Belastingdienst had ernstig beveiligingslek maar deed niets
01-02-2017
•
leestijd 3 minuten
•
81 keer bekeken
•
De Belastingdienst heeft de financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven in de periode van 2013 tot 2016 onvoldoende beveiligd. Diefstal en verlies kunnen niet worden uitgesloten. Dat blijkt uit vertrouwelijke documenten van de Belastingdienst in bezit van ZEMBLA. De Belastingdienst is hiervoor in maart 2015 al gewaarschuwd. Dat verklaren bronnen (tot op directieniveau) onder ede in ZEMBLA. Maar met die waarschuwing is niets gedaan.
'Onwettig'
Eén jaar later, in maart 2016, concludeert ook de Auditdienst Rijk (ADR) in een rapport dat deze beveiligingsmaatregelen “niet geëffectueerd zijn”. De ADR benadrukt de “adequate borging van de vertrouwelijke data”. Volgens Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, is er sprake van een ernstig gebrek aan beveiliging: “Wat daar gebeurt is onwettig.”
2013-2016
De zogenaamde Broedkamer, een data-analyse afdeling van de Belastingdienst, had tussen 2013 en 2016 het autorisatiesysteem niet op orde. Ook heeft er geen logging en monitoring van de dataverwerking plaatsgevonden. De dienst kan daardoor niet achterhalen wie op welk moment met de in hoge mate gevoelige data heeft gewerkt. Het grootste risico is identiteitsfraude, stelt Jacobs “en bedrijven kunnen gechanteerd worden.” Onder de personen die toegang hadden tot de data waren tientallen externe consultants van het bedrijf Accenture. De Autoriteit Persoonsgegevens (AP) is na melding van ZEMBLA een onderzoek gestart naar de databeveiliging bij de Belastingdienst. Volgens de beleidsregels van de AP is bij een zwakke plek in de beveiliging sprake van een beveiligingslek.
Reactie Wiebes
Staatssecretaris Wiebes, verantwoordelijk voor de Belastingdienst, laat in een schriftelijke reactie aan ZEMBLA weten dat voor de Broedkamer “de reguliere beveiligingseisen” golden. Wiebes geeft wel toe dat niet gemonitord is welke dataverwerking is uitgevoerd. “Verlies of diefstal van de gegevens is tot op heden niet geconstateerd”, zegt Wiebes. Volgens Professor Jacobs is niet te achterhalen of er gegevens meegenomen zijn omdat de loggegevens ontbreken. De staatssecretaris blijft onduidelijk over de vraag of de beveiliging inmiddels wel op orde is.
Gewaarschuwd in 2015
Uit de vertrouwelijke stukken in handen van ZEMBLA blijkt dat de leiding van de Belastingdienst al in maart 2015 gewaarschuwd is dat er een beveiligingslek was. Er werd herhaaldelijk op gewezen dat de leiding maatregelen moesten nemen om aan de Wet Bescherming Persoonsgegevens te voldoen. Meerdere hooggeplaatste bronnen bevestigen dit tegenover ZEMBLA. Bronnen verklaren onder ede dat de rapporten in een la van de directie zijn verdwenen. Volgens Jacobs had de Belastingdienst onmiddellijk maatregelen moeten nemen: “Het lijkt me toch een ernstige zaak als een overheidsinstantie het overtreden van de wet in stand houdt.”
'Laakbaar'
“Zeer onprofessioneel en laakbaar” concludeert Tweede Kamerlid Pieter Omtzigt na inzage van het onderzoek van ZEMBLA. Ook bevestigt de belastingspecialist van het CDA dat staatssecretaris Wiebes de Tweede Kamer niet actief heeft geïnformeerd over het beveiligingslek bij de Belastingdienst.
Externen
Uit onderzoek van ZEMBLA blijkt dat in de periode 2013-2016 bij de Broedkamer tientallen externe consultants werkten. Deze waren voornamelijk afkomstig van het bedrijf Accenture. Dit Amerikaanse consultancybureau had de opdracht om de Belastingdienst te adviseren over de nieuwe data-aanpak. Accenture laat aan ZEMBLA schriftelijk weten: “We zijn zeker dat we aan alle relevante regels en procedures voor dit project hebben voldaan.”
De Broedkamer, die in 2016 overging in het bedrijfsonderdeel Data & Analytics, is een belangrijke spil in de reorganisatie van de Belastingdienst. Door verschillende gegevens aan elkaar te koppelen en te analyseren probeert de Belastingdienst tegen minder kosten meer belastinggeld op te halen. De Belastingdienst beschikt niet alleen over gegevens zoals ons adres en inkomen maar bijvoorbeeld ook over ons reisgedrag, onze schulden en vermoedens van strafbare feiten.