31 066 Belastingdienst

Nr. 1236 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 23 mei 2023

Naar aanleiding van de NRC van 19 mei jl. waarin wordt aangegeven dat er nog veel gebruik wordt gemaakt van USB sticks binnen de Belastingdienst, wil ik u hierover nader informeren.

Ik begrijp dat het artikel vragen oproept over het huidige beleid rond (ontheffingen) van USB-sticks. In deze brief ga ik in op het huidige gebruik van USB ontheffingen binnen de Belastingdienst.

Beleid ten aanzien van USB-ontheffingen

Het beleid van de Belastingdienst met betrekking tot USB-ontheffingen houdt concreet in dat standaard alle USB-poorten van Belastingdienst laptops niet gebruikt kunnen worden, tenzij een ontheffing is verleend voor het gebruik van een USB-poort, zodat een (beveiligde) USB aangesloten kan worden op de poort. Er wordt dus standaard geen toegang verleend, tenzij er een ontheffing is. Voor een ontheffing is toestemming van het management nodig. Daarnaast vindt tweedelijns centraal toezicht plaats door de Chief Information Security Officer (CISO). Ik zal hieronder ingaan op de ontheffingen bij de Belastingdienst ten aanzien van 3 verschillende onderdelen van de Belastingdienst: Toezicht, overige processen en data-analyse.

Er zijn verschillende situaties bij data-analyse en toezicht, omdat data-analisten vanuit de aard van hun werk toegang hebben tot heel veel (gecombineerde) informatie over burgers en bedrijven. Medewerkers werkzaam in de zogenaamde bedrijfsvoering (onder andere inkoop, IV, facilitaire dienstverlening, beleidsprocessen) hebben geen toegang tot de (fiscale) gegevens van burgers en bedrijven. Daarom is er ook verschil in het beleid.

Overdracht van gegevens in toezichtprocessen

In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven, is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer en als dat niet mogelijk is, gebruik te maken van e-mail1. Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht moet komen of de organisatie waar de informatie ligt), niet aangesloten is op het internet (zoals bijvoorbeeld bepaalde kassasystemen). In dat geval mogen controlemedewerkers en EDP-auditspecialisten werkzaam in het toezichtproces, gebruik maken van een USB-apparaat voor het overdragen van de informatie 2. Data die op de USB-stick staat is automatisch versleuteld met een wachtwoord en is niet zonder dit wachtwoord leesbaar. Het kan ook voorkomen dat gegevens van de Belastingdienst gedeeld worden met organisaties wanneer er geen koppeling van systemen bestaat. Zoals bij Kadaster, in dat geval vond in het kader van de uitvoering van de sanctiewetgeving de eenmalige uitwisseling plaats via een USB-stick waarbij de data versleuteld was met een wachtwoord.

Overdracht van gegevens in overige processen

Voor de overige processen is niet vooraf bepaald welke type functionarissen gebruik mogen maken van een USB-ontheffing. Dat valt onder de verantwoordelijkheid van het management. Dat is de plek waar het beste de inschatting gemaakt kan worden over noodzaak en de risico’s. In alle gevallen behoort het management periodiek de noodzaak voor de toegekende ontheffing te beoordelen en deze in te laten trekken als de noodzaak niet langer daar is. Met de extra waarborg dat toegekende ontheffingen niet meegenomen kunnen worden als de medewerker een andere functie gaat vervullen, is de ontheffing voor USB-gebruik opgenomen in het autorisatieproces van de Belastingdienst. Hierdoor wordt gegarandeerd dat de huidige autorisaties ingetrokken worden, waaronder ook de USB-ontheffing.

Overdracht van gegevens in data-analyse processen bij DF&A

Uw Kamer is in 2017, naar aanleiding van Zembla, meerdere keren geïnformeerd over het gebruik van USB-sticks bij de Broedkamer en de toenmalige directie Data Analytics (D&A). Om die reden heeft mijn ambtsvoorganger in 2017 maatregelen ingevoerd bij D&A om de beveiliging van de gegevens daar te verbeteren. De Broedkamer en D&A bestaan na verschillende reorganisaties niet meer.

Momenteel is de directie Datafundamenten en Analytics (DF&A) verantwoordelijk voor het analyseren van gegevens en verwerkingen hiervan in dashboards en analyses. Bij DF&A zijn geen USB-ontheffingen aanwezig. Dit is overeenkomstig de Kamerbrief uit 2017. Een tijdelijk USB gebruik is wel mogelijk. Hiervoor heeft DF&A een procedure ingericht. USB gebruik kan alleen afgegeven worden na goedkeuring van de Business Security Officer. Daarnaast wordt een vier-ogen principe toegepast voor gebruik. Dat betekent dat twee medewerkers aanwezig zijn bij het gebruik van de USB. Direct na het gebruik wordt de USB-ontheffing weer ingetrokken. Dit is sinds 2017 één keer voorgekomen. Bij DF&A wordt maandelijks gecontroleerd dat geen sprake is van USB- ontheffingen.

Toezicht op ontheffing voor gebruik USB-sticks

Op het proces van ontheffing voor het gebruik van USB sticks vindt in twee lijnen toezicht plaats. De eerste lijn door de BSO van de directie waar het ontheffing plaatsvindt. Daarnaast vindt tweedelijns centraal toezicht plaats door de Chief Information Security Officer (CISO). Bij de directies van de Belastingdienst zal een controle uitgevoerd worden op de uitgegevens autorisaties om te bezien of die nog allen noodzakelijk zijn. De Belastingdienst zal daarnaast een extra controle uit gaan voeren in het tweedelijns toezicht waarbij meer risicogericht gekeken zal worden naar de naleving van het autorisatieproces. Ik zal uw Kamer in de stand van zakenbrief, die ik voor het commissiedebat Belastingdienst aan uw Kamer zal sturen, informeren over de uitkomsten hiervan.

Huidig aantal ontheffingen

Het huidige aantal ontheffingen is onder te verdelen in de volgende categorieën: toezicht proces en overige onderdelen. Daarbij is ook onderscheid gemaakt tussen ontheffingen om te kunnen lezen en schrijven van en naar een USB-apparaat en ontheffingen waarmee alleen de informatie gelezen kan worden die op een USB-apparaat opgeslagen is. Bij schrijfrechten kan de informatie op de USB-stick dus ook bewerkt worden.

Uitgesplitst naar directies levert dat het volgende beeld op (22 mei 2023, uit IMS het systeem met alle autorisaties van Belastingdienstmedewerkers):

  • Toezicht (MKB en GO): 189 schrijven; 226 lezen

  • FIOD: 442 schrijven; 10 lezen

  • CFD: 191 schrijven; 1 lezen

  • IV: 106 schrijven; 2 lezen

  • Bedrijfsvoering: 31 schrijven; 4 lezen

De processen van de directie DF&A zijn hier niet in opgenomen omdat er daar, zoals hierboven al is aangegeven, geen permanente ontheffingen voor data-analyse aanwezig zijn.

Voor wat betreft de schrijfontheffing van de FIOD rechercheurs wil ik het volgende opmerken: de uitwisseling van informatie bij medewerkers van FIOD is voorzien van strikte waarborgen. Immers alle informatie maakt deel uit van een strafrechtelijk onderzoek en wordt beschouwd en behandeld als bewijsmateriaal. Daarbij hebben de rechercheurs alleen toegang tot de informatie van het onderzoek waar zij aan verbonden zijn. Daarnaast is de Wet politiegegevens (WPG) van toepassing die striktere waarborgen vereist met betrekking tot de verwerking van informatie.

Onderzoek gebruik USB-ontheffing

Ik begrijp de vragen over het gebruik van USB’s. USB-ontheffingen zijn direct gekoppeld aan belangrijke werkzaamheden bij zowel het toezicht proces als de bedrijfsvoering. Dit is alleen een alternatief als andere vormen van bestandsuitwisseling niet geschikt zijn. De Belastingdienst is zich daarbij bewust van de risico’s. Het grootste risico op een datalek zit in de toezicht processen, immers wordt daar gewerkt met (persoonsgebonden) informatie die onder de fiscale geheimhouding valt. Ik heb de Belastingdienst gevraagd om onderzoek te doen naar de noodzaak van het gebruik van de USB-ontheffing en te bezien of het noodzakelijk is om het beleid rondom USB ontheffingen aan te scherpen. In de stand van zakenbrief die ik voor het commissiedebat Belastingdienst aan uw Kamer zal sturen, zal ik uw Kamer informeren over de uitkomsten hiervan.

Situatie 2017

Het artikel van NRC trekt onder andere een vergelijking met de situatie in 2017. Toen is uw Kamer, naar aanleiding van vragen van Zembla, meerdere keren geïnformeerd over het gebruik van USB-sticks bij de Broedkamer en de toenmalige directie Data Analytics (D&A). Een van de vragen die uit het artikel opkomt is of, en zo ja waarom de Tweede Kamer in 2017 onvoldoende geïnformeerd is over nieuwe informatie over de hoeveelheid USB-ontheffingen. Ik doe een uiterste poging om alsnog het USB-ontheffing beleid te reconstrueren of te laten reconstrueren. Ik zal uw Kamer hier in september gedetailleerd over informeren.

De Staatssecretaris van Financiën, M.L.A. van Rij


X Noot
1

Uitgewerkt in de handleiding «Extern mailen en Belastingdienst File Transfer» versie 4, september 2018.

Naar boven