Politiek

Belastingdienst lekte gegevens tienduizenden Nederlanders

Michaël Niewold & Daniël Verlaan • 19 oktober 2017 10:58

Belastingdienst lekte gegevens tienduizenden Nederlanders
Staatssecretaris Eric Wiebes. Beeld © Archieffoto ANP

Bij een belangrijke afdeling van de Belastingdienst waren gegevens van burgers en bedrijven niet in goede handen. Deze data werden verstuurd naar derden en medewerkers zochten naar informatie over individuele belastingbetalers.

Dat blijkt uit meerdere onderzoeken naar de beveiliging bij de afdeling Data & Analytics, onder meer gedaan door de Auditdienst Rijk, de interne accountant van de overheid. Ook de Belastingdienst zelf deed onderzoek.

Dat gebeurde naar aanleiding van een uitzending van Zembla. Volgens de onderzoeksjournalisten waren de gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven onvoldoende beveiligd in de periode van 2013 tot 2016.

Het beveiligingslek zat op een afdeling die door middel van het koppelen van gegevens van meerdere overheidsdiensten probeert meer belastinginkomsten binnen te halen tegen lagere kosten. De afdeling werd 'Broedkamer' genoemd, maar in 2016 omgedoopt tot Data & Analytics.

Gegevens niet goed beveiligd

Het verhaal werd ontkend door de Belastingdienst, maar verantwoordelijk staatssecretaris Eric Wiebes liet na aandringen van de Tweede Kamer wel onderzoek doen.

Uit het onderzoek uitgevoerd door de Belastingdienst zelf, blijkt dat in de periode van januari 2012 tot februari 2016 gegevens inderdaad niet goed beveiligd waren. Uit een tweede onderzoek van de fiscus naar de beveiliging tussen februari 2016 en februari 2017 blijkt dat de privégegevens van tienduizenden Nederlanders 'buiten de beveiligde omgeving van de  Belastingdienst zijn gebracht'.

Hier een overzicht van de belangrijkste manieren waarop dit mis ging: 

  • In juli 2016 verstuurde de Belastingdienst de gegevens over de inkomstenbelasting uit 2011 van 50.000 Nederlanders naar een e-mailadres buiten de Belastingdienst. Om welk e-mailadres het gaat, is niet bekend.
  • In december 2016 verstuurde de Belastingdienst een bijlage met daarin de inkomens, belastingschulden en banktegoeden van 250 Nederlanders naar 'een e-mailaccount van een bedrijf'.
  • Er zijn gegevens opgeslagen op een Amazon-server, onduidelijk is om welke gegevens het gaat en of de server in de VS of Europa stond.
  • Het was mogelijk om de gegevens direct vanuit de software per e-mail te versturen, wat het risico op het lekken van gegevens groter maakt.
  • Het meenemen van gegevens werd makkelijker gemaakt omdat het mogelijk was om vanaf de werk-pc's gegevens via de mail of usb gegevens te versturen of mee te nemen.
  • En dat is ook gebeurd, blijkt uit het onderzoek. Een medewerker van de Belastingdienst stuurde in de bijlage van een mail naar een ander bedrijf gegevens over de omzetbelasting van 1100 bedrijven.
  • En het is vaker misgegaan, blijkt uit de analyse van loggegevens van het mailprogramma. De onderzoekers vonden na een steekproef 21 e-mails met een opvallende naam van bijlage of als onderwerp van de mail. Wat er verstuurd is, is alleen onduidelijk. Vier mails waren door de verzender zelf verwijderd, de andere 17 waren gewist omdat de persoon die ze verstuurde niet meer bij de fiscus werkte.
  • Uit een andere steekproef blijkt dat medewerkers gegevens opzochten over drie individuele burgers. Daar zat ook een bekende Nederlander bij, door de Belastingdienst zelf omschreven als 'VIP'.
  • Het is verder totaal onduidelijk of de ingehuurde medewerkers van bedrijven die hielpen met de IT, goed zijn omgegaan met de gegevens van de Belastingdienst of ze die zijn gelekt. Het 'ontbreekt aan nadere informatie' om dat te checken. Ook valt niet te controleren of de gegevens op een externe harde schijf die aan een bedrijf werd gegeven wel geanonimiseerd waren. Ook konden de onderzoekers niet meer achterhalen of de gegevens wel goed beveiligd waren en uiteindelijk zijn vernietigd.
  • De kantoren waar de afdeling zat waren tot begin 2014 alleen toegankelijk voor medewerkers die daar toestemming voor hadden. Daarna konden ook andere medewerkers van de Belastingdienst in en uit lopen, omdat zij meer rechten kregen op hun Rijkspas. Met deze pas hebben ambtenaren toegang tot het gebouw waar ze werken.
  • Er kwamen al eerder waarschuwingen over de risico's van het lekken van data. Met de uitkomsten van twee onderzoeken over deze risico's is niets gedaan.
  • Externe medewerkers van voornamelijk het Amerikaanse bedrijf Accenture moesten een Verklaring Omtrent Gedrag en een kopie van het identiteitsbewijs inleveren. Die documenten konden niet allemaal meer worden teruggevonden, wat slechts deels te verklaren is door het feit dat het bedrijf al een geheimhoudingsverklaring had gesloten.
  • Alle medewerkers van de dienst zelf en van bedrijven die meewerkten die op de data-analyse afdeling werkten, moesten vanaf mei 2015 trainingen volgen hoe ze met privacy-gevoelige data om moesten gaan. Begin 2016 had een groot deel van de medewerkers het certificaat dat bij de cursussen hoort nog niet.

De uitkomst van het onderzoek bevestigt dat er veel misgaat bij de fiscus op het gebied van het bewaren van privacyvoelige gegevens. In de zomer deed Wiebes al aangifte bij het Openbaar Ministerie toen uit de tussenstand van een ander onderzoek naar de afdeling Data & Analytics bleek dat er persoonlijke informatie over bepaalde personen naar buiten is gebracht. 

En begin september bleek dat de Belastingdienst jarenlang miljoenen kentekenfoto's bewaarde, wat in strijd is met de Wet bescherming persoonsgegevens. 

Werkgerelateerd

In de begeleidende Kamerbrief bij de rapporten schrijft Wiebes dat de gegevens buiten de Belastingdienst werden gebracht omdat medewerkers er thuis aan wilden doorwerken. "Dat is tegen de regels en niet acceptabel", meldt hij. 

Hij benadrukt dat er geen aanwijzingen zijn gevonden dat de persoonsgegevens voor iets anders dan werk zijn gebruikt. In die lezing wordt hij gesteund door het Openbaar Ministerie, die was ingeschakeld en hun onderzoek inmiddels hebben beëindigd. 

Onderzoek Autoriteit Persoonsgegevens 

De Autoriteit Persoonsgegevens is nog wel steeds bezig met het onderzoek dat de privacywaakhond startte na de onthullingen van Zembla. "In zijn algemeenheid geldt dat belastinggegevens gevoelige gegevens zijn en dat de Belastingdienst er alles aan moet doen om die zo goed mogelijk te beveiligen", geeft de AP als reden voor het onderzoek. 

In een reactie aan RTL Z laat de AP weten dat ze 'zeker geïnteresseerd' zijn in de uitkomsten van de onderzoeken: "Wij gaan de rapporten bestuderen." 

Kamervragen voor Wiebes

De rapporten zijn aanleiding voor Tweede Kamerlid Pieter Omtzigt (CDA) om Kamervragen te stellen aan staatssecretaris Eric Wiebes over wat hij noemt het 'totale gebrek aan informatiebeveiliging' bij de Belastingdienst. 

De Tweede Kamer debatteert volgende week woensdag met Wiebes over de problemen bij de Belastingdienst. Niet alleen de rapporten staan dan op het programma, ook komt Wiebes tekst en uitleg geven over de voortgang van de reorganisatie bij de fiscus. Die loopt nog niet zoals gepland. 

Uit een kritisch rapport van de Algemene Rekenkamer bleek vorige week dat de honderden miljoenen die beschikbaar zijn voor het op orde brengen van onder meer de ict nog maar nauwelijks zijn uitgegeven. Wel is er veel geld gegaan naar de uit de hand gelopen reorganisatie.

De Rekenkamer denkt dat alle investeringen pas in 2027 geld zullen opleveren

Bron • RTL Z

Gerelateerde artikelen