De Belastingdienst stelt dat het ‘technisch onmogelijk’ is om persoonsgegevens goed te beveiligen. Zo houdt de fiscus bijvoorbeeld niet bij welke gegevens door medewerkers worden opgevraagd. Hierdoor kunnen gevoelige persoonsgegevens op straat komen te liggen.
Dat blijkt uit een recente brief van directeur-generaal Jaap Uijlenbroek van de Belastingdienst aan de Autoriteit Persoonsgegevens (AP), zo meldt dagblad Trouw. In de brief gaat Uijlenbroek in op een eerder onderzoek van de Autoriteit Persoonsgegevens, waaruit bleek dat de Belastingdienst zich niet aan de wet houdt als het gaat om databeveiliging. De AP concludeerde in juli dat de Belastingdienst onder andere moet bijhouden wie bepaalde gegevens uit de systemen ophaalt voor verdere analyse. Uijlenbroek zegt nu dat dat ‘technisch niet mogelijk is’. Ook zou het niet mogelijk zijn om via autorisatie de toegang tot de data te beperken.
GDPR en onwettig gebruik van BSN-nummers
Staatssecretaris Menno Snel van financiën gaf al eerder aan dat de fiscus pas in 2019 kan voldoen aan de GDPR. De afdeling datafundamenten & analytics, voorheen bekend als de Broedkamer, voldoet volgens Uijlenbroek wel al aan de wet.
De fiscus heeft ook tot januari 2019 om de kwestie rond de bsn-nummers van zelfstandigen met een eenmanszaak op te lossen. In juli kwam namelijk naar voren dat de Belastingdienst geen wettelijke basis heeft om het burgerservicenummer (bsn) te gebruiken in het btw-identificatienummer van zelfstandigen met een eenmanszaak.
Volgens de AP is de werkwijze die de Belastingdienst hanteert, kwetsbaar voor fraude. ‘Als het bsn in kwaadwillende handen valt, kan het mogelijk leiden tot identiteitsfraude. Een kwaadwillende kan met de persoonsgegevens van een ander bijvoorbeeld een auto huren en daarmee schade veroorzaken.’ De toezichthouder benadrukt dat in de huidige situatie zelfstandigen met een eenmanszaak hun bsn niet kunnen beschermen. ‘Zij zijn verplicht hun bsn kenbaar te maken omdat het bsn een onderdeel vormt van hun btw-identificatienummer.’
Kleine nuancering op de zin: “De Belastingdienst stelt dat het ‘technisch onmogelijk’ is om persoonsgegevens goed te beveiligen”: dit zou betekenen dat het beveiligen van persoonsgegevens in het algemeen technisch onmogelijk is. Ik neem aan dat er bedoeld wordt dat de Belastingdienst er niet in slaagt om binnen afzienbare tijd in de eigen omgeving de technische voorzieningen te treffen voor beveiliging van persoonsgegevens.
Dit vraagstuk speelt natuurlijk bij álle organisaties, zowel binnen als buiten de overheid.
Het verantwoorden van gegevensverwerkingen is belangrijk en logging is daarvoor cruciaal.
Het inbouwen van logging niet altijd eenvoudig, maar voor elke applicatie of omgeving zijn hier mogelijkheden voor. Ook al zou maar 75% van de verwerkingen worden vertaald in logregels, kan de functionaris gegevensbescherming of privacycoördinator die in ieder geval gebruiken om te controleren of de organisatie haar eigen privacybeleid naleeft. Het samenbrengen van de logging uit de verschillende applicatie voor een integraal inzicht is het ideale tool voor de verantwoordelijke(n) binnen de organisatie.
Leuker kunnen we het niet maken, wel veiliger.