De definitieve rapporten over het datalek bij de Belastingdienst zijn onlangs gepubliceerd. Volgens demissionair staatssecretaris Eric Wiebes van Financiën wist het management van de betreffende afdeling dat er slecht werd omgegaan met persoonsgegevens.
Eind juni werd bekend dat een aantal medewerkers van de afdeling Data & Analytics (D&A) persoonlijke informatie van belastingplichtigen naar zichzelf stuurden. Nader onderzoek bevestigt dat de informatie uitsluitend voor de te verrichte werkzaamheden is gebruikt. Er bleek echter ook dat de afdeling te veel een eigen koers kon varen.
Data-analyse
De Belastingdienst wil groot inzetten op de analyse van aangiften en andere over belastingplichtigen beschikbare gegevens, hiermee zouden fraude en mogelijke risico’s eerder herkend moeten worden. In 2013 is de voorloper van de afdeling D&A opgezet, en zeer snel gegroeid.
De nieuwe afdeling kon in feite zelf bepalen hoe de richtlijnen voor gegevensbeveiliging van de Belastingdienst, het Handboek Beveiliging Belastingdienst (HBB), werden toegepast.
Er werd niet op centraal niveau gecontroleerd of er wel zorgvuldig werd omgegaan met de persoonlijke gegevens van belastingplichtigen.
Het ontbreken van een centrale controle is overigens een breder probleem binnen de Belastingdienst, dat zal worden aangepakt.
Onzorgvuldige werkwijze
In zeker tien gevallen is er niet zorgvuldig omgegaan met de gegevens van belastingplichtigen. Het ging niet alleen om de eigen medewerkers, maar ook de ingehuurde deskundigen handelden niet conform het HBB. In de praktijk is er niet gecontroleerd of vertrouwelijke gegevens ‘buiten de Belastingdienst werden gebracht’.
De onderzoekers liepen tegen specifieke problemen aan, zodat de omvang van het datalek niet met zekerheid kan worden achterhaald. De gebruikte systemen bestaan soms niet meer, bepaalde informatie is alleen beschikbaar voor recente periodes, en de inhoud van verwijderde e-mails kan niet meer worden achterhaald.
Risico’s
Er waren veel dingen mis bij de afdeling D&A, waardoor er grote beveiligingsrisico’s ontstonden. Zo hadden vanaf 2014 alle medewerkers van de Belastingdienst toegang tot de afdeling. De werkplekken zelf waren wel beveiligd, maar de vertrouwelijke informatie kon eenvoudig worden verstuurd. Ook waren er veel medewerkers met een USB-ontheffing, zodat persoonlijke gegevens makkelijk konden worden gedownload op een USB-stick.
Het management van de afdeling wist dat er onzorgvuldig werd omgegaan met persoonlijke gegevens.
Maatregelen
Naar aanleiding van het datalek worden er verschillende maatregelen genomen.
- Nog dit jaar komt er een beter toezicht op de activiteiten van medewerkers, en een goede registratie van de werkwijze. De werkwijze wordt daarna regelmatig beoordeeld en eventueel verbeterd.
- In 2018 wordt begonnen met de versleuteling van persoonlijke gegevens, zodat die niet meer kunnen worden herleid naar een specifieke belastingplichtige.
- Vanaf half 2018 kunnen de medewerkers van D&A alleen de gegevens bekijken, die zij nodig hebben voor hun specifieke werkzaamheden.