Integriteitsrisico's door relatie in top Belastingdienst
14-02-2017
•
leestijd 12 minuten
•
2871 keer bekeken
•
WIEBES BLIJFT BIJ INTERN ONDERZOEK: 'SLAGER KEURT EERST EIGEN VLEES'
Staatssecretaris Erik Wiebes van Financiën wil geen onafhankelijk onderzoek naar de misstanden bij de Data & Analytics-afdeling van de Belastingdienst, die ZEMBLA onlangs aan het licht bracht. In de ZEMBLA-uitzending verklaarden klokkenluiders uit de ambtelijke top van de Dienst, dat de persoonsgegevens van 11 miljoen Nederlanders en gegevens van 2 miljoen bedrijven jarenlang volstrekt onvoldoende beveiligd waren. Binnen de data-afdeling was nauwelijks toezicht op de naleving van privacywetgeving. De top van de Belastingdienst, zo blijkt uit vertrouwelijke documenten, is meerdere keren gewaarschuwd voor de beveiligingsproblemen, maar trad niet op. Directeuren van de data-afdeling die nu nog steeds in functie zijn, waren volgens de klokkenluiders betrokken bij alle misstanden die in de ZEMBLA-uitzending werden onthuld. Bovendien, zo verklaren meerdere hooggeplaatste bronnen tegenover Zembla, had een van die directeuren een relatie met de hoogste baas van de Belastingdienst, Hans Blokpoel. De betreffende directeur zou dat deze week binnen de Belastingdienst bekend hebben gemaakt. Toch weigert Wiebes een extern onafhankelijk onderzoek naar de afdeling: “De eerste die het vlees moet keuren, is de slager.”
Wie is de slager die van Wiebes bij de Belastingdienst het eigen vlees mag keuren? De staatssecretaris schrijft vandaag
in een brief aan de Tweede Kamer
dat hij elke schijn van belangenverstrengeling wil vermijden: “Daarom wordt (…) dit onderzoek uitgevoerd door de Belastingdienst, onder direct gezag van de hoofddirecteur Informatievoorziening (…) geheel los van de afdeling D&A.” Wiebes laat de Audit Dienst Rijk meekijken met het onderzoek, om de objectiviteit te garanderen.
Het is de vraag of in dit interne onderzoek ook de positie van de zittende directeuren van de afdeling Data&Analytics onder de loep wordt genomen. Daar lijkt namelijk alle reden toe. ZEMBLA beschikt sinds november over een usb-stick met meer dan honderd vertrouwelijke documenten van de Belastingdienst. Die gaan allemaal over de zogenaamde Broedkamer, de voorloper van de afdeling Data & Analytics. In veel van die interne documenten prijkt de naam van Alexandra Dijk. De directeur van de Broedkamer.
Die Broedkamer is een los georganiseerde groep dataspecialisten, een soort ‘interne Silicon Valley’, die vanaf 2013 de taak heeft alle gegevens waar de Belastingdienst over beschikt, te koppelen en daar Big Data analyses op los te laten. We vinden de naam van Alexandra Dijk in e-mails over een aanbesteding, in voortgangsrapportages en op onderzoeksrapporten van externe consultants.
Omtzigt
Tijdens het Kamerdebat over de ZEMBLA-uitzending is Dijk in de Tweede Kamer aanwezig. Ze had Wiebes veel kunnen vertellen over de dringende waarschuwingen die zij meerdere keren - en al geruime tijd geleden - heeft gekregen om iets te doen aan de ernstige beveiligingsproblemen. Die waarschuwingen komen namelijk direct op haar bureau terecht, zo blijkt uit interne stukken van de Belastingdienst.
Het achterhouden van waarschuwingen voor beveiligingsproblemen zou een strafbaar feit kunnen zijn voor ambtenaren van de Belastingdienst, zegt CDA Kamerlid Pieter Omtzigt in het debat. Reden om het onderzoek naar eventuele misstanden niet in handen te geven van die ambtenaren, maar van een externe partij. Omtzigt eist in een motie dan ook een onafhankelijk onderzoek. Maar daar wil de staatssecretaris niets van weten. Er is volgens hem geen enkele aanleiding om te denken dat er een beveiligingslek is geweest. Ook waarschuwingen voor zo’n lek zegt Wiebes nooit te hebben gezien. “Ik heb zeer kortgeleden een signaal gekregen dat er signalen zouden zijn geweest”, dat is alles wat hij er in het Kamerdebat over kwijt wil. Meer details over de waarschuwingen krijgt de Tweede Kamer vooralsnog niet te horen.
LiquidHub
In 2015 geeft Dijk adviesbureau LiquidHub opdracht advies uit brengen over de Broedkamer. Uit de documenten blijkt dat Dijk van LiquidHub het advies krijgt om het beheer van de persoonsgegevens professioneler aan te pakken. In februari van dat jaar schrijven de adviseurs: “
Data management en workflow is nog niet toereikend georganiseerd
”. En een maand later, in maart, nog een keer: “
Organiseer Data Governance binnen BIA en de bedrijfsvoering waardoor zorgvuldige omgang met gegevens wordt geborgd met afdoende aandacht voor beveiliging en een auditeerbare situatie ontstaat
.” Mochten deze adviezen onduidelijk zijn geweest, vanaf augustus 2015 kan Dijk niet meer om de feiten heen. Een consultant van LiquidHub benadrukt de urgentie van de zaak: “
Er dient te worden geborgd dat Data & Analytics middels invulling van Data Governance, binnen de wettelijke kaders acteert en alle richtlijnen respecteert. Hiertoe dient een framework te worden ontworpen en geïmplementeerd waardoor kan worden aangetoond ‘in control’ te zijn en compliant.” (lees het rapport Data & analytics voor de belastingdienst)
De Belastingdienst is niet ‘compliant’, oftewel: de Dienst overtreedt de wet. Al sinds de oprichting van de Broedkamer in 2013. En het is volstrekt duidelijk waaruit die overtreding bestaat: “Dit strekt zich uit van data anonimisatie, logging en met profiel gebaseerde autorisaties. Rapportages, gevraagd en ongevraagd, moeten kunnen worden overlegd aan interne- & externe instanties om inzage te geven in de mate van control en de graad van compliance op wetgeving en van richtlijnen.”
Geen maatregelen
Alle verzamelde belastinggegevens zijn voor tientallen ambtenaren en extern ingehuurde consultants volledig toegankelijk, zonder enige vorm van toegangscontrole of logging. Dat laatste maakt het onmogelijk om te bepalen of er gegevens zijn meegenomen of ingezien. Dijk heeft dus reden genoeg om in te grijpen en er bij algemeen directeur Hans Blokpoel op aan te dringen dat de Belastingdienst zich aan de Wet Bescherming Persoonsgegevens moet gaan houden. Privacy-experts stellen in ZEMBLA dat de Belastingdienst de Broedkamer direct had moeten stilleggen. Hoogleraar Bart Jacobs (Computerveiligheid, Radboud Universiteit) zegt in ZEMBLA: “
Als je niet aan de wet voldoet dan lijkt het me toch een ernstige zaak als een overheidsinstantie het overtreden van de wet in stand houdt.
” Maar er gebeurt niets. De waarschuwingen van LiquidHub leiden niet tot ingrijpen.
ZEMBLA
spreekt de afgelopen maanden met meerdere bronnen rond de Broedkamer die dit bevestigen. Verschillende direct betrokkenen leggen een verklaring onder ede af.
Dat Dijk en Blokpoel alle waarschuwingen negeren, blijkt ook als de Auditdienst Rijk, de accountantsdienst van Financiën, begin 2016 een onderzoek doet. Een jaar na de eerste waarschuwingen van LiquidHub is het beveiligingslek nog steeds niet gedicht. De ADR: “Om data voor medewerkers af te schermen, zijn gedachten aanwezig zoals toegangspasjes om op de afdeling te komen, logging en monitoring. Deze maatregelen zijn nog niet geëffectueerd.” (lees hier het rapport
ADR Onderzoek borgingsmaatregelen D&A
)
Volgens staatssecretaris Wiebes is dit begrijpelijk; pas in 2016 wordt de Broedkamer een officiële afdeling en dus wordt vanaf dat moment belang gehecht aan verzwaarde beveiligingseisen. Wiebes legt niet uit waarom die zware beveiliging vóór 2016 niet nodig was.
Napoleon
Waarom grijpen Dijk en Blokpoel niet in terwijl daar alle reden toe is? Bronnen omschrijven Blokpoel als ‘een soort Napoleon’, ‘een Berlusconi’ en ‘een heel slimme en gehaaide bestuurder’. Blokpoel heeft een duidelijke visie: door alle informatie van de Dienst te koppelen en daar Big data analyses op los te laten, zou veel efficiënter gewerkt kunnen worden en zouden de opbrengsten omhoog gaan. De Broedkamer is de spil in de veranderingen. Meerdere betrokkenen uit de ambtelijke top van de Belastingdienst laten ons weten het eens te zijn met die visie van Blokpoel. De problemen beginnen bij de uitvoering. Daar heeft Blokpoel geen aandacht voor. Hij gelooft heilig in ‘zijn’ Broedkamer. “
Blokpoel had alleen maar oog voor wat daar gebeurde
”, zegt een bron, “
hij had het graag over de slimme, creatieve manier van werken
”. Blokpoel wil niets weten van kritiek op de Broedkamer. Zijn rotsvaste geloof in Big Data gaat gepaard met openlijk dedain voor de rest van de Dienst, zeggen bronnen. “
Hij keek neer op IT-ers, op fiscalisten, op de oude Belastingdienst.
”
Relatie
Dijk en Blokpoel zijn volgens meerdere informanten twee handen op één buik. Een directeur omschrijft Dijk als ‘
een soort extra lid van de Raad van Bestuur’
. Een andere bron verklaart: “
Door managers van de Belastingdienst werd gesproken over de ongezonde werkrelatie tussen Hans Blokpoel en Alexandra Dijk. Die twee hadden zeer veel contact. Ook privé.
” Meerdere bronnen verklaren dat die ‘ongezonde werkrelatie’ in werkelijkheid een liefdesrelatie is. “
Binnen de top van de Belastingdienst werd ervan uitgegaan dat Blokpoel een relatie heeft met Alexandra Dijk
.”
Zulke liefdesrelaties liggen gevoelig bij de Rijksoverheid. De ‘Gedragscode Integriteit Rijk’ benadrukt dat relaties tussen ambtenaren een integriteitsrisico met zich mee kunnen brengen. Dat risico is nog groter “
als er sprake is van een machtsverschil, zoals bij een relatie tussen een leidinggevende en een ondergeschikte.(…) Het is bijvoorbeeld niet wenselijk dat partners elkaars werk beoordelen, controleren, of goedkeuren
.” Relaties die risico’s met zich meebrengen, dienen gemeld te worden. Zo nodig “
kan overplaatsing naar een andere afdeling of dienstonderdeel aan de orde zijn
”. Dijk en Blokpoel weigeren beiden te bevestigen of te ontkennen dat ze een relatie hebben of hebben gehad. Ze verwijzen allebei naar het ministerie van Financiën voor commentaar. Het ministerie geeft geen antwoord op onze vraag of Blokpoel en Dijk in de afgelopen jaren een relatie hadden en of zij die relatie bij het ministerie gemeld hebben. Meerdere bronnen verklaren tegenover ZEMBLA dat Alexandra Dijk in de afgelopen week binnen de Belastingdienst bekend heeft gemaakt dat ze een relatie heeft met Hans Blokpoel.
De verhouding tussen de hoogste baas van de Belastingdienst en de directeur van de Broedkamer is al lange tijd onderwerp van gesprek, vertellen bronnen in de ambtelijke top. “
Ze hadden zeer intensief contact via de app, reden vaak samen naar huis, terwijl ze op verschillende plekken woonden en gingen samen op reis voor een internationale belastingorganisatie
.” De sterke vermoedens over de relatie zorgen voor een extreem onveilige atmosfeer. “
Alle beslissingen liepen via Alexandra Dijk. Zij zorgde ervoor dat alles wat Blokpoel wilde ook daadwerkelijk werd uitgevoerd. Koste wat het kost. Kritiek op Data & Analytics was not done.”
Accenture
Alexandra Dijk wordt in 2010 CFO, Chief Financial Officer, van de Belastingdienst. De hoogst verantwoordelijke voor de bedrijfsvoering van de Dienst. Dijk rapporteert rechtstreeks aan Blokpoel, de algemeen directeur en vanaf 2015 voorzitter van de Raad van Bestuur.
Als CFO is Dijk verantwoordelijk voor het ondersteunen van een grote reorganisatie die de Belastingdienst tussen 2011 en 2013 doorvoert: de ‘concentratiebeweging’. Dijk en Blokpoel werken daarbij intensief samen met een bekend consultancybedrijf: Accenture. Tijdens die samenwerking wordt het idee voor een Broedkamer geboren, verklaart een direct betrokkene: “
De bedoeling was om door data analytics de productiviteit te verhogen. Meer opbrengsten dus. Maar ook om de kosten te verlagen, er zouden minder mensen nodig zijn. Die konden afvloeien via een vertrekregeling. Die aantallen zijn samen met Accenture berekend.”
Het ligt voor de hand dat de Belastingdienst het liefst Accenture zou binnenhalen om de Broedkamer vorm te geven. Er is echter wel een probleem: de opdracht gaat ver boven de tweehonderdduizend euro. En dus moet er openbaar worden aanbesteed. Het is Alexandra Dijk die als CFO verantwoordelijk is voor de aanbestedingsprocedure. Uit de vertrouwelijke stukken die in het bezit zijn van ZEMBLA blijkt iets vreemds. Het aanbestedingsdocument waarin geïnteresseerde leveranciers de gegevens kunnen vinden om een offerte op te stellen, bevat nauwelijks informatie. Dat wekt argwaan bij meerdere betrokken ambtenaren en leveranciers. Ze hebben het vermoeden dat één partij wordt bevoordeeld: Accenture. Verschillende bronnen benadrukken dat Accenture al eerder nauw heeft samengewerkt met Blokpoel en Dijk en waarschijnlijk kan beschikken over veel meer informatie dan de concurrentie. Een van onze bronnen verklaart: “
Accenture moest het worden, dat was geen geheim binnen de Dienst
.” Een ander: “
Wij wisten, die zaak stinkt
.”
De procedure zou doorgestoken kaart zijn. De geruchten daarover bereiken ook de concurrerende leveranciers. Ordina en Deloitte schrijven samen een aanbieding. Een bron die bij deze offerte betrokken is, vertelt: “
Uit gesprekken die wij voerden met de verantwoordelijken binnen de Belastingdienst bleek dat de aanbesteding voorgekookt was. Accenture moest winnen, dat was duidelijk. Er liepen ook al mensen van Accenture rond die betrokken waren bij het voortraject van de aanbesteding
.”
Het wantrouwen tegen de Belastingdienst wordt nog verstrekt door de nauwe banden die Hans Blokpoel leek te onderhouden met Accenture. Zo was hij al een aantal jaren juryvoorzitter van de Accenture Innovation Award. Status, daar is hij gevoelig voor, zeggen bronnen die met Blokpoel hebben samengewerkt. “
Hij wordt graag op een voetstuk gezet. Dat speelde Accenture heel slim uit.
”
Cyprian Smits
Alexandra Dijk krijgt van Blokpoel een centrale rol in de Big Data plannen. Naast CFO wordt ze ook directeur van de Broedkamer. Een bron die in die tijd bij de Broedkamer betrokken is, vertelt dat de aanstelling van Dijk de wenkbrauwen doet fronsen: “Ze wist echt niets van data analytics, helemaal niets.” Waarschijnlijk om die reden wordt een datawetenschapper als haar adjunct aangesteld. Cyprian Smits. Bronnen die rechtstreeks met Smits gewerkt hebben, omschrijven hem als een briljante econometrist. Maar ook als een botte leidinggevende die uitermate denigrerend spreekt over ambtenaren buiten de Broedkamer. De sfeer onder het duo Dijk-Smits is benauwend. “
De cultuur rond het management van de Broedkamer is afschuwelijk. Er is veel grof taalgebruik, er wordt veel gescholden. Ze hebben het over idioten, sukkels. Mensen zitten te huilen in vergaderingen
.”
Kritiek op de aanpak van de Broedkamer wordt door Alexandra Dijk direct doorgebriefd aan Hans Blokpoel. Er is sprake van een uitermate onveilige omgeving, verklaren bronnen uit de top van de Dienst. Blokpoel communiceert vooral via zijn adjudanten Dijk en Smits, vertelt een directeur, “
buitengewoon beklemmend
. ”Een andere bron: “
De hele organisatie weet dat er een wederzijdse, maximale afhankelijkheid was tussen Hans Blokpoel, Alexandra Dijk en Cyprian Smits om elkaar in positie te houden.”
We hebben Smits meerdere malen om een reactie gevraagd maar hij reageert niet.
In augustus 2015 krijgt Dijk de alarmerende waarschuwing van LiquidHub op haar bureau. Vrij vertaald: de Broedkamer voldoet niet aan de wettelijke eisen voor privacybescherming en gaat zeer amateuristisch te werk. Er wordt niet gelogd wie wat met welke data doet. Zelfs het downloaden van data wordt niet bijgehouden. Bovendien zijn er geen fatsoenlijke autorisatieprofielen. Het zijn zeer basale veiligheidseisen, maar de broedkamer voldoet er niet aan. Er móét worden ingegrepen. Maar Dijk, Smits en Blokpoel gaan door op de ingeslagen weg en laten daarmee willens en wetens een situatie bestaan waarin de Belastingdienst de privacyrechten van miljoenen Nederlanders schendt. Dat Accenture, een commercieel bedrijf, nauwelijks gecontroleerd toegang heeft tot zeer gevoelige gegevens van burgers en bedrijven, van klanten en concurrenten, doet ook geen alarmbellen rinkelen.
Niets gemeten
Rond dezelfde tijd is Alexandra Dijk bezig om van de los georganiseerde Broedkamer een officiële afdeling te maken. Daarbij benadrukt ze de grote successen die de dataspecialisten al hebben geboekt. In een zogenaamde Roadmap, een soort plan van aanpak, schrijft ze: “
In het eerste jaar van de Broedkamer is (…) een meeropbrengst van 150 M euro gerealiseerd.
” Het is hetzelfde verhaal dat Cyprian Smits bij presentaties van de Broedkamer vertelt: er worden meetbare successen geboekt en miljoenen opgehaald. Maar de werkelijkheid is dat er helemaal niets gemeten wordt. Een direct betrokken bron zegt: “
Dat bedrag is nergens op gebaseerd. Ik heb begrepen dat dat bedacht is tijdens een etentje van het management van de broedkamer
.” Uit de documenten in bezit van ZEMBLA blijkt dat bij belangrijke projecten van de Broedkamer geen nulmeting is gedaan. Er kunnen dus helemaal geen meeropbrengsten worden vastgesteld. Toch wordt Accenture op basis van behaalde meeropbrengsten beloond. De Belastingdienst heeft een prestatiecontract met het adviesbureau afgesloten, laat het ministerie van Financiën weten. (Lees hier:
de vragen en de reactie
van het Ministerie over de liefdesrelatie tussen Hans Blokpoel en Alexandra Dijk, zie ook:
alle antwoorden van het Ministerie van Financien op vragen van ZEMBLA
)
Voor Cyprian Smits heeft het zogenaamde succes nog een aardig bijeffect. Hij wordt door Accenture, leverancier van de Belastingdienst, in 2016 uitgeroepen tot ‘Innovator van het jaar’. Volgens Accenture is die prijs bedoeld ‘voor iemand die bewezen impact heeft gerealiseerd door het succesvol uitrollen van innovatie(s) in een toonaangevende organisatie’. Het is niet duidelijk welke bewezen impact Accenture hier bedoelt. Het gaat overigens om dezelfde Accenture wedstrijd waarvan Hans Blokpoel eerder een aantal keren juryvoorzitter was.
Niet alleen binnen de Belastingdienst en het ministerie van Financiën worden zogenaamde successen breed uitgemeten. Kamerleden die op werkbezoek gaan in de Broedkamer krijgen dezelfde verhalen te horen. Bronnen verklaren tegenover ZEMBLA dat ambtenaren onder druk worden gezet om de waarheid geweld aan te doen. “
Ik weet dat bij presentaties van de Broedkamer mensen gevraagd werd te liegen om resultaten positiever te maken. Dat ging om presentaties aan politici.”
Staatssecretaris Wiebes weigert dezelfde Kamerleden inzage te geven in interne documenten waaruit blijkt dat de Belastingdienst meerdere keren is gewaarschuwd voor het beveiligingslek bij de Broedkamer.
Directeur Hans Blokpoel heeft inmiddels het veld moeten ruimen. Ook van Directeur Generaal Hans Leijtens heeft Wiebes afscheid genomen. Maar Alexandra Dijk en Cyprian Smits mogen blijven zitten.
Bronnen Ons onderzoek is gebaseerd op honderd vertrouwelijke documenten en e-mails die afkomstig zijn van de Belastingdienst. Daarnaast spraken wij met hooggeplaatste bronnen van binnen en buiten de Belastingdienst. Zeven personen (tot en met directieniveau) hebben een schriftelijke verklaring afgelegd. Gezien de gevoeligheid van het onderwerp hebben de drie belangrijkste bronnen een verklaring onder ede afgelegd bij een notaris.