Belastingdienst heeft voldoende maatregelen getroffen om informatie te beveiligen

De afdeling Datafundamenten & Analytics van de Belastingdienst heeft belangrijke verbetermaatregelen genomen om de gebrekkige beveiliging van informatie op orde te brengen. Dit concludeert de Autoriteit Persoonsgegevens (AP) na een vervolgonderzoek. Aleid Wolfsen, voorzitter van de AP: ‘De Belastingdienst heeft heel veel informatie over ons allemaal. Burgers moeten erop kunnen vertrouwen dat die gegevens zorgvuldig beveiligd worden.’

De AP startte een eerste onderzoek naar de afdeling van de Belastingdienst na een uitzending van Zembla in februari 2017. Nu de AP na vervolgonderzoek constateert dat de Belastingdienst voldoende verbetermaatregelen heeft getroffen om informatie te beveiligen, sluit de AP het onderzoek.

Drie eerdere beveiligingsrisico’s

In 2017 constateerde de AP beveiligingsrisico’s op de afdeling Datafundamenten & Analytics van de Belastingdienst. Op drie fronten trof de AP tekortkomingen aan:

  • in de logging van relevante activiteiten; data kon ongemerkt worden gekopieerd of geëxporteerd. Nergens in de keten legde de afdeling vast wie, welke data mogelijk onrechtmatig buiten de Belastingdienst bracht.
  • in de periodieke controle op de logging; zou data de Belastingdienst onrechtmatig verlaten? Dan kon de Belastingdienst dit niet via controle op de logging opmerken. Ook was het in dit geval achteraf niet mogelijk om na te gaan wie welke data naar buiten bracht.
  • bij het beheer van de autorisaties; hierdoor kon de afdeling niet uitsluiten dat medewerkers toegang tot data hadden die niet strikt noodzakelijk was;

De AP heeft na het eerste onderzoek verzocht informatie te verstrekken over de getroffen verbetermaatregelen. In november 2018 had de AP aanleiding te vermoeden dat de Belastingdienst nog niet alle benodigde verbetermaatregelen had getroffen. Daarop volgde een vervolgonderzoek.

Over de afdeling Datafundamenten & Analytics

De afdeling Datafundamenten & Analytics beschikt over een enorme hoeveelheid gevoelige persoonsgegevens. Dat vereist een hoog beveiligingsniveau.

Het gaat bijvoorbeeld om data die de Belastingdienst heeft verkregen in het kader van werkzaamheden op het gebied van inkomstenbelasting, omzetbelasting, vennootschapsbelasting en bezwaarschriften. De afdeling analyseert deze intern beschikbare data van de Belastingdienst om de data beter te kunnen benutten.

Hoe nu verder?

De AP adviseert de afdeling Datafundamenten & Analytics het niet bij de huidige verbetermaatregelen te laten. Aleid Wolfsen: ‘Informatiebeveiliging vraagt om een continu proces. Wij moedigen de Belastingdienst dan ook aan om steeds opnieuw risico’s en maatregelen te herbeoordelen.’

Winkelend publiek
Publicaties

Onderzoek Belastingdienst Datafundamenten & Analytics