Door een fout met digitale machtigingen bij de Belastingdienst hebben onder andere accountants sinds vorig jaar de persoonlijke gegevens en aangiften van oud-cliënten zonder toestemming kunnen inzien. De volkskrant meldt dat de Belastingdienst het datalek inmiddels heeft gemeld bij de Autoriteit Persoonsgegevens.
Op MijnBelastingdienst.nl kan iedereen via ‘Machtigen met DigiD’ namens een andere persoon zaken met de overheid doen. In zo’n geval wordt per jaar een machtiging afgegeven om via het persoonlijke DigiD inzage te krijgen in bijvoorbeeld een belastingaangifte. De afhandeling van deze digitale machtiging blijkt maandenlang niet in orde te zijn geweest.
Volgens de volkskrant zou de onvolkomenheid bij toeval ontdekt zijn door een accountant die voor verschillende klanten de belastingaangifte beheerde. Hij kreeg argwaan toen hij per ongeluk toegang kreeg tot de strikt persoonlijke gegevens van een oud-cliënt die geen machtiging meer had afgegeven voor het laatste jaar. De accountant had eerst ingelogd via een andere klant, voor wie die machtiging wel gold. Door vervolgens in de browser op de terug-knop te klikken, kwam hij terecht bij zijn lijst met klanten, waaronder ook de verlopen machtigingen.
Naar blijkt komt de fout alleen voor in de browser Edge van Microsoft. Andere browsers geven netjes een foutmelding als dezelfde route met de terug-knop wordt afgelegd. Een kinderlijk eenvoudige ‘hack’ dus. De Volkskrant geeft aan dat de Belastingdienst de fout erkent en inmiddels heeft hersteld. Het datalek is inmiddels ook gemeld bij de Autoriteit Persoonsgegevens.