achterhalen of er gegevens meegenomen zijn omdat de loggegevens ontbreken. De staatssecretaris blijft onduidelijk over de vraag of de beveiliging inmiddels wel op orde is.
Rapporten in la verdwenen
Uit de vertrouwelijke stukken in handen van ZEMBLA blijkt dat de leiding van de Belastingdienst al in maart 2015 gewaarschuwd is dat er een beveiligingslek was. Er werd herhaaldelijk op gewezen dat de leiding maatregelen moesten nemen om aan de Wet Bescherming Persoonsgegevens te voldoen.
Meerdere hooggeplaatste bronnen bevestigen dit. Bronnen verklaren onder ede dat de rapporten in een la van de directie zijn verdwenen. Volgens Jacobs had de Belastingdienst onmiddellijk maatregelen moeten nemen. “Het lijkt me toch een ernstige zaak als een overheidsinstantie het overtreden van de wet in stand houdt.”
“Zeer onprofessioneel en laakbaar” concludeert Tweede Kamerlid Pieter Omtzigt na inzage van het onderzoek. Ook bevestigt de belastingspecialist van het CDA dat staatssecretaris Wiebes de Tweede Kamer niet actief heeft geïnformeerd over het beveiligingslek.
ZEMBLA: ‘Prutsen en pielen zonder pottenkijkers’, woensdag 1 februari 2017 om 21:20 uur bij de VARA op NPO 2.
