Politiek

Privacywaakhond eindelijk tevreden over informatiebeveiliging Belastingdienst

Matthias Pauw • 16 oktober 2019 14:30 @mattpauw

Staatssecretaris van Financiën Menno Snel. Beeld © ANP

De Autoriteit Persoonsgegevens heeft zijn onderzoek naar misstanden bij de Belastingdienst na ruim 2,5 jaar afgerond. De problemen rond de bescherming en verwerking van gevoelige gegevens van belastingplichtigen zijn opgelost.

Dat schrijft de AP in een brief aan staatssecretaris Menno Snel.

De problemen deden zich voor bij de afdeling Data & Analytics, die tegenwoordig Datafundamenten & Analytics heet. Op die afdeling worden grote hoeveelheden data van belastingbetalers verwerkt en geanalyseerd, maar de beveiliging daarvan bleek abominabel.

Drie fikse problemen

De AP constateerde drie grote problemen:

Logging

Het exporteren van de gegevens uit de systemen naar de werkplek van medewerkers werd niet gelogd, net als het schrijven van data naar usb-sticks en het opslaan van bijlagen op mobiele apparaten.

Dat leverde nogal een risico op. "Nergens in de keten werd vastgelegd door wie, welke data mogelijk onrechtmatig buiten de Belastingdienst werd gebracht", schrijft de AP. Uit een intern onderzoek bleek in 2017 dat gegevens van tienduizenden mensen buiten de beveiligde omgeving van de Belastingdienst terecht waren gekomen.

Controle

Voor zover er wel zaken werden gelogd, werd dit niet of niet systematisch gecontroleerd, omdat de logging niet was aangesloten op het systeem waarop gemonitord werd.

Autorisaties niet ingetrokken

Als laatste pijnpunt constateerde de AP dat medewerkers te ruime machtigingen hadden om data te bekijken en te verwerken en dat autorisaties niet op tijd werden ingetrokken als een medewerker of externe inhuurkracht niet meer in dienst was.

In september vorig jaar dacht de fiscus alles al op orde te hebben, maar de AP dacht daar anders over en startte een vervolgonderzoek.

Eindelijk opgelost

Inmiddels heeft de Belastingdienst de zaken dus wel voldoende op orde. Zo moeten medewerkers nu toestemming vragen om gegevens te exporteren naar hun eigen werkplek en wordt er bijgehouden welke zoekvragen medewerkers geven aan de systemen. Bovendien is het niet meer mogelijk om data te versturen naar mailadressen buiten de Belastingdienst.

Daarnaast krijgen medewerkers geen toestemming meer voor opslag op usb-sticks, waarmee dat probleem ook is verholpen. Bijlages bij mails kunnen nog wel geopend worden, maar alle bijlages zijn inmiddels versleuteld.

Ook is de logging inmiddels aangesloten op het systeem waarmee dat ook daadwerkelijk in de gaten kan worden gehouden en als er een poging wordt gedaan om iets te mailen naar een adres buiten de Belastingdienst gaat er een spreekwoordelijke alarmbel af.

En ook het laatste pijnpunt van de te ruime autorisaties is inmiddels aangepakt, concludeert de AP.

Snel houdt het in de gaten

De AP roept de fiscus wel op om audits te blijven uitvoeren op de informatiebeveiliging en 'risico's en maatregelen periodiek te herbeoordelen'. In een brief aan de Tweede Kamer belooft Snel dit te zullen doen.

Bron • RTL Z