Het onderzoek naar informatiebeveiliging en gegevensgebruik bij de Belastingdienst, waarbij eerder datalekken was geconstateerd, heeft uitgewezen dat de onzorgvuldige verwerking van gegevens niet opzettelijk heeft plaatsgevonden. Ook was er geen sprake van niet-functioneel gebruik. Het daaraan gekoppelde strafrechtelijk onderzoek is gestaakt, meldt staatssecretaris Wiebes (Financiën) aan de Tweede Kamer.
Wiebes meldde begin deze zomer dat bij een onderzoek naar databeveiliging bij de Belastingdienst tien gevallen van datalekken waren geconstateerd. Een geval leidde tot een aangifte bij het OM. Het ging om de afdeling Data & Analytics (D&A) van de Belastingdienst. Het onderzoek is inmiddels afgerond, samen met onderzoeken door de Autoriteit Persoonsgegevens, een onderzoek naar informatiebeveiliging bij D&A-voorganger de Broedkamer en extern forensisch onderzoek naar de gevolgde aanbestedingsprocedure voor ondersteuning van de Broedkamer.
“Mijn conclusie op basis van de bevindingen in de rapporten Onderzoek informatiebeveiliging Broedkamer en Onderzoek gegevensgebruik D&A, inclusief aanvullend leveranciersonderzoek, is dat in een aantal casussen persoonsgegevens buiten de Belastingdienst zijn gebracht voor werkgerelateerde bewerking of analyse. Dat is tegen de regels en niet acceptabel”, schrijft Wiebes. De binnen de Broedkamer en D&A met medeweten van betrokken management gehanteerde
werkwijze voldeed niet aan de norm voor adequate gegevensbescherming, aldus de staatssecretaris.
Te grote autonomie
Elke casus is onderzocht en daarbij is niet gebleken dat persoonsgegevens niet-functioneel zijn gebruikt, “anders gezegd: de persoonsgegevens zijn voor werkdoeleinden gebruikt”. Volgens leveranciers zijn de persoonsgegevens die buiten de muren van de fiscus zijn beland, inmiddels zijn vernietigd of “op een dusdanige wijze zijn zekergesteld dat er niets meer mee kan gebeuren”. Volgens de onderzoekers kon de data worden gelekt doordat de afdeling in de uitvoering een te grote autonomie had en doordat er te weinig centrale sturing was op beveiligingsgebied. Daardoor was er bij Broedkamer en D&A niet genoeg aandacht voor het inrichten van monitoring van het conform beleid werken met persoonsgegevens die de organisatie verlieten.
Maatregelen
De werkwijze was bij het management bekend, aldus Wiebes. “Het management en de medewerkers van D&A zijn over de onderzoeksbevindingen geïnformeerd en hen is duidelijk gemaakt tot welke wijziging in houding en gedrag dit moet leiden.” Inmiddels hebben minder personen toegang tot de afdeling en het bewustzijn over het werken met persoonsgegevens is vergroot. “Ook de toegang tot de analyse-omgevingen is direct na 30 juni jongstleden volledig afgesloten en individuele toegang wordt sindsdien op basis van een aangescherpte aanvraagprocedure verleend. Deze
aangescherpte procedure blijft in ieder geval van toepassing tot de structurele oplossingen volledig geïmplementeerd zijn.” Daarbij gaat het om continue monitoring, pseudonimiseren en datacompartimenteren.
De personen van wie de gegevens zijn gelekt, hebben geen schade geleden, aldus Wiebes. “Daarmee hoeven zij niet geïnformeerd te worden.”
Geen opzet
Het strafrechtelijk onderzoek door het OM is inmiddels beëindigd. Daaruit is gebleken dat geen informatie is gedeeld met personen buiten de groep personen werkzaam voor de afdeling D&A. “Van enig opzettelijk handelen in het kader van Artikel 27213 van het Wetboek van Strafrecht is niet gebleken.”
Beter bewustzijn
Hoewel er geen opzet in het spel was en de gegevens niet voor andere doeleinden zijn gebruikt, tilt Wiebes er zwaar aan dat de Belastingdienst niet altijd voldoende zorgvuldig met persoonsgegevens blijkt om te gaan en dat het management te weinig regie voert. “Dat moet anders – urgent – en dat is voor mij de belangrijkste conclusie naar aanleiding van de onderzoeken. De informatiebeveiliging binnen de Belastingdienst moet worden verbeterd, zodat standaarden weer systematisch worden nageleefd.” Behalve technische en organisatorische maatregelen is ook een groter bewustzijn bij medewerkers nodig: “De Belastingdienst moet zich bewust zijn van de leidende positie die zij inneemt. Dit moet vertaald worden naar de zorgvuldigheid waarmee met persoonsgegevens wordt omgegaan. Ik zie dit als voorwaarde om het onwrikbare vertrouwen van burgers en bedrijven te blijven verdienen.”