Bij een (nog lopend) onderzoek naar databeveiliging bij de Belastingdienst zijn tien gevallen van datalekken geconstateerd. Dat meldt staatssecretaris Wiebes (Financiën) aan de Tweede Kamer. In een geval is aangifte gedaan bij het OM. Daarnaast worden maatregelen getroffen om de beveiliging te verbeteren; daardoor is enkele dagen geen toegang mogelijk tot de data-analysesystemen.
Wiebes had de Kamer toegezegd een onderzoek te laten doen naar de databeveiliging bij de afdeling Data & Analytics (D&A) van de Belastingdienst. Dat onderzoek loopt nog, maar de staatssecretaris meldt alvast een aantal bevindingen en voorlopige conclusies. Zo zijn er persoonsgegevens gelekt: “In het onderzoek op basis van de logging-gegevens zijn de onderzoekers gestuit op een aantal gevallen waarin persoonsgegevens op een ongeoorloofde manier de Belastingdienst hebben verlaten. Dat is niet acceptabel. De belastingbetaler moet ervan kunnen uitgaan dat zijn gegevens bij de Belastingdienst veilig zijn.”
Tien gevallen
De fouten zijn aan het licht gekomen bij een onderzoek van gegevens over de periode februari 2016 – februari 2017. “Deze zijn geanalyseerd aan de hand van scenario’s voor gevallen van ongeoorloofde gegevensuitwisseling. Op basis van deze risicogerichte onderzoeksaanpak zijn tien gevallen geconstateerd waar sprake is van een vorm van ongeoorloofde gegevensuitwisseling.” In één geval ging het om een gerichte selectie van personen met persoonlijke informatie over hen, die door externe medewerkers naar is buiten gebracht via e-mail. “Dit geval kan nog op geen enkele wijze worden verklaard vanuit het werk dat bij D&A gebeurt. Op basis van deze onderzoeksbevindingen is aangifte gedaan.”
In vijf gevallen zijn gegevens van één persoon via e-mail verstuurd. “Het gaat hierbij om een schending van de geldende normen, te meer daar er geen duidelijke relatie lijkt met het werk op deze afdeling. Ten aanzien van betrokken medewerkers zal een integriteitsonderzoek worden gestart op basis waarvan disciplinaire maatregelen kunnen worden getroffen. Ten aanzien van externe medewerkers zal de uitlenende organisatie worden gevraagd een integriteitsonderzoek te starten.”
In vier gevallen is nog nader onderzoek nodig: in twee gevallen om te kijken of het gaat om onzorgvuldigheid of om integriteitsschending en in twee gevallen om vast te stellen om wat voor gegevens het gaat, wat er met de gegevens is gebeurd en of de handelingen passen binnen het werk van de afdeling.
Inhuur beëindigd
De aangifte wordt nu behandeld door het Openbaar Ministerie; de Autoriteit Persoonsgegevens is over de tien gevallen ingelicht. “De AP oriënteert zich nog op een eventueel onderzoek. Op korte termijn zullen betrokken bedrijven en personen conform de vereisten uit de Wet Bescherming Persoonsgegevens worden geïnformeerd over dit informatielek. De inhuur van de betrokken externe medewerkers is per direct beëindigd. Tevens is met de uitlenende organisaties overleg gestart om te achterhalen wat met de oneigenlijk uitgewisselde gegevens is gebeurd. Verdere juridische consequenties worden bezien.”
Oplossingen kosten tijd
Binnen de afdeling D&A vindt geen reguliere monitoring plaats, aldus Wiebes. Inmiddels zijn wel maatregelen genomen om de databeveiliging te verbeteren. “Het gaat daarbij om het inperken van de fysieke toegang, diverse bewustzijnscampagnes richting de medewerkers, en het werken aan structurele (technische) oplossing van continue monitoring, pseudonimiseren en datacompatimenteren van de analyseomgeving. Deze structurele oplossingen kosten evenwel tijd, nog minimaal zes maanden voor volledige implementatie.”
Toegang tot data geblokkeerd
Om in de tussentijd de databeveiliging te kunnen waarborgen, wordt de datatransfer van de D&A-dataomgeving naar buiten de Belastingdienst onmogelijk gemaakt. “Om dit te realiseren wordt het gedurende enkele dagen onmogelijk gemaakt om toegang te krijgen tot de data-analyseomgeving. Ik ben me er van bewust dat dit ingrijpend is voor de werksituatie van de gebruikers van de data-analyseomgeving, maar dit is de enige manier om op dit moment maximale zekerheid te creëren dat oneigenlijke gegevensuitwisseling vanuit de data-analyseomgeving is uitgesloten.”
