Zembla: Belastingdienst deed niets aan 'alarmerend beveiligingslek'
De belastinggegevens van alle Nederlanders zijn jarenlang niet goed beveiligd geweest. Tot vorig jaar konden medewerkers van een afdeling van de Belastingdienst zonder controle de gegevens van 11 miljoen Nederlandse belastingbetalers bekijken, zegt tv-programma Zembla. Ook een commercieel bedrijf had toegang tot de informatie. Het is niet duidelijk of er misbruik van is gemaakt.
Staatssecretaris Wiebes geeft in een schriftelijke reactie toe dat niet gemonitord is wat er met de data gedaan is en door wie. "Verlies of diefstal van de gegevens is tot op heden niet geconstateerd", schrijft de staatssecretaris.
Een woordvoerder van Financiën zegt dat de belastinggegevens goed zijn beveiligd en dat externe partijen de beveiliging regelmatig testen. "Maar we begrijpen dat er een vervolgonderzoek komt en dat vinden wij goed.”
Broedkamer
De problemen speelden volgens Zembla bij 'de Broedkamer', een eiland binnen de Belastingdienst.
Bij deze afdeling, die tussen 2013 en 2016 bestond, werkten ruim honderd data-analisten. Zij beschikten over alle informatiestromen van de Belastingdienst. Het gaat niet alleen om adressen en inkomens, maar ook om reisgedrag, schulden en vermoedens van strafbare feiten. Met die gegevens proberen de analisten patronen te ontdekken in de aangiftes om zo fraude op te sporen. Dat zou de fiscus miljoenen extra moeten opleveren.
"Je zou de gegevens volgens de Wet Bescherming Persoonsgegevens extreem goed moeten beveiligen", zegt programmamaker Sander Rietveld van Zembla. "Je zou moeten zorgen voor goede toegangseisen, autorisatiesystemen moeten opstellen, zodat je weet wie wat op welk moment heeft gedaan met die data. Maar feitelijk was er helemaal niets geregeld."
De Belastingdienst was drie jaar lang willens en wetens in overtreding.
De Belastingdienst werd al in maart 2015 gewezen op het belang van goede beveiliging, blijkt uit een vertrouwelijk document dat Zembla heeft getoond aan de NOS. Volgens bronnen van het tv-programma is met dat advies niets gedaan. In 2016 bevestigde de Auditdienst Rijk dit in een rapport.
"Dat is het bizarre aan dit verhaal", zegt Rietveld. "De Belastingdienst was drie jaar lang willens en wetens in overtreding."
Er was sprake van een blinde vlek: iedereen binnen de Broedkamer kon ongezien alles doen, aldus de betrokkenen. En daarmee in theorie alle informatie downloaden. Daarnaast werkte de afdeling samen met het internationale bedrijf Accenture, dat ook toegang tot informatie had. Het bedrijf zegt in een schriftelijke verklaring dat het zich aan alle geldende regels heeft gehouden.
In maart 2016 is de afdeling opgegaan in een ander onderdeel van de Belastingdienst: Data & Analytics. Er zou nu wel worden geregistreerd wie wanneer inlogt, maar niet welke bestanden bekeken of gedownload worden.
Hoogleraar computerveiligheid Bart Jacobs zegt in de Zembla-uitzending dat de Belastingdienst de wet heeft overtreden. Volgens Jacobs is het grootste gevaar identiteitsfraude. Hoogleraar ict en rechtsstaat Mireille Hillebrandt zegt over het beveiligingslek "als dat zo is, is dat zeer alarmerend".
CDA-Kamerlid en belastingwoordvoerder Pieter Omzigt kwalificeert de gang van zaken als "zeer onprofessioneel en laakbaar". Hij bevestigt dat Wiebes de kamer niet actief geïnformeerd heeft over het beveiligingslek bij de Belastingdienst.