Vragen van het lid Omtzigt (CDA) aan de Staatssecretaris van Financiën over informatiebeveiliging (ingezonden 18 oktober 2017).

Nader antwoord van Staatssecretaris Wiebes (Financiën) (ontvangen 25 oktober 2017).

Vraag 1

Herinnert u zich dat u op 8 februari 2017 het volgende aan de Kamer schreef:

«Naar aanleiding van de signalen over mogelijke onregelmatigheden bij de aanbesteding van de ondersteuning van het programma Broedkamer, heb ik een extern forensisch onderzoek in gang gezet naar deze aanbestedingsprocedure. Bij het uitzetten van de opdracht wordt er op gelet dat de uitvoerende partij onafhankelijk is ten opzichte van alle deelnemers aan de aanbesteding en niet eerder op enigerlei wijze betrokken is geweest.

In het onderzoek zal onder meer aandacht worden besteed aan de rechtmatigheid en ordelijkheid van de aanbestedingsprocedure zelf, aan mogelijke voorkennis over de opdracht bij de leverancier waaraan de opdracht is gegund en mogelijke banden tussen medewerkers van de Belastingdienst en van de gekozen leverancier. Het onderzoek wordt verricht in opdracht van de directeur-generaal Belastingdienst en ondersteund door een begeleidingscommissie. Mocht uit dit onderzoek blijken dat sprake is van een vermoeden van een strafbaar feit, dan zal daarvan aangifte worden gedaan. De onderzoeker wordt verzocht zijn rapport half mei op te leveren»?1

Vraag 2

Wie voert het extern forensisch onderzoek uit? Welke uiterste leveringstermijn is bij de opdrachtverlening gegeven?

Vraag 3

Heeft u een tussentijdse rapportage ontvangen? Zo ja, kunt u die aan de Kamer doen toekomen?

Vraag 4

Kunt u de brieven, mails en rapporten die zijn uitgewisseld tussen de onderzoekers en de begeleidingscommissie en anderen bij de rijksoverheid aan de Kamer doen toekomen?

Vraag 5

Heeft u aangifte gedaan naar aanleiding van tussentijdse signalen? Zo ja, wanneer en tegen wie?

Vraag 6

Heeft u naar aanleiding van het onderzoek andere actie ondernomen? Zo ja, welke actie?

Vraag 7

Kunt u aangeven wat u vindt van het feit dat in de voorlopers van de Broedkamer:

  • a. belastinggegevens van alle Nederlanders beschikbaar waren;

  • b. meer dan 40 mensen data met een USB stick konden downloaden en dat de loggegevens daarvan kennelijk niet zijn teruggevonden en onderzocht;

  • c. alle medewerkers van de Belastingdienst toegang hadden tot de ruimte met die computers;

  • d. medewerkers gegevens naar buiten konden mailen;

  • e. in de verslagen geen opvolging aan beveiligingstekortkomingen is gevonden?

Vraag 8

Kunt u de «bedreigingen- en kwetsbaarhedenanalyse» die is uitgevoerd over de databeveiling bij de voorlopers van de Broedkamer in 2015 aan de Kamer doen toekomen?2

Vraag 9

Kunt u het rapport «investigating data streams» van Oliver Wyman uit 2015 aan de Kamer doen toekomen? Kunt u een reactie geven op de bevindingen daarin en de opvolging die daaraan is gegeven?

Vraag 10

Kunt u een appreciatie geven bij elk van de bevindingen van «het Rapport van bevindingen onderzoek informatiebeveiliging programma Broedkamer en voorlopers»?

Vraag 11

Van welke datalekken die zijn geconstateerd, is aangifte gedaan bij de autoriteitspersoonsgegevens? Kunt u per geconstateerde datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Vraag 12

Welke maatregelen zijn er genomen tegen de medewerkers van de Belastingdienst die via bankrekeningnummers gegevens van belastingplichtigen en gegevens van VIP’s hebben opgevraagd?3

Vraag 13

Kunt u een appreciatie geven van elk van de bevindingen in het «Rapport van bevindingen onderzoek gegevensgebruik D&A»?

Vraag 14

Hoe vaak hebben medewerkers gezocht naar de gegevens van individuele belastingplichtigen? Welke acties zijn ondernomen tegen deze medewerkers?

Vraag 15

Van welke datalekken die zijn geconstateerd is aangifte gedaan bij de Autoriteit Persoonsgegevens? Kunt u per geconstateerd datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Vraag 16

Kunt u een overzicht geven van de signalen die klokkenluiders gegeven hebben over de beveiliging van de gegevens bij de Broedkamer en haar voorlopers en wat er met deze signalen gebeurd is?

Vraag 17

Waarom verklaarde u in de Kamer dat er actief gemonitord is, terwijl uit de onderzoeken blijkt dat er in het geheel geen monitoring heeft plaatsgevonden?

Vraag 18

Kunt u deze vragen een voor een beantwoorden en voor dinsdag 24 oktober 2017 te 11 uur aan de Kamer doen toekomen?

Nader antwoord

Bij de antwoorden op de vragen van het lid Omtzigt over informatiebeveiliging is ter vertrouwelijke inzage het rapport Data streams investigation gevoegd.

Zoals aangekondigd in die antwoorden4 stuur ik u hierbij een openbare versie5 van het onderzoek waarin de vertrouwelijke passages onzichtbaar zijn gemaakt, zodat dit eventueel in het overleg betrokken kan worden.

X Noot
1

Kamerstuk 31 066, nr. 340

X Noot
2

Bijlage 2 bij Kamerstuk 31 066, nr. 379, paragraaf 4.2.3

X Noot
3

Bijlage 2 bij Kamerstuk 31 066, nr. 379, paragraaf 4.5.3

X Noot
4

Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 288

X Noot
5

Ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer

Naar boven