Staatssecretaris Wiebes van Financiën heeft de Tweede Kamer geïnformeerd over de uitkomsten van nadere onderzoeken naar gegevensgebruik en -beveiliging binnen de afdeling Data & Analytics van de Belastingdienst. Dit is de afdeling die data-analyse ontwikkelt om het toezicht en de dienstverlening van de Belastingdienst te verbeteren.
Tijdens het onderzoek was al gebleken dat in een aantal gevallen sprake is geweest van ongeoorloofde gegevensuitwisseling. Hierbij zijn in een aantal casussen persoonsgegevens buiten de Belastingdienst gebracht voor werkgerelateerde bewerking of analyse. Daarvan is in juni aangifte gedaan bij het Openbaar Ministerie. Daarnaast is van alle bevindingen melding gedaan bij de Autoriteit Persoonsgegevens.
Uit de nadere onderzoeken is niet gebleken dat de gegevens anders dan functioneel in werkverband zijn gebruikt. De gegevens die buiten de dienst zijn geweest , zijn niet verder verspreid. De gegevens zijn inmiddels of vernietigd, of op een andere manier zeker gesteld. Er zijn geen aanwijzingen dat er negatieve gevolgen zijn geweest voor mensen van wie gegevens buiten de Belastingdienst zijn gebracht. Het OM deelt die conclusie en heeft zijn onderzoek inmiddels afgesloten en besloten de zaak te seponeren. Voor het onderzoek van de Autoriteit Persoonsgegevens is nog geen opleverdatum bekend.
De staatssecretaris noemt het feit dat gegevens buiten de omgeving van de Belastingdienst zijn geweest in zijn brief niet acceptabel. "De belastingplichtige moet er vanzelfsprekend van kunnen uitgaan dat zijn gegevens bij de Belastingdienst veilig zijn. Juist daarom verdient de bescherming van persoonsgegevens bij de Belastingdienst de hoogste aandacht en zorg."
De staatssecretaris gaat ook in op de uitkomsten van een onderzoek naar de implementatie van het Handboek Beveiliging Belastingdienst. Die schoot tekort waardoor zorgvuldige omgang met gegevens niet altijd gegarandeerd was. Belangrijke oorzaken liggen in de grote autonomie van de dienstonderdelen ten aanzien van hun eigen beveiliging, in combinatie met het ontbreken van centrale regie.
Maatregelen
Er zijn diverse maatregelen genomen zijn om zorgvuldige omgang met gegevens te garanderen. Eerder werd al een aantal ingrijpende maatregelen genomen op het terrein van fysieke toegangsbeveiliging en gegevensbescherming (logische toegangsbeveiliging).
Inmiddels zijn er voorbereidingen gestart binnen D&A om structurele borging te realiseren. Het gaat hier om onder andere continue monitoring, pseudonimisering van gegevens en zogenoemde compartimentering. Dit laatste zorgt dat de toegang tot gegevens beperkt blijft tot wat nodig is voor het specifieke werk dat men doet.
Organisatiewijzigingen die recent zijn doorgevoerd, zijn er onder andere op gericht dat passende en voortdurende managementaandacht aan gegevensbeveiliging kan worden gegeven.
Zorgvuldigheid en veiligheid vragen naast technische en organisatorische maatregelen vooral ook om een sterk bewustzijn van het belang van gegevens. De Belastingdienst heeft diverse initiatieven genomen om het bewustzijn binnen de hele organisatie verder te vergroten. Deze week is de campagne ‘Allemaal veilig digitaal' begonnen.
Bron: Belastingdienst
2