Het duurt nog tot mei volgend jaar voordat de Belastingdienst voldoet aan de eisen van de Algemene Verordering Gegevensbescherming (AVG). Dat schrijft staatssecretaris Snel (Financiën) aan de Tweede Kamer.
VVD-leden Lodders en Middendorp hadden Snel vragen gesteld over de beveiliging bij de Belastingdienst. Zo wilden zij meer weten over de technische onmogelijkheden om persoonsgegevens goed te beveiligen. Aanleiding was een artikel in Trouw. Volgens Snel is in dat artikel ten onrechte geconcludeerd dat de gegevensbeveiliging “in den brede” niet op orde is. Aanleiding was een brief aan de Autoriteit Persoonsgegevens waarin de staatssecretaris heeft aangegeven dat vanuit de dataomgeving van de afdeling Datafundamenten en Analytics (DF&A) van de Belastingdienst “technische logging niet mogelijk [is] noch het aanpassen van autorisaties”. “De situatie is dat het niet mogelijk is om ieder gebruik van gegevens te loggen als de te analyseren gegevens eenmaal uit de centrale dataomgeving zijn gehaald en in de digitale werkomgeving (PC of laptop) van de medewerker van DF&A zijn geplaatst. Dat komt omdat in de digitale werkomgeving van de medewerker ook standaardapplicaties worden gebruikt die geen logmogelijkheid kennen. Daarom zijn technische en organisatorische maatregelen getroffen in het werkproces, waarmee het risico van een datalek wordt geminimaliseerd. Handelingen met gegevens in de centrale dataomgeving van DF&A worden wel gelogd en gemonitord.”
Er is dus geen sprake van dat persoonsgegevens bij de Belastingdienst niet beveiligd zijn, aldus Snel. “Het betreft de beveiligingsmaatregel logging op één onderdeel van het werkproces bij DF&A. Maatregelen om een adequate beveiliging van dat specifieke onderdeel te borgen, zijn getroffen.”
Naleving continu proces
In de loop van volgend jaar wordt een technisch volledig afgesloten digitale werkomgeving ingevoerd waarin alleen vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds gelogd en gemonitord worden. In mei, een jaar na de inwerkingtreding van de AVG, zal de fiscus uiteindelijk voldoen aan de eisen die daarin worden gesteld: “Ik verwacht dat de Belastingdienst per mei 2019 de implementatie van de verbetermaatregelen afgerond zal hebben en in lijn zal zijn met de AVG. Bij de afdeling DF&A is dit, zoals ook aangegeven in de brief aan de AP, eind mei 2018 al gerealiseerd. Naleving van de AVG is echter een continu proces dat structureel aandacht en maatregelen vraagt en nooit ‘af’ is.”
Aanpassingen sinds vorig jaar
De Kamerleden verwijzen ook naar een uitzending van Zembla begin vorig jaar. Ze willen weten wat de fiscus sindsdien aan de beveiliging heeft gedaan. Volgens Snel zijn bij de afdeling DF&A inmiddels de gegevens gecompartimenteerd, zodat medewerkers alleen de gegevens te zien krijgen die zij nodig hebben voor hun werk. Ook is de toegang tot de data strikt geregeld via autorisaties, die maandelijks worden beoordeeld op actualiteit en geldigheid.
Daarnaast wordt iedere gegevensverwerking in de dataomgeving gelogd en actief gemonitord. “In de beveiligde werkomgeving van de medewerker met datatoegang is extern mailverkeer niet meer mogelijk. Het via een mobile device (die zijn voorzien van een wachtwoord en afgedwongen beveiligingsmaatregelen) opslaan en versturen van bijlagen is alleen mogelijk door middel van doelbewuste handelingen. In de trainingen en bewustwordingssessies van alle medewerkers wordt het verrichten van deze handelingen bestempeld als een bewuste en kwaadwillende actie, die kan leiden tot sancties.” Medewerkers kunnen alleen goedgekeurde websites bezoeken. “Export van gegevens naar het internet is afgesloten.” Wie met data werkt, heeft geen ontheffing voor gebruik van een USB-stick.
Beveiliging elders ook nog niet op orde
De VVD’ers wilden ook weten of er nog meer overheidsinstellingen zijn die problemen ervaren met de beveiliging van persoonsdata. Daarop antwoordt Snel niet met een stellig ‘nee’: “Nog niet alle organisaties hebben dit volledig op orde, maar er wordt hard aan gewerkt en dit onderwerp heeft overheidsbreed hoge prioriteit.” Er komt wel één privacy-advies voor zogeheten ‘Rijksbrede kaders en voorzieningen’. Daarover krijgt de Kamer in het nieuwe jaar meer informatie, aldus de staatssecretaris.