Het beveiligingslek in de zogenaamde Broedkamer, inmiddels de data- en analyticsafdeling van de Belastingdienst, wordt vanaf 13 februari 2017 onderzocht door de Autoriteit Persoonsgegevens. Ook volgt er een intern onderzoek naar de informatiebeveiliging binnen de Belastingdienst en komt er een onafhankelijk meldpunt waarop belastingmedewerkers anoniem hun zorgen kunnen uiten. Dit meldt staatssecretaris Eric Wiebes van Financiën in een brief aan de Tweede Kamer.
Volgens de staatssecretaris voldoet de huidige ict-infrastructuur van de data- en analyticsafdeling vanaf 1 februari 2016 aan het reguliere informatiebeveiligingsbeleid op grond van het Handboek Beveiliging Belastingdienst (HBB). Hierbij is sprake van toegangsbeveiliging voor systemen door middel van gebruikersnaam en wachtwoord, logging en monitoring van systemen op gebruik en transport van gegevens via beveiligde dragers (encryptie). Ook is er fysieke beveiliging in de vorm van scheiding tussen openbare ruimtes en kantoorruimtes en automatische vergrendeling van computers en laptops bij niet-gebruik.
Waarschuwing in 2015
In de recente uitzending van Zembla werd gesteld dat (de top van) de Belastingdienst in maart 2015 gewaarschuwd zou zijn voor een beveiligingslek. Deze bewering is gebaseerd op een document van Liquid Hub van 26 maart 2015. Volgens Wiebes gaat dit consultancybureau helemaal niet in op een mogelijk beveiligingslek. ‘Het is een presentatie waarin enkele observaties worden gedaan over de positie van een organisatieonderdeel voor activiteiten op het gebied van data-analytics (toen nog onder de titel BIA) en waarin aanbevelingen zijn opgenomen voor de inrichting voor zo’n organisatieonderdeel. Op beveiliging gaat het document niet in, noch bevat dit waarschuwingen over informatiebeveiligingsrisico’s, aldus Wiebes.
Brief Auditdienst Rijk
Wiebes gaat in zijn brief ook in op de brief van de Auditdienst Rijk (ADR) uit maart 2016 waarin gesteld wordt dat beveiligingsmaatregelen van de Broedkamer/data- analyticsafdeling niet op orde zijn. Zoals zijn woordvoerder eerder stelde tegenover Computable, benadrukt ook Wiebes dat het hier zou gaan om een auditrapport dat handelt over de oprichting van de data- en analyticsafdeling. Het rapport kwam dus uit op het moment dat de Broedkamer, de voorganger van deze data- en analytics-afdeling, toen al zo’n vier jaar actief was.
De staatssecretaris: ‘In de uitzending van Zembla is gerefereerd aan een rapport van de Auditdienst Rijk over onder meer de (informatie)beveiliging bij data-en analytics. Bij de oprichting begin 2016 heeft de Belastingdienst aan de ADR gevraagd om mee te kijken met en te adviseren over aanvullende beheersmaatregelen voor de gehele bedrijfsvoering van de op te richten afdeling, inclusief (informatie)beveiliging. Daarbij heeft de data-en analyticsafdeling onder andere aangegeven welke gedachten men had over extra beveiligingsmaatregelen, bovenop wat volgens het beveiligingshandboek al voor de Belastingdienst geldt, en de ADR gevraagd daarop te reageren. De ADR heeft daarover op 10 maart 2016 een interim-rapport uitgebracht.’
Wiebes spreekt tegen dat er in de jaren voorafgaand aan de oprichting van de data- en analyticsafdeling niet gelogd werd. ‘Er werd en wordt minimaal gelogd wie wanneer iets doet, wat iemand doet en welke bestanden en databasetabellen worden gebruikt. De bevinding van de ADR betrof de aanscherping van deze logging en monitoring.’ Volgens de bewindsman is het logisch dat de ideeën over aanvullende beveiligingsmaatregelen nog niet waren geëffectueerd, omdat de data- en analyticsafdeling zich in de fase van oprichting bevond. ‘Snel na de oprichting is gestart met het formuleren en realiseren van de aanvullende beschermende maatregelen, naast de standaardmaatregelen’, schrijft hij.’
Computable sprak eerder met Zembla-redacteur Sander Rietveld over de brief. Hij stelt dat de Belastingdienst met het audit-verhaal het probleem op een bepaalde manier probeert te ‘framen’. ‘In maart 2016 werd er al drie jaar met gevoelige data gewerkt in de zogenaamde Broedkamer. Dat er pas drie jaar later een formele afdeling is opgericht, doet niets af aan het feit dat de Belastingdienst toen al moest voldoen aan de Wet Bescherming Persoonsgegevens. Uit het rapport van de Auditdienst Rijk blijkt ook dat de datasecurity al die jaren niet op orde was.
Staatssecretaris Wiebes geeft in zijn Kamerbrief aan dat er wel een onderzoek komt naar de beschikbare loggegevens, zowel uit de periode van de Broedkamer als van de huidige data- en analyticsafdeling. Dit, zodat vastgesteld kan worden of er getracht is daadwerkelijk gegevens van belastingplichtigen buiten de Belastingdienst te brengen. Tevens laat hij het gegevensgebruik van de Broedkamer en zijn voorgangers nader onderzoeken.
Extra beveiligingsmaatregelen en meldpunt
De extra beveiligingsmaatregelen voor de data- en analyticsafdeling (zie kader) worden volgens Wiebes zo snel mogelijk geëffectueerd. ‘Daarnaast zullen bij de afdeling extra bijeenkomsten worden georganiseerd om het belang van zorgvuldige omgang met gegevens en de daarvoor geldende regels nogmaals onder de aandacht te brengen bij de medewerkers en zal de privacyfunctionaris voor dit aspect worden ingezet bij het selecteren en inwerken van nieuwe medewerkers (zowel intern als extern).
De staatssecretaris stelt ten slotte dat hij het betreurt dat medewerkers zich onveilig voelen en daardoor anoniem tegen Zembla hun verhaal hebben gedaan in plaats van bij de Belastingdienst zelf. Dit komt volgens hem overeen met de bevindingen van de Commissie onderzoek Belastingdienst (Cob) op dit punt. Wiebes gaat een medewerkersonderzoek uitvoeren en stelt een anoniem intern meldpunt in.
Tweede Kamer-debat
Vandaag vindt het Tweede Kamer-debat plaats naar aanleiding van de brief van Wiebes. Verschillende Kamerleden gaven aan het begin van het debat aan dat de staatssecretaris in zijn brief maar summier of geen antwoord geeft op de in totaal 74 vragen. Vragen die nog spelen zijn onder meer ‘Waar zijn de loggegevens van de Broedkamer/data-analyticsafdeling?’, ‘Hoeveel externen zijn er precies aan de Broedkamer/data-analyticsafdeling verbonden geweest?’ en ‘Welke risico’s zijn genomen tijdens de opstartfase?’. Het debat is live te volgen via deze link.
Aanvullende beveiligingsmaatregelen D&A
De volgende beveiligingsmaatregelen zijn op de data- en analyticsafdeling ingesteld:
- Data blijven op één plaats: datasets worden vanuit de bronsystemen ingelezen in een speciale ict-voorziening voor de afdeling die zich bevindt in het centrale, hoog beveiligde datacenter van de Belastingdienst in Apeldoorn.
- Door D&A worden geen data uitgeleverd aan andere partijen binnen of buiten de Belastingdienst. Ook aan gebruikers van D&A-producten wordt enkel inkijk geboden.
- Projecten vooraf en in elke volgende fase beoordeeld op gebruik van privacygevoelige gegevens door middel van een Privacy Impact Assessment (PIA).
- Dataclassificatie en compartimentering: data en code wordt ingedeeld in een gevoeligheidsklasse (laag, midden, hoog) en daarop wordt de beveiliging aangepast.
- Vanaf begin 2016 zijn ubs-ontheffingen ingetrokken en worden geen nieuwe ontheffingen meer verleend aan medewerkers van D&A.
- Een verplicht te volgen bewustwordingsprogramma voor alle interne en externe medewerkers van D&A, gericht op het verantwoord omgaan met data bij het analyseren van grote datasets
‘Op beveiliging gaat het document niet in, noch bevat dit waarschuwingen over informatiebeveiligingsrisico’s, aldus Wiebes’.
Wiebes moet leren lezen. Op Sheet 6 bij punt 10 wordt aangegeven dat ze de data governance op orde moeten brengen. Met het oog op afdoende aandacht voor beveiligingen en een auditeerbare situatie.
Zo’n aanbeveling wordt niet gedaan wanneer het al op orde zou zijn….
Wiebes denkt niet aan zijn verantwoordelijkheid maar aan zijn (politieke) carrière en dat maakt hem ‘leesblind’. Hij is nog wel eindverantwoordelijke maar dit soort zaken zijn van die typische dingen die door het management over het hoofd worden gezien (bewust of onbewust) en op de werkvloer er lastig in slijten omdat het vaak meer moeite kost. Oftewel beveiliging en privacy besef is vaak nog steeds op het niveau van de vorige eeuw. Ook zijn voorgangers hadden hier meer aandacht aan moeten besteden maar hebben dat naar alle waarschijnlijkheid ook gemakzuchtig nagelaten.
Het gedrag aldus hierboven beschreven is in veel bedrijven nog steeds gemeengoed en zullen bij de invoering van strengere privacywetgeving in 2018 na audities zwaar nat gaan.
Nog een aardige aanvulling mbt. de strafrechtelijke bestuursaansprakelijkheid :
‘De leiding van de Belastingdienst heeft mogelijk een serieus strafrechtelijk probleem’
http://www.taxence.nl/de-leiding-van-de-belastingdienst-heeft-mogelijk.126877.lynkx
En iets dat overheidsfaalprojecten en de Belastingdienst mogelijk gemeen hebben:
‘The Line between Confidence and Hubris’
http://www.strategy-business.com/article/The-Line-between-Confidence-and-Hubris
@Leon: de aan de Tweede Kamer gestuurde ‘Bijlage over beveiliging’ is de LiquidHub-presentatie. Deze presentatie heeft hoofdzakelijk een Business Intelligence insteek passend op de door de Bd gegeven opdracht. Het is gebruikelijk een sheet te besteden aan de geformuleerde opdracht/scope-bepaling, LiquidHub heeft dat (helaas) niet gedaan.
In de presentatie wordt op sheet 6 het woordje beveiliging weliswaar genoemd – ondergesneeuwd in de BI-beheerprocessen – maar er wordt niet op beveiliging ingegaan.
Interessanter is de Management & Governance kolom op sheet 15. Het is een generieke sheet waarop deze kolom in rood is aangegeven. Dat zou de aandacht moeten trekken en heeft dat mogelijk ook gedaan.
Maar in geen van beide gevallen is sprake van een ‘waarschuwing’ of ‘aanbeveling’. Hoogstwaarschijnlijk omdat dit out-of-scope was voor LiquidHub’s opdracht.
Op pag. 4 van zijn kamerbrief zegt Wiebes in al. 3 dus niet verkeerds, hetgeen anders ook verkeerd voorlichten van de Kamer zou zijn.
Ik heb zo’n vermoeden dat toekomstige LiquidHub-presentaties default een afzonderlijke en uitgebreider sheet over data-governance zullen bevatten.