De Belastingdienst heeft de financiële en persoonlijke gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven in de periode van 2013 tot 2016 onvoldoende beveiligd. Oorzaak hiervoor is dat de zogenaamde Broedkamer, de data-analyse-afdeling van de Belastingdienst, het autorisatiesysteem in deze periode niet op orde had. Dit blijkt uit vertrouwelijke documenten van de Belastingdienst die in het bezit zijn van Zembla, het onderzoeksjournalistieke tv-programma van de VARA.
Dataverwerking op de data-analyse-afdeling werd niet gelogd of gemonitord, waardoor niet achterhaald kan worden wie op welk moment met gevoelige data heeft gewerkt. De Belastingdienst is hiervoor in maart 2015 al gewaarschuwd door consultancybureau LiquidHub. Dit hebben bronnen onder ede aan Zembla laten weten, aldus het tv-programma. Er werd herhaaldelijk op gewezen dat de leiding maatregelen moest nemen om aan de Wet Bescherming Persoonsgegevens te voldoen. Volgens de bronnen zijn de rapporten echter in een la van de directie verdwenen. In maart 2016 concludeert ook de Auditdienst Rijk (ADR) in een rapport dat deze beveiligingsmaatregelen ‘niet geëffectueerd zijn’.
De Autoriteit Persoonsgegevens (AP) is na melding van Zembla een onderzoek gestart naar de databeveiliging bij de Belastingdienst. Staatssecretaris Wiebes, verantwoordelijk voor de Belastingdienst, laat in een schriftelijke reactie aan de tv-makers weten dat voor de Broedkamer ‘de reguliere beveiligingseisen’ golden. Hij geeft wel toe dat niet gemonitord is welke dataverwerking is uitgevoerd, maar verlies of diefstal is volgens hem nog niet geconstateerd. Wel blijft volgens Zembla onduidelijk of de beveiliging nu wel op orde is.
Wie is verantwoordelijk?
In een reactie stelt een woordvoerder van de Belastingdienst dat het voor de uitvoeringsinstantie onduidelijk is op welk ADR-rapport Zembla zich baseert. ‘We vermoeden dat het niet gaat om een toets van de huidige, bestaande beveiliging van de data-analyse afdeling, maar om een audit die in maart 2016 is uitgevoerd, nog voor de afdeling een feit werd. In dit advies staat wat we op beveiligingsgebied zouden kunnen doen, bovenop de algemene beveiligingsmaatregelen die bij de Belastingdienst gelden. In het rapport staat de standaardformulering: ‘deze beveiligingsmaatregelen zijn niet geëffectueerd’. Dit is logisch, omdat het ook gaat om een adviserend rapport voor de oprichting van de data-analyse-afdeling’, aldus de woordvoerder.
‘In algemene zin kan ik zeggen’, vervolgt de zegsman, ‘dat we zorgvuldig omgaan met persoonsgegevens en de Wet Bescherming Persoonsgegevens naleven. De Auditdienst Rijk controleert ons ook op dit gebied.’
Op de vraag wie er nu precies verantwoordelijk is voor de ict-beveiliging binnen de Belastingdienst heeft de woordvoerder opvallend genoeg niet direct een antwoord. ‘Ik vermoed dat de beveiliging valt onder de ict-afdeling. Deze wordt geleid door cio Willy Rovers.’ Rovers blijkt vandaag niet bereikbaar voor commentaar, ook omdat er morgen, 2 februari 2017, een Kamerdebat plaatsvindt over de voortdurende problemen bij de Belastingdienst; de vertrekregeling en het onlangs verschenen rapport over de organisatorische chaos bij de uitvoeringsinstantie.
Zembla-onderzoeksjournalist Sander Rietveld stelt dat de Belastingdienst met het audit-verhaal het probleem op een bepaalde manier probeert te ‘framen’. ‘In maart 2016 werd er al drie jaar met gevoelige data gewerkt in de zogenaamde Broedkamer. Dat er pas drie jaar later een formele afdeling is opgericht, doet niets af aan het feit dat de Belastingdienst toen al moest voldoen aan de Wet Bescherming Persoonsgegevens. Uit het rapport van de Auditdienst Rijk blijkt ook dat de datasecurity al die jaren niet op orde was.’
Na de ADR-publicatie is er nog een rapport verschenen waarin gesteld wordt dat de databeveiliging op de data- en analyseafdeling van de Belastingdienst op z’n zachts gezegd te wensen overlaat. Rietveld: ‘Dit rapport is afkomstig van consultancybureau Oliver Wyman, dat stelt dat er nog veel moet gebeuren op het gebied van data governance.’
Accenture
Onder de personen die toegang hadden tot de data waren tientallen externe consultants van it-dienstverlener Accenture. Een woordvoerster van het bedrijf laat weten dat ‘aan alle relevante regels en procedures voor het project is voldaan.’ Ook geeft ze toelichting op de samenwerking: ‘We hebben drie jaar lang een project uitgevoerd op het gebied van performance management. Dit liep van december 2014 tot januari 2017. Onze consultants gaven advies op het gebied van data-management, analytics en projectmanagement.’
De woordvoerster stelt dat ze geen uitspraken kan doen over wie ten tijde van het project verantwoordelijk was voor de security. ‘We zijn enkel de partij die de opdracht uitvoert en doen geen uitspraken over de securityverantwoordelijkheden binnen de uitvoeringsinstantie; dit ligt bij de Belastingdienst.’ Opvallend is dat Accenture de Belastingdienst en dan met name de Broedkamer en de nu in opspraak geraakte data analyse-afdeling vorig jaar nog bekroonde als ‘Innovator of the Year’.
Chief analytics officer Cyprian Smits
Computable interviewde Belastingdienst-chief analytics officer Cyprian Smits vorig jaar over de Broedkamer en het data-en analyticsbeleid van de overheidsdienst. In het interview geeft Smits aan dat het datagedreven innovatietraject bij de Belastingdienst in 2012 van start is gegaan. Dit komt overeen met de stelling van Zembla-onderzoeksjournalist Rietveld dat de Belastingdienst al meer dan drie jaar met gevoelige data werkt. De bewering van de Belastingdienst-woordvoerder, dat de data-analytics-afdeling pas in 2016 een feit werd en dat er pas vanaf dat moment gewerkt werd met gevoelige data en dus voldaan moest worden aan de Wet Bescherming Persoonsgegevens, lijkt dus ongeloofwaardig.
Zembla
De uitzending ‘Prutsen en pielen zonder pottenkijkers’ van Zembla is woensdag 1 februari 2017 om 21.20 uur bij de VARA te zien op NPO 2. De titel verwijst naar een Computable-interview met chief analytics officer Cyprian Smits van de Belastingdienst.
Privacyregels gelden alleen voor de anderen, net zoals veel andere regels die door de overheid worden opgelegd…
Ik herinner mij de eerste nieuws berichten toen Wiebes werd binnengehaald als vervanger van Weekers las het “wonderkind” in Financien 🙂
Ik zie den-haag weer een “steurtje” gaan doen.
Privacy is voor en door criminelen uitgedacht, dus zeker NIET voor de overheid.
Een kwalijke zaak, deze gang van zaken, maar in NL moet alles zo goedkoop mogelijk. Eén en ander verbaast mij niet. Goed dat dit aan de kaak wordt gesteld. Hopelijk worden de (eind)verantwoordelijken tot de orde geroepen en krijgen niet weer de mensen op de werkvloer als zo vaak de zwarte Piet toegespeeld.
Wat mij wel verbaast is de zinsnede “… zo hebben bronnen onder ede aan Zembla laten weten, aldus het tv-programma.” Onder ede? Met de hand op de Bijbel, de Koran, het Wetboek van Strafrecht? Nu is het dus echt allemaal waar of nog erger dan waar?
Dit maakt voor mij het artikel niet geloofwaardiger, eerder minder.
Wat is het argument om op te slaan wie op welk moment met gevoelige gegevens werkt? Kun je met die gegevens iets zinvols doen of iets bewijzen ?
Ik denk dat we op de weg naar privacy ergens verkeerd zijn afgeslagen.
Het is veel beter om te investeren in maatregelen om de zeer gevoelige gegevens goed te beveiligen en toegankelijk te maken voor een duidelijk gedefinieerde groep van (streng) geselecteerde personen.
Merk op dat bijna alle medewerkers van de belastingdienst de hele dag met gevoelige gegevens werken. Dat werk valt niet te ‘beveiligen’. Je kunt wel denken aan procedures om lekken die nu “per ongeluk” gebeuren, niet meer voorkomen, etc. En een extreme maaregel is een scheiding van systemen waarbij mensen die toegang hebben tot grote hoeveelheden gegevens geen mogelijkheid hebben om die te kopieren naar hun eigen PC of een virtuele disk in een cloud.
Niet loggen is natuurlijk héél slim, want dan weet niemand dat je iets ontoelaatbaars hebt gedaan.
Even afgezien van de waslijst aan stupiditeiten, gaffes en overtredingen : er is 0,0 reden voor een ‘broedkamer’ of wat daarvoor moet doorgaan om te werken met niet-anonieme gegevens.
En wat ze daar uitbroeden blijkt ook al weinig levensvatbaar. Want van 6 op de 10 fiscale aftrekposten, vrijstellingen en kortingen is onbekend wat ze kosten en wat het effect is, zo blijkt uit een inventarisatie van de Algemene Rekenkamer : http://www.rekenkamer.nl/Publicaties/Onderzoeksrapporten/Introducties/2017/02/Zicht_op_belastingverlichtende_regelingen
Kritiek op de broedkamer, reorganisatie, etc. wordt niet geduld, vertellen de medewerkers aan Zembla.
En zo komt de vertrekregeling in een heel ander daglicht te staan.
@Kees Blom – Een verklaring onder ede wordt schriftelijk in bijzijn van een notaris gemaakt en door de notaris gewaarmakt. De bedoeling is dat men niet later kan ontkennen wat zij hebben gezegd. Dus geen bijbel, koraan, enz vereist. Gewoon een stempeltje van de notaris.
Mag hopen dat die mensen van Accenture allemaal een NDA document getekend hebben zodat het juridisch afgedekt zou zijn? Alhoewel het toch een grote verleiding zou kunnen zijn om bijv. in te zien hoeveel je buren verdienen. En niemand die het dus controleert.
Voor performance onderzoek heb je geen privacy gegevens voor nodig. Dus had je net zo goed die data door een anonymizer/RNG heen kunnen trekken.
@ Roger James, dat is dus niet “Onder Ede” want dan zou er een eed aan ten grondslag liggen. Er is dus alleen sprake van een juridisch gewaarmerkte verklaring.
Security is een complex onderwerp. De developers en eindgebruikers testen hooguit de bruikbaarheid en stabiliteit van de geboden functionaliteit. Security is zelfs voor de meeste ontwikkelaars een onderwerp waarin zij weinig of geen kennis hebben. Bovendien is het zeer kostbaar en de meeste projectmanagers maken zich er mee af door het opnemen van een clausule dat de beveiliging moet voldoen aan de bestaande en huidige regelgeving en dat hieraan wordt voldaan binnen het huidige systeem. Daar wringt de schoen want op deze wijze wordt er dus nooit vooruitgang geboekt in de beveiliging. Als Zembla dit niet had gepubliceerd dan denk ik dat er weinig prioriteit aan gegeven zou worden. Nu is het overigens de vraag of daaraan iets zal gebeuren omdat de ICT-problemen bij de belasting enorm zijn. De uitstroom van personeel was ook al uit de hand gelopen daarom wordt het hoog tijd dat de minister meer toezicht gaat houden en bepaalde acties vooraf laat goedkeuren.
@Willem : security wordt zowel bij overheid als bedrijfsleven (vooral banken/verzekeraars) doorgaans tot ‘Non-Functionals’ gedefinieerd. Derhalve functionaliteit die aanwezig wordt geacht en waarop dus ook niet wordt getest, waarbij dat testen wel wat verder gaat dan Usability Testen. Dit wordt door hoger management gesanctioneerd.
Een goed projectmanager vermeldt dit ook in de projectstukken.
De Business Risk Manager, de Requirements Manager én de Test Manager dienen bij aanvang van het project hierop te accorderen. En in voorkomende gevallen ook de DPO voor het Privacy Impact Assessment (PIA).
Een goed projectmanager vermeldt deze accorderingen óók in de projectstukken.
En tot slot keurt de Project Board het hele boeltje goed.
Security by Design zou mooi zijn.
Maar hier ging het om privacy-schendingen op een onderzoeksafdeling.
Met de huidige GDPR is Privacy by Design verplicht.
Voor de hand ligt dat D-G Uijlenbroek t.a.v. de Belastingdienst accountable is voor GDPR-compliancy.