Kamerstuk
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Tweede Kamer der Staten-Generaal | 2022-2023 | 31066 nr. 1280 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Tweede Kamer der Staten-Generaal | 2022-2023 | 31066 nr. 1280 |
Vastgesteld 11 september 2023
De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd aan de Minister en Staatssecretarissen van Financiën over
− de brief van 22 mei 2023 inzake het rapport Archiefwet naar aanleiding van RTL berichtgeving (Kamerstuk 29 362, nr. 327),
− de brief van 23 mei 2023 inzake Nadere toelichting USB Belastingdienst gebruik naar aanleiding van NRC artikel (Kamerstuk 33 061, nr. 1236),
− de brief van 1 juni 2023 inzake toezeggingen, gedaan tijdens het debat van 23 mei 2023, over de opvolging van het rapport «Ongekend onrecht» (Kamerstuk 35 510, nr. 132),
− De brief van 5 juni 2023 inzake nazending beslisnota's bij de Kamerbrief «Nadere toelichting USB Belastingdienst gebruik naar aanleiding van NRC artikel».
De vragen en opmerkingen zijn op 21 juni 2023 aan de Minister en Staatssecretarissen van Financiën voorgelegd. Bij brief van 31 augustus 2023 zijn de vragen beantwoord.
De voorzitter van de commissie, Tielen
De adjunct-griffier van de commissie, Meijerink
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de brieven van de bewindspersonen en hebben enkele vragen en opmerkingen. Deze leden hechten veel waarde aan een juiste en adequate informatievoorziening voor de rijksoverheid en specifiek voor het Ministerie van Financiën en de Belastingdienst. Bij de Belastingdienst gaat veel privacygevoelige informatie rond van onze inwoners en ondernemers. Deze leden vinden het van uitermate groot belang dat de Dienst daar zeer zorgvuldig mee omgaat en dat dit niet zomaar op straat komen te liggen of in het criminele circuit terecht komt. Deze leden roepen de bewindspersonen op hier streng op toe te zien.
De leden van de VVD-fractie zien uit naar de volgende brieven over deze casus die nog voor het zomerreces en in september naar de Kamer worden gestuurd. Deze leden zullen dan ook ingaan op deze problematiek.
De leden van de VVD-fractie vragen of andere vormen van data-uitwisseling op dit moment mogelijk zijn zoals online applicaties, dus naast het gebruik van (fysieke) USB-sticks. Bijvoorbeeld, maar niet uitsluitend, Google-docs, WeTransfer of Dropbox? Zijn de systemen van de Belastingdienst zo ingericht dat het gebruik deze applicaties (of door middel van een work-around) niet mogelijk zijn? Graag een reactie. Verder kijken deze leden uit naar het nog te ontvangen onderzoek over het gebruik van de USB-ontheffing.
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met ongenoegen kennisgenomen van de berichtgeving over de eerdere gebreken in de gegevensbescherming bij de Belastingdienst. Deze leden hebben eerder bij het commissiedebat over de Fraudesignaleringsvoorziening op 25 mei 2023 stilgestaan bij onderhavige stukken. Zij geven de Staatssecretaris graag de gelegenheid om nu ook schriftelijk te reageren op hun vragen.
De leden van de D66-fractie vragen hoe de Staatssecretaris ervoor zorgt dat processen waarbij concrete aanwijzingen zijn dat de gegevensbescherming niet geborgd is meteen stop worden gezet. Welke processen heeft de Staatssecretaris het afgelopen jaar om die reden onderbroken? Hoe informeert de Staatssecretaris de Kamer hierover? Hoe zorgt de Staatssecretaris ervoor dat de noodzaak hiervan in de hele Dienst doorleefd wordt?
De leden van de D66-fractie zijn van mening dat een overheid grote verantwoordelijkheid heeft in hoe zij omgaat met de persoonsgegevens van haar burgers. Zij kijken uit naar de aanhoudende inzet van de Staatssecretaris op dit gebied.
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de stukken inzake informatiehuishouding.
Ten aanzien van het rapport Archiefwet merken de leden van de CDA-fractie op dat zij uitzien naar de brief over informatiehuishouding en -voorziening, waarin ook zal worden ingegaan op het rapport Archiefwet. Deze leden lezen verder dat halfjaarlijks aan de Kamer wordt gerapporteerd over het interdepartementale programma Open Overheid, maar dat binnen het Ministerie van Financiën dit programma is gespiegeld met het programma Informatie op Orde 2021–2026, dat de voortgang monitort en maandelijks rapporteert aan de bestuursraad van het Ministerie van Financiën. Zij vragen hoe de rapportage over het departementale programma samenhangt met de halfjaarlijkse rapportage over het interdepartementale programma en of de bestuursraad ook eerder kan rapporteren bij opvallende zaken.
Met betrekking tot de brief met nadere toelichting over USB Belastingdienst vragen de leden van de CDA-fractie allereerst of er geen veiligere methodes voor digitale informatie-uitwisseling zijn, waarbij gebruik van de data ook beperkt of gecontroleerd kan worden, dan met een USB-stick.
Bij de overdracht van gegevens in overige processen lezen de leden van de CDA-fractie dat het management periodiek de noodzaak voor de toegekende ontheffing behoort te beoordelen en deze in te laten trekken als de noodzaak niet langer daar is. Zij vragen wat periodiek betekent en hoe structureel dit wordt toegepast. Ook lezen zij dat toegekende ontheffingen niet meegenomen kunnen worden als de medewerker een andere functie gaat vervullen. Zij vragen of in praktijk wordt gecontroleerd of de medewerker de USB-stick ook inlevert.
Bij het toezicht op ontheffing lezen de leden van de CDA-fractie dat bij de directies van de Belastingdienst een controle uitgevoerd zal worden op de uitgegeven autorisaties om te bezien of die nog allen noodzakelijk zijn. Zij vragen of dit dan niet standaard al periodiek gebeurt, of dat alleen wordt gecontroleerd bij verlenen van de ontheffing. Bij het huidige aantal ontheffingen lezen de leden dat IV en bedrijfsvoering ook een aanzienlijk aantal ontheffingen hebben. Eerder in de brief zagen zij dat deze onderdelen geen toegang hebben tot de (fiscale) gegevens van burgers en bedrijven. Zij vragen welke informatie zij dan wel via de USB-sticks krijgen voor het uitvoeren van hun werkzaamheden.
Vragen en opmerkingen van de leden van de SP-fractie
De leden van de SP-fractie lezen met verbazing in het NRC-artikel van 19 mei jl. dat medewerkers van de Belastingdienst na het onwettig verklaren van de Fraude Signalering Voorziening (FSV)-lijst deze nog steeds gebruiken, en dat informatie uit de FSV-lijsten ook in andere systemen van de Dienst is gevonden. Kunnen de bewindspersonen uitleggen waarom binnen de Belastingdienst niet beseft wordt dat het gebruik van FSV en aanverwante werkwijzen niet meer kunnen? De leden van de SP-fractie vinden het niet uit te leggen dat binnen de Belastingdienst de cultuur heerst dat er gewerkt kan worden met gegevens die leidden tot:
– het vermorzelen van vele gezinnen in het toeslagenschandaal;
– het aftreden van een kabinet;
– de reflectie van rechterlijke macht inclusief de Raad van State;
– een hersteloperatie die inmiddels 7 miljard mag kosten; en
– megaboetes aan de Belastingdienst vanwege het gebruik van verkeerde gegevens, het schenden van de privacy van mensen en discriminerende algoritmen.
Kunnen de bewindspersonen uitleggen waarom binnen de Belastingdienst gedacht wordt dat dit alles niet relevant is voor de werkzaamheden van de Belastingdienst?
De leden van de SP willen graag weten of het werken met FSV-lijsten kan worden gezien als plichtsverzuim om integer te handelen. Zo nee, waarom niet? Zo ja, wat gaat er gebeuren?
De leden van de SP-fractie kunnen vele nodige vragen stellen, maar vragen of de bewindspersonen het belangrijk vinden dat de Belastingdienst wettig handelt. En als dit het geval is, waarom dan nog altijd niet is doorgedrongen dat de handelwijze van de Belastingdienst als het gaat om fraude-opsporing, de omgang met persoonsgegevens enzovoorts in strijd is met het recht. Waarom accepteren de bewindspersonen dat de leiding van de Belastingdienst geen orde op zaken heeft gesteld? Zijn zij het met de leden van de SP-fractie eens dat dit riekt naar werkweigering?
Vragen en opmerkingen van het lid Omtzigt
Het lid Omtzigt wenst een aantal opmerkingen te maken over de brief over de USB-sticks. Dit lid merkt als eerste op dat het probleem door de regering opnieuw wordt gebagatelliseerd. Het artikel «Zo werd de Belastingdienst een veelpleger in het misbruik van persoonsgegevens» (NRC, 19 mei 2023), raakt in de ogen van het lid Omtzigt het hart van de rechtsstaat. De Belastingdienst heeft vergaande bevoegdheden. Het heffen en innen van belasting wordt niet door iedereen als iets leuks gezien en grijpt diep in bij gezinnen en bedrijven. Het is van groot belang dat juist de Belastingdienst zich aan de wet houdt en dat de regering de Kamer nauwgezet informeert als er problemen zijn bij de Belastingdienst. Als ook maar de helft van het artikel klopt, is er op beide punten een groot probleem, merkt dit lid voorzichtig op.
De Algemene Verordening Gegevensbescherming (AVG) wordt vaak belachelijk gemaakt omdat het voetbalclubs en scholen beperkt in het openbaar maken van foto’s en namenlijsten. Maar de AVG is er juist voor bedoeld om de meest gevoelige persoonsgegevens goed te beschermen. En de meest gevoelige persoonsgegevens bevinden zich bij de Belastingdienst en in het elektronische patiëntendossier. Dat zijn de plekken die goed beschermd moeten zijn.
Het lid Omtzigt wil een aantal zeer precieze vragen stellen over het artikel en heeft daar een goede reden voor. In mei 2018, vlak voor het ingaan van de AVG stelde hij als CDA-Kamerlid deze vraag: «Op welk moment zal de Belastingdienst volledig voldoen aan de AVG?». Hij kreeg toen als antwoord: «De Belastingdienst heeft in het traject voor implementatie van de AVG een aantal tekortkomingen in de naleving geconstateerd. In de antwoorden op vraag 5 en 12 worden deze toegelicht. Er zijn al verschillende maatregelen genomen om deze te weg te nemen, maar een aantal maatregelen moet nog uitgevoerd worden. Op het moment dat de nu voorziene maatregelen gerealiseerd zijn, kan gezegd worden dat de Belastingdienst voldoet aan de AVG. Het streven is deze situatie binnen een jaar (gerekend vanaf 25 mei jl.) te bereiken» (Aanhangsel Handelingen, vergaderjaar 2017/2018, nr. 2345).
Sindsdien heeft het lid Omtzigt regelmatig vragen gesteld. Hij constateert nu dat slechts een klein deel van de problemen gemeld is aan de Kamer en dat de deadline voor het voldoen aan de AVG nu verschoven is naar ergens rond 2027. Dat is na deze kabinetsperiode. Overigens is het niet uitgesloten dat die deadline dan weer verder verschuift.
Eigenlijk zou het lid Omtzigt een algemene uitleg willen vragen wat er precies aan de hand is en welke dingen niet gemeld zijn de afgelopen jaren. Dit lid heeft echter weinig vertrouwen dat de bewindspersonen dit spontaan zullen doen. Daarom vraagt hij om te beginnen of de bewindspersonen de volgende documenten aan de Kamer kunnen doen toekomen en van een context kunnen voorzien:
1. De mail die alle topambtenaren van de Belastingdienst kregen op 10 februari 2017 en de mail waarin staat dat: «Uit een afgelopen week uitgevoerde inventarisatie is [...] gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.»; en
2. de memo’s over RAM en «database auto», die de top van Belastingdienst en/of de politieke top bereikt hebben sinds 2015.
USB-sticks
Het lid Omtzigt verzoekt het kabinet heel precies uit te zoeken wat het beleid en wat de uitvoering was van dat beleid tussen 2015 en nu. Hij verwelkomt het aangekondigde onderzoek, maar maakt zich wel zorgen om de onzekerheid die in de tekst staat. Vanaf het allereerste moment wisten de regering en de Belastingdienst welke problemen er waren. In 2017 was de Autoriteit Persoonsgegevens (AP) een onderzoek begonnen met de Broedkamer/Data en Analytics. Er werden toen drie tekortkomingen geconstateerd. In het rapport van 2019, waarin de AP opmerkt dat de problemen min of meer naar tevredenheid zijn opgelost, merkt de AP op:
«De AP heeft in haar eerste onderzoek betreffende drie beveiligingsaspecten geconstateerd dat deze niet in orde waren, te weten:
1. Het ontbreken van de logging van de drie activiteiten:
a. export van data vanuit de brongegevens naar de werkplek van een medewerker;
b. het schrijven van data op een usb-stick; en
c. het opslaan van bijlagen op mobile devices.
2. De controle op de logging. Voor een deel van de logging vond er in zijn geheel geen periodieke controle plaats, omdat deze logging niet was aangesloten op het systeem waar actieve monitoring plaatsvindt. Voor het e-mailverkeer van DF&A dat wel was aangesloten op dit systeem bestond er geen periodieke controle van data die via e-mail buiten de Belastingdienst werd gebracht.
3. Het verwijderen/intrekken van autorisaties van medewerkers of extern ingehuurde medewerkers na uitdiensttreding én het verlenen van te ruime toegangsrechten aan de D&A medewerkers waardoor deze toegang hadden tot data die niet noodzakelijk was om hun werk uit te voeren.»
De Belastingdienst wist dus ontzettend goed aan welke randvoorwaarden voldaan moest worden voor het gebruik van USB-sticks. Die randvoorwaarden zijn streng, omdat er maar één ambtenaar hoeft te zijn die misbruik maakt. Die kan de hele FSV-lijst of andere stukken kopiëren op een USB-stick en extern gebruiken/verkopen. Dit is geen fictie, want de FSV-lijst is meerdere keren voor het gemak gekopieerd (niet om te verkopen) en dat betekent dat hij nog steeds in de Belastingdienst rondzwerft. Het lid Omtzigt heeft dan ook twee vragen: hoe is vanaf 2019 geborgd dat de Belastingdienst aan deze voorwaarden zou voldoen (en is dat wel geborgd op de een of andere manier en zo ja, op welke manier) en in welke mate is er niet voldaan aan de drie voorwaarden? Als er echt duizenden ontheffingen geweest zijn (en nog steeds duizenden zijn) is er sprake van een datalek. Is dat datalek gemeld aan de Autoriteit Persoonsgegevens (AP), vraagt het lid Omtzigt aan het kabinet.
FSV en deelextracties
Op dit onderdeel heeft het lid Omtzigt twee vragen. Er waren zeker 25 extracties of deelextracties van FSV gevonden: zijn die allemaal gewist, en zo ja wanneer? En is al duidelijk waar die data van de deelextracties allemaal terecht gekomen is?
Vergelijkbare systemen
Bij de Belastingdienst bestonden zeker rond de 100 andere lijsten met risicosignalen. In 2020 is toegezegd onderzoek te doen naar die lijsten. Het lid Omtzigt verneemt graag van het kabinet wie welke onderzoeksvraag gaat beantwoorden en wanneer duidelijkheid gegeven zal worden over deze vergelijkbare lijsten.
RAM
Het lid Omtzigt begrijpt uit het NRC dat RAM een uitgebreide database was die binnen de Belastingdienst gebruikt is. Hij verbaast zich erover dat de Kamer daar de afgelopen jaren nooit over geïnformeerd is. Het lid Omtzigt verzoekt het kabinet uitgebreid te beschrijven wat de database was. In dat licht heeft hij de volgende vragen:
1. Van wanneer tot wanneer was de database RAM in gebruik?
2. Van wanneer tot wanneer was de afgeslankte vorm van RAM in gebruik?
3. Welke deel van de data was nog toegankelijk na het uitzetten?
4. Hoeveel mensen hadden toegang tot de database toen hij volledig in gebruik was?
5. Welke gegevens van mensen stonden opgeslagen in RAM (bijvoorbeeld via de deeldatabases zoals kern sofa)?
6. Welke GBEB’s/DPIA’s zijn er gemaakt van RAM? Kan het kabinet die met de Kamer delen?
7. Stond RAM op beveiligde servers?
8. Wie konden data downloaden op USB-sticks, wanneer en is dat via logging bijgehouden?
9. Wie waren de afnemers van RAM?
10. Wil het kabinet de Kamer voorzien van alle andere relevante informatie die gemeld moet worden?
Het komt het lid Omtzigt voor dat RAM een mega datalek is, dat gemeld had moeten worden aan de Kamer. Kan het kabinet aangeven waarom dit niet gedaan is? Meer in zijn algemeenheid wil het lid Omtzigt opmerken dat hij van een nieuwe bestuurscultuur bij het kabinet helemaal niets merkt en hij verzoekt het kabinet volledig schoon schip te maken met het melden hoe het werkelijk zit met databases, zwarte lijsten en meer.
Database auto
Tenslotte op dit punt, ontvangt het lid Omtzigt graag langs dezelfde lijnen als hierboven gevraagd voor de database RAM een volledige beschrijving van de database auto.
Opmerkingen van het lid Omtzigt over «Toezeggingen, gedaan tijdens het debat van 23 mei 2023, over de opvolging van het rapport «Ongekend onrecht»»
Het lid Omtzigt heeft de bijlagen doorgenomen die bij mail A.10.60 horen en heeft daarover een aantal specifieke vragen:
1. Klopt het dat de medewerker die de mail van appendix 10.68 verstuurd heeft geen medewerking heeft gegeven/geweigerd heeft deel te nemen aan het horen? Kan het kabinet dit onderdeel toelichten?
2. Klopt het dat op haar initiatief haar dossier en daarin de mails vernietigd zijn?
3. Zijn deze terug te halen door ICT bij de Belastingdienst? Wil het kabinet dat proberen?
4. Klopt het dat deze medewerker nog op een soortgelijke positie werkzaam is bij de Belastingdienst?
5. Klopt het dat de gesprekken hebben plaatsgevonden in een niet-constructieve/vijandige sfeer over de CAF 11-gedupeerden (in ieder geval niet gericht op een oplossing)?
6. Klopt het dat een deel van de correspondentie van deze medewerkster onder de mail d.d. 5 juni 2019 aan de secretaresse van de toenmalige Staatssecretaris hangt?
Het lid Omtzigt ontvangt ook graag de bijlagen bij A.10.70 om een compleet beeld te krijgen. Zijn beeld hier is echter wel: de ambtenaar, die contact had met mevrouw González Pérez om tot een oplossing te komen in de CAF-11 zaak, beweert herhaaldelijk dat de directeur-generaal Belastingdienst en de Staatssecretaris op de hoogte gehouden zijn van dit dossier. Deze medewerker was lid van het MT Belastingdienst. Echter: deze medewerker heeft niet meegewerkt aan het Deloitte-rapport en heeft documenten gewist. Desondanks is deze medewerker nog steeds werkzaam bij de Belastingdienst. Kan het kabinet aangeven of er fouten zitten in de redenering hierboven?
Is het kabinet bereid om na te gaan wat er klopt van de herhaaldelijke beweringen dat de politieke en ambtelijke top op de hoogte gehouden zijn van elke stap in het CAF 11-dossier?
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de brieven van de bewindspersonen en hebben enkele vragen en opmerkingen.
Vraag 1
De leden van de VVD-fractie vragen of andere vormen van data-uitwisseling op dit moment mogelijk zijn zoals online applicaties, dus naast het gebruik van (fysieke) USB-sticks. Bijvoorbeeld, maar niet uitsluitend, Google-docs, WeTransfer of Dropbox? Zijn de systemen van de Belastingdienst zo ingericht dat het gebruik deze applicaties (of door middel van een work-around) niet mogelijk zijn? Graag een reactie.
Antwoord 1
Toegang tot internet is voor de medewerkers van de Belastingdienst en Dienst Toeslagen gereguleerd op basis van een zogenaamde «ontzeggingslijst». Deze lijst werkt op basis van categorieën van diensten die niet benaderd mogen worden door medewerkers. Voorbeelden van categorieën zijn «online gokdiensten», «wapens en geweld», «erotiek», «bestandsuitwisseling» en «online e-mail». Websites die in één (of meerdere) van die categorieën vallen, geven de foutmelding «U bent niet geautoriseerd om deze website te bezoeken». Om het – al dan niet per ongeluk – lekken van informatie naar buiten de Belastingdienst en Dienst Toeslagen te voorkomen, zijn dus ook de websites geblokkeerd die informatie-uitwisselingsdiensten aanbieden waaronder de in de vraag genoemde voorbeelden. Voor een veilige uitwisseling van gegevens met bedrijven, maakt de Belastingdienst gebruik van de zogenaamde «Belastingdienst Filetransfer» (BFT) Dat is een standaard product van één van de leveranciers van de Belastingdienst waarbij de gegevens binnen het eigen datacenter van de Belastingdienst blijven. Bij gebruik van de BFT wordt gelogd welke bestanden verzonden of ontvangen zijn en aan wie het bestand verzonden is of van wie het bestand ontvangen is. De systemen van de Belastingdienst zijn zo ingericht dat data-uitwisseling via online applicaties niet mogelijk is.
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met ongenoegen kennisgenomen van de berichtgeving over de eerdere gebreken in de gegevensbescherming bij de Belastingdienst.
Vraag 2
De leden van de D66-fractie vragen hoe de Staatssecretaris ervoor zorgt dat processen waarbij concrete aanwijzingen zijn dat de gegevensbescherming niet geborgd is meteen stop worden gezet. Welke processen heeft de Staatssecretaris het afgelopen jaar om die reden onderbroken? Hoe informeert de Staatssecretaris de Kamer hierover? Hoe zorgt de Staatssecretaris ervoor dat de noodzaak hiervan in de hele Dienst doorleefd wordt?
Antwoord 2
De Belastingdienst verwerkt voor de uitvoering van zijn taken persoonsgegevens waarop de Algemene verordening gegevensbescherming (AVG) of de Wet politiegegevens (Wpg) van toepassing kunnen zijn. De Wpg schrijft periodieke audits voor op de naleving van de Wpg, onder andere door de werkgevers van buitengewone opsporingsambtenaren (BOA's). Ook bij de Belastingdienst werken BOA's. Naar aanleiding van de uitkomsten van de uitgevoerde privacy audit bij Bureau Economische Handhaving (BEH) van de directie Grote ondernemingen van de Belastingdienst zijn de medewerkers van BEH volledig ingezet op het uitvoeren van verbetermaatregelen. Hier heb ik uw Kamer op 30 januari 2023 over geïnformeerd1. Door de inzet van deze medewerkers op de verbetermaatregelen zijn deze medewerkers niet werkzaam geweest in de processen.
Daarnaast heb ik in de Stand-van-zakenbrief (Kamerstuk 31 066, nr. 1276), waarmee ik deze beantwoording heb aangeboden, aangegeven dat, naar aanleiding van de privacy audit voor andere onderdelen van de Belastingdienst waar BOA’s werken die onder de Wpg vallen, de Belastingdienst heeft besloten de werkzaamheden van de BOA’s gedeeltelijk op te schorten. In deze periode wordt geen ondersteuning door BOA’s geleverd aan nieuwe strafrechtelijke onderzoeken, bijvoorbeeld met betrekking tot (omissie)delicten uit de AWR of strafbare feiten zoals valsheid in geschrifte ex artikel 225 Wetboek van Strafrecht.
Zoals eerder gemeld aan de Kamer2 zet de Belastingdienst, als er concrete aanwijzingen zijn dat de gegevensbescherming niet goed is geborgd, een verbeterproces in. Dit betekent dat we verwerkingsprocessen en applicaties beoordelen, passende mitigerende maatregelen treffen, en zo nodig een gegevensbeschermingseffectbeoordeling (GEB) uitvoeren en eventuele aanvullende documenten opstellen, deze aan verschillende kwaliteitschecks onderwerpen en zo nodig uiteindelijk voor advies voorleggen aan de Functionaris voor Gegevensbescherming (FG). De Staatssecretarissen van Financiën informeren de Kamer schriftelijk wanneer er processen worden stopgezet doordat de gegevensbescherming niet voldoende geborgd was, en dit gevolgen heeft voor de burger. Zo is uw Kamer bijvoorbeeld op 2 maart 2020 geïnformeerd3 over de Fraude Signalering Voorziening (FSV) die op 28 februari 2020 stil is gelegd.
Daarnaast worden, zoals benoemd in de Stand-van-zakenbrief alle 791 bedrijfsprocessen (inclusief onderliggende applicaties) getoetst aan compliantie op AVG, Baseline Informatiebeveiliging Overheid (BIO) en de (nieuwe) Archiefwet. Via de Stand-van-zakenbrieven zal ik u op de hoogte houden van de voortgang.
Voor een goede omgang met persoonsgegevens is het essentieel dat medewerkers op de hoogte zijn van de wet- en regelgeving, het belang van gegevensbescherming onderschrijven en de middelen hebben om hun werk op een AVG- en Wpg-conforme manier uit te voeren. Daarom bevat het programma Herstellen Verbeteren en Borgen (HVB) een aantal trajecten om het bewustzijn over gegevensbescherming te versterken. Zo is meer informatie beschikbaar gesteld op het intranet en kunnen medewerkers met een «online security and awareness game» hun kennis over gegevensbescherming vergroten. Inmiddels heeft ruim 85% van de medewerkers dit gedaan. Komende jaren zal regelmatig een nieuwe versie van de game worden ontwikkeld die door alle medewerkers wordt doorlopen. Ook wordt privacy en gegevensbescherming in 2023 een vast, verplicht onderdeel van het opleidingsprogramma van nieuwe medewerkers in de uitvoering. Hierdoor zorgt de Belastingdienst, dat de noodzaak van gegevensbescherming door de hele Belastingdienst wordt doorleefd.
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de stukken inzake informatiehuishouding.
Vraag 3
Ten aanzien van het rapport Archiefwet merken de leden van de CDA-fractie op dat zij uitzien naar de brief over informatiehuishouding en -voorziening, waarin ook zal worden ingegaan op het rapport Archiefwet. Deze leden lezen verder dat halfjaarlijks aan de Kamer wordt gerapporteerd over het interdepartementale programma Open Overheid, maar dat binnen het Ministerie van Financiën dit programma is gespiegeld met het programma Informatie op Orde 2021–2026, dat de voortgang monitort en maandelijks rapporteert aan de bestuursraad van het Ministerie van Financiën. Zij vragen hoe de rapportage over het departementale programma samenhangt met de halfjaarlijkse rapportage over het interdepartementale programma en of de bestuursraad ook eerder kan rapporteren bij opvallende zaken.
Antwoord 3
Uw Kamer is met de brief van 5 juli 2023 geïnformeerd4 over de stand van zaken van de (nieuwe) Archiefwet, ook was hier het eerder gepubliceerde adviesrapport over het voldoen aan de huidige en de nieuwe archiefwet als bijlage toegevoegd. Eveneens is ingegaan op de relatie tussen het interdepartementale programma Open Overheid bij het Ministerie van BZK en het departementale programma Informatie Op Orde bij het Ministerie van Financiën.
De halfjaarlijkse voortgangsrapportage programma Open Overheid is opgebouwd uit de maandelijkse voortgangsrapportages uit het departementale programma Informatie Op Orde. Deze rapportages bestaan uit dezelfde (inhoudelijke) opbouw. Iedere maand wordt over elk verbeterproject van het Ministerie van Financiën gerapporteerd en op basis hiervan worden de rapportages van de Belastingdienst, de Dienst Toeslagen en de Douane gemaakt. Per twee maanden worden deze samengevoegd voor het gehele Ministerie van Financiën, vervolgens besproken in de bestuursraad en daarna aangeboden aan het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Het Ministerie van BZK voegt dit per halfjaar voor de gehele overheid samen en rapporteert hierover aan uw Kamer. In de praktijk dient de meest actuele rapportage van het Ministerie van Financiën, dus de voortgangsrapportage tot en met juni en de voortgangsrapportage tot en met december, als basis voor de halfjaarlijkse rapportages vanuit het Ministerie van BZK.
Vraag 4
Met betrekking tot de brief met nadere toelichting over USB Belastingdienst vragen de leden van de CDA-fractie allereerst of er geen veiligere methodes voor digitale informatie-uitwisseling zijn, waarbij gebruik van de data ook beperkt of gecontroleerd kan worden, dan met een USB-stick.
Antwoord 4
Als Staatssecretaris van Financiën -Fiscaliteit en Belastingdienst- heb ik in mijn brief aan uw Kamer van 23 mei 20235 aangeven waarvoor een USB-stick gebruikt wordt binnen de processen van de Belastingdienst. In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven, is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer (zie antwoord 1) en als dat niet mogelijk is, gebruik te maken van e-mail6.
Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht moet komen of de organisatie waar de informatie ligt), niet aangesloten is op het internet. Voorbeeld daarvan is een kassasysteem dat alleen een USB-poort heeft om de informatie die in de kassa opgeslagen is, uit te kunnen lezen. Juist om de veiligheid van het gebruik van een USB-stick te verhogen, heeft de Belastingdienst als maatregel ingevoerd dat informatie die op een USB-stick geplaatst wordt, automatisch versleuteld wordt. Bij onverhoopt verlies van de USB-stick kan een eventuele vinder niets anders met deze USB-stick dan opnieuw in te richten (het zogenaamde «formatteren»). Daarbij gaat de originele inhoud van de USB-stick verloren.
Vraag 5
Bij de overdracht van gegevens in overige processen lezen de leden van de CDA-fractie dat het management periodiek de noodzaak voor de toegekende ontheffing behoort te beoordelen en deze in te laten trekken als de noodzaak niet langer daar is. Zij vragen wat periodiek betekent en hoe structureel dit wordt toegepast.
Antwoord 5
Binnen de Belastingdienst wordt een USB-ontheffing standaard voor de duur van één jaar verstrekt en in de systemen geautoriseerd. Daarna moet de ontheffing opnieuw aangevraagd worden. Dat is het moment voor de leidinggevende om te beoordelen of de ontheffing nog noodzakelijk is. Deze standaardtermijn is door de manager bij het toekennen van de autorisatie wel in te korten tot een kortere periode, maar niet te verlengen buiten de één jaar. Medio september 2023 voert de Belastingdienst een aangescherpt USB-ontheffingen beleid in. De aanscherping ziet met name op een concretere beschrijving van de taken en verantwoordelijkheden van de manager en het toezicht op de juiste uitvoering van de werkzaamheden door de Business Security Officer van de directie in de vorm van een werkinstructie.
Vraag 6
Ook lezen zij dat toegekende ontheffingen niet meegenomen kunnen worden als de medewerker een andere functie gaat vervullen. Zij vragen of in praktijk wordt gecontroleerd of de medewerker de USB-stick ook inlevert.
Antwoord 6
Een uitgegeven USB-stick staat geregistreerd op naam van de Belastingdienstmedewerker. De manager moet een administratie bijhouden over de aan een medewerker uitgereikte bedrijfsmiddelen waaronder de interne USB-sticks. Als een medewerker een dienstonderdeel verlaat of een andere functie krijgt waarbij de USB-ontheffing niet meer nodig is, moet de manager controleren of er nog bedrijfsmiddelen uitgereikt zijn aan de medewerker en wordt de USB-ontheffing automatisch ingetrokken. Deze bedrijfsmiddelen, waaronder de interne USB-stick, moeten door de medewerker ingeleverd worden. De Business Security Officer van de directie ziet toe op de juiste uitvoering van de werkzaamheden conform dit proces.
Vraag 7
Bij het toezicht op ontheffing lezen de leden van de CDA-fractie dat bij de directies van de Belastingdienst een controle uitgevoerd zal worden op de uitgegeven autorisaties om te bezien of die nog allen noodzakelijk zijn. Zij vragen of dit dan niet standaard al periodiek gebeurt, of dat alleen wordt gecontroleerd bij verlenen van de ontheffing.
Antwoord 7
Op mijn verzoek, naar aanleiding van een toezegging aan uw Kamer, onderzoekt de Belastingdienst of het werkproces optimaal ingericht is.7 De controle waar u in de vraag naar verwijst, wordt momenteel bij de directies uitgevoerd en is aanvullend op de jaarlijkse controle. Bij de Belastingdienst gehanteerde jaarlijkse controle, controleert de manager de aanvraag van een individuele medewerker om een ontheffing te krijgen op het gebruik van de USB-poort. En ook bij een eventuele verlenging van de aanvraag, moet de manager opnieuw nut en noodzaak beoordelen.
Vraag 8
Bij het huidige aantal ontheffingen lezen de leden dat IV en bedrijfsvoering ook een aanzienlijk aantal ontheffingen hebben. Eerder in de brief zagen zij dat deze onderdelen geen toegang hebben tot de (fiscale) gegevens van burgers en bedrijven. Zij vragen welke informatie zij dan wel via de USB-sticks krijgen voor het uitvoeren van hun werkzaamheden.
Antwoord 8
In de brief van 23 mei 20238 aan uw Kamer, zijn voorbeelden aangehaald van het gebruik van de USB-poort door anderen dan medewerkers in het toezicht. Softwareleveranciers leveren zogenaamde patches van hun software uit op USB-sticks. Daarbij wordt de USB-stick ook gebruikt voor het overzetten of ontvangen van tekeningen van gebouwen met gewenste aanpassingen naar het Rijksvastgoedbedrijf. Een ander inzetgebied is voor het maken van een veiligheidskopie van systeeminstellingen. Deze veiligheidskopie kan dan in een fysieke kluis opgeslagen worden zodat de kopie niet vatbaar is voor bijvoorbeeld per ongeluk verwijderen van de gegevens. In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven, is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer (zie antwoord 1) en als dat niet mogelijk is, gebruik te maken van e-mail. Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht moet komen of de organisatie waar de informatie ligt) niet aangesloten is op het internet (zoals bijvoorbeeld bepaalde kassasystemen). In dat geval mogen medewerkers werkzaam in het toezichtproces, gebruik maken van een USB-apparaat voor het overdragen van de informatie. Zie ook het antwoord op vraag 1 van de leden van de VVD.
Vragen en opmerkingen van de leden van de SP-fractie
Vraag 9
De leden van de SP-fractie lezen met verbazing in het NRC-artikel van 19 mei jl. dat medewerkers van de Belastingdienst na het onwettig verklaren van de Fraude Signalering Voorziening (FSV)-lijst deze nog steeds gebruiken, en dat informatie uit de FSV-lijsten ook in andere systemen van de Dienst is gevonden. Kunnen de bewindspersonen uitleggen waarom binnen de Belastingdienst niet beseft wordt dat het gebruik van FSV en aanverwante werkwijzen niet meer kunnen?
Antwoord 9
De voorgaande Staatssecretaris van Financiën -Fiscaliteit en Belastingdienst- heeft uw Kamer geïnformeerd over het stilleggen van de FSV-applicatie op 27 februari 2020.9 Deze beslissing om te stoppen met de FSV had veel eerder genomen moeten worden. Zoals eerder met uw Kamer is gedeeld10, heeft er een inventarisatie plaatsgevonden om zeker te stellen dat de Belastingdienst, Dienst Toeslagen en Douane geen gevoelige persoonsgegevens verwerken zonder deugdelijke wettelijke grondslag. Er zijn destijds ook meerdere maatregelen genomen om de problematiek rondom fraudebestrijding door de Belastingdienst te verbeteren11.
FSV wordt niet meer gebruikt door de Belastingdienst voor het toezicht. De brondata uit FSV zijn na stopzetting veiliggesteld in de FSV kluis. De toegang hiertoe is afgeschermd en in beheer bij Buitengewone Zaken Blauw (de programmadirectie belast met de afhandeling van FSV problematiek). In navolging op het stopzetten van FSV in februari 2020 is het voor Belastingdienst-medewerkers niet meer mogelijk om bewerkingen door te voeren in FSV. Er is alleen toegang tot gegevens in FSV voor een zeer beperkt aantal medewerkers die in het kader van de hersteloperatie van FSV en UHT toegang nodig hebben om uitvoering te geven aan het beleid om personen die in FSV geregistreerd waren te informeren, tegemoet te komen, herstel te bieden of schade te vergoeden.
De gegevens uit FSV worden enkel gebruikt voor: het doen van onderzoeken naar FSV (onder andere de Onderzoeken van de AP, KPMG en PwC); het informeren van burgers (Moties van het lid Marijnissen12); reageren op verzoeken van burgers om informatie of beroep op rechten van betrokkene (onder andere het. inzagerecht); het behandelen van klachten en het behandelen verzoeken om schadevergoeding (herstel). Ook binnen de Catshuisregeling vindt er FSV-gebruik plaats tijdens de integrale beoordeling. Dit is om aan te tonen of er wel of geen vooringenomenheid van overheidsinstanties plaats had gevonden en om burgers mogelijk alsnog tegemoetkoming toe te kennen. Inzage en gebruik worden gelogd en gecontroleerd.
PwC rapporteerde eerder13 dat het exports van FSV had aangetroffen op de lokale netwerkschijven wat actief gebruik indiceert. De mate van raadpleging van deze exports is volgens PwC niet vastgelegd en daarmee niet te kwantificeren. Deze exports werden veiliggesteld en konden niet meer gebruikt worden. NRC wees in haar artikel van 19 mei 2023 desondanks op het gebruik van gegevens uit FSV door de Belastingdienst op basis van exports. Naar aanleiding hiervan heeft de Belastingdienst nogmaals zijn netwerkschijven en samenwerkingsruimten op basis van zoektermen doorzocht om herkenbare kopieën van FSV en de voorloper daarvan, Dagboek PIT, te identificeren en veilig te stellen in de FSV kluis. Deze analyse vindt op dit moment plaats. De uitkomsten hiervan worden met uw Kamer gedeeld zodra de analyses zijn afgerond, naar verwachting zal dit meegenomen worden bij de aanbieding van het volgende Jaarplan Belastingdienst.
Over de gegevensverstrekking van FSV-informatie vanuit mailboxen aan derden bent u voor de laatste maal geïnformeerd met een brief van 16 mei 202314. Daarin is opgenomen dat geen sprake is van grootschalige gegevensverstrekking aan andere organisaties van FSV-informatie vanuit mailboxen. In verstrekkingen van informatie uit of over FSV kwamen 510 personen voor. Organisaties die een dergelijke verstrekking hebben ontvangen hebben onderzocht of zij hieraan gevolgen hebben verbonden voor de personen die in deze verstrekkingen voorkwamen. Zij hebben geen gevolgen kunnen vaststellen.
Binnen de Belastingdienst is het onbetwist dat het gebruik van gegevens uit FSV niet mag en niet hoort. Daarbij wordt opgemerkt dat het voor een medewerker niet altijd duidelijk is wat de oorsprong van bepaalde data in lijsten of systemen is. Dit benadrukt nogmaals het belang om op organisatieniveau te regelen dat de Belastingdienst AVG-compliant handelt. Dit is een meerjarig traject als gevolg van zowel het grote aantal als de complexiteit van de processen. In de tussentijd kan, ondanks de genomen maatregelen, niet worden uitgesloten dat andere lijsten of (data in) applicaties worden ontdekt die vraagtekens oproepen. Voor dergelijke situaties waarin nader onderzoek nodig is of een lijst of bepaalde data gevolgen heeft gehad voor burgers of bedrijven, wordt een afwegingskader ontwikkeld. In de Stand-van-zakenbrief is dit verder toegelicht.
Vraag 10
De leden van de SP-fractie vinden het niet uit te leggen dat binnen de Belastingdienst de cultuur heerst dat er gewerkt kan worden met gegevens die leidden tot:
– het vermorzelen van vele gezinnen in het toeslagenschandaal;
– het aftreden van een kabinet;
– de reflectie van rechterlijke macht inclusief de Raad van State;
– een hersteloperatie die inmiddels 7 miljard mag kosten; en
– megaboetes aan de Belastingdienst vanwege het gebruik van verkeerde gegevens, het schenden van de privacy van mensen en discriminerende algoritmen.
Kunnen de bewindspersonen uitleggen waarom binnen de Belastingdienst gedacht wordt dat dit alles niet relevant is voor de werkzaamheden van de Belastingdienst?
Antwoord 10
Wat in het verleden is gebeurd, mag nooit weer gebeuren en herhaling moet voorkomen worden. Daarvoor zijn vele diverse maatregelen genomen. Zo wordt ingezet op signaalmanagement om te borgen dat signalen van onregelmatigheden binnen de organisatie doorlopend worden verzameld, geclassificeerd en besproken binnen de organisatie. Een open cultuur binnen de organisatie moet zorgen dat alle signalen boven tafel komen en worden besproken. Onze medewerkers nemen daarom deel aan ontwikkeltraject waarin het belang van reflectie en openheid bij ingewikkelde dilemma’s centraal staat. Er is daarbij veel aandacht voor het voorkomen van institutioneel racisme en onbewuste vooroordelen. Ik verwijs u naar de Stand-van-zakenbrief voor een overzicht van de voortgang van de genomen maatregelen met betrekking tot de aanpak van institutioneel racisme.
Verbetering van de informatiehuishouding is een belangrijke maar omvangrijke opgave. Het is belangrijk om te benoemen dat de Belastingdienst een grote organisatie is en dat verbeteringen binnen de organisatie veel tijd en energie vergen. Belastingdienst en Dienst Toeslagen geven ieder specifiek invulling aan het rijksbrede programma «Open op Orde» met een eigen verbeterprogramma over alle facetten van de informatiehuishouding. Concrete acties binnen dit programma zien o.a. op: personele versterking van de organisatie, bewustwording en training van medewerkers op het gebied van informatiehuishouding en archivering, de implementatie van de wet open overheid (passieve en actieve openbaarmaking).
De voortgang van de diverse verbeteringsacties worden gemonitord. De informatiehuishouding wordt met hoge regelmaat besproken op alle niveaus binnen Belastingdienst/Dienst Toeslagen en het Ministerie van Financiën, tot aan de Bestuursraad. Beleid en uitvoering spreken elkaar wekelijks over gezamenlijke acties, signalen en knelpunten.
Bij Dienst Toeslagen geeft de Stand van de uitvoering direct inzicht in de signalen en knelpunten waar medewerkers in de uitvoering tegenaan lopen. De Tweede Kamer wordt op diverse wijze geïnformeerd over alle verbeteracties. De Inspectie belastingdienst, toeslagen en douane is speciaal in het leven geroepen om meer onafhankelijk toezicht te houden. Verschillende andere instanties kijken naar onderdelen van de verbetering, zoals de Commissie sociale veiligheid en integriteit Financiën en de Inspectie Overheidsinformatie & Erfgoed.
Vraag 11
De leden van de SP willen graag weten of het werken met FSV-lijsten kan worden gezien als plichtsverzuim om integer te handelen. Zo nee, waarom niet? Zo ja, wat gaat er gebeuren?
Antwoord 11
De applicatie FSV werd gebruikt voor het registreren van risicosignalen. Uit onderzoek bleek dat het gebruik van dit systeem op verschillende punten niet voldeed aan de AVG. Ik heb geen aanwijzing om te veronderstellen dat dit bij de individuele medewerker die in het toezicht werkt kenbaar was of kon zijn. Bij het management kon op basis van een uitgevoerde gegevensbeschermingseffectbeoordeling wel bekend zijn dat het gebruik van FSV risico’s met zich meebracht. Daar zijn destijds acties voor ondernomen, zoals het intrekken van autorisaties voor toegang tot FSV en het schonen van FSV15.
Vraag 12
De leden van de SP-fractie kunnen vele nodige vragen stellen, maar vragen of de bewindspersonen het belangrijk vinden dat de Belastingdienst wettig handelt. En als dit het geval is, waarom dan nog altijd niet is doorgedrongen dat de handelwijze van de Belastingdienst als het gaat om fraude-opsporing, de omgang met persoonsgegevens enzovoorts in strijd is met het recht. Waarom accepteren de bewindspersonen dat de leiding van de Belastingdienst geen orde op zaken heeft gesteld? Zijn zij het met de leden van de SP-fractie eens dat dit riekt naar werkweigering?
Antwoord 12
Het feit dat de Belastingdienst niet voldoet aan wetgeving gericht op het borgen van de privacy van burgers, en openheid en transparantie van de overheid vind ik ernstig. In 2020 is de Belastingdienst gestart met het programma Herstellen, Verbeteren en Borgen (HVB)16. Sinds maart 2020 hebben mijn voorgangers zich ingezet om problemen op te lossen in de wijze waarop de Belastingdienst is omgegaan met (persoons)registraties, risicomodellen en het gebruik van persoonsgegevens zoals nationaliteit. En daar zijn wij mee doorgegaan. Het doel is dat zowel de continuïteit als de legitimiteit van de uitvoering van de taken van de Belastingdienst is geborgd. Zoals destijds aangekondigd is dit een meerjarig traject als gevolg van zowel het grote aantal als de complexiteit van de processen.
Naar aanleiding van vragen over de AVG-compliantie bij de Belastingdienst tijdens het commissiedebat van 25 mei over FSV heb ik aangegeven de mogelijkheden te onderzoeken om dit proces te gaan versnellen. Via deze Stand-van-zakenbrief geef ik u hierover een update.
Vragen en opmerkingen van het lid Omtzigt
Vraag 13
Eigenlijk zou het lid Omtzigt een algemene uitleg willen vragen wat er precies aan de hand is en welke dingen niet gemeld zijn de afgelopen jaren. Dit lid heeft echter weinig vertrouwen dat de bewindspersonen dit spontaan zullen doen. Daarom vraagt hij om te beginnen of de bewindspersonen de volgende documenten aan de Kamer kunnen doen toekomen en van een context kunnen voorzien:
3. De mail die alle topambtenaren van de Belastingdienst kregen op 10 februari 2017 en de mail waarin staat dat: «Uit een afgelopen week uitgevoerde inventarisatie is [...] gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.»; en
4. de memo’s over RAM en «database auto», die de top van Belastingdienst en/of de politieke top bereikt hebben sinds 2015.
Antwoord 13
Momenteel vindt van deze twee punten een inventarisatie plaats. Zodra deze is afgerond wordt de Kamer geïnformeerd. Daarnaast, zoals ook wordt vermeld in de bijgestuurde Stand-van-zakenbrief, is er besloten nader onderzoek te doen naar RAM.
Vraag 14
In 2017 was de Autoriteit Persoonsgegevens (AP) een onderzoek begonnen met de Broedkamer/Data en Analytics. Er werden toen drie tekortkomingen geconstateerd. In het rapport van 2019, waarin de AP opmerkt dat de problemen min of meer naar tevredenheid zijn opgelost, merkt de AP op:
«De AP heeft in haar eerste onderzoek betreffende drie beveiligingsaspecten geconstateerd dat deze niet in orde waren, te weten:
4. Het ontbreken van de logging van de drie activiteiten:
a. export van data vanuit de brongegevens naar de werkplek van een medewerker;
b. het schrijven van data op een usb-stick; en
c. het opslaan van bijlagen op mobile devices.
5. De controle op de logging. Voor een deel van de logging vond er in zijn geheel geen periodieke controle plaats, omdat deze logging niet was aangesloten op het systeem waar actieve monitoring plaatsvindt. Voor het e-mailverkeer van DF&A dat wel was aangesloten op dit systeem bestond er geen periodieke controle van data die via e-mail buiten de Belastingdienst werd gebracht.
6. Het verwijderen/intrekken van autorisaties van medewerkers of extern ingehuurde medewerkers na uitdiensttreding én het verlenen van te ruime toegangsrechten aan de D&A medewerkers waardoor deze toegang hadden tot data die niet noodzakelijk was om hun werk uit te voeren.»
De Belastingdienst wist dus ontzettend goed aan welke randvoorwaarden voldaan moest worden voor het gebruik van USB-sticks. Die randvoorwaarden zijn streng, omdat er maar één ambtenaar hoeft te zijn die misbruik maakt. Die kan de hele FSV-lijst of andere stukken kopiëren op een USB-stick en extern gebruiken/verkopen. Dit is geen fictie, want de FSV-lijst is meerdere keren voor het gemak gekopieerd (niet om te verkopen) en dat betekent dat hij nog steeds in de Belastingdienst rondzwerft.
Het lid Omtzigt heeft dan ook twee vragen: hoe is vanaf 2019 geborgd dat de Belastingdienst aan deze voorwaarden zou voldoen (en is dat wel geborgd op de een of andere manier en zo ja, op welke manier) en in welke mate is er niet voldaan aan de drie voorwaarden?
Antwoord 14
Het treffen van maatregelen ter bescherming van informatie, is een continu proces en vindt plaats op basis van risicoanalyses en het voldoen aan betreffende regelgeving. De aanbevelingen van de AP uit 2017 zijn toegepast op de plekken waar medewerkers toegang hebben tot verzamelingen van bronbestanden voor het uitvoeren van data-analyses. In de context van de Belastingdienst zijn dat de data-analisten van DF&A. De door de AP beschreven maatregelen betreffen dan ook uitsluitend het scenario van toegang tot processen waarbij medewerkers vanuit hun opgedragen taak, toegang hebben tot brongegevens, zoals bij de Broedkamer het geval was. De maatregelen die de Belastingdienst getroffen heeft om het risico op verkeerd gebruik van de USB-ontheffing te mitigeren, zijn dan ook specifiek op de aanbevelingen gericht. In het rapport uit 2019 heeft de AP geconcludeerd dat de getroffen verbetermaatregelen dusdanig deze risico’s verminderen dat de eerder door de AP geconstateerde problemen niet langer voortduren.
Vanaf 2019 heeft de Belastingdienst verder gewerkt aan een analyseomgeving met nog verder gaande maatregelen. In deze omgeving beschikken medewerkers niet meer over een fysieke werkplek om analyses uit te voeren, maar vinden de analyses plaats in een zogenaamde virtuele werkplek. De fysieke werkplek dient in dat geval als «beeldscherm en toetsenbord op afstand». Dataverkeer tussen deze virtuele werkplek en de fysieke werkplek is niet mogelijk. De USB-poort op de fysieke werkplek is daarbij ook niet toegankelijk voor de virtuele werkplek. Alle handelingen op de virtuele werkplek worden actief gelogd naar een centrale logvoorziening.
Vraag 15
Als er echt duizenden ontheffingen geweest zijn (en nog steeds duizenden zijn) is er sprake van een datalek. Is dat datalek gemeld aan de Autoriteit Persoonsgegevens (AP), vraagt het lid Omtzigt aan het kabinet.
Antwoord 15
Bij een datalek is er sprake van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, of zonder dat dit wettelijk is toegestaan. De medewerkers die beschikten over een ontheffing om gebruik te maken van een USB-stick, waren daarvoor door hun teammanager geautoriseerd vanwege het uitvoeren van een functie. Het aanwezig zijn van een groot aantal ontheffingen voor gebruik van een USB-stick is daarom geen datalek.
Vraag 16
Er waren zeker 25 extracties of deelextracties van FSV gevonden: zijn die allemaal gewist, en zo ja wanneer? En is al duidelijk waar die data van de deelextracties allemaal terecht gekomen is?
Antwoord 16
In de brief van 3 december 202117 aan uw Kamer stond dat er 25 lokaal opgeslagen (deel)extracties van FSV gevonden zijn op netwerkschijven van Toeslagen. De netwerkschijven zijn geschoond en de (deel)extracties zijn veiliggesteld en opgeslagen in de datakluis. Die gegevens zijn niet meer beschikbaar voor de organisatie, enkel nog beschikbaar voor onderzoek. Alle FSV-kopieën die zijn gevonden zijn opgeslagen in de kluis en niet meer beschikbaar voor Dienst Toeslagen. De laatste keer dat gegevens in de kluis zijn opgeslagen (inclusief FSV kopie) is geweest op 15 juni 2022. Ook wordt gemeld dat niet uit te sluiten is dat individuele FSV-registraties op persoonlijke schijven van medewerkers zijn opgeslagen en dat ondanks meerdere zoekacties deze mogelijk niet allemaal zijn veiliggesteld.
In reactie op de inbreng van de SP-fractie in antwoord 9 wordt toegelicht dat nogmaals een zoekactie wordt gedaan naar herkenbare kopieën van FSV en de voorloper daarvan, Dagboek PIT op netwerkschijven en samenwerkingsruimten van de Belastingdienst. Deze analyse vindt op dit moment plaats. De uitkomsten hiervan worden met uw Kamer gedeeld zodra de analyses zijn afgerond.
Vraag 17
Bij de Belastingdienst bestonden zeker rond de 100 andere lijsten met risicosignalen. In 2020 is toegezegd onderzoek te doen naar die lijsten. Het lid Omtzigt verneemt graag van het kabinet wie welke onderzoeksvraag gaat beantwoorden en wanneer duidelijkheid gegeven zal worden over deze vergelijkbare lijsten.
Antwoord 17
In oktober 2020 is bij de medewerkers van de Belastingdienst een inventarisatie gedaan naar lijsten met nationaliteit en/of risico- of fraudesignalen in mailboxen, persoonlijke omgevingen of (lokale) samenwerkingsgebieden. Medewerkers hebben meer dan tweehonderd bestanden aangeleverd. Een toetsingscommissie heeft de geleverde informatie beoordeeld. Ze heeft de (119) bestanden die daadwerkelijk aan de criteria van de uitvraag voldeden, voorzien van een inschatting van het risico dat de lijst gevolgen heeft gehad voor burgers.18 39 lijsten hebben het oordeel «hoog risico» gekregen, waarmee nog niet vaststaat of er daadwerkelijk onterechte nadelige gevolgen voor burgers zijn geweest.
Op 30 mei 2022 zijn lijsten met risico- of fraudesignalen gerapporteerd aan de Tweede Kamer.19 Hierin is toegezegd te onderzoeken of burgers onterechte gevolgen hebben gehad van deze lijsten. Hierbij speelt mee dat primair de aandacht gericht is op FSV. In het onderzoek zal worden beoordeeld wat het doel van de lijst is, welk type gegevens gebruikt zijn en hoeveel belastingplichtigen op de lijst staan. Omdat het onderzoek nog niet afgerond is, kan nog niet geconcludeerd worden wat dit betekent per lijst. Op basis van de uitkomsten van het onderzoek, zal bepaald worden of een passende oplossing nodig is en wat die is. Zoals in de Kamerbrief van 17 mei 202320 over FSV gerelateerde onderwerpen gemeld is, is het onderzoek naar andere lijsten met risicosignalen onlangs gestart. Het is op dit moment nog te vroeg om hier nader op in te gaan. In het eerste kwartaal van 2024 zijn de resultaten naar verwachting beschikbaar.
Vraag 18
Het lid Omtzigt verzoekt het kabinet uitgebreid te beschrijven wat de database was. In dat licht heeft hij de volgende vragen:
1. Van wanneer tot wanneer was de database RAM in gebruik?
2. Van wanneer tot wanneer was de afgeslankte vorm van RAM in gebruik?
3. Welke deel van de data was nog toegankelijk na het uitzetten?
4. Hoeveel mensen hadden toegang tot de database toen hij volledig in gebruik was?
5. Welke gegevens van mensen stonden opgeslagen in RAM (bijvoorbeeld via de deeldatabases zoals kern sofa)?
6. Welke GEB’s/DPIA’s zijn er gemaakt van RAM? Kan het kabinet die met de Kamer delen?
7. Stond RAM op beveiligde servers?
8. Wie konden data downloaden op USB-sticks, wanneer en is dat via logging bijgehouden?
9. Wie waren de afnemers van RAM?
10. Wil het kabinet de Kamer voorzien van alle andere relevante informatie die gemeld moet worden?
Het komt het lid Omtzigt voor dat RAM een mega datalek is, dat gemeld had moeten worden aan de Kamer. Kan het kabinet aangeven waarom dit niet gedaan is? Meer in zijn algemeenheid wil het lid Omtzigt opmerken dat hij van een nieuwe bestuurscultuur bij het kabinet helemaal niets merkt en hij verzoekt het kabinet volledig schoon schip te maken met het melden hoe het werkelijk zit met databases, zwarte lijsten en meer.
Antwoord 18
Zoals in de bijgestuurde Stand-van-zakenbrief is aangegeven, is besloten RAM te onderzoeken en worden bovenstaande vragen meegenomen in dit onderzoek. Via de Stand-van-zakenbrieven zal uw Kamer hierover op de hoogte worden gehouden. Ik stuur uw Kamer alvast de GEB toe. Pas na het onderzoek kunnen er conclusies getrokken worden over RAM.
Uit de GEB ontstaat het beeld dat Toeslagen, als toenmalig onderdeel van de Belastingdienst, een van de gebruikers van RAM was. Uw Kamer is echter bij de beantwoording van vragen van het lid Azarkan erover geïnformeerd dat RAM een systeem is van de Belastingdienst dat niet door Toeslagen wordt gebruikt.21 Het mogelijke verband tussen RAM en Toeslagen wordt betrokken in het bovengenoemde onderzoek.
Vraag 19
Tenslotte op dit punt, ontvangt het lid Omtzigt graag langs dezelfde lijnen als hierboven gevraagd voor de database RAM een volledige beschrijving van de database auto.
Antwoord 19
Ik zal hieronder ingaan op uw vragen en daarmee tevens uw verzoek afdoen van een nadere toelichting databank auto zoals toegezegd in aan de Commissie Financiën op 22 juni jl. Databank Auto (hierna: DBA) is als pilot gebouwd in 2010. De eerste productieversie is gerealiseerd in 2012 en stond op beveiligde servers. In 2014 is er een PIA opgemaakt. Naar aanleiding van deze PIA is onder andere de informatiebeveiliging van DBA verbeterd en zijn er een tal van bronbestanden uit de systemen verwijderd. Daarnaast is de exporteer-knop uit de werkomgeving verwijderd en zijn autorisaties aangescherpt.
Het MT CAP heeft Databank Auto stilgelegd op 1 juli 2020 vanwege onvoldoende AVG-doel-binding. Uw Kamer is meermaals geïnformeerd over het bestaan van en het stilleggen van DBA via onder andere de rapportages over het programma Herstellen, Verbeteren en Borgen22. Sindsdien is er geen afgeslankte vorm van DBA in gebruik geweest. De data uit de databank zijn op een aparte omgeving gezet waar twee interne en één externe (inhuur) beheerder toegang toe hebben om data te verversen en aanpassingen te doen met betrekking tot de vormgeving van de tabellen in de database. Deze data wordt ververst voor een nieuwe applicatie waarvan een GEB en verwerkingsregister is opgezet die de FG heeft ingezien. Deze applicatie is AVG-bindend bevonden.
Zoals ik ook heb gemeld in antwoord 2 wordt er, indien er concrete aanwijzingen zijn dat de gegevensbescherming niet goed is geborgd, een verbeterproces ingezet binnen de Belastingdienst.23 Dit betekent dat we verwerkingsprocessen en applicaties beoordelen, passende mitigerende maatregelen treffen, en zo nodig een gegevensbeschermingseffectbeoordeling (GEB) uitvoeren en eventuele aanvullende documenten opstellen, deze aan verschillende kwaliteitschecks onderwerpen en zo nodig uiteindelijk voor advies voorleggen aan de Functionaris voor Gegevensbescherming (FG).
Middels de DBA kon informatie worden verstrekt aan geautoriseerde medewerkers van de directies Centrale Administratieve Processen (CAP), Grote Ondernemingen (GO), Midden- en Klein Bedrijven (MKB) ter ondersteuning van het heffen en innen op automiddelen en privégebruik auto. Daarnaast ondersteunde DBA het toezicht houden op (onderdelen) van het loonheffingsproces en op de inkomstenbelasting. Ook werd het gebruikt door de Douane voor het raadplegen van kentekens in het kader van de fysieke controles in het havengebied om de veiligheid van de douanemedewerkers te waarborgen. In de DBA stonden onder andere de NAW gegevens en geboortedatum. Ik verwijs uw Kamer naar de bijgevoegde GEB voor een volledig overzicht en een uitgebreide omschrijving van de gegevens die de DBA bevatte. Uit de GEB blijkt dat er in totaal ongeveer 1.000 geautoriseerde gebruikers waren.
Al het gebruik van de DBA werd gelogd. Het was op elk moment te achterhalen wie gebruik maakte of had gemaakt van de DBA en tevens welke functionaliteiten waren gebruikt (bijvoorbeeld het raadplegen op basis van BSN, het Beheer van Relaties adresoverzicht of het kenteken). Ook werd geregistreerd als een medewerker een BSN wilde raadplegen waartoe deze niet bevoegd was. Het toegangsbeheer en het autorisatiebeheer was geregeld via een autorisatiestructuur (IMS).
Voor een beperkt deel van de geautoriseerde gebruikers was het mogelijk om via de DBA gegevens op entiteit niveau te exporteren naar Excel. Dit was enkel mogelijk voor medewerkers die veldtoetsen uitvoeren: dit betekent dat een medewerker ter plekke bij de ondernemer of werkgever de administratie controleert. Deze exporteer-actie werd gelogd en er werd periodiek getoetst of er bij de geëxporteerde gegevens sprake van een veldtoetsopdracht was. Alle gebruikers konden door middel van een schermafbeelding gegevens kopiëren. Zoals je dit ook met je eigen telefoon kan doen. Deze schermafbeelding wordt gebruikt om informatie toe te voegen aan een verslag van heffing (bij toetsing van een aangifte) of als informatie/uitleg naar de adviseur of belastingplichtige ingeval van een correctie. Ook bij bezwaar in beroep werden de schermafbeeldingen bij het verweerschrift toegevoegd.
Het gebruik van een dergelijk geëxporteerd gegevensbestand was vervolgens niet te controleren. Het viel niet uit te sluiten dat dergelijke bestanden onjuist werden gebruikt of buiten de Belastingdienst terecht zijn gekomen.
Zoals beschreven in antwoord 15 is er sprake van een datalek wanneer toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan. Bij DBA gaat het om een door het management goedgekeurde applicatie en het gebruik van die applicatie. Het is daarom geen datalek.
Vraag 20
Het lid Omtzigt heeft de bijlagen doorgenomen die bij mail A.10.60 horen en heeft daarover een aantal specifieke vragen:
1. Klopt het dat de medewerker die de mail van appendix 10.68 verstuurd heeft geen medewerking heeft gegeven/geweigerd heeft deel te nemen aan het horen? Kan het kabinet dit onderdeel toelichten?
2. Klopt het dat op haar initiatief haar dossier en daarin de mails vernietigd zijn?
3. Zijn deze terug te halen door ICT bij de Belastingdienst? Wil het kabinet dat proberen?
4. Klopt het dat deze medewerker nog op een soortgelijke positie werkzaam is bij de Belastingdienst?
5. Klopt het dat de gesprekken hebben plaatsgevonden in een niet-constructieve/vijandige sfeer over de CAF 11-gedupeerden (in ieder geval niet gericht op een oplossing)?
6. Klopt het dat een deel van de correspondentie van deze medewerkster onder de mail d.d. 5 juni 2019 aan de secretaresse van de toenmalige Staatssecretaris hangt?
Antwoord 20
Vraag 1: Uit de reconstructie van PwC van 29 september 2021 blijkt dat de medewerker die de mail van appendix 10.68 verstuurd heeft geen medewerking heeft verleend aan het onderzoek van PwC.24 Wel heeft de secretaris-generaal van het Ministerie van Financiën toestemming verleend aan PwC om de mailbox van de betrokken medewerker te doorzoeken, omdat het maatschappelijke- en onderzoeksbelang zwaarder weegt dan de belangen van de betrokkenen.25 Zoals vermeld in de brief van 1 juni 2023 heeft PwC voor het onderzoek naar het memo Palmen binnen een door PwC gekozen selectie van periode en bronnen vrij kunnen zoeken naar relevante stukken voor het onderzoek.26 NB: Het lid Omtzigt verwijst naar de bijlagen bij mail A.10.60. Gelet erop dat de specifieke vragen zien op de bijlagen van mail A.10.68 ga ik ervan uit dat het lid per abuis de bijlagen bij mail A.10.60 noemt.
Vraag 2 en 3: Er is geen indicatie dat op initiatief van bovengenoemde medewerker, MT-lid 5, mails zijn vernietigd. De mails van alle relevante betrokkenen zijn onderzocht. Daarbij is gebruik gemaakt van een back-up van de mailbox. Voor het terughalen van deze informatie is dus ook geen noodzaak.
Vraag 4: Het is vast gebruik dat over individuele medewerkers geen mededelingen worden gedaan. Daarbij is van belang dat het Kabinet het niet wenselijk vindt dat individuele medewerkers ongewild onderdeel worden van het publieke debat. Uw Kamer kan mij als politiek verantwoordelijk voor de Dienst Toeslagen, aanspreken op de gang van zaken binnen Toeslagen.
Vraag 5: Uit de PwC-reconstructie volgt dat er in 2017 verschillende gesprekken zijn gevoerd tussen de advocate mevrouw González Pérez en Toeslagen over het CAF-11 dossier, waaronder op 10 april 2017 en 8 mei 2017. De transcripties van de advocate González Pérez van deze gesprekken zijn vertrouwelijk gedeeld met uw Kamer. Het doel van de gesprekken was om tot een oplossing te komen. Uiteindelijk hebben de gesprekken niet geleid tot een overeenkomst waar zowel de advocate als Toeslagen zich in konden vinden.
Vraag 6: De medewerker die de mail van appendix 10.68 heeft verstuurd is een van de betrokkenen in de correspondentie die onder de mail van 5 juni 2019 hangt.
Vraag 21
Het lid Omtzigt ontvangt ook graag de bijlagen bij A.10.70 om een compleet beeld te krijgen. Zijn beeld hier is echter wel: de ambtenaar, die contact had met mevrouw González Pérez om tot een oplossing te komen in de CAF-11 zaak, beweert herhaaldelijk dat de directeur-generaal Belastingdienst en de Staatssecretaris op de hoogte gehouden zijn van dit dossier. Deze medewerker was lid van het MT Belastingdienst. Echter: deze medewerker heeft niet meegewerkt aan het Deloitte-rapport en heeft documenten gewist. Desondanks is deze medewerker nog steeds werkzaam bij de Belastingdienst. Kan het kabinet aangeven of er fouten zitten in de redenering hierboven?
Is het kabinet bereid om na te gaan wat er klopt van de herhaaldelijke beweringen dat de politieke en ambtelijke top op de hoogte gehouden zijn van elke stap in het CAF 11-dossier?
Antwoord 21
De bijlagen bij mail A.10.70 heeft uw Kamer inmiddels ontvangen als bijlage bij de Kamerbrief van 5 juli 2023.27 Zoals eerder aangegeven worden over individuele medewerkers geen mededelingen gedaan. De gang van zaken rond het memo Palmen en CAF 11 is uitgebreid onderzocht door PwC.28 Voor de beantwoording van de vraag wat er klopt van de betreffende bewering uit de mail wordt verwezen naar de eerdere beantwoording hierover van de vragen van de rapporteurs (specifiek vraag 11n t/m 18n).29 Daarnaast zijn de overlegmomenten over het CAF 11-dossier als bijlage van de brief van 29 maart 2023 meegestuurd.30
Verzoek 7 juli beantwoording vragen plenaire debat opvolging «Ongekend onrecht»
In het licht van bovenstaande beantwoording ga ik hierbij tevens in op het verzoek van uw Kamer van 7 juli jl. tot beantwoording van vragen uit het plenaire debat op 23 mei 2023 over de opvolging van het rapport «Ongekend onrecht».
De vaste commissie voor Financiën heeft verzocht om de nog openstaande vragen uit het plenaire debat over de opvolging van het rapport «Ongekend onrecht» van 23 mei 2023 binnen twee weken aan de Kamer sturen en om daarbij ten behoeve van de beantwoording tevens gewiste mailboxen terug te halen en te doorzoeken.
Specifiek wijst de commissie daarbij op de vragen in de volgende passage uit het debat:
De heer Omtzigt (Lid Omtzigt):
(...) Voorzitter. Dan de teruggevonden stukken. Hoe kan het, zeg ik tegen de Minister-President, dat deze stukken er twee jaar na dato komen? Vanmorgen heb ik de stukken gelezen. In het managementteam zat één persoon die niet meewerkte aan het PwC-onderzoek. Háár mail zat tussen de stukken. Daarin stond dat ze de top van de Belastingdienst en de bewindspersonen altijd op de hoogte gehouden had. Klopt het, zoals ik vanmorgen gelezen heb, dat zij bij meerdere gesprekken die met de advocaat gevoerd zijn, aanwezig geweest is? Als dat zo is, dan wil ik de gespreksverslagen van die gesprekken van de kant van de Belastingdienst hier binnen een week hebben. Ik wil binnen een week weten hoe de bewindspersonen en de directeur-generaal op de hoogte gehouden zijn. Ik wil daar een complete lijst van. Het stond namelijk niet in de tijdlijn. Het stond niet in alle rapporten die we gezien hebben. Het stond helemaal nergens (...)
Antwoord verzoek Kamer 7 juli 2023
Het MT-lid 5 is inderdaad aanwezig geweest bij de gesprekken op 10 april en 8 mei 2017. Zoals eerder aangegeven in de brief van 5 juli 202331 zijn er vanuit de Belastingdienst en Dienst Toeslagen tot op heden geen eigen gespreksverslagen aangetroffen van de gesprekken die gevoerd zijn op deze datum. In reactie op de vraag hoe de bewindspersonen en directeur-generaal op de hoogte zijn gehouden verwijs ik naar de beantwoording van vraag 21 waarin verwezen wordt naar mijn eerdere beantwoording hierover van de vragen van de rapporteurs (specifiek vraag 11 t/m 18). Voor wat betreft de Staatssecretaris verwijs ik tevens naar de overlegmomenten van de toenmalig Staatssecretaris over het CAF 11-dossier die als bijlage van de brief van 29 maart 2023 is meegestuurd.32 Daaruit volgt dat de toenmalig de Staatssecretaris vanaf augustus 2017 incidenteel en vanaf het voorjaar van 2019 regelmatig werd bijgepraat over de ontwikkelingen in het CAF 11-dossier.
Uitgewerkt in de handleiding «Extern mailen en Belastingdienst File Transfer» versie 4, september 2018.
Kamerstuk 31 066, nr. 681, Bijlage: rapportage verwerking van risicosignalen voor toezicht en Kamerstuk 31 066, nr. 807, Bijlage: Toelichting op specifieke onderwerpen Herstellen, verbeteren, borgen (HVB).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-31066-1280.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.