Zembla woensdag om 21:15 uur op NPO 2

  • Belastingdienst wel degelijk expliciet gewaarschuwd voor privacylek

  • Wiebes debat Belastingdienst

    Wiebes: “Ik heb geen waarschuwingen gezien.”

    Uit een vertrouwelijk document dat ZEMBLA vandaag publiceert, blijkt dat de Belastingdienst wel degelijk expliciet is gewaarschuwd voor het beveiligingslek waarbij de gegevens van belastingbetalers gedurende drie jaar onvoldoende werden beschermd. Staatssecretaris Wiebes ging deze week in een Kamerbrief in op het beveiligingslek maar liet na de Tweede Kamer over deze expliciete waarschuwing te informeren. Het document uit augustus 2015 werd ZEMBLA onlangs toegespeeld. Het stelt dat elementaire beveiligingsmaatregelen zoals logging, anonimisatie en autorisatie op basis van profielen ontbreken en moeten worden ingevoerd.

    Belastingdienst was al in 2015 gewaarschuwd
    ZEMBLA onthulde vorige week dat gevoelige gegevens van elf miljoen belastingbetalers en twee miljoen bedrijven door de Belastingdienst gedurende drie jaar slecht beveiligd werden. Zo hadden bijvoorbeeld tientallen medewerkers van consultancybedrijf Accenture gedurende drie jaar ongecontroleerd toegang tot deze data. Volgens meerdere deskundigen is er sprake van een overtreding van de privacywetgeving. Klokkenluiders tot op directieniveau legden over dit beveiligingslek, dat al vanaf 2013 bestond, beëdigde verklaringen af. Ook kreeg ZEMBLA een USB-stick met daarop meer dan honderd interne documenten van de Belastingdienst. Uit de verklaringen en de stukken blijkt dat de Belastingdienst al in 2015 gewaarschuwd is voor het ontbreken van beveiligingsmaatregelen. Zo stelt adviesbureau LiquidHub in een document van maart 2015:

    "Organiseer data governance binnen BIA en de bedrijfsvoering waardoor zorgvuldige omgang met gegevens wordt geborgd met afdoende aandacht voor beveiliging en een auditeerbare situatie ontstaat."

    Klokkenluiders stelden in de uitzending dat niet werd gelogd welke medewerkers toegang hadden tot specifieke data en ook niet wat er met die data is gebeurd.

    "Er werd niets gemonitord. Het zou best kunnen dat iemand alle gegevens van belastingbetalers heeft gedownload."

    Over de uitzending van ZEMBLA werden 83 Kamervragen gesteld. De Tweede Kamer vroeg onder meer of Wiebes wist dat het lek al medio 2015 aan de leiding van de Belastingdienst is gemeld. ZEMBLA liet in de uitzending het eerder genoemde document van adviesbureau LiquidHub zien. En hoewel LiquidHub expliciet de term ‘beveiliging’ noemt en de noodzaak van een auditeerbare situatie benadrukt, stelt de staatssecretaris dat het document ‘niet ingaat op beveiliging’. Op de vraag van de Kamer door wie de Belastingdienst allemaal is gewaarschuwd voor het beveiligingslek en op welke momenten die waarschuwingen zijn geuit, gaat Wiebes niet in. 

    Tijdens het debat op 9 februari vroeg CDA Kamerlid Pieter Omtzigt of de Belastingdienst expliciet is gewaarschuwd voor het ontbreken van vereiste beveiligingsmaatregelen, zoals logging. Wiebes liet daarop weten: ‘Ik heb geen waarschuwingen gezien’. Hij weigerde in te gaan op de vraag of er interne documenten met waarschuwingen zijn aangetroffen. Wiebes: “Ik heb zeer recent signalen gekregen dat er toen interne signalen zijn binnengekomen. (…) maar die informatie heb ik nog niet compleet. Meer is er niet bekend bij de mensen die betrokken zijn bij de beantwoording van deze vragen.” Ook stelde hij dat er in de Broedkamer wel gelogd werd.

    Maar ZEMBLA heeft een document in handen waaruit blijkt dat de Belastingdienst en de top van de Broedkamer wel degelijk expliciet zijn gewezen op het ontbreken van specifieke beveiligingsmaatregelen.

    In een zogenaamd Visie en Opstart Document ten behoeve van ‘Data & Analytics voor de Belastingdienst’ van augustus 2015 wordt gesproken over ‘aanvullende initiatieven die gelet op de impact urgent dienen te worden gerealiseerd’. Dit document blijkt te zijn geschreven door een van de adviseurs van LiquidHub die in maart 2015 ook al wezen op beveiligingsrisico’s. De opdrachtgever die op het document wordt vermeld is de directeur van de Broedkamer die nog steeds dezelfde positie heeft bij Data & Analytics. Bij de ‘tracks met prioriteit’ staat:

    ‘Er dient te worden geborgd dat Data & Analytics middels invulling van Data Governance, binnen wettelijke kaders acteert en alle richtlijnen respecteert. Hiertoe dient een framework te worden ontworpen en geïmplementeerd waardoor kan worden aangetoond ‘in control’ te zijn en compliant. Dit strekt zich uit van data anoniemisatie (sic), logging en met (sic) profiel gebaseerde autorisaties. Rapportages, gevraagd en ongevraagd, moeten kunnen worden overlegd aan interne- & externe instanties om inzage te geven in de mate van control en de graad van compliance op wetgeving.’

    Klokkenluiders stelden in ZEMBLA dat de waarschuwingen door de top van de Belastingdienst en de broedkamer werden genegeerd.

    Dit komt overeen met de situatie die in maart 2016 werd aangetroffen door de Auditdienst Rijk. Die schrijft in een rapport over de broedkamer: "Voor beperking van fysieke toegang en nadere inperking van de logische toegangsbeveiliging om data voor medewerkers af te schermen, zijn gedachten aanwezig zoals toegangspasjes om op de afdeling te komen, logging en monitoring. Deze maatregelen zijn nog niet geëffectueerd."

     

    Bekijk het Visie & Opstart document 'Data & Analytics' voor de Belastingdienst.

    Bekijk hier het originele fragment uit dit document: