Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

Belastingdienst: het is 'technisch onmogelijk' persoonsgegevens goed te beveiligen

Home

Jan Kleinnijenhuis

© ANP

De Belastingdienst noemt het technisch onmogelijk om persoonsgegevens goed te beveiligen. Dat leidt tot verbazing. 

De beveiliging van persoonsgegevens bij de Belastingdienst is nog altijd­­ niet op orde. De fiscus houdt bijvoorbeeld niet bij welke gegevens door medewerkers worden opgevraagd. Daardoor kan de Belastingdienst niet garanderen dat gevoelige persoonsgegevens niet zomaar buiten de systemen belanden.

Lees verder na de advertentie

Dat blijkt uit een recente brief van directeur-generaal Jaap Uijlenbroek van de Belastingdienst aan de Autoriteit Persoonsgegevens. Daarin gaat Uijlenbroek in op een eerder onderzoek van de Autoriteit Persoonsgegevens, waaruit bleek dat de Belastingdienst zich niet aan de wet houdt als het gaat om databeveiliging.

De fiscus beschikt over een enorme hoeveelheid data vanwege alle gegevens die belastingplichtigen moeten aanleveren; variërend van loon en inkomen tot reis- en bankgegevens, maar bijvoorbeeld ook verdenkingen van strafbare feiten.

Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn

Bart Jacobs, hoogleraar computerbeveiliging

Begin vorig jaar toonde tv-programma ‘Zembla’ al aan dat bij een speciale afdeling van de Belastingdienst de beveiliging volstrekt onvoldoende was. In deze zogeheten Broedkamer, nu omgedoopt tot de afdeling datafundamenten & analytics, probeert de Belastingdienst via het koppelen van data meer inzicht te krijgen in onderliggende verbanden tussen gegevens van belastingplichtigen. Dat zou de kosten van het innen van belastingen moeten verminderen en fraudebestrijding makkelijker moeten maken.

De Autoriteit Persoonsgegevens concludeerde in juli dat de Belastingdienst onder andere moet bijhouden wie bepaalde gegevens uit de systemen ophaalt voor verdere analyse. Uijlenbroek zegt nu dat dat ‘technisch niet mogelijk is’. Ook zou het niet mogelijk zijn om via autorisatie de toegang tot de data te beperken.

'Heel ernstig'

Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit verbaast zich over de uitspraak. “Dit gaat om systemen waarin alle data van de Belastingdienst zijn opgeslagen. Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn.”

Tweede Kamerlid Pieter Omtzigt (CDA) noemt het gebrek aan beveiliging ‘heel ernstig’ en laat weten een debat aan te gaan vragen.

“Een jaar geleden werden al verbeteringen beloofd die nog steeds niet plaatsvinden. De Belastingdienst heeft een van de meest privacy­gevoelige datasets van Nederland. In de omgang daarmee lijken ze privacy totaal niet serieus te nemen.”

De Autoriteit Persoonsgegevens toonde zich in juli bovendien kritisch over de mogelijkheden van medewerkers van de fiscus om data op te slaan op usb-sticks of te verzenden als bijlage bij e-mails. Uijlenbroek stelt dat dit is ondervangen: het opslaan op usb-sticks is verboden, alhoewel het technisch nog wel mogelijk is. Hetzelfde geldt voor het opslaan van e-mailbijlagen op mobiele apparaten. 

E-mail

Of er sprake is van voldoende beveiliging hangt af van de manier waarop medewerkers daar persoonlijk invulling aan geven, zegt Jacobs. “Ik mag hopen dat er geen enorme databestanden via de e-mail worden verstuurd. En dat gegevens die wel worden verstuurd binnen de systemen van de Belastingdienst blijven.” 

Sinds mei gelden nog striktere regels voor de omgang met persoonsgegevens, vastgelegd in de Algemene Verordening Gegevensbescherming. Staatssecretaris Menno Snel van financiën liet eerder weten dat de fiscus daar pas volgend jaar aan zal voldoen. Uijlenbroek stelt dat de afdeling datafundamenten & analytics al wel aan de wet voldoet. 

“We bestuderen de reactie, maar zo op het eerste gezicht roept de brief van de Belastingdienst nog vragen op”, reageert een woordvoerder van de Autoriteit Persoonsgegevens. “Of de aanpassingen afdoende en tijdig zijn is daar onderdeel van.” De Autoriteit Persoonsgegevens zegt ‘niet te schromen om handhavingsmiddelen in te zetten als de overtredingen niet beëindigd zijn’. Dat varieert van een waarschuwing tot boetes of een last onder dwangsom.

Lees ook:

Privégegevens waren niet veilig bij Belastingdienst

Bij de Belastingdienst is in een jaar tijd zeker tien keer ongeoorloofd omgesprongen met privégegevens van belastingbetalers.

Deel dit artikel

Als ergens goede beveiliging aanwezig moet zijn, is het hier. Ik kan me niet indenken dat dat technisch onmogelijk zou zijn

Bart Jacobs, hoogleraar computerbeveiliging