De Belastingdienst zit omhoog met een enorme berg aan oude bestanden met persoonsgegevens. Die zouden voor eind mei 2019 verwijderd moeten worden, maar dat gaat niet lukken. Het is te ingewikkeld om systemen aan te passen aan de AVG-normen. Bovendien moet de fiscus handmatig honderden miljoenen documenten controleren op persoonsgegevens.
Dat meldt de Belastingdienst in een halfjaarrapportage. Eerder was de dienst al op haar vingers getikt dat digitaliseringsprojecten niet goed liepen en data langer dan nodig werd bewaard. In de rapportage meldt de fiscus dat het voor eind mei 2019 niet gaat lukken de achterstand bij het verwijderen van verouderde gegevens weg te werken.
‘Ten eerste is het voor een aantal oude systemen niet mogelijk om de verouderde gegevens op basis van de AVG-normen te verwijderen. De benodigde systeemaanpassingen zijn dusdanig ingrijpend gebleken, dat dit op korte termijn niet mogelijk is’, schrijft de dienst zonder verder toe te lichten welke AVG-normen niet gehaald worden.
Ook speelt het probleem dat digitale documenten handmatig beoordeeld moeten worden op de aanwezigheid van persoonsgegevens. ‘Uit een systematische inventarisatie blijkt dat het om honderden miljoenen documenten gaat en meer tijd kost om dat te realiseren’, schrijft de dienst.
Datakluis
Om te voorkomen dat de niet-tijdig verwijderde gegevens onrechtmatig verwerkt worden door medewerkers neemt de Belastingdienst maatregelen. De verouderde gegevens worden in een zogenoemde datakluis geplaatst waardoor de toegang tot de persoonsgegevens wordt weggenomen. Er wordt niet gemeld of daar extra kosten aan zijn verbonden.
Die (digitale) datakluis is volgens de fiscus een afgeschermde omgeving waar de medewerkers van de Belastingdienst geen toegang toe hebben, tenzij ze daarvoor nadrukkelijk toestemming voor hebben gekregen. De Belastingdienst neemt naar eigen zeggen ook ‘mitigerende maatregelen’ om het intern oneigenlijk delen van gegevens te voorkomen.
‘Het is van belang op te merken dat gegevens bij de Belastingdienst veilig zijn. Zo wordt de ict-infrastructuur van de Belastingdienst 24 uur per dag bewaakt tegen aanvallen van buiten, zoals hacks. Daarmee wordt het risico op misbruik of verlies door externen al zoveel mogelijk beperkt’, schrijft de dienst in de rapportage.
Audit Dienst Rijk
Eind mei 2019 wordt de Tweede Kamer geïnformeerd over de voortgang van de implementatie van de AVG bij de Belastingdienst. Het ministerie van Financiën heeft de Audit Dienst Rijk (ADR) gevraagd om onderzoek te doen naar de implementatie van de AVG binnen het departement, waaronder de Belastingdienst. Bij de brief over de voortgang zal ook het rapport van de ADR aan de Tweede Kamer worden gestuurd. ‘Daarin staat een overzicht met de wijze waarop aanbevelingen zullen worden opgevolgd’, schrijft de fiscus tot slot.
Zie discussie op Security.nl:
https://www.security.nl/posting/605778/Belastingdienst+gaat+verouderde+gegevens+in+datakluis+bewaren