THEMA

OM SEPONEERT ZAAK DATALEK BELASTINGDIENST

Beveiligingslek

In februari van dit jaar komt Wiebes in opspraak als uit de uitzending van ZEMBLA blijkt dat de Belastingdienst de financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven jarenlang onvoldoende heeft beveiligd. Uit de stukken die ZEMBLA in handen heeft blijkt dat de leiding van de Belastingdienst al in maart 2015 gewaarschuwd is dat er een beveiligingslek was.

Rapporten

Als reactie daarop kondigde de staatssecretaris verschillende acties en stappen aan. Maandag bood Wiebes de rapporten aan van het onderzoek gegevensgebruik Data & Analytics (D&A), het onderzoek naar informatiebeveiliging bij de Broedkamer en voorlopers en het onderzoek implementatie Handboek Beveiliging Belastingdienst.

Eerdere resultaten

Uit de voorlopige resultaten van het onderzoek kwam al naar voren dat er tien gevallen zijn aangetroffen waarbij persoonsgegevens ongeoorloofd buiten de Belastingdienst zijn terecht gekomen en dat er sprake is geweest van ongeoorloofde gegevensuitwisseling. Daarvan is in juni aangifte gedaan bij het Openbaar Ministerie. Daarnaast is van alle bevindingen melding gedaan bij de Autoriteit Persoonsgegevens.

Conclusie

Uit de nadere onderzoeken is niet gebleken dat de gegevens anders dan functioneel in werkverband zijn gebruikt, concludeert de staatssecretaris. De gegevens die buiten de dienst zijn geweest, zijn niet verder verspreid en zijn inmiddels vernietigd. Er zijn geen aanwijzingen dat er negatieve gevolgen zijn geweest voor mensen van wie gegevens buiten de Belastingdienst zijn gebracht. Het OM deelt die conclusie en heeft zijn onderzoek inmiddels afgesloten en besloten de zaak te seponeren. Voor het onderzoek van de Autoriteit Persoonsgegevens is nog geen opleverdatum bekend.

Herhaling voorkomen

Om herhaling te voorkomen, heeft Wiebes een aantal maatregelen getroffen. Zo is de relatie met bij de casussen betrokken externe medewerkers per direct beëindigd. Betrokken interne medewerkers zijn onderworpen aan intern onderzoek dat inmiddels is afgerond. ‘Gebleken is dat sprake was van een met medeweten van het management ontstane werkwijze. Het management en de medewerkers van D&A zijn over de onderzoeksbevindingen geïnformeerd en hen is duidelijk gemaakt tot welke wijziging in houding en gedrag dit moet leiden.’ Verder is er fysiek een beperkte toegang tot de afdeling D&A. Ook de toegang tot de analyse-omgevingen is direct na 30 juni volledig afgesloten en individuele toegang wordt sindsdien op basis van een aangescherpte aanvraagprocedure verleend. Structurele oplossingen voor continue monitoring, pseudonimiseren en datacompartimenteren van de analyseomgeving D&A staan op stapel. De eerste actieve monitoring D&A wordt vierde kwartaal 2017 gerealiseerd. Implementatie van pseudonimisering/anonimisering is voorbereid. De start op de werkvloer staat gepland voor het eerste kwartaal 2018 met een doorlooptijd van een jaar. Compartimentering is volgens planning medio 2018 gerealiseerd. Totdat deze technische maatregelen zijn geïmplementeerd, blijven de procedurele maatregelen met aangescherpte ontheffingscriteria van kracht.