Extra beveiligingsmaatregelen op de data- en analytics-afdeling van de Belastingdienst, ook bekend als de Broedkamer, zijn noodzakelijk. Dat meldt staatssecretaris Wiebes in een Kamerbrief. Wiebes informeert de Tweede Kamer nog voordat het onderzoek naar databeveiliging is afgerond, wat erop duidt dat de situatie ernstig is. Ook doet de staatssecretaris aangifte van ‘ongeoorloofde gegevensuitwisseling'.
Doel van het onderzoek is om vast te stellen hoe er met gegevensuitwisseling is omgegaan. Het onderzoek heeft tot dusver opgeleverd dat in een aantal gevallen sprake is geweest van ongeoorloofde gegevensuitwisseling. Bij het Openbaar Ministerie is aangifte gedaan van een geval.
Daarnaast is van alle bevindingen melding gedaan bij de Autoriteit Persoonsgegevens. Betrokken bedrijven en personen worden conform de Wet bescherming persoonsgegevens geïnformeerd.
Ongeoorloofde gegevensuitwisseling
Het onderzoek naar databeveiliging bij D&A is aangekondigd in het debat met de Tweede Kamer op 9 februari 2017. Het betreft een intern onderzoek uitgevoerd tussen februari 2016 en februari 2017 naar de informatiebeveiliging binnen de Belastingdienst. Basis voor het onderzoek zijn de loggingsgegevens van deze periode. Deze zijn geanalyseerd aan de hand van scenario’s voor gevallen van ongeoorloofde gegevensuitwisseling. Op basis van deze risicogerichte onderzoeksaanpak zijn tien gevallen geconstateerd waar sprake is van een vorm van ongeoorloofde gegevensuitwisseling. Het gaat hierbij om het volgende gevallen:
- Eén geval betreft een gerichte selectie van personen met persoonlijke informatie over hen. Deze informatie is door externe medewerkers naar buiten gebracht via de e-mail. Dit geval kan nog op geen enkele wijze worden verklaard vanuit het werk dat bij D&A gebeurt, zo stelt Wiebes in zijn brief. Op basis van deze onderzoeksbevindingen is aangifte gedaan.
- Vijf gevallen betreffen gegevens van één persoon die via e-mail naar buiten werden verstuurd. Het gaat hierbij volgens de staatssecretaris om een schending van de geldende normen, te meer daar er geen duidelijke relatie lijkt met het werk op deze afdeling. ‘Ten aanzien van betrokken medewerkers zal een integriteitsonderzoek worden gestart op basis waarvan disciplinaire maatregelen kunnen worden getroffen. Ten aanzien van externe medewerkers zal de uitlenende organisatie worden gevraagd een integriteitsonderzoek te starten’, aldus de staatssecretaris.
- Bij twee gevallen, waarvan één met dubbele verzending, is nog nadere informatie nodig om vast te stellen of onzorgvuldig handelen danwel een integriteitsonderzoek aan de orde zijn. Dit betreffen selecties die vooralsnog werkgerelateerd lijken te zijn. Het gaat bijvoorbeeld om het extern bewerken van een bestand om dat na bewerking terug te plaatsen. De gegevens zijn soms wel en soms niet tot personen herleidbaar. De uitkomsten van deze selecties zijn via e-mail naar buiten gestuurd, wat niet had gemogen.
- Twee gevallen vereisen nader onderzoek om vast te stellen om wat voor gegevens het gaat, wat er met de gegevens is gebeurd en of de handelingen passen binnen het werk van de afdeling.
Wiebes: ‘Het Openbaar Ministerie oriënteert zich momenteel op de aangifte. Tevens is melding gedaan aan de Autoriteit Persoonsgegevens (AP) van deze gevallen. De AP oriënteert zich nog op een eventueel onderzoek. Op korte termijn zullen betrokken bedrijven en personen conform de vereisten uit de Wet bescherming persoonsgegevens worden geïnformeerd over dit informatielek. De inhuur van de betrokken externe medewerkers is per direct beëindigd. Tevens is met de uitlenende organisaties overleg gestart om te achterhalen wat met de oneigenlijk uitgewisselde gegevens is gebeurd. Verdere juridische consequenties worden bezien.’
Datamonitoring blijkt fabel
De voorlopige resultaten van het onderzoek hebben duidelijk gemaakt dat binnen de afdeling D&A geen invulling is gegeven aan een vorm van reguliere monitoring. De richtlijn voor informatiebeveiligingen (het Handboek Beveiliging Belastingdienst, HBB) schrijft dit wel voor, zo stelt de staatssecretaris. Hij is hierover ontstemd. ‘Dit betekent dat in de praktijk wordt afgeweken van het HBB, waardoor mijn uitspraak tijdens het debat op 9 februari dat sprake was van logging1 en monitoring2 , gebaseerd blijkt te zijn op een papieren werkelijkheid. Dat betreur ik. Logging heeft wel plaatsgevonden, actieve monitoring niet.’
Sinds het debat van 9 februari zijn aanvullende maatregelen genomen om de databeveiliging te verbeteren, zo meent Wiebes. ‘Het gaat daarbij om het inperken van de fysieke toegang, diverse bewustzijnscampagnes richting de medewerkers, en het werken aan structurele (technische) oplossing van continue monitoring, pseudonimiseren en datacompatimenteren van de analyseomgeving. Deze structurele oplossingen kosten evenwel tijd, nog minimaal zes maanden voor volledige implementatie.’
Tot het zover is, kunnen data-analisten geen data meer naar buiten brengen. ‘De mogelijkheid tot datatransfer van de data-analyseomgeving van de Belastingdienst naar buiten wordt onmogelijk maken. Om dit te realiseren wordt het onmogelijk gemaakt om toegang te krijgen tot de data-analyseomgeving.’
Uitzending Zembla
In de uitzending ‘Prutsen en pielen zonder pottenkijkers’ van Zembla die op woensdag 1 februari 2017 is uitgezonden werd duidelijk dat de Belastingdienst de financiële en persoonlijke gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven in de periode van 2013 tot 2016 onvoldoende heeft beveiligd. Oorzaak hiervoor is dat de zogenaamde Broedkamer, de data-analyse-afdeling van de Belastingdienst, het autorisatiesysteem in deze periode niet op orde had. De titel verwijst naar een Computable-interview met chief analytics officer Cyprian Smits van de Belastingdienst dat eind 2016 plaatsvond.
“Leuker kunnen we het niet maken, wel makkelijker” krijgt zo weer een totaal andere betekenis…