Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2016-2017 | 436 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2016-2017 | 436 |
Kent u het bericht «Belastingdienst had datalek moeten melden»?1
Bevat dit bericht feitelijke onjuistheden ten aanzien van de aard van het datalek? Zo ja, welke?
Ja, het bericht is inderdaad niet geheel correct. In het bericht staat dat op de cd-roms onversleutelde persoonlijke gegevens van particulieren stonden, waaronder informatie van de Kamer van Koophandel. Dit is onjuist. Op de cd-roms stonden gegevens van de belastingconsulent (het nummer van de belastingconsulent en zijn adresgegevens), gegevens van zijn klanten c.q. belastingplichtigen [namen, burgerservicenummers (BSN’s) en uitsteldata voor het indienen van de aangiften] en het inleverschema voor de betrokken belastingconsulent. Op de cd-roms stond geen informatie van de Kamer van Koophandel.
Doet de Autoriteit Persoonsgegevens onderzoek naar het genoemde datalek? Zo ja, wat is de stand van zaken van dat onderzoek? Zo nee, waarom niet?
Het datalek is op 16 mei 2016 gemeld aan de Autoriteit Persoonsgegevens. Voor zover mij bekend heeft de Autoriteit Persoonsgegevens geen nader onderzoek ingesteld naar het datalek.
Deelt u de mening dat het lekken van onversleutelde persoonlijke gegevens van particulieren, waaronder het burgerservicenummer en informatie van de Kamer van Koophandel risico’s voor de betrokken belastingplichtigen kan opleveren en mogelijk schade tot gevolg kan hebben? Zo ja, waarom? Zo nee, waarom niet?
Ik deel de mening dat het lekken van onversleutelde gegevens risico’s voor de betrokken persoon kan opleveren en mogelijk schade tot gevolg kan hebben. Echter, de risico’s voor (identiteits)fraude liggen in het combineren van het BSN met andere persoonsgegevens uit andere bronnen. Het BSN als zodanig is een nummer zonder betekenis. Iemand die enkel beschikt over een BSN kan daar niet veel mee. Zoals aangegeven stond op de cd-roms slechts de naam van betrokken belastingplichtige, zijn BSN en de uitsteldatum voor het indienen van de aangifte. Ik ben daarom van oordeel dat in het voorliggende geval sprake is van een laag risico.
Deelt u de mening van de in het bericht genoemde hoogleraar dat de Belastingdienst de betrokken belastingplichtigen individueel had moeten informeren over het datalek en dat de Belastingdienst door dat niet te doen de Wet bescherming persoonsgegevens heeft overtreden? Zo ja, waarom? Zo nee, waarom niet?
Ik ben van mening dat de Belastingdienst de betrokken belastingplichtigen niet individueel hoefde te informeren over het datalek. Op grond van artikel 34a van de Wet bescherming persoonsgegevens en op grond van de beleidsregels van de Autoriteit Persoonsgegevens2 moet een datalek onverwijld aan de betrokken persoon worden gemeld als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. In dit geval zijn de gegevens van belastingplichtigen in een aantal gevallen verstrekt aan een verkeerde belastingconsulent. Belastingconsulenten behoren tot een specifieke beroepsgroep, waarvan de leden vaak ook aangesloten zijn bij een overkoepelende organisatie waar de Belastingdienst regelmatig overleg mee voert. Deze overkoepelende organisatie heeft een gedragscode voor aangesloten leden. Daarnaast zijn de belastingconsulenten gebonden aan de geheimhoudingsplicht van artikel 67 van de Algemene wet inzake rijksbelastingen.
Verder beschikt een belastingconsulent vanwege zijn beroep al over een groot aantal gegevens van zijn klanten c.q. belastingplichtigen. De kans dat een belastingconsulent de gegevens van de onjuist toegestuurde cd-rom onrechtmatig zou gebruiken is klein te achten.
Gezien het voorgaande heeft de Belastingdienst het risico op ongunstige gevolgen beperkt geacht, zodat er geen reden was om betrokken belastingplichtigen individueel te informeren. Ik ben dan ook van oordeel dat de Belastingdienst daarmee de Wet bescherming persoonsgegevens niet heeft overtreden.
Deelt u de mening van de genoemde hoogleraar dat er bij de Belastingdienst «geen enkel zicht is op de omvang van het lek»? Zo ja, waarom en wat gaat u doen om er voor te zorgen dat de Belastingdienst voortaan zorgvuldiger met dergelijke risico’s om zal gaan? Zo nee, waarom niet?
De omvang van het datalek is niet exact bekend. De Belastingdienst gebruikt cd-roms voor de communicatie over aangevraagd uitstel voor het doen van aangifte. Het gaat hier om uitstelverzoeken van een groep van ongeveer 9.000 belastingconsulenten ten behoeve van hun cliënten. De cd-roms worden eerst individueel ingepakt en vervolgens samen met een begeleidende brief in een enveloppe gedaan. Deze wordt voor verzending in een doos gedaan. Het in een hoesje doen van de cd-rom, het samenvoegen van de brief en de cd-rom in een enveloppe en het verpakken ter verzending is handwerk. Achteraf is niet meer exact vast te stellen in hoeveel gevallen dit eventueel is misgegaan. Een soortgelijke fout, waarbij het voor zover bekend om slechts drie verkeerd verstuurde cd-roms ging, heeft zich daarna nog eens voorgedaan en is op een zelfde manier afgehandeld.
Aangezien handwerk foutgevoelig is, zijn de verbeteracties gericht op het controleren hiervan. Er is één op één controle op de combinatie van cd-roms en brieven afgesproken. Waar voorheen niet één op één gecontroleerd werd dat de brief dezelfde geadresseerde had als de cd-rom, is dit nu wel een werkafspraak. Er is afgesproken om steekproefsgewijs de cd-roms te controleren. Deze worden gecontroleerd op leesbaarheid en op het type gegevens dat op de cd-rom staat, in combinatie met de brief (wanneer er bijvoorbeeld in de brief gesproken wordt over uitstelgegevens, moet de cd-rom ook uitstelgegevens bevatten). Verder is de Belastingdienst bezig het uitstelproces te digitaliseren. Dit vergt aanpassingen van externe partijen (softwareontwikkelaars), die zich hier momenteel op inrichten.
Waarom werden wel alle belastingconsulenten in Nederland op de hoogte van het datalek gesteld?
De Belastingdienst heeft begin mei 2016 geconstateerd dat er iets fout gegaan was met het verzenden van cd-roms met de gegevens over het verleende uitstel voor het doen van aangifte (conform de uitstelregeling voor belastingconsulenten). Er was sprake van twee verschillende verstoringen met betrekking tot een deel van de cd-roms. Bij een beperkt deel van de cd-roms was niet alleen het verleende uitstel voor het belastingjaar 2015 opgenomen, maar ook voor het belastingjaar 2014. Daardoor kon het zijn dat die cd-roms niet goed te openen waren. Daarnaast was een deel van de cd-roms om onbekende reden naar de verkeerde belastingconsulent gestuurd.
Aangezien niet exact bekend was welke van de ongeveer 9.000 betrokken belastingconsulenten een onjuiste cd-rom hadden ontvangen, heeft de Belastingdienst op 13 mei 2016 al deze belastingconsulenten per e-mail geïnformeerd. Geadviseerd is om de cd-rom niet te openen. Ook is een brief gestuurd aan de betrokken belastingconsulenten. De Belastingdienst heeft op 19 juli 2016 nieuwe cd-roms met de juiste gegevens verzonden. Daarnaast heeft de Belastingdienst de belastingconsulenten geïnformeerd via de gebruikelijke kanalen voor het aankondigen van een verstoring, o.a. het verstoringenhoekje op www.belastingdienst.nl en het Forum fiscaal dienstverleners.
http://www.bnr.nl/nieuws/media/10311151/belastingdienst-informeerde-slachtoffers-datalek-niet
Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp); Beleidsregels voor toepassing van artikel 34a van de Wbp; 8 december 2015; vindplaats: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20162017-436.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.