5 Belastingdienst

Aan de orde is het debat over de Belastingdienst. 

De voorzitter:

Ik heet de staatssecretaris, de Kamerleden en de mensen op de publieke tribune van harte welkom. Ik dacht de heer Omtzigt als eerste spreker het woord te zullen geven, maar de heer Bashir staat al voor de interruptiemicrofoon. Het woord is aan de heer Bashir. Mijnheer Bashir, goedemorgen. 

De heer Bashir (SP):

Goedemorgen, voorzitter, staatssecretaris en anderen. Ik heb een punt van orde. Wij hebben een set feitelijke vragen gesteld, wij hebben heel veel vragen gesteld. De antwoorden hebben wij gisteren gekregen en bestudeerd. Wat blijkt? Een groot aantal vragen wordt niet beantwoord. Ik ben daarover heel erg ontevreden. Ik vind dat wij dit debat pas kunnen beginnen op het moment dat de staatssecretaris alle vragen heeft beantwoord. Het gaat bijvoorbeeld om de vraag of er waarschuwingen waren, die de staatssecretaris bereikt hebben … 

De voorzitter:

Nee, wij gaan de vragen niet doornemen. Wat is het punt van orde? 

De heer Bashir (SP):

Mijn punt van orde is dat de staatssecretaris alle vragen moet beantwoorden, zodat we er straks niet mondeling op in hoeven te gaan. Wij willen dat de staatssecretaris nagaat welke vragen hij nog niet heeft beantwoord en dat hij die alsnog beantwoordt. 

De heer Omtzigt (CDA):

Een aantal vragen is wel helder beantwoord, maar ook een aantal vragen in het geheel niet. Er zijn bijvoorbeeld acht vragen gesteld over wat de staatssecretaris wist en daar wordt totaal omheen gedraaid. Ik stel voor dat wij nu het debat beginnen. Wij kunnen met een cirkeltje precies aangeven over welke tien, vijftien vragen het gaat en de staatssecretaris vragen om die gedurende zijn eerste termijn te beantwoorden. 

De voorzitter:

Ik kijk even naar de staatssecretaris om te weten of dat een reële vraag is. Ja? Laten we dan gewoon het debat beginnen. 

De heer Van Weyenberg (D66):

Ik wil wel aangeven dat ik het geen goede gang van zaken vind dat wij als Kamer via ordepunten ervoor moet zorgen dat feitelijke vragen worden beantwoord in een termijn, terwijl wij de staatssecretaris een week hebben gegeven om schriftelijk te antwoorden. 

De voorzitter:

Hoeveel vragen zijn er ongeveer gesteld? Ik hoor dat het er 74 zijn. Ik geef nu de heer Omtzigt het woord namens het CDA. 

De heer Omtzigt (CDA):

Voorzitter. In 2013 is er de Broedkamer gekomen. In die Broedkamer worden alle databases van Nederland samengevoegd. Je kunt daar zien wat het loon van iemand is, wat de uitkering van iemand is, of iemand een huis bezit en waar iemand woont. Op basis van die informatie wil de Belastingdienst profielen maken van mensen om te weten of zij hun belastingplicht nakomen. Er is geen leukere database te hacken, behalve misschien het elektronisch patiëntendossier, dan deze database. Alle informatie over alle Nederlanders en alle Nederlandse bedrijven staat erin. Is het interessant om erin te kijken? Ja, dat is het. In 2004 werd een voetballer van Feyenoord verdacht van een zedenmisdrijf. 200 agenten die niets met het onderzoek te maken hadden, keken in zijn dossier. Niets menselijks is ook een ambtenaar vreemd. 

Er zijn dus veel vragen over wat er met de databeveiliging van die gegevens aan de hand was. Wij krijgen een schrikbarend beeld uit de beantwoording. Er waren achttien mensen die elke dag een usb-stick naar huis mochten meenemen, jaar in, jaar uit, en daarop data uit de database mochten zetten. Heeft de staatssecretaris de logfiles en alle data die gedownload zijn, teruggevonden? Weet hij waar die zijn? Honderden mensen hebben in die periode toegang gehad. LiquidHub zegt dat het een niet-auditeerbare situatie was. Dat betekent dat niet gekeken werd wat er precies werd gedownload. Zijn de inloggegevens gevonden en is precies achterhaald in welke data gekeken is? Er wordt gesproken over datatabellen, ik wil precies weten om welke data het gaat. Kon je kijken in je eigen belastinggegevens? Het antwoord was ja. Kon je kijken in de gegevens van je voormalig partner, iets wat bij echtscheidingen vervelend is? Het antwoord was ja. Kon je de gegevens van je buurman bekijken? Het antwoord was ja. Is ooit gecheckt of de mensen dat met honderden tegelijk gedaan hebben of niet? Is dat überhaupt na te gaan? Dit is echt een verschrikkelijke manier van omgaan met zeer elementaire persoonsgegevens. We hebben een week gehad. Er waren niet-auditeerbare situaties. Zijn er uiteindelijk audits gedaan in die jaren? De vraag is niet alleen of er een handboek is samengesteld, maar ook of er jaarlijks audits zijn geweest om te bekijken of er is gecontroleerd op basis van de inlog. Kunnen wij die audits inzien? 

Er worden allerlei onderzoeken aangekondigd. Ik hoor graag wat de taakopdracht voor die onderzoeken is en wie ze uitvoeren. Laten we zeggen dat ik hier niet nog een Van Brummen-onderzoekje wil hebben. Het moet een onafhankelijk extern onderzoek zijn door experts, waarin wordt onderzocht hoe ermee is omgegaan. Het moet ook over de periode 2013-2016 gaan. De Autoriteit Persoonsgegevens doet onderzoek naar data analytics, maar doet ze ook onderzoek naar de broedkamer? 

Is er een waarschuwing gegeven? Is er ergens in die hele tijd een waarschuwing gegeven dat het niet geloofd werd, behalve die van LiquidHub, en dat er niet gelogd werd? Waren er bijvoorbeeld autorisatieprofielen of mocht iedereen alles inzien? Ik krijg hierop graag een helder antwoord. Zijn er waarschuwingen boven tafel gekomen of niet? Wat is daarmee gedaan? Ik vroeg het net al bij het punt van orde: zijn de staatssecretaris en de top van de broedkamer ooit gewaarschuwd? Wat is daarmee gedaan? Weten wij dus uiteindelijk of er gegevens zijn kwijtgeraakt of niet? 

We kwamen er ook achter dat wel negen verschillende bedrijven met twee raamcontracten hebben gewerkt. Dat betekent dat heel veel zzp'ers of extern ingehuurde personen hebben rondgelopen in de broedkamer. Hoeveel zijn er dat geweest? Ik vraag gewoon naar het aantal. In 2015 schreef de staatssecretaris dat wel degelijk naar een nulmeting is gekeken. Die blijkt er nu niet te zijn. Accenture is echter betaald op basis van een nulmeting, om te bekijken hoe het ervoor was en of er erna meer werd opgehaald. Hoe kan het dat ons dit is verteld in 2015? 

Tot slot. Gisteren zei de staatssecretaris dat men dit intern moet kunnen melden. Een halfjaar geleden heeft hij hetzelfde beloofd. De interne klokkenluidersregeling werkte niet. 

De voorzitter:

Dank u wel. 

De heer Omtzigt (CDA):

Is die nu aangescherpt? Waarom is daar een halfjaar geleden niets mee gedaan? 

De heer Tony van Dijck (PVV):

Voorzitter. Dit is de vierde keer in een paar maanden tijd dat we spreken over de Belastingdienst. Wat ooit begon als een goedbedoelde reorganisatie om de dienst van deze tijd te maken, de Belastingdienst 2.0, dreigt nu uit te monden in een regelrechte ramp. We hebben het allemaal voorbij zien komen: 5.000 ambtenaren zouden worden vervangen door 1.500 frisse nieuwe mensen. Een sobere regeling voor vertrek is verworden tot een verkapte VUT-regeling. De staatssecretaris bestelde een keuken en kreeg een douche. Welnu, het was een koude douche. Kortom: de hele reorganisatie is een zooitje, een valse start, zelfs zo vals dat de commissie concludeert dat de continuïteit van de belastinginning weleens in gevaar zou kunnen komen. 

Slecht nieuws komt zelden alleen. Uit de ZEMBLA-uitzending bleek dat er nog veel meer aan de hand is: onbehoorlijk management, belangenverstrengeling, fraude bij aanbestedingen en een overtreding van de Privacywet. Deze beschuldigingen zijn gedaan door klokkenluiders in de pers. Dat spreekt natuurlijk boekdelen over de sfeer en de cultuur binnen de dienst. Dat zou de staatssecretaris zich moeten aantrekken. We wisten dat de staatssecretaris niet in control was, maar dat het zo erg was? Dat moet natuurlijk vreselijk voelen. 

Het is dus tijd voor actie. Wat lezen we in de brief van gisterenavond? De staatssecretaris kondigt zes onderzoeken af. Wanneer zijn deze onderzoeken klaar? Er komt een onderzoek naar de beveiliging van persoonsgegevens door de Autoriteit Persoonsgegevens, maar ook een breed eigen onderzoek naar diezelfde informatiebeveiliging. Wat is het verschil? Er komt een eigen onderzoek naar de log- en monitorgegevens. Er komt een extern forensisch onderzoek naar de aanbestedingsprocedure. Er komt een Algemene Rekenkameronderzoek. Er komt een medewerkerstevredenheidsonderzoek. Het zijn allemaal onderzoeken. En als ik gisteren vraag om een onderzoek naar de bron van al deze ellende, de goudgerande vertrekregeling, dan zegt de staatssecretaris dat hij dat niet wil weten, dat dat niet nodig is, want daar komen we toch nooit achter. Wel zes nieuwe onderzoeken aankondigen, maar het echte onderzoek — hoe is die goudgerande vertrekregeling tot stand gekomen? — wil de staatssecretaris niet doen. 

Ik zei het al: een ongeluk komt zelden alleen. Gisteren kwam ook naar buiten dat de Belastingdienst een kwart van de bedrijven niet meer controleert en dat wij hierdoor miljarden mislopen. Het aantal boekenonderzoeken is in twintig jaar met 70% gedaald. Inspecteurs noemen het toezicht naïef en onverantwoord. Volgens de FNV vertrekken inspecteurs zelfs massaal met een gouden handdruk omdat ze het niet eens zijn met het horizontaal toezicht. Klopt dit? Hoeveel loopt Nederland aan inkomsten mis? Vertrekken er inderdaad inspecteurs? Gaat de staatssecretaris dit ook onderzoeken? Wordt dit onderzoek nummer zeven? 

Ik maak mij zorgen dat wij straks het kind met het badwater weggooien. De Belastingdienst, de meest cruciale dienst van de overheid, was een goede dienst die prima werkte. En nu dreigt het met die hele reorganisatie en die investeringsagenda te ontsporen. Dat is gevaarlijk en onverantwoord. Ik vraag mij af: moeten wij niet gewoon even stoppen met die hele reorganisatie? Als wij straks minder belasting ophalen of als de belastingmoraal niet meer bestaat, zijn wij verder van huis. Ik vraag de staatssecretaris te reflecteren op de vraag of wij de investeringsagenda nog kunnen stoppen of op een lager pitje zetten. Kunnen wij de vertrekregeling opschorten en de rekrutering ter hand nemen, zodat wij de reorganisatie van de Belastingdienst op een verantwoorde manier ter hand kunnen nemen? 

De heer Bashir (SP):

Voorzitter. Laat het even tot je doordringen: medewerkers van de Belastingdienst die onder ede verklaringen afleggen, verklaringen over een schrikbewind door de leiding van de Belastingdienst, verklaringen over de top van de Belastingdienst die achter de rug van de staatssecretaris om handelt, verklaringen over problemen in de beveiliging van de gegevens van 11 miljoen Nederlanders en 2 miljoen bedrijven, waardoor er het risico van identiteitsfraude is, en verklaringen over mogelijke fraude bij aanbestedingsprocedures. 

Opnieuw meldden anonieme medewerkers van de Belastingdienst zich bij de media. Het zijn medewerkers die zich blijkbaar niet gehoord weten binnen de Belastingdienst of, nog erger, medewerkers die zich niet veilig voelen als zij intern kritiek uiten. De gelekte documenten scheppen een beeld van de Belastingdienst dat niet alleen haaks staat op het beeld dat de staatssecretaris van de dienst heeft en dat hij ons steeds voorschotelt, maar ook ronduit beangstigend is. Als er gegevens van individuele belastingplichtigen zijn gedownload, kunnen de gevolgen natuurlijk rampzalig zijn. Herkent de staatssecretaris dit gegeven? Kan hij uitsluiten dat er gegevens door onbevoegden zijn gedownload? Hoe verloopt het onderzoek hiernaar? Heeft de staatssecretaris alle loggegevens vanaf de start van de Broedkamer? Zijn die allemaal bewaard gebleven? Kunnen wij aan de hand daarvan nagaan wie allemaal bij de gegevens zijn geweest, wat er gedownload is en wat er meegenomen is? 

Zoals oud-hoogleraar Leo Stevens het zei: dit snijdt mij door de ziel. Dat doet het bij mij ook. Ik heb mij in de afgelopen tijd ingezet voor een Belastingdienst die op sterkte is, die op orde is, zodat ondernemers en particulieren op een nette manier te woord worden gestaan. Ik heb mij ingezet voor een klantvriendelijke Belastingdienst die de tijd heeft en neemt om mensen te helpen bij hun belastingzaken en die bedrijven die belasting proberen te ontwijken, goed controleert en aanpakt. Inmiddels is de Belastingdienst helaas tot een organisatie geworden waar heel veel onvrede is. Medewerkers verlaten de dienst massaal. De staatssecretaris staat er eigenlijk naast en kijkt er een beetje naar. Hij leest de stukken niet en weet niet wat er zich binnen de Belastingdienst afspeelt. 

Gisteren hebben wij een hele set antwoorden gekregen, maar helaas heeft de staatssecretaris een groot deel van de belangrijke vragen niet beantwoord, bijvoorbeeld de vraag over de waarschuwingen in verband met de beveiliging van de gegevens. Wist de staatssecretaris dat de beveiliging niet op orde was? Wat wist de staatssecretaris? Wanneer wist hij het? Wat is hem gemeld en wat is hem ter ore gekomen? Hoe zit het met de databeveiliging? Hoe zijn de gegevens gearchiveerd? Hoe is er gelogd? Wat is er bewaard? Daarover is geen informatie gegeven. 

Dan de malversaties en mogelijke fraude. Het is mij nog steeds niet duidelijk wanneer het onderzoek dat door de staatssecretaris is aangekondigd, is gestart en wat de aanleiding daarvoor is. Was dat de uitzending van ZEMBLA of zijn er andere zaken of signalen die ertoe hebben geleid dat de staatssecretaris het onderzoek is gestart? 

Ik kom op het bedrag van 150 tot 250 miljoen euro. We hebben een Kamerbrief gekregen waarin staat dat er 250 miljoen is bespaard door de Broedkamer. Vervolgens blijkt daar helemaal niets van waar te zijn. Althans, er is geen enkele onderbouwing. Wij hebben daar vragen over gesteld. Kan de staatssecretaris die onderbouwing aanleveren? Hoezo 250 miljoen bespaard? Of is er gewoon keihard gelogen in de richting van de Kamer? 

De heer Van Weyenberg (D66):

Voorziter. Daar staan we weer. Weer zijn er problemen. Nu zijn er ernstige aantijgingen in het programma ZEMBLA over de aanbestedingen bij de Belastingdienst en met name over de beveiliging. Het gaat om de onvolledige en niet goede beveiliging van de gegevens van alle Nederlandse belastingbetalers. Die ernstige aantijgingen moeten natuurlijk worden onderzocht. Heel veel vragen zijn nog steeds onbeantwoord. We hadden het voor het begin van het debat over de schriftelijke vragen die niet zijn beantwoord. Daarnaast blijkt er heel veel onderzoek nodig. Op zich is het goed om zaken serieus te onderzoeken, maar ik vind het buitengewoon onbevredigend wat wij tot nu toe weten en wat de staatssecretaris ons daarover kan zeggen. 

Eerst de beveiliging van de informatie. De staatssecretaris zegt eigenlijk dat hij geen reden zag om in te grijpen, maar hij laat wel allerlei onderzoeken doen. Ik heb een aantal zeer concrete vragen. Wanneer is er voor het eerst een signaal gekomen dat er problemen waren met de beveiliging van onze gegevens? Is er pas na aanleiding van de uitzending van ZEMBLA iets gestart of is dat eerder gebeurd? Zijn er eerder interne signalen naar de top van de Belastingdienst gegaan over de Broedkamer of over de latere afdeling Data & Analytics? Wat wist de staatssecretaris op welk moment? 

Het ADR-onderzoek komt met een aantal verbetermaatregelen die volgens de staatssecretaris aanvullend waren op de basisbeveiliging die op orde zou zijn. Onbeantwoord blijft de vraag of er misbruik is gemaakt van onze gegevens. Hebben mensen daar toegang toe gehad? De staatssecretaris laat een onderzoek doen door de Autoriteit Persoonsgegevens. Wanneer is dat onderzoek gestart? Was dat naar aanleiding van de uitzending van ZEMBLA of naar aanleiding van eerdere signalen? 

Neem de beveiliging van afdelingspasjes. Dat is gewoon een concrete maatregel. In de stukken staat dat er een risico-inventarisatie gedaan moet worden voordat een aanvraag bij het ministerie van Binnenlandse Zaken gedaan kan worden voor aparte toegangspasjes voor een aparte afdeling. Die maatregelen zijn al een hele tijd geleden aanbevolen. Wat is er nu eigenlijk precies gedaan met alle adviezen van de Auditdienst Rijk? Kunnen nog steeds alle medewerkers die in hetzelfde gebouw werken de afdeling Data & Analytics op? Dat is wel het beeld dat ik uit de stukken haal of dat is inmiddels gecorrigeerd en, zo ja, per wanneer? 

Elk jaar wordt een zelfevaluatie uitgevoerd in verband met het handboek Beveiliging Belastingdienst, zo schrijft de staatssecretaris. Er wordt nagegaan hoe dat wordt nageleefd. Wat is daar uitgekomen? Zijn er ooit signalen naar de top van de Belastingdienst of naar de staatssecretaris gegaan dat de beveiliging niet op orde was? 

Zo lees ik bijvoorbeeld dat er nog in databases kan worden gekeken zonder dat er gewerkt wordt met pseudoniemen. Het is bij mijn weten bij elke andere afdeling bij de rijksoverheid echt niet meer mogelijk dat, als je met data aan de slag gaat, je gegevens van mensen gewoon met naam en toenaam kunt vinden. Hoe zit dat nou? Ik hoor graag een reactie van de staatssecretaris. 

Over logging en monitoring, het bijhouden, zegt de staatssecretaris: er werd en wordt minimaal gelogd. Wat wordt er dan wel en wat wordt er niet gelogd? Gaat het onderzoek dat wordt gedaan, ook over wat er in de afgelopen jaren is gebeurd en wat er is misgegaan? Zo heb ik nog een hele set vragen, maar misschien kan de staatssecretaris gewoon beginnen met alle feitelijke vragen die we al eerder hebben gesteld, gewoon te beantwoorden. 

Ik kom op de aanbesteding. Is het onderzoek daarnaar nou al gestart voor de uitzending van ZEMBLA? En welke signalen zijn er binnen de Belastingdienst geweest? Wat wist de staatssecretaris over signalen dat het niet goed was gegaan met die aanbesteding? Wat wist de staatssecretaris? Wat wist de top? De resultaten van het onderzoek komen half mei. Kan dat niet sneller? 

In de uitzending van ZEMBLA werd verteld dat Kamerleden bewust op het verkeerde been werden gezet, en dat medewerkers onder druk waren gezet om tijdens presentaties aan Kamerleden informatie met hen te delen die ze niet wilden. De staatssecretaris zegt daarover: ik kan het me niet voorstellen. Nee, ik kon het me ook niet voorstellen, maar de aantijging is wel gedaan. We zijn nu een week verder. Waarom zegt de staatssecretaris nu niet gewoon dat hij het heeft onderzocht en dat dit niet waar is? Of waarom zegt hij niet dat er wél dingen zijn misgegaan? Ik vind dat de Kamer dat moet weten. Ik kan niet veel met de mededeling dat de staatssecretaris zich het niet kan voorstellen. Ik kan me het ook niet voorstellen. Maar ik wil graag gewoon weten wat er is gebeurd. Op antwoorden op al die vragen moeten we helaas nog steeds wachten, ook nadat we de brief hebben ontvangen. De staatssecretaris kan het nu echter allemaal uitleggen. 

De heer Groot (PvdA):

Voorzitter. Het slechte nieuws van gisteren was dat de antwoorden opnieuw erg laat kwamen. Het goede nieuws was, dat het dit keer een overzichtelijk pak was. Dat hebben we ook wel anders meegemaakt. 

Dit debat gaat over de uitzending van ZEMBLA van vorige week woensdag naar aanleiding van mededelingen van klokkenluiders over de gang van zaken bij de zogenoemde Broedkamer van de Belastingdienst. Het ging in die uitzending over datalekken, een dubieuze aanbesteding en een dictatoriale bestuurscultuur. De ernst van die aantijgingen is dusdanig dat ook ik meende dat het geen uitstel duldde om hierover in de Kamer te spreken. Ik heb de aanvraag voor dit debat daarom gesteund. Dit debat is wat ongebruikelijk, wat in de regel wordt er eerst een brief met tekst en uitleg gevraagd. Dat is de nette gang van zaken. 

Die brief is er nu. Ik ben het eens met de staatssecretaris dat het heel pijnlijk is dat op zichzelf loyale en integere medewerkers van de Belastingdienst geen andere uitweg zien dan hun zorgen te uiten bij de makers van ZEMBLA. Het is goed dat de staatssecretaris dit ervaart als een teken dat mensen binnen de Belastingdienst zich niet veilig voelen en dat dit probleem aandacht moet krijgen, onder meer door het instellen van een onafhankelijk meldpunt en een medewerkersonderzoek. 

Daarover gaat mijn eerste vraag. Het instellen van een meldpunt en het doen van een medewerkersonderzoek; dat is allemaal mooi, maar waar het echt om gaat, is de vraag wat er vervolgens met de interne signalen wordt gedaan. Hoe wordt gegarandeerd dat medewerkers in dat vervolg, als er iets met die signalen wordt gedaan, niet alsnog last gaan ondervinden van het feit dat zij kritiek hebben geleverd? Kan de staatssecretaris daarop reflecteren? 

Ik kom op de inhoud van de brief. Als ik het goed begrijp, hebben de grootste zorgen over de beveiliging tegen datalekken betrekking op de periode waarin de Broedkamer werd opgestart. Naar de situatie in die periode wordt nog nader onderzoek gedaan, maar kan de staatssecretaris nogmaals bevestigen dat ook in die periode de toegang tot databestanden voor medewerkers is gelogd en gemonitord? Met andere woorden: valt in dat onderzoek dat nog wordt gedaan, te achterhalen wie in die periode van welke systemen gebruik heeft gemaakt? Als dat niet te achterhalen valt, wat kan er dan nog worden onderzocht? Evenals de heer Omtzigt heb ik de vraag wie dat onderzoek gaat uitvoeren. 

Wellicht het meest schokkend in de uitzending van ZEMBLA was het citaat uit het rapport van de Auditdienst Rijk: om te beschermen tegen datalekken zal gedacht worden aan toegangspasjes, logging en monitoring, maar die maatregelen zijn nog niet geëffectueerd. Dat verneem ik nu in de brief die gaat over extra maatregelen, boven op het handboek voor de Belastingdienst dat al bestond. Wellicht had in de uitzending van ZEMBLA wat meer context niet misstaan op dit punt. 

Dan de vraag hoe we verder gaan. Ik beschouw de brief en de antwoorden die we nu hebben gekregen als een tussenstand. Er is voor een deel opheldering gegeven, waarvoor dank. Het is ook goed dat we hier snel over praten, maar er blijven ook belangrijke vragen liggen, zoals de vraag over de gang van zaken bij de aanbesteding van het project data analytics. Het is goed dat dit met een forensisch onderzoek tot de bodem wordt uitgezocht. Er is ook nog onvoldoende duidelijkheid over de risico's die zijn gelopen tijdens de opstartfase van de Broedkamer. Ook hier moet de onderste steen boven komen, al is het maar om lessen te trekken voor de toekomst. Ook op het gebied van beveiliging van persoonsgegevens moet de Belastingdienst een rolmodel zijn. Ik hoop dat de staatssecretaris het daarmee eens is en ook de maatregelen daartoe zal treffen. 

De heer Grashoff (GroenLinks):

Voorzitter. We hebben eerder uitvoerig gesproken over de uit de hand gelopen vertrekregeling. De staatssecretaris heeft uitvoerig toegelicht dat daar dingen zijn gebeurd die niet hadden moeten gebeuren en die ook voor een belangrijk deel achter zijn rug om zijn gebeurd. Nu is daar naar aanleiding van een uitzending van ZEMBLA het verhaal bij gekomen rondom een mogelijk datalek en dergelijke bij de Broedkamer en de bedrijfscultuur. Als ik dat zo door mijn oogharen bekijk, dan komt daar één ding uit tevoorschijn en dat is dat de hele managementcultuur en de wijze waarop de dienst functioneert drastisch aan verbetering toe is. Dan druk mij nog voorzichtig uit. Een van de dingen die de staatssecretaris naar de mening van de GroenLinksfractie in elk geval zou moeten doen, is de boel daar zodanig op de schop nemen dat én de structuur én de cultuur van de leiding van de dienst zodanig wordt aangepast dat dit soort dingen simpelweg niet meer kunnen voorkomen. 

We spreken hier in belangrijke mate over problemen die zich intussen in het verleden hebben afgespeeld, onder leiding van een directeur die intussen is vertrokken, maar dat neemt niet weg dat mogelijk ook verdere personele ingrepen noodzakelijk zijn. Daar zal de staatssecretaris ongetwijfeld niet te veel over kwijt willen, maar ik wil er wel over kwijt dat ik de staatssecretaris aanmoedig om al die maatregelen te nemen, ook in de personele sfeer in de top van de dienst, die nodig zijn om te zorgen dat dit soort praktijken niet meer voorkomt. 

Dan blijft natuurlijk toch de hamvraag: is de staatssecretaris in control geweest over zijn dienst? Dat is bijna een retorische vraag. Het antwoord daarop moet zijn: neen. Betekent dat dat de staatssecretaris dan een probleem heeft? Ja, een heel groot probleem en zelfs een heel urgent probleem. Als hij dat niet snel oplost, dan zit hij zelf ook behoorlijk in de gevarenzone, maar vooralsnog ga ik ervan uit dat de staatssecretaris stevig, hard en adequaat ingrijpt. 

Het is niet een heel goed teken dat met name de vraag van de zijde van de Kamer wat de staatssecretaris nu precies wel en niet wist, onvoldoende eenduidig en scherp is beantwoord. Daar zijn door een aantal mensen, ook in het ordedebatje van de heer Bashir, duidelijke dingen over gezegd. Daar sluit ik mij van harte bij aan. We zullen die antwoorden moeten hebben, voordat we echt tot een oordeel kunnen komen. 

De initiatieven die de staatssecretaris neemt ten aanzien van onderzoeken zijn uitstekend, maar dat neemt niet weg dat daar grote haast mee geboden is. Daarover hoor ik graag wat de samenhang is. Wanneer komt nu precies wat tevoorschijn? Op wat voor manier komen die straks aan de Kamer beschikbaar en op welke manier zullen we daarover dan het debat voeren, uiteraard inclusief de maatregelen die wij verwachten dat de staatssecretaris dan aanvullend zal voorstellen? 

Het meldpunt is een goed initiatief. Het is ook goed dat de staatssecretaris erkent dat deze bedrijfscultuur zo niet kan en ook contraproductief is. Ik sluit mij graag aan bij de vraag van de heer Groot: wat gebeurt daarmee? Hoe borgen wij dat het goede initiatief van het meldpunt geen panacee wordt voor datgene wat wij niet willen, namelijk een gesloten angstige bedrijfscultuur, als ik het zo mag samenvatten? 

Mevrouw Aukje de Vries (VVD):

Voorzitter. Je wilt natuurlijk dat jouw gegevens veilig zijn bij de Belastingdienst, want die heeft heel veel vertrouwelijke, persoonlijke en bedrijfsgevoelige informatie. Als blijkt dat de beveiliging hiervan niet geborgd is of dat er informatie is gelekt, staat het vertrouwen in de Belastingdienst op het spel. Het is normaal dat mensen en bedrijven ervan kunnen uitgaan dat hun gegevens veilig zijn bij de overheid, dus ook bij de Belastingdienst, en dat er ook goed gelet wordt op de privacy. 

De vragen die bij belastingbetalers opkomen na de tv-uitzending snap ik heel goed, want je wilt niet dat er onduidelijkheid is over wat er met je privégegevens gebeurt. In de uitzending zaten zware aantijgingen. De staatssecretaris constateert dan ook volledig terecht dat deze signalen zeer serieus genomen moeten worden. Daarom is het goed dat de staatssecretaris een aantal zaken nader uitzoekt. Ook de Autoriteit Persoonsgegevens gaat onderzoek doen. Ook dat is volkomen terecht na de aantijgingen in de uitzending. Kan de staatssecretaris al een indicatie geven van wanneer het onderzoek van de Autoriteit Persoonsgegevens gereed is? Het is immers belangrijk dat er snel duidelijkheid komt over de vraag of de beveiliging helemaal correct is. 

Eerder zijn er al beveiligingsmaatregelen bij Data & Analytics genomen aanvullend op het Handboek Informatiebeveiliging Belastingdienst. Er staat in de brief ook nog een aantal lopende initiatieven om de beveiliging verder te versterken. Kan de staatssecretaris de stand van zaken en een planning geven? Wanneer zijn deze extra beveiligingsmaatregelen bij Data & Analytics afgesproken? In de stukken komt regelmatig het Handboek Informatiebeveiliging Belastingdienst naar voren. Dat speelt dus een belangrijke rol. Ook daarover hebben wij nog een aantal vragen. Wie toetst dat of heeft dat getoetst? Gaat de Autoriteit Persoonsgegevens daar ook naar kijken? Wie bekijkt of het in de praktijk wordt opgevolgd en uitgevoerd? En hoe vaak gebeurt dat dan? 

Er is aangegeven dat er werd en wordt gelogd op de afdeling Data & Analytics. Het gaat om wie wanneer iets doet, wat iemand doet en welke directories, bestanden en databasetabellen er worden gebruikt. Het is ook noodzakelijk dat dat gebeurt, maar hoe werden en worden die gegevens daarna gemonitord en gecontroleerd? Je kunt ze namelijk wel opslaan, maar als je vervolgens niet checkt of daar ook overtredingen zijn geweest, dan werkt dat niet. Er is een privacy officer bij de afdeling Data & Analytics. In zijn interim-rapport van maart 2016 stelt de ADR (Auditdienst Rijk) dat zijn werkzaamheden nog niet zijn uitgekristalliseerd. Wat betekent dat precies en wat is nu de stand van zaken? 

Laat ik vooropstellen dat de databeveiliging op orde moet zijn, dat men de privacyregels goed moet toepassen en dat men aan alle wet- en regelgeving moet voldoen op dit gebied bij de Belastingdienst, maar de VVD gelooft wel in de methode van het analyseren van die gegevens en patronen om fraude op te sporen en aan te pakken. Het is daarom noodzakelijk dat analisten bij de Belastingdienst gegevens kunnen bekijken en gebruiken voor data-analyses. Dat moet wat ons betreft ook mogelijk blijven. 

Het is verder ook goed om te zien wat een aanpak zoals die van Data & Analytics oplevert aan extra belastinginkomsten. Daarvoor heb je een goede meetmethodiek nodig maar ook een nulmeting. Is die er of komt die er met de nieuwe meetmethodiek die de staatssecretaris heeft aangekondigd? Er is gezegd dat die in de loop van 2017 beschikbaar zou komen. Kan de staatssecretaris iets preciezer zijn over het tijdpad? 

In de uitzending is verder een beeld geschetst van een angstcultuur binnen de Belastingdienst. Dat kan wat ons betreft niet. Het moet ook niet nodig zijn dat medewerkers naar de pers lopen. Er moet een veilige omgeving zijn voor medewerkers om dingen te melden. Het is ons verzoek aan de staatssecretaris om alle acties met betrekking tot het meldpunt, de managementstijl en de organisatiestructuur voortvarend op te pakken samen met de dienstleiding. 

De voorzitter:

Daarmee zijn we aan het eind van de eerste termijn van de zijde van de Kamer gekomen. Er zijn veel vragen gesteld. Ik wil daarom voorstellen, wat langer te schorsen, zodat de staatssecretaris in de gelegenheid wordt gesteld om zo veel mogelijk en het liefst alle vragen te beantwoorden. 

De vergadering wordt van 11.13 uur tot 11.50 uur geschorst. 

De voorzitter:

We gaan verder met het debat over de Belastingdienst. Ik geef het woord aan de staatssecretaris van Financiën. 

Staatssecretaris Wiebes:

Voorzitter. Ik zal echt proberen, wat ook al geprobeerd is, om alle vragen te beantwoorden. Ik heb een aantal blokjes. Ik houd allereerst een korte inleiding, omdat er ook een aantal algemene vragen zijn gesteld over hoe het nu verder moet. In mijn tweede blokje ga ik in op de informatiebeveiliging, want dat kwam duidelijk als groot punt naar voren. Mijn derde blokje gaat over de aanbestedingen en mijn vierde blokje betreft de opbrengsten en de discussies daarover. Ik kom daarna op mijn vijfde blokje: de cultuur en de managementstijl. In mijn aantekeningen staan waarschijnlijk nog een aantal vragen die ik kennelijk niet indeelbaar heb geacht. Daar zal ik nog op terugkomen. 

De voorzitter:

Missen jullie iets? Ja hoor, de heer Omtzigt. 

De heer Omtzigt (CDA):

De waarschuwingen en de informatiepositie van de staatssecretaris ten aanzien van de top van de Broedkamer. 

Staatssecretaris Wiebes:

Dat hoort bij de informatie, voorzitter. Uiteraard. Daar kom ik nog uitgebreid op. 

De voorzitter:

Dank u wel. 

Staatssecretaris Wiebes:

Vanzelfsprekend. Natuurlijk. 

Waarin ik niet van de sprekers verschil, is het feit dat ik dit een uiterst onplezierige en pijnlijke uitzending vond. Als de Belastingdienst je project is geworden — en in alle eerlijkheid op dagelijkse basis inmiddels ook je leven — dan doet zo'n uitzending ongeveer hetzelfde met je als wanneer je hoort dat je zoon op het schoolplein wordt gepest. Dat raakt je. Ik vind de aantijgingen ernstig. Ze zijn helaas niet in alle gevallen specifiek genoeg om heel snel te kunnen duiden waar, hoe en of we zouden moeten ingrijpen. Het gaat om dingen als integriteit, informatiebeveiliging, stijl en cultuur. Wat voor mij het pijnlijkste punt was — twee sprekers hebben dat ook gezegd — is dat we deze signalen opnieuw via de media krijgen. Om aan te sluiten bij mijn eerdere voorbeeld: je krijgt niet van je zoon te horen dat hij wordt gepest op het schoolplein, maar van de vader van een vriendje van hem. Dat is niet goed. In een normale situatie komen die signalen uit de organisatie zelf, bijvoorbeeld via de lijn, de or, de vertrouwenspersoon of interne klokkenluiders. Het is zo ongeveer een wet dat verbeterideeën en waarschuwingen binnen een organisatie horen te komen van de eigen medewerkers. Zij weten er immers het meeste van en zij zitten er het dichtst bovenop. Zij hebben bovendien de trots en de motivatie om daar wat aan te doen. De afstand van de top tot de werkvloer is blijkbaar opnieuw moeilijk overbrugbaar geworden. Dat moet veranderen, zodat de waarschuwingen, zo die er zijn geweest, daar terechtkomen. Ook de staatssecretaris bijt niet; wil ik maar zeggen. 

We hebben nu een paar dagen gehad. We zijn hier heel diep ingedoken om de aantijgingen na te trekken. Daaruit blijkt dat er op dit moment geen acute risico's bestaan voor de dossiers waarover we het nu hebben, niet voor de data en niet voor de aanbestedingen. Maar tegelijkertijd moeten we dit soort signalen wel uiterst serieus nemen. De strategie die ik heb gekozen, is als volgt. We moeten er serieus induiken, niet alleen in het nu, maar ook in het verleden, zodat we zien wat er aan de hand is of is geweest. Zolang we niet alles boven tafel hebben, hebben we nog geen acute risico's of aanleiding daartoe gezien. Maar zolang je dat niet helemaal zeker weet, moet je het uiterste doen om ervoor te zorgen dat ook het nu zo veilig mogelijk is gesteld. Dat betekent dat je in sommige gevallen maatregelen moet nemen, bovenop wat je normaal vindt en bovenop wat je normaal gesproken wenselijk zou vinden. We moeten geen risico's nemen als er serieuze signalen zijn. Tegelijkertijd moeten we er alles aan doen om de medewerkers die nu anoniem en via externen hun zorgen hebben geuit, meer duidelijkheid te geven over hun zorgen — dat mag ook anoniem en dat kan op allerlei manieren — want dat helpt. Ik denk dat we op die manier moeten zeggen dat we dit nu zo goed als dat maar gaat, kunnen borgen, ook als er geen aanleiding is om te denken dat er nu risico's zijn. Maar we moeten tegelijkertijd vanuit het verleden het uiterste boven tafel halen. Daarbij verdient de informatiebeveiliging voorrang, maar blijkbaar zijn veel Kamerleden dat met mij eens. De gegevens over informatiebeveiliging kunnen we natuurlijk niet "meemaken". De Belastingdienst is een van de partijen die het meeste bijhouden van mensen. In sommige gevallen zijn dat gevoelige gegevens. 

Nogmaals: het huidige D&A bekeken hebbend, zie ik geen actief risico. Het is ook goed om te zien dat D&A in veel opzichten in essentie een afdeling is als iedere andere afdeling van de Belastingdienst. Het is namelijk een afdeling die, jazeker, toegang heeft tot gegevens en waar, net als elders in de Belastingdienst, ook externen werken, maar je hebt natuurlijk alleen toegang tot de gegevens waarmee jij wordt geacht te werken en niet tot andere gegevens. Iemand die bij de Belastingdienst bij de omzetbelasting werkt, mag alleen bepaalde gegevens zien en ook iemand die bij de inning werkt, mag alleen bepaalde gegevens zien. Dat geldt ook voor de Broedkamer: als iemand aan een bepaalde module werkt, krijgt hij alleen toegang tot die gegevens. In uiterste gevallen zijn er ontheffingen, bijvoorbeeld om met een USB te werken. Dat is niet anders dan bij de rest van de Belastingdienst. Daar wordt uiterst spaarzaam mee omgegaan. Op dit moment zijn er geen ontheffingen binnen D&A. 

Met de rest van de Belastingdienst heeft D&A ook gemeen dat er natuurlijk wordt gelogd. We loggen wie welk gegeven uit welke database op welk tijdstip haalt en wat daarmee gebeurt. Dat loggen we. Dat is niet het enige. Het veiligheidsbeleid wordt elk jaar naar aanleiding van het handboek bekeken. Dat is gewoon hét handboek, dat zeker ook voor D&A geldt. De naleving daarvan wordt elk jaar beoordeeld. Dat kan vervolgens weer geaudit worden door de ADR. Die gegevens worden bewaard. De standaardtermijn is twee jaar, maar ik ben nog aan het zoeken naar hoeveel langer gegevens nog beschikbaar zijn, want er worden ook back-ups gemaakt. Het hoeft dus zeker niet bij die twee jaar te blijven, maar dat wordt nog uitgezocht. 

Zoals de heer Omtzigt zei, kunnen mensen inderdaad hun eigen gegevens tegenkomen. Ja, dat kunnen medewerkers van de Belastingdienst namelijk. Zij hebben alleen toegang tot wat relevant is voor hun werk, maar zij kunnen daarin hun eigen gegevens tegenkomen. Dat is binnen de overheid zo. Dat is ook bij andere overheidsdiensten vaak het geval. Het verschil is dat D&A die gegevens niet kan wijzigen, want er is geen reden voor de afdeling Data en Analytics om gegevens te wijzigen. Dat mag men bij die afdeling dus ook niet doen. De gegevens kunnen dus niet worden gewijzigd. 

De heer Van Weyenberg zei dat het systeem van pseudoniemen hier nog niet eens werd gehanteerd. Dat wordt maar heel weinig gehanteerd. Dat is ook niet de standaard. Juist D&A heeft gezegd: aangezien wij geen heffingen hoeven op te leggen aan specifieke belastingplichtigen en dus alleen op een analytische manier met die gegevens hoeven om te gaan, is het misschien een goed idee om dat systeem van pseudoniemen te hanteren. Daar wordt op dit moment aan gewerkt. Dat ligt voor de hand, maar dat is een extra beveiligingseis. Dat is totaal niet standaard, maar dat is juist door D&A zelf opgevoerd, omdat dat eigenlijk logisch is en in het verlengde ligt van de taak van die afdeling. 

Al met al lijkt de afdeling in veel opzichten op andere afdelingen van de Belastingdienst, maar er gelden wel hogere eisen in plaats van lagere. Wij gaan hier verder naar kijken, allereerst natuurlijk naar de informatiebeveiliging in het verleden. Dat is "het toen". Het gaat dus niet alleen om "het nu". De Autoriteit Persoonsgegevens doet "het nu"; die kijkt naar de beveiliging van D&A op dit moment. Dat is zeer welkom, want dan hebben we daar zekerheid over. Ik heb geen indicatie om aan te nemen dat er risico's zijn. Desondanks heeft de Autoriteit Persoonsgegevens naar aanleiding van signalen voorafgaand aan ZEMBLA — in de aanzwelling van ZEMBLA — gedacht dat zij daarnaar moest kijken. Dat is uitstekend. Zij begint volgende week. Dat gaat zij dus doen. Dat gaat dus over het nu. 

Zelf hebben we de verplichting om naar het toen te kijken. Ten eerste moeten we daar lessen uit leren, maar we moeten ook een antwoord vinden op de vraag of het zo kan zijn geweest dat er data is gelekt. Dat is een vraag die door sommigen in deze zaal heel eloquent is gesteld. Dat moet dit onderzoek natuurlijk naar boven halen. Tegelijkertijd heeft dit ook betrekking op de Belastingdienst als geheel. Daarom willen we ook Belastingdienstbreed kijken naar de toepassing van het handboek en de beveiliging. We willen dus niet alleen kijken haar het handboek zelf, maar ook naar hoe het wordt nageleefd. Dat zijn de dingen die we doen. Ik overweeg om aan de ADR te vragen om een EDP-auditor mee te laten lopen, zodat er ook op een externe en onafhankelijke manier naar dat onderzoek wordt gekeken. 

Al met al is het idee om nu zo veel mogelijk veilig te stellen, ondanks dat er geen signalen zijn dat er nu iets verkeerd zit. Tegelijkertijd gaan we dat verleden gewoon uitdiepen en willen we een antwoord hebben op de vraag die in deze Kamer en bij mij leeft, of het zo kan zijn geweest dat er data is weggelekt. Ik kan die vraag in die zin beantwoorden dat er sinds februari 2016 geen enkele basis is voor een vermoeden. Toen is de afdeling D&A gestart. Over de periode daarvoor heb ik geen concrete aanwijzingen, maar bestaan wel signalen. Daar ga ik dan ook op in. 

Er is gevraagd of er waarschuwingen zijn geweest. Die waarschuwingen heb ik niet gevonden in het ADR-rapport. Er wordt, denk ik, vrij incompleet geciteerd uit het ADR-rapport door het programma. 

De voorzitter:

Mijnheer Van Dijck, ik zie dat u graag wilt interrumperen, maar wij hebben net met elkaar afgesproken dat er zes onderwerpen aan de orde komen. De staatssecretaris is nu bezig met een punt waar alle woordvoerders naar gevraagd hebben, namelijk informatiebeveiliging. Ik neem aan dat hij dat bijna gaat afronden. Daarna krijgt u alle gelegenheid om uw vragen te stellen. 

Staatssecretaris Wiebes:

Er is gevraagd of er waarschuwingen waren. Die waarschuwingen zag ik niet in het ADR-rapport. Het ADR-rapport gaat over wat er extra gedaan moet worden. Mevrouw De Vries heeft daar vragen over gesteld en die zal ik ook in dit blokje beantwoorden. Het ADR-rapport is over het algemeen positief over de databeveiliging en de awareness die er op dit punt is. Het stelt wel kanttekeningen bij de extra maatregelen, maar waarschuwt niet voor een datalek. Op andere mogelijke waarschuwingen ben ik ingegaan in de stukken, bijvoorbeeld op de waarschuwing die uit LiquidHub zou komen. Ik lees daar geen waarschuwing in. Ik heb het stuk meegestuurd en ik heb het stuk ook zelf gelezen. Ik lees daar dus geen waarschuwing in. 

Een belangrijke vraag is natuurlijk of er intern waarschuwingen zijn geweest. Ik heb in de afgelopen dagen signalen gekregen dat er destijds signalen zouden zijn afgegeven. Dat is hoever ik ben. Het hoofdpunt is niet of er waarschuwingen waren, maar of er data kan zijn gelekt. Dat gaat dan over de periode voorafgaand aan de oprichting van D&A. Dat gaat dus over de voorlopers van de afdeling die er nu is. Dát moeten we weten. Nogmaals, ik heb in de afgelopen dagen signalen gekregen dat destijds signalen zouden zijn gegeven aan het management. Zelf ken ik geen signalen over databeveiliging. Dat was ook geen onderwerp dat vaak langs mijn tafel kwam. Die signalen heb ik dus niet. Ik heb nu wel het signaal dat er destijds is gewaarschuwd, maar vooral heb ik nu aan het programma ontleend dat we serieus moeten kijken naar wat er in die periode is gebeurd en of het zo kan zijn geweest. Daarvoor hebben wij de loggegevens onder andere als bron, maar het onderzoek moet breder gaan. Er moet ook bekeken worden hoe daarmee werd omgegaan en hoe de naleving was. Dat moet dus wel ietsje dieper gaan dan alleen maar de loggegevens. 

Mevrouw De Vries vraagt hoever wij zijn met de maatregelen. In de bijlage heb ik een zestal maatregelen meegestuurd die inmiddels op hun plaats zijn. De extra beveiliging voor het datacentrum hoort daarbij evenals dataclassificatie en compartimentering om er nog scherper voor te zorgen dat mensen zo min mogelijk zien wat ze niet moeten zien. Er zijn geen usb-ontheffingen meer. Al deze dingen staan ook in de bijlage. Er zijn ook initiatieven die nog dit jaar moeten worden doorgevoerd. Een daarvan gaat over de fysieke toegangsbeveiliging. Uiteraard is er fysieke toegangsbeveiliging, namelijk voor de Belastingdienstmedewerkers. Alleen medewerkers kunnen zich vrijelijk bewegen door de kantoren. Maar het idee is om hier een bijzonder werkgebied van te maken. Het is echt niet waar dat je alle gegevens kunt inzien. Dat kan niet bij D&A. Je kunt alleen maar inzien waar je voor geautoriseerd bent, maar desondanks heeft D&A het initiatief genomen om de fysieke toegangsbeveiliging te regelen. Daarover loopt nu het gesprek met degene die over de rijkshuisvesting gaat binnen BZK. Ook een aantal andere initiatieven loopt nog. Die staan ook allemaal in het stuk bij de brief. Het is echt de bedoeling om dat dit jaar te doen. 

De heer Omtzigt stelde nog een feitelijke vraag. Hij vroeg hoeveel externen er in de geschiedenis van de Broedkamer en D&A in totaal zijn geweest. Het antwoord ligt in de orde van 150 mensen. Nogmaals, dit zijn allemaal mensen die niet alleen aan de eisen moeten voldoen waar een normale medewerker ook aan moet voldoen, maar die ook nog — dat staat eveneens in de stukken — aan een aantal extra eisen moeten voldoen. Deze mensen werken onder hetzelfde regime als de medewerkers van de Belastingdienst. Dit wilde ik zeggen over data. 

De heer Tony van Dijck (PVV):

Ik maak mij zorgen over die 150 externen. Ik zie een hele waslijst van bedrijven van Capgemini tot en met ItaQ, KZA. Daar lopen 150 externen rond. 

Staatssecretaris Wiebes:

Nee, die zijn er ooit geweest. 

De heer Tony van Dijck (PVV):

Die hebben daar rondgelopen op een personeelsbestand van 130 mensen. Er is dus ook nog een redelijk verloop onder die externen. Zij kunnen allemaal printen of een printscreen maken. Ze kunnen misschien wel die gegevens mailen. Oké, dan hebben ze geen usb-autorisatie, maar ze kunnen misschien wel mailen of printen. Zij hebben wel allemaal gegevens kunnen zien van belastingplichtigen in den brede. Hoe zeker is deze staatssecretaris dat er geen datalek is en dat er geen gegevens van anderen op straat komen te liggen? 

Staatssecretaris Wiebes:

Het is geen novum dat er bij de Belastingdienst mensen werken die geen vaste medewerker van de dienst zelf zijn. Dat is ook uitvoerig aan de orde bij bijvoorbeeld de BelastingTelefoon. Er zijn medewerkers die op de payroll staan en er zijn medewerkers die niet op de payroll staan, maar dat moet geen invloed hebben op het veiligheidsbeleid. Het gaat om dé medewerker. Veiligheid borg je niet op het terrein van een toeleverancier of op het vlak van wie waardoor betaald wordt of wat dan ook, maar op het niveau van de medewerker. Medewerkers, in vaste dienst of niet, moeten aan die normen voldoen. Dat is overal in de Belastingdienst zo, ook bij de BelastingTelefoon waar je in gegevens kunt. Mensen die geautoriseerd zijn om bepaalde gegevens in te zien of zelfs te veranderen, moeten aan die eisen voldoen, ongeacht op wiens payroll ze staan. Daar is toezicht op. Daar is een heel beleid voor. Daar dient het handboek toe. Dat is dus niet nieuw. 

Op een aantal terreinen van de Belastingdienst ligt het voor de hand om met externen te werken. Dat is bij de BelastingTelefoon zo vanwege piek- en dalseizoenen. Dat is bij Data & Analytics zo, omdat het soms gaat om expertise die de Belastingdienst zelf niet heeft of om expertise die de Belastingdienst maar tijdelijk nodig heeft. Dat is een logische keuze. We moeten niet doen alsof het werken met experts van buiten de dienst niet zou kunnen. We moeten er gewoon voor zorgen dat mensen die een bijdrage komen leveren aan de Belastingdienst, zich op individueel niveau aan het beleid houden. Dat doen we overal in de dienst. Dat is hier helemaal niet uniek voor. 

De heer Tony van Dijck (PVV):

Dat is natuurlijk wel het geval. Ik meen dat overheidsbreed het beleid erop is gericht om terug te gaan naar minder externen. Een derde deel van het personeelsbestand van D&A bestaat uit externen en onder die externen is ook nog verloop. Het risico op lekkage is natuurlijk groter als er iedere week een ander zit dan wanneer iemand twintig jaar op dezelfde stoel zit. Dat zal de staatssecretaris toch met mij eens zijn? Ik heb in eerste termijn gevraagd naar de mogelijkheid van printen, printscreens en e-mailen naar anderen. Op die manier kunnen er ook lekkages ontstaan buiten het usb-beleid. 

Staatssecretaris Wiebes:

Ik zal de vraag naar printscreens even uitzetten; ik heb dat niet op het netvlies. Nogmaals, deze werkwijze is niet uniek. Het is niet uniek dat er binnen de Belastingdienst met externen wordt gewerkt. Het is belangrijk zich te realiseren dat iedereen die voor de Belastingdienst werkt, aan dit beleid moet voldoen en dat dit beleid op iedereen van toepassing is. Achterliggende organisaties kunnen dus ook nooit op een of andere manier iets met die gegevens doen of ze in handen krijgen. Dat mag niet het geval zijn en dat moeten wij overal in de Belastingdienst borgen. Dit geldt voor iedere afdeling van de Belastingdienst. 

De heer Bashir (SP):

De staatssecretaris zou duidelijkheid moeten geven en ons gerust moeten stellen, maar volgens mij creëert hij alleen maar mist. Hij is totaal onduidelijk over wat er nu precies is gebeurd. Daarover kan hij toch duidelijk zijn? Je hebt de Broedkamer en D&A. De vraag is nu of alles is gelogd, ook in de tijd van de Broedkamer. Stel dat medewerkers daar bepaalde gegevens hebben ingezien of gedownload of meegenomen. Is dat dan gelogd? Is dat na te gaan? Ik heb het dan ook over de periode van de Broedkamer. 

Staatssecretaris Wiebes:

Ik heb zojuist gezegd dat ik dezer dagen heb kunnen vaststellen dat D&A logt wie, wanneer, welk gegeven uit welke bron bekijkt en wat er met dat gegeven gebeurt. Absolute zekerheid over het verleden kan ik natuurlijk nooit hebben. Tot nu toe heb ik geen signalen gekregen dat het niet goed ging, maar nu is er een signaal afgegeven in een programma. Dan dien ik dat toch na te gaan? Mijn antwoord op de vraag van de heer Bashir is dus: heel goede vraag en laat ik daarover absolute duidelijkheid verschaffen door dit na te gaan. Dit betekent dat wij in de loggegevens uit het verleden moeten duiken en dat wij moeten bekijken hoe de naleving was en of daar rare patronen in zitten. Die loggegevens worden op dagelijkse basis gemonitord. Ze worden door computers, maar ook door mensen in de gaten gehouden. Ik doe dit onderzoek juist om absolute zekerheid te geven in antwoord op de volkomen terechte en relevante vraag van de heer Bashir. Anders praat ik hier over iets op basis van kennis van voor de uitzending van ZEMBLA. Ik heb een serieus signaal gekregen en dat dien ik dan toch te onderzoeken? Dat doe je dan toch? Ik heb tot nu toe niet gedacht dat daar iets verkeerd mee was. Ik heb nu een aflevering gezien. Wij nemen alle signalen op dit terrein bloedserieus en wij gaan dit dus bekijken. Vervolgens geef ik met grote helderheid, en naar ik hoop tegen die tijd grote zekerheid, antwoord op de vraag van de heer Bashir. 

De heer Bashir (SP):

Volgens mij bedoelt de staatssecretaris met het woord "verleden" niet zozeer het verleden vanaf nu, maar meer het verleden van de Broedkamer. Begrijp ik dat goed? 

Staatssecretaris Wiebes:

Ik doel op de situatie voor februari 2016. De periode sinds die tijd is helemaal bekeken en daarvan zeggen de mensen die daarvoor verantwoordelijk zijn en die daar samen met de top van de Belastingdienst zijn ingedoken, dat er geen enkele reden is om aan te nemen dat daar data zijn gelekt. Het onderzoek heeft betrekking op de periode daarvoor. Daarover kan ik, gezien de signalen die zijn afgegeven, geen absoluut uitsluitsel geven. Dat dien ik dus te onderzoeken. Het is een relevante vraag. 

De heer Bashir (SP):

Laten wij ons dan in het debat focussen op het deel dat wij niet kennen. Dan krijgen wij duidelijkheid zonder het woordje "verleden". Dan spreken wij over de Broedkamer en de periode voor februari 2016. Wat weet de staatssecretaris daarover? Wat is daarover gelogd? Werd er überhaupt gelogd? Of klopt hetgeen nu beweerd wordt, namelijk dat er helemaal geen logging plaatsvond? Dan kunnen we namelijk niet nagaan of er iets ontvreemd is. 

Staatssecretaris Wiebes:

De stelling dat er helemaal niet gelogd zou zijn, kan ik alvast krachtig ontkrachten. Dat is niet juist, maar ik sta hier om de Kamer volledig en juist in te lichten. Dat betekent dat ik met grote precisie moet nagaan of het mogelijk is dat er delen niet gelogd zijn of dat er in de naleving iets verkeerd is gegaan. Nogmaals, dat ben ik gaan doen nadat ik signalen heb gekregen van ZEMBLA. Het is serieus genoeg, dus er moet naar gekeken worden. Ik denk dat de heer Bashir van mij mag verwachten dat ik er op het moment dat ik hem hierover antwoord, zekerheid over heb. Daarom bekijk ik dat nogmaals. 

De heer Omtzigt (CDA):

Er is een hele trits vragen nog niet beantwoord. Ik zal er twee uitpakken en daarna zal ik nog een paar andere pakken. Er zouden signalen zijn dat er signalen zijn geweest aan het management. Heeft de staatssecretaris ergens een document gevonden waarin het management van de Broedkamer, dat hier vast aanwezig is, gewaarschuwd wordt dat er problemen zijn met logging, databeveiliging en autorisatie? Zo ja, wanneer is dat gevonden? Kunnen we dat zien? Is de staatssecretaris er al mee geconfronteerd of weet hij niet of zo'n ding bestaat? 

Mijn tweede vraag ligt in het verlengde van de vraag van de heer Bashir. De staatssecretaris zegt tegen iedereen dat hij de loggegevens heeft vanaf februari 2016, maar dat hij die niet allemaal kan analyseren. Dat snap ik. Heeft de staatssecretaris echter loggegevens gevonden van 2014 en 2015 waaruit blijkt welke gegevens van welke database op welk moment door wie zijn ingezien? Dat ze nog niet geanalyseerd zijn, daar hebben we het nog over. Heeft hij ook loggegevens van wie er wanneer met USB-sticks hele databases heeft meegenomen, met belastinggegevens en andere gevoelige gegevens? Zat daar overigens encryptie op? Waren die nog beveiligd? Zijn er in de afgelopen zeven dagen van deze twee zaken logs gevonden of niet? 

Staatssecretaris Wiebes:

Ik heb net gezegd dat ik als onderdeel van het onderzoek moet bezien wat er precies gelogd is. Er is gelogd, maar de standaardbewaartermijn is twee jaar. Ik heb net gezegd dat ik uitzoek hoe we de gegevens daarvan kunnen blootleggen. Er zijn namelijk wel back-ups gemaakt. Dat heb ik al gezegd. Ik heb nu niet kunnen zoeken in de loggegevens van 2014 en 2015. Laten we ook even voorzichtig zijn met die suggestie over hele databases, voordat we heel Nederland in paniek brengen. Laten we feitelijk uitzoeken wat er kan zijn gebeurd, voordat we te grote woorden in de mond nemen. Dat verzoek doe ik aan de heer Omtzigt. Ik ben het met hem eens over de ernst van de aantijgingen. Ik druk hem op het hart dat ik die serieus wil bekijken. Onderdeel daarvan is de vraag welke gegevens in die periode zijn gelogd. Hoe was de naleving? Hoe was de omgang daar? Hoe is ermee gewerkt? Daaruit moeten wij conclusies afleiden. Dan is het de vraag of wij grote woorden moeten gebruiken of niet. Laten we er echter niet mee beginnen. 

Dan kom ik op de vraag over het interne document. Ik ben niet ingelicht op het niveau van documenten. Ik vind een vraag over documenten ook niet de relevante vraag. Ik ga interne documenten ook niet aan iemand sturen. Er zijn twee belangrijke vragen. Ten eerste: kunnen er gegevens zijn verdwenen? Die vraag wil ik beantwoorden aan de hand van het onderzoek. Ten tweede: hoe zorgen wij ervoor dat waarschuwingen vanuit de werkvloer via de organisatie bij de top of bij degene bij wie ze moeten komen, komen? Dat is de grote vraag. Ik ga echter niet in allerlei interne documenten spitten. Op dat niveau ben ik er ook helemaal niet over geïnformeerd. Ik heb zeer kort geleden een signaal gekregen dat er signalen zouden zijn geweest. Dat is wat ik hier meld. Dat geeft mij een goede reden om te bezien wat er precies allemaal kan zijn gebeurd. 

De heer Omtzigt (CDA):

Daar gaan we weer, zegt de heer Van Weyenberg nu naast mij. Er zijn dus signalen geweest maar we moeten vooral niet weten welke signalen dat waren, net zoals we de vorige week niet moesten willen dat er een "whodunit" van gemaakt zou worden na wat er gebeurd was met de afvloeiingsregeling waardoor duizenden op de verkeerde manier vertrokken zijn en in een aantal gevallen ook nog behoorlijk veel geld meegekregen hebben. Ik wil het wél weten. Ik stel de staatssecretaris een heel heldere vraag. Kan hij voor het eind van de eerste termijn aangeven of er documenten zijn met waarschuwingen erin en wil hij die ons dan toesturen? Hij zegt ons wel een document te sturen, waarin niets staat. Er staat overigens in: er is geen auditeerbare situatie. Nou, als er geen auditeerbare situatie is, kan helemaal niet onderzocht worden of er goed gelogd is. Dan wil ik ook weten of er andere documenten zijn. 

Voorzitter, ik stel de vraag ook ten zeerste aan u. Wilt u ervoor zorgen dat de staatssecretaris antwoord geeft op de vraag of er documenten gevonden zijn die waarschuwen voor wat er is, zodat wij een beeld hebben van wanneer die waarschuwingen er waren en hoe er op geacteerd is? Verder heb ik gevraagd welke datalogs er teruggevonden zijn de afgelopen weken. Zijn de datalogs van 2014 en 2015 al gevonden? Als je bij een organisatie komt moet je die binnen tien minuten aan de Autoriteit Persoonsgegevens opleveren, dus ook binnen tien minuten aan de staatssecretaris als hij daarom vraagt. Staat daarin wie wanneer wat heeft kunnen inzien? Dat die niet à la minute geanalyseerd worden voor 150 man voor twee jaar lang, dat snap ik, maar mijn vraag is wel of die database gevonden is. 

Staatssecretaris Wiebes:

Allereerst de vraag over 2014 en 2015. Ik heb daar echt al op geantwoord. We weten dat de logs twee jaar bewaard worden. Wat betreft deze gegevens zijn we aan het kijken hoe we die boven tafel krijgen. De tien minuten die de heer Omtzigt daarvoor heeft gereserveerd schieten tekort. Ik doe niet voor niets dat onderzoek. Als ik alles al zou weten, hadden we dat onderzoek niet nodig. Er moet gekeken worden hoe we aan die logdata kunnen komen, hoe compleet ze zijn, wat ermee is gedaan en wat er uit blijkt. Dat is nog een stevig onderzoek. De heer Omtzigt rekent het mij ook niet aan dat ik dat deel van het onderzoek nog niet af heb. De specialisten hebben nog even tijd nodig om de gegevensbasis voor dat onderzoek bloot te leggen. Dus het antwoord is: nee, ik heb nog geen logdata van 2014 en 2015 gezien. Ik weet dus ook niet welke datalogs nu gevonden zijn. Soms weet iemand dat ze bestaan maar weet hij nog niet hoe hij ze boven tafel kan krijgen. Dus het antwoord daarop is nee. 

Dan de vraag over dat interne document. Het gaat niet over de vraag of er interne documenten zijn over iets. Het gaat erom of er data kunnen zijn gelekt. Daar geef ik een antwoord op. Als dat onderzoek afgelopen is, wil ik daarbij ook best zeggen of er intern gewaarschuwd is, niet omdat dat de conclusies beïnvloedt maar omdat het iets zegt over de cultuur. Ik ga ten aanzien van een onderzoek dat nog aan het starten is, echter niet tussentijds allerlei tussenconclusies delen, dingen die ik niet compleet heb, dingen die ik niet kan overzien. Dit begint nu. Ik wil de Kamer compleet informeren over het geheel. Ik ga dan niet tussentijds met allerlei wel of niet bestaande papieren, waar ik nu ook helemaal niets van weet, staan wapperen. Dat ga ik niet doen. Dat is ook niet ordelijk. Dat moeten we niet doen. Het gaat hier ook gewoon over de veiligheid van medewerkers in het ambtelijk apparaat. Het gaat om degene die mogelijk mails, documenten of wat dan ook stuurt en het gaat ook om degene die ze ontvangt. Dit is niet de manier waarop we met het ambtelijk apparaat omgaan. Dat doen we zo niet. 

De voorzitter:

Tot slot op dit punt. 

De heer Omtzigt (CDA):

Het spijt mij bijzonder, maar als de staatsecretaris dan toch één document stuurt waarvan hij zegt "daar stond het niet goed genoeg in" en er andere documenten blijken te zijn waarvan hij zegt "maar die krijgt u niet", dan vind ik dat hij heel selectief bezig is waar het gaat om het naar de Kamer sturen van documenten. Dus ik stel hem de vraag of hij voor de tweede termijn wel wil nagaan of er documenten gevonden zijn en, zo ja, van welk tijdstip. Dat zou ons namelijk helpen. Dat onderzoek is nog niet opgestart en wederom zien we een situatie ontstaan waarin de staatssecretaris zegt: we gaan een onderzoek doen, dus ik geef geen antwoord. Dat antwoord kan gegeven worden, want de staatssecretaris is erover geïnformeerd dat er signalen waren. Hij kan precies zeggen waar ze uit bestonden. 

Over 2014 mag hij alle forensische onderzoeken doen, maar 2015 is minder dan twee jaar geleden, tenminste de laatste elf maanden daarvan. Er bestaat dus een wettelijke bewaarplicht. Dan moet gewoon gevraagd kunnen worden aan de Broedkamer of je de logs van 2015 mag hebben. Zijn die logs ondertussen in het bezit van de onderzoekers — ik hoor straks wel wie dat allemaal zijn — of konden ze gewoon niet worden gevonden? Staat daar dan in wie wanneer waar bij is geweest? Als dat er na een week nog niet is, begin ik mij zeer ernstige zorgen te maken. 

Staatssecretaris Wiebes:

Eerst het geruststellende: ik heb de verzekering gekregen dat de loggegevens van korter dan twee jaar geleden er in ieder geval zijn en dat daarin staat wie op welk tijdstip welk gegeven uit welke database onttrekt en ook in zekere mate wat daarmee gebeurt. Dat is mij verzekerd, dus die gegevens zijn gewoon veilig. Het is totaal niet uitgesloten — laat ik het zo formuleren — dat ook oudere gegevens met diezelfde precisie en diezelfde compleetheid beschikbaar zijn. Dat is totaal niet uitgesloten. Daarover heb ik nu nog geen zekerheid. Ik streef ernaar om het compleet te hebben, want dat maakt het onderzoek makkelijker. Zoals de heer Bashir al zei, gaat het namelijk bij uitstek om de periode voor de oprichting van D&A. Het zou dus mooi zijn als de loggegevens daarvan beschikbaar zijn. Dat is totaal niet uitgesloten, maar ik kan er geen zekerheid over geven. 

De voorzitter:

De heer Van Weyenberg? 

De heer Van Weyenberg (D66):

Het document? 

De voorzitter:

U stelt zo veel vragen dat ik het op een gegeven moment niet meer weet. 

Staatssecretaris Wiebes:

Ik weet nu niet van documenten. Ik zie niet in wat de meerwaarde daarvan is. Ik kan naar de organisatie gaan met de vraag of er een document was. Misschien zijn er wel meer documenten. Laten we dat toch gewoon even in kaart brengen, zodat ik ten minste compleet kan antwoorden op de vragen van de heer Omtzigt. Ik heb mij eraan gecommitteerd om antwoord te geven op de vraag van de heer Omtzigt of er is gewaarschuwd op dit punt. Nu worden er echter vragen gesteld op het niveau van individuele documenten, op een moment dat de ZEMBLA-uitzending net is geweest, het onderzoek nog niet is gestart en ik de informatie nog niet compleet heb. Ik vind dat een rare manier van doen, want op die manier moet ik de Kamer fragmentarische, incomplete informatie geven, die ik bovendien nu even niet heb. Wie weet is de informatie er niet. 

De voorzitter:

We vallen nu echt in herhaling. We kunnen nog meer vragen stellen, maar dan krijgen we dezelfde antwoorden. 

Staatssecretaris Wiebes:

Dezelfde non-antwoorden, dat klopt. 

De voorzitter:

Er is gewoon een verschil van opvatting. Er mogen nieuwe vragen worden gesteld. Verder hebben jullie in tweede termijn de ruimte om moties in te dienen of wat dan ook. Herhaling gaat niet helpen. Tot slot, mijnheer Omtzigt, echt tot slot op dit punt. 

De heer Omtzigt (CDA):

Zo meteen heb ik nog drie of vier vragen die in dit blokje beantwoord hadden moeten zijn, maar waarop ik het antwoord niet gehoord heb. 

Staatssecretaris Wiebes:

Oké. 

De voorzitter:

Stelt u ze in één keer, zou ik zeggen. 

De heer Omtzigt (CDA):

Ten eerste: wel een document sturen en zeggen dat er geen waarschuwing in staat, terwijl er in maart 2015 bij punt 10 duidelijk staat dat er een niet-auditeerbare situatie is bij de zorgvuldige omgang met gegevens. Er is dus niet afdoende aandacht voor beveiliging — ik verwijs naar punt 10 op pagina 6 — terwijl er niet wordt gezegd of er ook interne waarschuwingen zijn. Sorry, maar die interne waarschuwingen moeten nu in kaart gebracht zijn, want anders worden er geen stukken gestuurd terwijl andere stukken niet worden gestuurd. Ik zou dus graag willen weten waaruit die bestaan. U weet dat ik daar krachtens artikel 8.60 van de Grondwet recht op heb, dus ik verwacht die documenten gewoon voor het einde van de eerste termijn te hebben. 

Ten tweede: waren er verschillende autorisatieprofielen in de periode 2013, 2014, 2015 en 2016? Oftewel: kon iedereen overal bij of was het netjes gesegmenteerd zodat men er niet bij kon? 

Ten derde: de klokkenluidersregeling. Ons was toegezegd dat er in het najaar een nieuwe regeling zou zijn. Nu zegt de staatssecretaris weer dat er een nieuwe regeling komt. Wat is er in de tussentijd eigenlijk precies gebeurd? 

Ten vierde: zijn er audits gevonden? Als je gelogd wordt, audit je dat regelmatig. Zijn die audits in de tussentijd gevonden? Hebben ze plaatsgevonden? Zijn daar dingen uitgekomen of niet? 

Staatssecretaris Wiebes:

Nu gebeurt er iets wonderlijks. Nu wordt gezegd dat de staatssecretaris een rapport van een partij, LiquidHub, heeft meegestuurd en dat hij dus ook interne documenten moet gaan sturen. Ik probeer de Kamer te bedienen door documenten mee te sturen die intern niet op een ondermijnende manier of wat dan ook kunnen worden gebruikt. Ik lees in nummer 10 helemaal niet dat er een niet auditeerbare situatie ontstaat. Dat staat er niet. In mijn stuk staat dat er niet bij nummer 10. Er staat dat zorgvuldige omgang met gegevens moet worden geborgd en dat er afdoende aandacht moet zijn voor beveiliging en een auditeerbare situatie. Dat lijkt mij een heel zinvolle aanbeveling, maar het wil niet zeggen … 

De voorzitter:

Mijnheer Omtzigt, alleen op dit punt. 

De heer Omtzigt (CDA):

Nee, er komt wat achter. Er staat: "dat er een auditeerbare situatie ontstaat". De staatssecretaris laat een cruciaal woordje maar even weg. Als die situatie nog moet ontstaan, dan is er op dat moment geen auditeerbare situatie. Dit selectieve citeren is de woordenkunstenaar Wiebes ten voeten uit. Er was geen auditeerbare situatie en daarom vragen wij of de aanbeveling is opgevolgd. Zijn er audits gevonden? 

Staatssecretaris Wiebes:

Het "ontstaat" slaat niet op de beveiliging en de auditeerbare situatie, want dan loopt de zin helemaal niet. 

Op deze manier wordt het een zinloos debat. Ik stuur informatie mee die mij zinvol lijkt en waar het programma over gaat. Wat ik niet doe, is het rondsturen van interne ambtelijke stukken. Het is kabinetsbeleid om dat niet te doen. Daar is een heel goede reden voor. Ik wil de Kamer zo compleet mogelijk informeren over de vraag of hier iets aan de hand is geweest en of hier data zijn gelekt. Ik wil zelfs zeggen of er sprake was van interne waarschuwingen, maar ik ga niet, terwijl het onderzoek nog moet starten, met interne mails of wat dan ook rondwapperen. Dat ga ik echt niet doen. 

Bij audits weet ik niet of wij het over hetzelfde hebben. Worden de logs geaudit? Dat is eigenlijk wat de heer Omtzigt vraagt. Het zou zorgelijk zijn als logs alleen maar werden geaudit. Logs worden permanent in de gaten gehouden. Er zijn ICT-tools om te zien of er ongebruikelijke patronen optreden. Tegelijkertijd wordt er ook op andere manieren gekeken of zich rare dingen voordoen. Dat wordt in de gaten gehouden. Het hele beleid wordt volgens het handboek via zelfevaluatie geëvalueerd. Op dat geheel kan de Auditdienst Rijk zijn aandacht richten en dat vervolgens auditen. Dat is hoe het werkt. 

Als de concrete vraag is of die audit zich ooit specifiek op dit deel van het beveiligingsbeleid dan wel op dit deel van de organisatie heeft gericht, dan wil ik die in tweede termijn graag beantwoorden, maar er zitten dus nogal wat trappen tussen. Logdata dienen niet alleen voor vastlegging. Daar doe je ook iets mee, en dat gebeurt iedere dag. 

De voorzitter:

Er was nog een vraag over een klokkenluider. 

Staatssecretaris Wiebes:

Ja, dat vond ik een goede vraag. Wat mij al een tijd als een gigantische graat in de keel zit, is dat steeds weer blijkt dat medewerkers heel moeilijk hun zorg in de organisatie kunnen uiten. Ik spreek niet alleen voor mijzelf, want ook de heer Omtzigt heeft dit meerdere keren naar voren gebracht. Dit is echt een zorg die wij delen. Ik heb in het debat gezegd dat wij eens moeten bekijken of wij daar een speciale vertrouwenspersoon voor kunnen inrichten. Vertrouwenspersonen zijn er in ruime mate. Er zijn honderden meldingen per jaar waar die vertrouwenspersonen mee aan de gang gaan. Desondanks zien wij dat er mensen zijn die kennelijk dat loket niet vertrouwen of onvoldoende vinden. Daar is iets mee. Geen kwaad woord over de vertrouwenspersonen, maar kennelijk is het stelsel nog niet afdoende. 

De vorige dg heeft daarover nagedacht en gezegd: misschien moet ik gewoon een oproep in de dienst doen met "leg het bij mij neer". Dat heeft vier meldingen opgeleverd. Wij zijn nu op een nieuwe manier bezig, zoals in de correspondentie is terug te vinden. Kunnen wij iets organiseren in aanvulling op het stelsel van vertrouwenspersonen in samenwerking met dat Huis voor klokkenluiders. Dat onafhankelijke instituut, powered bij BZK, zit in Utrecht. Misschien kan in samenwerking met dat huis iets worden gecreëerd bovenop datgene wat wij al hebben, want dit kan gewoon niet. Ik ben hier zelf een combinatie van verdrietig en gepassioneerd over. Dit moeten wij nu oplossen. Het bestaande net van vertrouwenspersonen functioneert, maar vangt niet alles af. ZEMBLA bewijst dat. 

De voorzitter:

Nee mijnheer Omtzigt, nu is het woord aan de heer Van Weyenberg. 

De heer Omtzigt (CDA):

Dan wil ik een punt van orde maken. 

De voorzitter:

U bent niet de enige. De heer Van Weyenberg staat al heel lang bij de interruptiemicrofoon. 

De heer Omtzigt (CDA):

Ik wil een punt van orde maken. Dit is precies hoe je beantwoording kunt ontwijken. Als je de vragen niet meeneemt … 

De voorzitter:

Dit is geen punt van orde. 

De heer Omtzigt (CDA):

Ja. 

De voorzitter:

Wat is dan uw punt van orde? 

De heer Omtzigt (CDA):

Mijn punt van orde is het volgende. Als de staatssecretaris in een blok de vragen niet beantwoordt, moet ik die per interruptie stellen. Als ik dan geen vragen mag stellen, kan ik er geen vragen over stellen. Daar neem ik nota van. Op dit moment is dat het geval op deze laatste twee punten. 

De voorzitter:

U hebt heel veel vragen gesteld. 

De heer Omtzigt (CDA):

Dat klopt, maar als daar geen antwoord op komt in de termijn van de staatssecretaris, zit ik met een probleem. 

Staatssecretaris Wiebes:

Ik meen de vragen beantwoord te hebben, ook schriftelijk. De vraag over vertrouwenspersonen is beantwoord met het initiatief van het klokkenluidershuis. Er is een vrij uitvoerige omschrijving van waar wij op dit moment mee bezig zijn in aanvulling op de vertrouwenspersonen. Dat heeft de heer Omtzigt blijkbaar niet herkend of als antwoord geaccepteerd, maar dat lijkt mij iets anders. 

De heer Van Weyenberg (D66):

Ik begin met twee onbeantwoorde vragen. De eerste was waarom de toegangspasjes nog steeds niet geregeld zijn, terwijl het rapport van de Auditdienst Rijk van mei 2015 is. Nu is het februari 2017. Ik vind anderhalf jaar hiervoor erg lang. Ik heb ook gevraagd naar de zelfevaluatie van de naleving van het handboek Beveiliging Belastingdienst die elk jaar wordt gehouden. Wat is daar uitgekomen, ook gelet op de check van de ADR? Wat bedoelt de staatssecretaris als hij in zijn brief schrijft dat er minimaal gelogd werd en wordt? 

Dan mijn concrete vraag nu. De staatssecretaris zegt steeds: ik wil onderzoeken of de beveiliging in het verleden wel of niet op orde was en of er misbruik van is gemaakt. Beide onderzoeken vind ik verstandig. Volgens mij vindt de hele Kamer die verstandig. De derde vraag van de heer Omtzigt en ook van mij is een andere. Die gaat over wat er intern is gebeurd. Is er gewaarschuwd richting leiding van de Belastingdienst en de staatssecretaris? De heer Omtzigt zei terecht dat er op dit punt een herhaling van zetten is gelet op de Financiële Beschouwingen en daarna de debatten rondom de vertrekregeling. Ik ben natuurlijk niet op zoek naar de namen van ambtenaren. Daar is de heer Omtzigt niet naar op zoek en de heer Bashir ook niet. Ik ben misschien ook niet op zoek naar de concrete documenten, maar ik wil een feitenrelaas. Ik wil weten of de top gewaarschuwd is. De staatssecretaris zegt dat hij eerder met een onderzoek is begonnen dan ZEMBLA omdat er zwemen van signalen waren dat er iets aan de hand was. 

Staatssecretaris Wiebes:

Dat was de Autoriteit Persoonsgegevens. 

De heer Van Weyenberg (D66):

Zeker, maar dat betekent dat er voor de uitzending van ZEMBLA al zorgen waren. De staatssecretaris heeft zelf net gezegd: mij bereiken signalen dat er in het verleden is gewaarschuwd richting de top van de Belastingdienst. Dan is het logisch dat de Kamer daarnaar vraagt. Zij vraagt niet welke medewerker heeft geïnformeerd of is geïnformeerd. Zij wil wel weten wanneer er in de Belastingdienst is gewaarschuwd. In het verlengde van de vraag van de heer Omtzigt vraag ik om een feitenrelaas. Welke stukken daarbij kunnen worden gedeeld, laat ik in eerste instantie aan de staatssecretaris. Maar als wij dit niet kunnen doen, kunnen wij nooit meer vragen om een reconstructie van wat er gebeurd is. Dat was een debat tussen Kamer en staatssecretaris toen het ging over de vertrekregeling. Ik vind het jammer dat het vandaag blijkbaar weer een debat moet zijn. Ik vind het een heel redelijke vraag. Het is geen whodunnit, maar de vraag is hoe dit heeft kunnen gebeuren. 

Staatssecretaris Wiebes:

Ik begin met het laatste. Ik ben blij dat het geen whodunnit is. Ik ben blij dat het niet over documenten gaat. Ik zie een zeker begrip daarvoor bij de heer van Weyenberg die hij ongetwijfeld ontleent aan zijn eigen ruime ambtelijke staat van dienst. Ik heb al gezegd dat ik niet alleen bereid en van plan ben om uit te zoeken of data kunnen zijn gelekt, maar ook of er sprake is geweest van interne waarschuwingen. Dat is informatie die ik graag na afloop van het onderzoek met de Kamer wil delen, maar waar ik nu gewoon onvoldoende zicht op heb. Ik heb niet meer dan signalen. Ik wil dat dit bekeken wordt. Ik heb toegezegd om die vraag te beantwoorden zodra ik het antwoord heb en dat is zodra dat onderzoek gevorderd is. Dat is niet iets wat jaren duurt. Ik hoop al in de volgende halfjaarrapportage daar een en ander over te kunnen melden. Ik zou het het liefst al af hebben. De heer Van Weyenberg en ook de heer Omtzigt krijgen antwoord op die vraag, maar ik ga nu niet ad hoc allerlei tussenantwoorden verzinnen op basis van informatie die ik niet compleet heb of zelf helemaal niet heb. 

De heer Van Weyenberg (D66):

Dat is nu precies waarom de Kamer en de staatssecretaris op dit moment van mening verschillen. Wij willen weten wat er gebeurd is. Een intern onderzoek naar de beveiliging, natuurlijk doen! Maar dat is iets anders dan antwoord geven op de vraag of er intern is gewaarschuwd. Ik vraag om een feitenrelaas. Dat is volgens mij een apart onderzoek en gaat over iets anders dan vragen over bijvoorbeeld de beveiligingsgegevens. Vragen daarover moeten ook worden onderzocht. Waren alle beveiligingsgegevens goed? Wat is er met die logingegevens gebeurd? Is er misbruik van gemaakt? Zijn er mensen met data vandoor gegaan? Dat moet allemaal worden onderzocht. Ik wacht de resultaten daarvan af. Het zijn allemaal ernstige aantijgingen, maar eerst moeten inderdaad de feiten op tafel komen. De vraag echter wat er intern aan signalen is gegeven, kan de staatssecretaris snel zelf onderzoeken. Daar hebben we hopelijk deze keer geen commissie van wijzen voor nodig. Een feitenrelaas daarover kan de staatssecretaris gewoon binnen enkele weken naar de Kamer sturen. Dat is mijn concrete verzoek. 

Staatssecretaris Wiebes:

Dit ligt wel heel erg in lijn met de toezegging die ik zojuist heb gedaan. Ik ben bezig met een intern onderzoek. Daarbij wordt niet alleen de vraag onderzocht of er data kunnen zijn gelekt, maar ook de vraag of er sprake is geweest van waarschuwingen. Daar heb ik geen commissie van wijzen voor nodig. Ik heb er ook geen verhullende taal voor nodig. Ik vind dat een ordentelijke vraag van de Kamer om informatie. Ik ben van plan dat uit te zoeken en ik heb net gezegd dat ik hoop bij de halfjaarrapportage daar een antwoord op te kunnen geven. 

De voorzitter:

Ik heb de indruk dat we rondjes draaien, mijnheer Van Weyenberg. Klopt dat? 

De heer Van Weyenberg (D66):

Nou voorzitter, ik zie enige beweging. 

De voorzitter:

Dit is het antwoord en de vraag heb ik al eerder gehoord. 

De heer Van Weyenberg (D66):

Voorzitter, dit gaat over het recht van de Kamer om te weten wat er is gebeurd. De staatssecretaris zegt nu in ieder geval dat hij dat ook wil weten. Mijn punt is dat ik dit gewoon snel wil weten; daar mag geen misverstand over bestaan. Dit moet toch gewoon binnen drie weken kunnen? Binnen drie weken moet je toch kunnen weten of er in de organisatie is gewaarschuwd? 

De heer Bashir (SP):

Ik wil die informatie eigenlijk vandaag al. 

De heer Van Weyenberg (D66):

Ik zou het eigenlijk vandaag al willen weten; de heer Bashir heeft gelijk. Maar ik ben op zoek naar een weg. Dit vind ik een andere vraag dan de vraag of er misbruik is gemaakt van de gegevens. Dit kan volgens mij gewoon binnen drie weken naar de Kamer worden gestuurd. 

Staatssecretaris Wiebes:

Die verzekering heb ik niet. Het vorige verzoek kon volgens de heer Omtzigt binnen tien minuten worden ingewilligd. Ook met drieweken-achtige toezeggingen van de heer Van Weyenberg heb ik geen goede ervaringen. Ik zeg hem toe om in dat onderzoek niet alleen aandacht te besteden aan de vraag of er mogelijk data is verdwenen, maar ook aan de vraag of er sprake is geweest van interne waarschuwingen. Ik doe dat in dat onderzoek en ik kom daar in de halfjaarrapportage op terug. Ik heb geen enkele indicatie dat ik veilig kan toezeggen om dat eerder voor elkaar te krijgen. 

De heer Bashir (SP):

Ik neem hier geen genoegen mee. 

De voorzitter:

Oké. 

De heer Bashir (SP):

We hebben namelijk vorige week acht uur gedebatteerd over stukken die de staatssecretaris, de baas van de Belastingdienst, niet wilde lezen. Nu zegt hij ons zelf dat hij weet dat er signalen waren over interne waarschuwingen. Er zijn dus signalen gekomen over signalen. Mijn vraag is gewoon: wat is de informatie die de staatssecretaris heeft en kan hij die met de Kamer delen? Ik wil dan geen stukken hebben en ik hoef geen namen te weten, maar ik wil weten wat die informatie is. Wat waren de signalen? Die informatie kan de staatssecretaris volgens mij gewoon nu met de Kamer delen. 

De voorzitter:

Dit is dus dezelfde vraag. 

Staatssecretaris Wiebes:

Oké, bij dezen. Ik heb zeer recentelijk signalen gekregen dat er destijds signalen zouden zijn gegeven. Dat is echt alles wat ik weet. Dit moet nader worden uitgezocht. Waar hebben we het over? Waar gingen die signalen over? Hoezo signalen? Waar hebben we het over? Is dat compleet? Dat is nou precies wat ik aan het uitzoeken ben, want meer dan deze ene zin weet ik niet. Serieus: dit is wat ik weet! Dit is nou net iets wat in dat interne onderzoekje gewoon wordt meegenomen. Als dat is gedaan, weten we het antwoord. Dan geef ik het antwoord op de vraag van de heer Bashir, van de heer Van Weyenberg en van de heer Omtzigt. 

De heer Bashir (SP):

Dit zijn vragen die ik ook al in de eerste termijn heb gesteld. Ik vind het jammer dat ik nu mijn interruptie moet gebruiken om hierop door te vragen. Als ik het goed begrijp, heeft dus een ambtenaar tegen de staatssecretaris gezegd: er waren signalen dat er signalen waren binnengekomen. Punt. Verder niks. 

Staatssecretaris Wiebes:

Ja. 

De heer Bashir (SP):

En toen heeft de staatssecretaris dus niet doorgevraagd? Toen is hij vervolgens naar dit debat gegaan zonder te hebben doorgevraagd? Hij heeft niet gevraagd wat de signalen dan waren, wat er is besproken, wat er is gebeurd? Er is helemaal niet doorgevraagd? 

Staatssecretaris Wiebes:

Als ik alles compleet zou hebben, zou ik dat gerust met de Kamer kunnen delen. Maar het is niet compleet. Het is heel duidelijk dat we op dit moment niet de informatie bij elkaar hebben die nodig is om op een ordentelijke, complete en juiste manier antwoord te geven op deze vraag, anders dan ik zojuist deed. Voorzitter, ik kan proberen het hier allemaal te verzinnen, maar daar schieten we niets mee op. 

De heer Bashir (SP):

In mijn laatste interruptie heb ik gewoon een aantal vragen gesteld, voorzitter. Klopt het dat de staatssecretaris daarover niet heeft doorgevraagd? Die vraag kan de staatssecretaris met ja of nee beantwoorden. 

Staatssecretaris Wiebes:

De staatssecretaris heeft gevraagd of wij daar voldoende over weten om mij, en daarna de Kamer compleet en juist te informeren. Het antwoord daarop was: zeker niet. Dat moet dus onderdeel van het onderzoek zijn en dat is het ook. Daar wordt naar gekeken en uiteindelijk komt er dus een antwoord op de vraag of er gewaarschuwd is. Ik kan dit alleen maar herhalen, want meer weet ik er ook niet van en meer is op dit moment niet bekend bij de mensen die betrokken zijn van het beantwoorden van vragen van deze Kamer. 

De heer Tony van Dijck (PVV):

De geschiedenis herhaalt zich nu, maar de staatssecretaris komt niet elk debat weg met deze struisvogelpolitiek. Vorige week hadden we een debat en toen zei de staatssecretaris: ik neem de signalen serieus en daar duik ik meteen bovenop. Toen ging het over de vertrekregeling. Tijdens de algemene financiële beschouwingen ging het ook over signalen en nu gaat het weer over signalen. Er zijn signalen over signalen. Maar wij als Kamer, als controleur van deze staatssecretaris, hebben niet het gevoel dat die signalen echt landen bij de staatssecretaris en al helemaal niet in deze Kamer. De staatssecretaris gooit een balletje op over signalen, maar hij zegt niet waar die signalen over gingen. Dat willen weten. Wij willen weten of die signalen gingen over een lek. Lezen we volgende week in de krant dat de gegevens van tien miljoen belastingbetalers op straat liggen? Is dat het signaal dat de staatssecretaris heeft gekregen? Waar ging dat signaal over? 

Staatssecretaris Wiebes:

Ik heb geen signaal gekregen. Ik heb alleen het signaal gekregen dat er signalen zouden zijn geweest. 

De heer Tony van Dijck (PVV):

Over? 

Staatssecretaris Wiebes:

Dat is een goede vraag. Daar moeten we achteraan. Dit gaat over een periode van de Broedkamer. Maar in alle eerlijkheid, die uitzending was nu een week geleden en nog niet alles is uitgezocht. De prioriteit heeft ook duidelijk gelegen bij het borgen dat er op dit moment volgens de voorschriften wordt gewerkt en dat er geen data verdwijnt. Er is ook voor gezorgd dat er extra maatregelen worden genomen om dat helemaal zeker te stellen en om Nederland de garantie te kunnen geven dat de Belastingdienst op dit moment keurig omgaat met de gegevens. Al die andere dingen zoeken we uit, maar we weten allemaal dat dat niet een, twee, drie gaat. We hebben aan deze tafel ook wel departementen gezien dat er zelfs nog even langer over hebben gedaan om gegevens boven tafel te krijgen. Ik doe hier onderzoek naar en ik hoop bij de halfjaarrapportage al zover te zijn dat ik daar een helder antwoord op kan geven. 

De voorzitter:

Ook dat is al een paar keer gezegd. 

Staatssecretaris Wiebes:

Dat is waar. 

De heer Tony van Dijck (PVV):

De vraag is echter waar dat signaal over ging, het signaal dat er een signaal is geweest. Over wat is er een signaal geweest? Dat er een USB-stick in Nederland rondzwerft met de persoonsgegevens van alle belastingbetalers? Is dat het signaal? Wij willen graag weten hoe groot het risico is, wat het signaal was en hoe groot we het gevaar moeten inschatten dat straks alle gegevens op straat liggen. Dat willen wij graag weten. Kennelijk is er een signaal geweest en dus weet de staatssecretaris hoe urgent dat was. 

Staatssecretaris Wiebes:

Ik denk dat de heer Van Dijck hier nu de onderzoeksopdracht aan het opdreunen is. Dit wil hij niet alleen weten, maar dit willen al zijn collega's weten en dit wil ik ook weten. 

De voorzitter:

Ik stel voor dat u verder gaat met de volgende onderwerpen. 

Staatssecretaris Wiebes:

Er wordt gewerkt aan de toegangspasjes. Ik weet niet of er van de planning is afgeweken. Dit is een initiatief en er wordt nu aan gewerkt om de beveiliging op een nog hoger niveau te brengen dan de standaard in de rest van de dienst. 

Er is gevraagd wat de ADR precies heeft opgeleverd aan resultaten. Volgens mij heb ik er inmiddels een gewoonte van gemaakt om de ADR-rapporten standaard naar de Kamer te sturen. Ik zal bezien of het antwoord daar ergens in staat of dat er nog een opmerking over de ADR is gemaakt. 

Er is gevraagd wat wordt bedoeld met minimaal gelogd. Ik moet eerlijk toegeven dat ik hier het antwoord niet op weet. Ik heb deze vraag zelf ook naar aanleiding van een concept gesteld. Ik vind het een heel goede vraag van de heer Van Weyenberg wat daarmee bedoeld wordt. Ik kom daar nog op terug. 

Ik hoop dat ik ook al antwoord heb gegeven op de vraag van de heer Van Dijck wat het verschil is tussen de onderzoeken. Daarmee wil ik het onderwerp informatiebeveiliging afsluiten totdat we verder zijn met het onderzoek. 

De heer Grashoff (GroenLinks):

De staatssecretaris kondigt verschillende onderzoeken aan. Volgens mij willen wij die allemaal. Er is een verschil van inzicht over de vraag hoe snel iets onderzocht kan worden, door wie en hoe precies. Ik kan mij voorstellen dat het verstandig kan zijn om heel strak helder te krijgen wat de staatssecretaris nu precies door wie en binnen welke termijn laat onderzoeken en hoe de onafhankelijkheid van dat stukje onderzoek is gewaarborgd. Is het wellicht wijs dat de staatssecretaris ons daarover scherp en op schrift informeert? 

Staatssecretaris Wiebes:

Ik heb het daar net over gehad ten aanzien van de dataveiligheid. De Autoriteit Persoonsgegevens is een externe partij. Die kijkt naar het nu. Die kiest daarin haar eigen tempo. Ik heb haar niet in de hand. Ik kan daarvan geen deadline toezeggen. Zij bepaalt haar eigen deadlines. Die kijkt naar de beveiliging van de afdeling D&A op dit moment. Dat doet zij naar aanleiding van de ZEMBLA-uitzending, maar daar is zij op gealerteerd vlak voor de uitzending, omdat er toen bij ons vragen binnenkwamen van de omroep die ons een indicatie gaven van het feit dat er een dergelijke uitzending aan kon komen. Dus de aanleiding daarvan is wel degelijk de ZEMBLA-uitzending. 

Dan zijn er interne onderzoeken. Een daarvan heb ik net genoemd. Daar heeft de heer Van Weyenberg ook aan gerefereerd. Dat is de periode van de Broedkamer, dus voor de oprichting van D&A. Die kijkt naar het toen, bij voorkeur aan de hand van gedetailleerde logs enzovoorts. Dat wordt intern uitgevoerd. 

Dan is er een onderzoek naar de toepassing van het beveiligingsbeleid in het algemeen Belastingdienstbreed. Het is niet zo dat de ZEMBLA-uitzending indicaties gaf dat er iets Belastingdienstbreed niet aan de orde is, maar ik vind dat wij signalen over data en data-integriteit zo serieus moeten nemen dat wij daarin net een stapje verder gaan. 

Mijn toezegging is geweest dat ik zal proberen om bij de halfjaarrapportage al zo veel mogelijk een en ander compleet te hebben. Een aantal dingen is half mei klaar — daar kom ik straks bij het blokje aanbesteding ook op — maar ik denk dat deze drie een end zouden moeten zijn ten tijde van de halfjaarrapportage. 

De heer Grashoff (GroenLinks):

Dit is een opsomming van verschillende onderzoeken uitgevoerd door verschillende instanties met een verschillend tijdpad. Daarin zijn de signalen over waarschuwingen voor ons als Kamer waarschijnlijk bestuurlijk het meest relevant, in de zin van: komen de signalen nu eigenlijk wel door? Daarbij blijft elke keer onduidelijk wie dat precies onderzoekt en op welke termijn dat naar ons toe komt. Een uitspraak als "ik verwacht dat ik daar dan en dan ongeveer wel gegevens van heb" stelt mij niet zo heel erg gerust. Ik heb liever een strakke op schrift gestelde opdrachtomschrijving die duidelijk stelt wie iets onderzoekt binnen welke termijn en met welk resultaat. 

Staatssecretaris Wiebes:

Die opdrachtbeschrijving vind ik geen probleem. Het was mijn voornemen om die ook mee te sturen. Ik weet niet of dat uiteindelijk is gelukt. Wat die periode betreft, die halfjaarrapportage probeer ik, maar van sommige dingen weet je het niet. Hoe lang moeten wij zoeken naar de juiste bestanden? Hoeveel mensen moeten er geïnterviewd worden? Ik houd daar een beetje een slag om de arm, maar juist omdat ik het volledige antwoord wil geven. De uitkomsten komen er, maar ik houd een zekere slag om de arm bij de planning. 

De voorzitter:

De vraag is of de opdracht en wie de opdracht uitvoert ook schriftelijk met de Kamer wordt gedeeld. 

Staatssecretaris Wiebes:

Daar lijken mij geen bezwaren tegen te zijn. 

De voorzitter:

Oké. Dan wil ik toch voorstellen dat u dit onderdeel afrondt. U krijgt straks de gelegenheid om te interrumperen, mijnheer Omtzigt. Ik weet niet waar u nu ongeveer bent, staatssecretaris. 

Staatssecretaris Wiebes:

Ik ben nu bij het blokje aanbesteden. Daar zijn minder vragen over gesteld. Ik moet dat ook sneller kunnen. Ik wil wel even afbakenen waar het stuk aanbesteden eigenlijk over gaat. Aanbesteden is een noodzakelijke basisvoorwaarde van een overheidsorganisatie. 

De voorzitter:

Voordat u verder gaat: de heer Omtzigt. 

De heer Omtzigt (CDA):

Vorige week woensdag heeft de Kamer een feitenrelaas gevraagd, waarin zou worden ingegaan op de vraag wanneer er is gewaarschuwd. Nu hebben we nog steeds geen idee wanneer er is gewaarschuwd. We komen in een cirkeltje terecht. Waarom ligt dat relaas er niet? Waarom is het stukje "is de staatssecretaris eerder geïnformeerd over een veiligheidslek" helemaal niet aan de orde gekomen in het afgelopen half uur, terwijl er toch door verschillende woordvoerders naar is gevraagd? Voor de helderheid zal ik vertellen waarom ik dat vraag. Experts vertellen mij dat je wettelijk strafbaar bent als je meerdere signalen krijgt dat de databeveiliging niet op orde is en daar niet op handelt. Dan gaat het niet alleen over interne problemen, dan kun je zelfs vervolgd worden. Dat lijkt me ook wel duidelijk bij zo'n database. Het is daarom helemaal niet raar dat de Kamer via de heer Grashoff vraagt wie het onderzoek doet. Want als er mogelijke strafbare feiten aan de orde komen, is het een beetje onhandig als dat helemaal intern gebeurt. Verder is die lijst met afgegeven waarschuwingen een week geleden gevraagd. Daarbij is ook gevraagd of de staatssecretaris het afgelopen jaar is geïnformeerd over mogelijke problemen bij de privacy en beveiliging van de gegevens van de Belastingdienst, specifiek die van de Broedkamer en Data & Analytics. 

De voorzitter:

We gaan weer terug naar de discussie die net is gevoerd. 

Staatssecretaris Wiebes:

Nee, ik ben niet geïnformeerd over veiligheidslekken bij Data & Analytics. Ik héb geen lijst van waarschuwingen, maar deel van het onderzoek is om te kijken of er sprake is geweest van waarschuwingen. Als er strafbare feiten aan de orde komen, is dat uiteraard een heel ander verhaal. Strafbare feiten worden niet door de Belastingdienst zelf afgehandeld. Maar dit betoog van de heer Omtzigt bewijst nou net dat je hier, als het om zulke grote zaken gaat, eerst de feiten op orde moet hebben voordat je daarover allerlei uitspraken kunt doen. Dat is belangrijk. We hebben het beeld helemaal niet compleet, en ik allerminst. Het is belangrijk om, als het om dit soort grote aantijgingen en om dit soort mogelijk ernstige consequenties gaat, de feiten op een rijtje te hebben voordat we daarover allerlei uitspraken gaan doen. 

De heer Omtzigt (CDA):

Dat klopt. Daarom hadden we om dat relaas gevraagd, een relaas dat er dus nu nog niet ligt. De staatssecretaris zegt dat hij niet geïnformeerd is over lekken bij Data & Analytics. Maar ik stelde een vraag over privacy- en beveiligingsproblemen — want of er lekken geweest zijn, weten we niet precies — inclusief de periode van de Broedkamer. Heeft de staatsecretaris daar ooit signalen over gehad in de afgelopen twee jaar? 

Staatssecretaris Wiebes:

Met de hand op mijn hart: ik herinner me daar helemaal niets van. Het is ook een onderwerp dat echt niet standaard op mijn tafel komt. Als ik signalen zou hebben gehad dat er, in de woorden van de heer Omtzigt, beveiligingsproblemen zouden zijn, was ik waarschijnlijk als door een wesp gestoken geweest. Ik weet daar niets van. Maar ik ben nieuwsgierig naar wat mij nog met terugwerkende kracht zou zijn gemeld; ook daar kijk ik naar. Maar in alle eerlijkheid: datalekken, nee. 

De voorzitter:

Gaat u verder. 

Staatssecretaris Wiebes:

Ook dit bewijst weer dat we eerst moeten weten waar we over praten, voordat we praten. 

Aanbesteding is geen metier dat helemaal zonder zorgen is, maar dan gaat het meestal om de aanbestedingsprocedure, dan wel de inkoopmethode. Daar gaat het hier niet om. De aantijgingen hebben betrekking op integriteit. Dat is een forse aantijging, waar ik bang van word. Ook dat vraagt om eerst te weten waar je het over hebt, want het gaat om ernstige zaken en mogelijk om mensen. Daarom is hier forensisch onderzoek aan de orde. Dat gaat dus niet over aanbestedingsprocedures, maar over integriteit. Ik heb mij echt voorgenomen om mij geen enkel oordeel te vormen over wat hier aan de hand zou kunnen zijn, zolang ik de uitkomst van het forensisch onderzoek niet ken. Dat forensisch onderzoek is geraamd voor half mei. De mensen die daarmee aan de gang gaan, hebben aangegeven dat dat haalbaar is. 

De heer Van Weyenberg vroeg: wat wist de staatssecretaris over aanbestedingen die niet goed zijn gegaan. Laten we eerst vaststellen of er iets niet goed is gegaan, voordat we het daar überhaupt over hebben. Er zijn allerlei indicaties waaruit blijkt dat dingen in de procedure in ieder geval ordelijk zijn verlopen. Ik ben over een aantal aanbestedingen geïnformeerd en ik heb mij op basis daarvan ervan vergewist dat de wet, de procedure enzovoorts zijn gevolgd. Maar ik ben niet geïnformeerd over integriteitsproblemen. Laten we, voordat we dit soort woorden in de mond nemen, eerst bekijken of er echt wat aan de hand is. Voordat je het weet zijn we in deze zaal mensen impliciet aan het beschuldigen van iets wat helemaal niet vaststaat. Daar wil ik voorzichtig mee zijn. 

De heer Van Weyenberg (D66):

Zeker, voorzitter. Maar mijn vraag was of de staatssecretaris wat heeft gehoord over dit soort signalen. Dat vraag ik ook omdat ik uit de stukken opmaak dat er blijkbaar al zaken in gang waren gezet. Ik neem aan dat de staatssecretaris daarvan op de hoogte is gesteld voor de ZEMBLA-uitzending. Dat is de reden. Ik zeg dit niet omdat ik denk dat er iets is, maar omdat ik de indicatie heb dat de staatssecretaris, of in ieder geval de Belastingdienst, al eerder in actie kwam dan de ZEMBLA-uitzending en daar blijkbaar redenen voor had. Dat was de achtergrond van mijn vraag. 

Staatssecretaris Wiebes:

Helder. Voorafgaand aan de ZEMBLA-uitzending zijn er vragen gesteld aan het departement. Er zijn toen dingen uitgezocht en veel van de signalen uit de uitzending, niet allemaal maar wel veel, zijn kort daarvoor op mijn tafel gelegd, omdat de voorbereiding daarop liep en omdat de vragen die de organisaties stelden, aanleiding gaven om te denken dat er aantijgingen zouden komen. Maar dat koppel ik toch een beetje aan de uitzending. Ik denk dat de heer Van Weyenberg en ik elkaar op dit punt begrijpen. 

Ik kom op de opbrengsten. Misschien moet ik daar wat over zeggen, want er spelen ook vragen over nulmetingen enzovoorts. De heer Van Weyenberg maakt zich zorgen dat we misschien om de tuin zijn geleid. 

De heer Van Weyenberg (D66):

Dat ging over wat er in de uitzending werd gezegd. 

Staatssecretaris Wiebes:

O, ik dacht dat ik de heer Van Weyenberg daarover hoorde, maar ik wil hem niets in de mond leggen. 

De voorzitter:

Dat mag de heer Van Weyenberg rechtzetten. 

De heer Van Weyenberg (D66):

Zeker, voorzitter. Dat kwam omdat er in de ZEMBLA-uitzending werd gezegd dat Kamerleden werden misleid door onder druk gezette medewerkers. Dat vind ik een dusdanig ernstige aantijging dat ik hoop dat de staatssecretaris daarover vandaag duidelijkheid wil geven. In de schriftelijke stukken staat slechts dat de staatssecretaris zich dat niet kan voorstellen. Ik kon het mij ook niet voorstellen, maar juist daarom vind ik de aantijging extra ernstig en juist daarom verdient die volgens mij een helder antwoord. 

Staatssecretaris Wiebes:

De vraag is volkomen duidelijk; geen enkel verwijt over de vraag. Ik heb zelf bij de start van de Investeringsagenda aangedrongen op kwantificering. De neiging bestaat om allemaal leuke projecten te beginnen, maar dan maak je één groot circus van dingen die uiteindelijk ook hobbyprojecten kunnen worden. Ik vind het absolute noodzaak om in elk stadium van die deelprojecten aan kwantificering te doen. Anders kun je nooit een keuze maken tussen groot en klein, tussen belangrijk en onbelangrijk of tussen urgent en niet-urgent. Anders is er ook geen rapportage mogelijk aan mij, waardoor ik niet weet of we onze doelen wel halen, of aan de Kamer. Als we zeggen dat er sprake is van een geaudit getal, een door Oliver Wyman getoetst getal, van een verbeterd nalevingstekort ter waarde van 750 miljoen, ligt bij de Kamer elke keer de vraag op de lippen hoe het daarmee gaat. Dat betekent dat we kwantificeringen nodig hebben. Anders is er ook geen projectbeheersing nodig, want dan weten we niet of we sturen op het doel. Bovendien heeft de Algemene Rekenkamer ten aanzien van het ITI-project gezegd dat de hardheid van dit soort getallen nodig is, omdat je moet kunnen tonen wat je waarmaakt. Er is een systeem en daarin doorlopen projecten fases. Het begint bij het lab. In het lab is het een schatting en na de pilot is het, zoals de specialisten het noemen, een rekenkundig resultaat van een meting vooraf en een meting achteraf. Na de implementatie wordt dat getal nog iets scherper, maar zoals ik al in oktober in de stukken heb geschreven, kun je het uiteindelijke effect van een project nooit heel precies vaststellen. Maar het is wel belangrijk dat we in de gang daarnaartoe zo veel mogelijk kwantificeren. In juli heb ik getallen genoemd die ik vers uit de Broedkamer kreeg op basis van tests van toen al D&A. Als aanhangsel bij de halfjaarrapportage in oktober heb ik in de rapportage over de Investeringsagenda een soort voorlopige update van die getallen gegeven. In dat stuk is trouwens een uitgebreide bloemlezing te vinden van de onzekerheden rond die getallen, maar het hoofdpunt daarin is dat die meetmethode objectiever moet. 

Dat is ook mijn vraag aan de heer Van Weyenberg. Wij moeten gewoon kunnen spreken over een meetmethode — ik heb dat allemaal aan de orde gesteld in dat stuk — om veel objectiever te bekijken wat de baten zijn van een project. Die waren toen dus gebaseerd op die metingen in de Broedkamer, maar die zijn slecht reproduceerbaar; dat gebeurt niet in elk project gegarandeerd op dezelfde manier. Het is dus ook voor de Algemene Rekenkamer moeilijk vast te stellen of die schattingen goed zijn. We moeten dus komen tot die geobjectiveerde meetmethode. Daarover heb ik toen al mondeling contact gehad met de Algemene Rekenkamer. Ik, maar ook zij, wilden natuurlijk een ITI-opmerking voorkomen. In dat rapport stond eigenlijk: u hebt gezegd dat u extra belastinginkomsten zou ophalen, maar het is nooit vast komen te staan dat het ook gelukt is. Ik heb toen met de Algemene Rekenkamer gesproken over die objectievere methode om dat vast te leggen. 

Betekent dit dat er nu niet gewerkt is met nulmetingen en dat soort zaken? Nee, natuurlijk niet. Want hoe maakte de Broedkamer of later D&A een schatting van de mogelijke baten en de ex ante potentiële baten van een project? Dat doen ze natuurlijk door voor en na te kijken. Daarbij kijken ze naar verschillende dingen: ze kijken naar het aantal medewerkers dat ergens mee bezig is, ze kijken naar de zogenaamde hit rate. Ze kijken naar hoeveel er wordt opgehaald bij een controle voor en na de pilot. Ook kijken ze naar de behandelduur. Al met al bekijken ze wat dit project zou kunnen bijdragen aan kostenvermindering of opbrengstverhoging. Dat doen ze door middel van extrapolatie. Dat getal wordt steeds preciezer, maar is natuurlijk altijd gebaseerd op een soort nulmeting. De zorg echter die ik daarover had, is dat dat onvoldoende traceerbaar en objectiveerbaar was. Dat moet gewoon netter, en daar zijn wij mee bezig. Dat betekent tegelijkertijd dat de getallen van toen die gebaseerd waren op tests in pilots, slecht reproduceerbaar zijn. Eerlijk gezegd: elke keer als ik op de Broedkamer kom, zie ik bevlogen professionals van wie ik niet de indruk heb dat ze liegen. Mijn hoofdconclusie is dat ik me moeilijk kan verdiepen in de kennis van toen, om het verleden vervolgens met de methode van straks te beoordelen. Mijn hoofdconclusie is dat die methode geobjectiveerd moet worden, en mijn afspraak met de Algemene Rekenkamer is dat zij meekijken en vaststellen dat dit daarmee iets is waarmee je ook definitieve rapportages naar de Kamer kunt sturen. De rapportage die ik heb gestuurd en waarin de getallen voorkomen, is een soort concept, een soort model, Dat moet natuurlijk definitief worden, en zodra we die meetmethode uitontwikkeld hebben, moet dat de basis voor die rapportage vormen. Ik heb de rapportage bij me, met de naam "Opzet voor de voortgangsrapportage aan de Tweede Kamer". Daarin staat dat er getallen worden genoemd die nog niet volgens die methode zijn berekend, maar dat dat wel gaat gebeuren. 

De heer Van Weyenberg (D66):

Dat dat geobjectiveerd en getoetst wordt door de Rekenkamer, lijkt me verstandig. De aantijging in het programma ZEMBLA was dat medewerkers dingen moesten zeggen tegen Kamerleden waar zij het niet mee eens waren, en dat zij werden gedwongen dat alsnog te doen. Dat vind ik een heel zware aantijging, die overigens niet overeenkomt met mijn eigen beeld van het werkbezoek. Toch neem ik aan dat er in de afgelopen zes dagen is onderzocht waar dat beeld vandaan komt en of dat wordt herkend door de mensen die daar waren. Nogmaals: het gaat mij hier niet om namen en rugnummers, maar ik vind het wel belangrijk om hier duidelijkheid over te krijgen. Het is nogal een aantijging: Kamerleden bewust op het verkeerde been zetten. Kan de staatssecretaris hier vandaag zeggen dat daarnaar is gekeken en dat hij daar geen enkel signaal van heeft? Wat is er gebeurd om te onderzoeken of mensen daar onder druk zijn gezet en ertoe zijn gedwongen om aan Kamerleden dingen te vertellen die zij eigenlijk niet vonden kunnen? Dat staat dus los van de meetmethode. 

Staatssecretaris Wiebes:

Die zes dagen zijn een goed punt, maar als je zo'n ontzettende lading uitzoekwerk hebt, heb je dat in zes dagen niet compleet. Het punt van de heer Van Weyenberg gaat nog uit boven het maken van specifieke schattingen en boven de vraag of er een managementstijl of cultuur is waardoor medewerkers eigenlijk onder druk worden gezet om dingen te doen die gewoon niet horen in een organisatie, die misschien in een enkel geval niet horen volgens de wet of die in elk geval niet horen in de omgang met het bestuur en met de Tweede Kamer. Dat is de echte vraag en daarmee komen we eigenlijk bij het volgende blokje, namelijk de hele managementstijl en de cultuur. Dat vind ik eigenlijk het meest serieuze punt. Dat heeft te maken met die afstand, maar dit mengt zich met beelden van een geheel verkeerde managementstijl. Ik denk dat ik daar heel kort over kan zijn: dat moet gewoon veranderen. Dat is een van de belangrijkste opdrachten die de nieuwe dg en ik ons hebben gesteld. 

De heer Van Weyenberg (D66):

Ik ben het ermee eens dat dit het specifieke punt overstijgt van hoe je de baten van Data & Analytics berekent. Ik zou het waarderen als ik hierop op korte termijn een heldere reactie krijg. Ik hoop eigenlijk gewoon een ontkrachting van de aantijgingen in ZEMBLA te horen. Het punt van de cultuur is helemaal waar, maar ik neem aan dat wij op een heel korte termijn ook gewoon nog antwoord krijgen op de vraag, in de zin van: Tweede Kamer, wij hebben onderzoek gedaan en wat daar is gesteld, klopt niet of er is iets gebeurd waardoor dat beeld toch is ontstaan. Dit wil ik graag opgehelderd hebben, los van een specifiek debat over de cultuur bij de Belastingdienst. 

Staatssecretaris Wiebes:

Ik vind het een beetje moeilijk om te bedenken … Ik zie de informatiehonger. Dit is wel een van de belangrijke dingen: we horen in een uitzending dat op een bepaalde manier met mensen is omgegaan; klopt dat beeld nou? Ik weet dat de dg inmiddels contact met hen heeft gehad en dat hij niet met die beelden terugkwam, maar dat geeft niet echt uitsluitsel. Laat mij even broeden op deze zorg. Ik vind dit namelijk een oprechte zorg en die deel ik. Mag ik in een andere termijn terugkomen op de vraag of ik daar iets meer aan kan doen en, zo ja, hoe? Ik weet het antwoord even niet, maar ik zit daar ook de hele tijd een beetje over te dubben. Dit is raar. 

De heer Van Weyenberg (D66):

Ja, dat mag de staatssecretaris doen, juist omdat ik geen enkele schijn wil laten bestaan dat Kamerleden bewust verkeerd geïnformeerd worden. Die schijn kan niet blijven hangen. Ik wacht dat dus af in de tweede termijn. 

De heer Groot (PvdA):

Ik wil de heer Van Weyenberg op dit punt bijvallen. Gelet op die aantijging, leek het mij voor de hand te liggen dat de mensen die de presentaties gaven in de Broedkamer, even gebeld zijn om te vragen hoe zij dit hebben ervaren en of zij dit kunnen bevestigen of ontkennen. Misschien kan dat alsnog gebeuren. 

Staatssecretaris Wiebes:

Daarvoor is misschien zelfs nog meer nodig dan dat. Ik heb begrepen dat de nieuwe dg daar langs is geweest, maar het is niet zo dat je dan van zo'n collectief gezelschap in één keer zo'n antwoord krijgt. Dat is volgens mij dus gewoon nog niet het eindantwoord. Ik ben hier al een tijdje over aan het puzzelen en ik blijf de vraag van de heer Van Weyenberg maar ook de zorg van de heer Groot heel goed vinden. Dit brok in ons aller magen zou moeten worden aangepakt. 

Ik bekijk even of ik nu alle vragen heb beantwoord; volgens mij wel. Ik stel voor om de opmerkingen van de heer Van Dijck mee te nemen in het AO van 22 februari over het handhavingsbeleid. Volgens mij ben ik nu langs alles gelopen. 

De voorzitter:

Ik kijk rond of er behoefte is aan een tweede termijn. 

Mevrouw Aukje de Vries (VVD):

Volgens mij is een vraag van mij nog niet beantwoord. Ik heb een vraag gesteld over de privacy officer, die in het ADR-rapport van maart 2016 wordt genoemd. Daar staat dat die positie nog niet uitgekristalliseerd is. Ik vind die functie belangrijk binnen die club. Ik wil dus graag meer duidelijkheid over hoe het daar nu mee staat. 

De voorzitter:

ADR is Auditdienst Rijk? Ik denk dan altijd aan orgaandonatie, maar dat is het niet. 

Staatssecretaris Wiebes:

Dat is een meesterlijke vraag; excuses. Alleen al daarom zou er misschien een tweede termijn moeten komen. Daarvoor moet ik ook even de feiten toetsen. Het is een heel goede vraag. 

De voorzitter:

Ik zie de heer Omtzigt. Is er nog een vraag die niet is beantwoord? 

De heer Omtzigt (CDA):

Ik doe dit met enige schroom, maar … 

De voorzitter:

Nou, dat is niks voor u. 

De heer Omtzigt (CDA):

Nee, dat klopt. Ik heb ook gevraagd om die interrupties te gebruiken, want die zaten voor mij in het eerste blok. ZEMBLA heeft zojuist een nieuw document online gezet van precies dezelfde auteurs als het document dat wel gestuurd is. Daarin staat dat er met spoed aan gewerkt moet worden om de bestaande zaken binnen de wet- en regelgeving te brengen. 

Staatssecretaris Wiebes:

Dan ga ik dat document ook opzoeken. Ik ken dat document niet, maar zo is er steeds weer wat te lezen. 

De heer Omtzigt (CDA):

Dat is door dezelfde personen geschreven, zag ik in de aanhef. 

De voorzitter:

Maar volgens mij heeft niemand het hier. Ik kijk naar de andere Kamerleden. 

De heer Omtzigt (CDA):

Daarom stel ik ook voor dat we nu een halfuur schorsen. Ik heb echt even tijd nodig om te bedenken wat ik in de tweede termijn ga zeggen. Ik zou graag in een verlengde eerste termijn een reactie willen hebben. 

De voorzitter:

Een verlengde eerste termijn is iets anders dan een tweede termijn. 

De heer Omtzigt (CDA):

Ik bedoel dat we even schorsen, dan een reactie krijgen, en dan doorgaan naar de tweede termijn. Wij gaven de staatssecretaris juist een week om de signalen naar boven te krijgen. Nu zijn er signalen, en dan zou het ook fijn zijn om te weten wat ermee gedaan is. Die signalen zijn overigens naar de top van de Broedkamer gegaan. 

De voorzitter:

Niemand kent deze informatie. Eerst moet iedereen dezelfde informatie hebben. Dan kunnen ook uw collega's daarover meepraten. 

Staatssecretaris Wiebes:

Ook ik, trouwens. 

De voorzitter:

Ook de staatssecretaris kent deze informatie dus niet. 

De heer Bashir (SP):

Kunnen we even schorsen? 

De voorzitter:

Dat was ik sowieso van plan. Mijnheer Omtzigt, de bel is nog niet gegaan. U kunt dus nog. 

De heer Omtzigt (CDA):

Ik zal u hier even de relevante pagina geven. Dan kunt u hem ronddelen. 

De voorzitter:

Dat doen we. 

Ik neem aan dat er geen bezwaar tegen bestaat dat dit stuk ter inzage wordt gelegd bij het Centraal Informatiepunt van de Kamer. 

(Ter inzage gelegd bij het Centraal Informatiepunt van de Tweede Kamer der Staten-Generaal.) 

De beraadslaging wordt geschorst. 

De vergadering wordt van 13.17 uur tot 13.52 uur geschorst. 

Naar boven