Het Openbaar Ministerie (OM) heeft na strafrechtelijk onderzoek vastgesteld dat er geen vertrouwelijke informatie vanuit de afdeling Data- en Analytics (D&A) van de Belastingdienst is gedeeld met mensen buiten de groep medewerkers van deze afdeling. Het OM heeft het onderzoek bij deze afdeling – beter bekend als de Broedkamer – inmiddels stopgezet. Dit heeft demissionair staatssecretaris Eric Wiebes van het ministerie van Financiën aan de Tweede Kamer laten weten.
Het OM heeft de bewindsman gemeld dat in een aantal gevallen door extern ingehuurde medewerkers vertrouwelijke informatie uit de werkomgeving van de afdeling D&A naar eigen apparatuur buiten de belastingdienstorganisatie is gebracht. Daarmee hielden deze medewerkers zich niet aan de door partijen ondertekende geheimhoudingsverklaringen.
Maar, constateert het OM: ‘Er is echter niet gebleken dat de informatie is gedeeld met personen buiten de groep personen werkzaam voor de afdeling D&A van de Belastingdienst. Deze informatie is ook niet voor een ander doel gebruikt dan om verder te werken aan de voor en binnen de afdeling D&A gaande werkopdracht(en). Van enig opzettelijk handelen in het kader van Artikel 27213 van het Wetboek van Strafrecht is niet gebleken. In verband hiermee is het onderzoek beëindigd.’
Onvoldoende beveiligd
In de uitzending ‘Prutsen en pielen zonder pottenkijkers’ van Zembla die op woensdag 1 februari 2017 is uitgezonden werd duidelijk dat de Belastingdienst de financiële en persoonlijke gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven in de periode van 2013 tot 2016 onvoldoende heeft beveiligd. Oorzaak hiervoor is dat de zogenaamde Broedkamer, de data-analyse-afdeling van de Belastingdienst, het autorisatiesysteem in deze periode niet op orde had.
Naar aanleiding van de Zembla-uitzending kondigde Wiebes extra it-beveiligings- en gedragsmaatregelen aan voor deze afdeling én voor de gehele Belastingdienst. Hij bood de Tweede Kamer deze week de rapporten aan van het onderzoek gegevensgebruik Data & Analytics (D&A), het onderzoek naar informatiebeveiliging bij de Broedkamer en voorlopers en het onderzoek implementatie Handboek Beveiliging Belastingdienst.
Aangifte
Ook deed de staatssecretaris dus deze zomer aangifte van ‘ongeoorloofde gegevensuitwisseling’; dit onderzoek is nu dus door het OM afgerond. De data van de casussen zijn intussen vernietigd. Er is één casus waarbij een externe deskundige gebruik maakte van een private clouddienst voor tijdelijke opslag van de persoonsgegevens. Volgens Wiebes is er vastgesteld dat deze data niet meer aanwezig zijn.
Daarnaast is van alle bevindingen melding gedaan bij de Autoriteit Persoonsgegevens. Maar, stelt staatssecretaris Wiebes, omdat uit het OM-onderzoek geen negatieve gevolgen voor betrokken personen zijn voortgekomen, hoeven zij niet te worden geïnformeerd.
Naar aanleiding van de uitzending van Zembla en de resultaten van de diverse onderzoeken heeft Wiebes de bij de casussen betrokken externe medewerkers de laan uitgestuurd. Het management, dat op de hoogte was van het handelen van de externe medewerkers, en de medewerkers van D&A zijn over de onderzoeksbevindingen geïnformeerd. Volgens Wiebes is hen duidelijk gemaakt tot welke wijziging in houding en gedrag dit moet leiden.
Maatregelen
Verder schrijft hij in zijn brief aan de Tweede Kamer dat inmiddels een beperking van de fysieke toegang tot de afdeling D&A is gerealiseerd. ‘Er is ook gewerkt aan verdere bewustwording op het gebied van werken met persoonsgegevens. Ook de toegang tot de analyse-omgevingen is direct na 30 juni jongstleden volledig afgesloten en individuele toegang wordt sindsdien op basis van een aangescherpte aanvraagprocedure verleend. Deze procedure blijft in ieder geval van toepassing tot de structurele oplossingen volledig geïmplementeerd zijn’, aldus de staatssecretaris.
Daarmee doelt hij op oplossingen voor continue monitoring, pseudonimiseren en datacompartimenteren van de analyseomgeving van D&A. Die oplossingen zullen vanaf eind dit jaar tot ergens in 2018 worden ingevoerd.
Tekortschieten
Wiebes stelt vast dat de wijze waarop met persoonsgegevens werd omgegaan bij de Broedkamer en opvolger D&A tekort schoot ‘als gevolg van een te grote decentrale autonomie in combinatie met het tekort schieten van de centrale regie’. Hij constateert dat deze houding in bredere zin typerend is voor de informele werkwijze rond besluitvorming en het toezien op nakomen van afspraken binnen de Belastingdienst over het zorgvuldig omgaan met persoonsgegevens.
Wiebes wil dan ook dat de informatiebeveiliging binnen de Belastingdienst wordt verbeterd, zodat standaarden weer systematisch worden nageleefd. Niet alleen door het doorvoeren van organisatorische en technische maatregelen maar ook door het vergroten van het bewustzijn hiervoor. Via de Halfjaarrapportage Belastingdienst wordt de Kamer op de hoogte gehouden van de verdere ontwikkelingen.
Een goed onderzoeker weet wanneer hij moet stoppen zodat hij geen vervelende dingen zal gaan ontdekken
Hmmm…
“Maar, stelt staatssecretaris Wiebes, omdat uit het OM-onderzoek geen negatieve gevolgen voor betrokken personen zijn voortgekomen, hoeven zij niet te worden geïnformeerd.”
Ik vraag me af wat de privacy wetgeving hierover te zeggen heeft.
Dat “uit het OM-onderzoek geen negatieve gevolgen voor de betrokkenen zijn voortgekomen” wil ik wel (een beetje) geloven.
Dat het lek geen negatieve gevolgen zal hebben voor de betrokkenen staat nog te bezien. Bijgevolg zegt mijn rechtsgevoel dat de betrokkenen wel degelijk geinformeerd moeten worden.
@Martin : volgens par. 4 van de ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’ van de AP hoeft een datalek alleen gemeld te worden indien “sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens”.
Volgens par. 7 van dezelfde beleidsregels hoeft derhalve ook geen melding gedaan te worden aan betrokkenen.
Gezien het feit dat Wiebes wél van alle bevindingen melding heeft gedaan aan de AP zou het in lijn liggen ook de betrokkenen te informeren.
Vraag is natuurlijk of de aard van het OM-onderzoek en daarnaast het strafrechtelijk karakter daarvan voldoende basis is voor toepassing van de AP-beleidsregels.
De betrokken *externe* medewerkers zijn de laan uitgestuurd. Er blijkt echter niet dat jegens “het management, dat op de hoogte was van het handelen van de externe medewerkers, en de medewerkers van D&A” disciplinaire maatregelen zijn getroffen. Zij “zijn over de onderzoeksbevindingen geïnformeerd [-] hen duidelijk gemaakt tot welke wijziging in houding en gedrag dit moet leiden.”
Eerst anderen tot ‘digibeten’ en ‘niet-zelfredzamen en laaggeletterden’ verklaren en vervolgens aan eigen beveiligingsbewustzijn gaan werken.