32 761 Verwerking en bescherming persoonsgegevens

Nr. 136 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 17 juni 2019

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Financiën over de brief van 7 februari 2019 over de antwoorden op vragen commissie inzake onderzoek van de Autoriteit Persoonsgegevens naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst (Kamerstuk 32 761, nr. 131).

De vragen en opmerkingen zijn op 10 april 2019 aan de Staatssecretaris van Financiën voorgelegd. Bij brief van 14 juni 2019 zijn de vragen beantwoord.

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de beantwoording op eerder gestelde vragen over de reactie op verzoek commissie inzake onderzoek van de Autoriteit Persoonsgegevens (AP) naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst. De leden van de VVD-fractie hebben nog enkele vervolgvragen.

De leden van de VVD-fractie lezen dat de Autoriteit Persoonsgegevens op dit moment beoordeelt of de verbetermaatregelen voldoende zijn. Wanneer is de uitkomst beschikbaar voor de Kamer?

De leden van de VVD-fractie lezen verder dat er op dit moment een auditonderzoek gaande is om feitelijk vast te stellen of de directie Datafundamenten & Analytics (DF&A) compliant is met de Algemene Verordening Gegevensbescherming (AVG). Is al bekend wanneer de resultaten met de Kamer gedeeld kunnen worden?

De leden van de VVD-fractie vragen hoe de Belastingdienst kijkt naar een meer directe link met de basisregistratiepersonen en een online identiteit voor iedere Nederlander1)?

Zijn er projecten bij de Belastingdienst gaande om mensen meer regie op hun persoonsgegevens te geven?

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie vinden het van het grootste belang dat de Belastingdienst zeer zorgvuldig omgaat met de grote hoeveelheid privacy-gevoelige data van burgers. Niet alleen omdat de overheid een voorbeeldfunctie heeft in het beschermen van de privacy van mensen, maar ook omdat belastingplichtigen in principe geen keuze hebben of de Belastingdienst data van hen verzamelt. Voor een rechtvaardige belastingheffing is zeer veel privacy-gevoelige data nodig en dus moet de Belastingdienst daar zeer zorgvuldig mee omgaan. De leden van de CDA-fractie vinden het dan ook spijtig dat zij opnieuw moeten vragen naar de brief die de Autoriteit Persoonsgegevens al in juli 2018 aan de Belastingdienst geschreven heeft.

In de brief aan de Kamer schrijft de Staatssecretaris:

«De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.»

In de bijlage staat echter te lezen:

«In februari 2017 is de Autoriteit Persoonsgegevens een onderzoek gestart naar de informatiebeveiliging van de afdeling Data & Analytics (D&A) van de Belastingdienst. De AP informeert u door middel van deze brief over de resultaten van het onderzoek en over de daarbij geconstateerde overtredingen van de privacyregelgeving. Daarnaast verzoekt de AP u om informatie te verstrekken over de getroffen verbetermaatregelen. Tevens wijst de AP u erop dat u bij het in gebreke blijven van deze verbetermaatregelen handelt in strijd met de wet.»

De leden van de CDA-Fractie constateren dat de Autoriteit Persoonsgegevens aangeeft dat bij uitblijven van de verbetermaatregelen de Belastingdienst in strijd blijft handelen met de wet. De eerder aangekondigde maatregelen konden dat voorkomen. Nu waren compartimentering en logging de twee centrale maatregelen die waren aangekondigd. Die zijn gewoon niet uitgevoerd blijkt uit de nadere toelichting. Dit betekent dat de Belastingdienst gewoon in gebreke blijft en handelt in strijd met de wet. Daarom vragen de leden van de CDA-fractie allereerst hoe lang de Belastingdienst nog handelt in strijd met de wet. Waarom zijn de genoemde verbetermaatregelen uitgebleven?

Deze leden verzoeken de Staatssecretaris geen van de gestelde vragen over te slaan bij de beantwoording.

De leden van de CDA-fractie vragen of de Staatssecretaris deze paragraaf in de brief handhaaft, namelijk «De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.» en kan de Staatssecretaris dit nader motiveren? Hoe verhoudt deze paragraaf zich tot de geciteerde zinnen uit de bijlage?

De leden van de CDA-fractie herhalen hun expliciete verzoek het rapport van eerste bevindingen onmiddellijk aan de Kamer te doen toekomen en zij wijzen erop dat dit verzoek ook reeds eerder vanuit de vaste commissie van Financiën gedaan is. Hetzelfde verzoek hebben deze leden met betrekking tot de reactie van de AP op de brief van de DG en het auditrapport waaruit zou blijken dat de dienst D&A AVG-compliant is. Kan de Staatssecretaris deze reactie van de AP, inclusief alle verdere correspondentie die er sindsdien over dit onderzoek is gedaan, en het auditrapport aan de Kamer doen toekomen?

Verder vragen de leden van de CDA-fractie of het bereiken van de basispositie betekent dat de dienst AVG-compliant is. Hoeveel mensen hebben al inzage gekregen in de persoonlijke data bij D&A? Op hoeveel werkplekken is het technisch onmogelijk gemaakt om data op een USB-stick te zetten? Vindt er op dit moment logging plaats van het al het exporteren van data naar een USB-stick (met of zonder autorisatie) of van andere vormen van exporteren van data?

Op eerdere vragen heeft de Staatssecretaris geantwoord: «De leden van CDA-fractie vragen ook of individuele analisten een data «check out» mogen doen naar een lokale omgeving. Individuele analisten mogen een «check out» doen naar een lokale omgeving. De handeling wordt gelogd en er is een procedure omheen beschreven voor een zorgvuldige omgang met de gegevens.»

De leden van de CDA-fractie vragen de Staatssecretaris naar aanleiding van dit antwoord hoe deze procedure eruit ziet en of het mogelijk is om de data na een «check out» verder te exporteren (via mail, USB of anders). Vindt daarop 100% logging plaats? Is het mogelijk een check out te doen naar plekken die niet beheerd worden door de Belastingdienst, of van waaruit het mogelijk is een nadere overdracht te doen naar een plaats die niet beheerd wordt door de Belastingdienst?

De leden van de CDA-fractie vinden het zeer opmerkelijk dat er na al het onderzoek naar datalekken en de debatten daarover geen lijst van meldingen van datalekken van D&A en haar rechtsvoorgangers voorhanden zou zijn. Dat zou alle onderzoeken echt valideren. Daarom ontvangen de leden van de CDA-fractie graag een overzicht van alle geconstateerde datalekken en alle gemelde datalekken sinds 2013.

Tot slot vragen de leden van de CDA-fractie naar de laatste informatie over wanneer de Belastingdienst volledig AVG-compliant zal zijn.

Vragen en opmerkingen van de leden van de fractie van D66

De leden van de D66-fractie hebben kennis genomen van de beantwoording van de vragen van de vaste commissie voor Financiën. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie vragen naar de stand van zaken bij de voorbereidingen voor het per 1 januari 2020 verstrekken van nieuwe btw-identificatienummers voor eenmanszaken en de realisatie van de factuurvariant.

De leden van de D66-fractie vragen per wanneer de beoordeling door de AP van de aanvullende technische verbetermaatregelen gereed is.

II Reactie van de Staatssecretaris

Ik heb met interesse kennisgenomen van de vragen zoals opgenomen in de genoemde brief. Ik beantwoord de vragen zoveel mogelijk in de volgorde waarin ze gesteld zijn, met dien verstande dat gelijkluidende of in elkaars verlengde liggende vragen tezamen worden beantwoord.

De leden van de VVD-fractie lezen dat de AP op dit moment beoordeelt of de verbetermaatregelen zoals door de Belastingdienst toegezegd, voldoende zijn2. Zij vragen wanneer de uitkomst beschikbaar is voor de Kamer. Ook de leden van de fractie van D66 vragen dit. Het vervolgonderzoek van de AP heeft op 9 mei 2019 plaatsgevonden. Het is mij niet bekend wanneer de uitkomst beschikbaar is voor de Kamer. Vanzelfsprekend wordt de uitkomst zo snel mogelijk met de Kamer gedeeld.

De leden van de VVD-fractie lezen verder dat er op dit moment een auditonderzoek gaande is om feitelijk vast te stellen of de directie Datafundamenten en Analytics (DF&A) conform de Algemene verordening gegevensbescherming (AVG) werkt. Zij vragen wanneer de resultaten met de Kamer gedeeld kunnen worden. De toegezegde audit bij DF&A is opgezet in twee delen. Het eerste deel betreft een audit door de interne auditafdeling van de Belastingdienst waarbij onderzocht is in hoeverre DF&A opvolging heeft gegeven aan de aangekondigde maatregelen zoals per brief gemeld in juni 20173. De uitkomst van dit onderzoek is dat alle aangekondigde maatregelen zijn geïmplementeerd met uitzondering van de pseudonimisering. Voor de volledigheid wil ik melden dat het pseudonimiseren van persoonsgegevens geen vereiste is voor AVG, maar een additionele maatregel.

Het tweede deel van de audit betreft het onderzoek door de Auditdienst Rijk naar het conform de AVG werken door DF&A. Doordat het rijksbrede normenkader voor de AVG nog in ontwikkeling is, is deze audit nog niet gestart. De verwachting is dat het kader nog voor het zomerreces van 2019 beschikbaar is, zodat de audit medio augustus 2019 gestart kan worden. De uitkomst van deze audit zal ik met de Kamer delen.

Verder heeft de Algemene Rekenkamer (ARK) medio 2018 onderzoek gedaan bij DF&A naar het gebruik van risicomodellen in het toezicht bij de Belastingdienst. Daarbij is het verantwoord omgaan met gegevens conform de AVG onderzocht. Uit het onderzoek is onder andere gebleken dat de verantwoordelijkheid voor privacyaspecten van het werken met data serieus wordt opgepakt met technische maatregelen en dat de Belastingdienst begonnen is met organisatorische maatregelen. Het rapport «Datagedreven selectie van aangiften door de Belastingdienst» van de ARK is op 11 juni 2019 gepubliceerd4.

De leden van de fractie van de VVD vragen hoe de Belastingdienst kijkt naar een meer directe link met de Basisregistratie personen en een online identiteit voor iedere Nederlander.5 Zij vragen of er bij de Belastingdienst projecten gaande zijn om burgers meer regie op hun persoonsgegevens te geven. Het stelsel van basisregistraties -waaronder de Basisregistratie personen (BRP)- stelt de Belastingdienst in staat om over betrouwbare gegevens te beschikken van belastingplichtigen en toeslaggerechtigden. Dat ondersteunt het juist en volledig heffen van belasting en uitkeren van toeslagen en de dienstverlening aan burgers en bedrijven. Op dit moment ontvangt de Belastingdienst dagelijks de nieuwe inschrijvingen en wijzigingen in de BRP. Als een online identiteit kan bijdragen aan verdere verhoging van de betrouwbaarheid van gegevens en verbetering van de dienstverlening, staat de Belastingdienst daar in beginsel positief tegenover. Overigens geldt dat de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de primaire verantwoordelijkheid heeft op de BRP.

Voor het delen van gegevens met derden biedt de Belastingdienst nu al de mogelijkheid om op «Mijn Belastingdienst» een digitale inkomensverklaring te downloaden. Verder werkt de Belastingdienst in het kader van het programma «Regie op gegevens» van het Ministerie van BZK mee aan een pilot met woningcorporaties voor het delen van inkomensgegevens ten behoeve van de inkomenstoets bij verhuur van woningen.

De leden van de fractie van het CDA vragen waarom de verbetermaatregelen compartimentering en logging zijn uitgebleven. Zoals ik heb aangegeven in mijn brief van 7 februari 20196 is de datacompartimentering in het najaar van 2017 gerealiseerd. Als onderdeel van de grote audit op het AVG-conform zijn, heeft er een interne audit plaatsgevonden op de realisatie van de aan de Kamer toegezegde maatregelen. Deze audit laat zien dat alle toegezegde maatregelen met uitzondering van het pseudonimiseren, geïmplementeerd zijn.

De leden van de fractie van het CDA vragen of ik de door hen geciteerde paragraaf uit mijn brief van 28 september 2018 handhaaf en of ik dit nader kan motiveren. Ja, ik handhaaf de bedoelde paragraaf waarin staat dat de AP concludeert dat zijn bevindingen overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging bij de (toenmalige) Broedkamer en (toenmalige afdeling) D&A. De resultaten van onderzoeken van de Belastingdienst zijn op 2 oktober 2017 aan uw Kamer gestuurd.7 Beide onderzoeken geven een zelfde conclusie.

De leden van de fractie van het CDA herhalen hun verzoek om het rapport van eerste bevindingen aan de Kamer te doen toekomen. De resultaten van het onderzoek van de Belastingdienst zijn, zoals ik hiervoor heb aangegeven, op 2 oktober 2017 aan uw Kamer gestuurd. Er is geen rapport van eerste bevindingen opgesteld. Als bijlagen bij mijn brief van 28 september 2018 heb ik uw Kamer de brief van de AP van 3 juli 2018 gestuurd en de reactie van de directeur-generaal Belastingdienst op die brief van 19 september 2018.8 Er heeft geen verdere correspondentie plaatsgevonden met de AP. De AP heeft op 9 mei 2019 het onderzoek bij DF&A voortgezet. In dat verband is nadere informatie aan de AP verstrekt.

De leden van de fractie van het CDA vragen of het bereiken van de zogenoemde basispositie betekent dat de dienst AVG-compliant is. Op 28 mei 2019 heb ik de Kamer geïnformeerd over de implementatie van de AVG bij de Belastingdienst.9 De Belastingdienst moest een jaar geleden nog een aantal voorgenomen maatregelen uitvoeren om de AVG te implementeren. De Belastingdienst heeft in het vervolgtraject inmiddels de voorgenomen maatregelen kunnen realiseren, met uitzondering van de maatregel «verwijderen van verouderde gegevens». Om te voorkomen dat verouderde gegevens onrechtmatig kunnen worden verwerkt door medewerkers van de Belastingdienst, heeft de Belastingdienst risicobeperkende (mitigerende) maatregelen genomen. De verouderde documenten worden in een zogenoemde datakluis geplaatst. De (digitale) datakluis is een afgeschermde omgeving, waartoe alleen aangewezen beheerders toegang hebben. De Belastingdienst beoordeelt vervolgens de gegevens in de datakluis; als de gegevens geen permanente waarde hebben of verouderd zijn, worden deze daadwerkelijk verwijderd. De Belastingdienst heeft een grote inspanning geleverd om te kunnen voldoen aan de AVG. Naleving van de AVG is een proces dat voortdurend aandacht vergt. De Belastingdienst blijft dus doorlopend werken aan maatregelen en kaders en streeft daarmee naar een duurzame naleving van de AVG. Zo kan de Belastingdienst in een bepaalde situatie alsnog in strijd met de AVG handelen; denk aan het oordeel van de AP over het gebruik van het BSN in het btw-identificatienummer of in geval van een toekomstig datalek. De Belastingdienst handelt deze situaties conform de normen van de AVG af.

De leden van de fractie van het CDA vragen hoeveel mensen al inzage hebben gekregen in de persoonlijke gegevens bij DF&A. Zoals ik in mijn brief van 7 februari 2019 heb aangegeven staat op de webpagina van de Belastingdienst beschreven hoe een burger gebruik kan maken van zijn inzagerecht op grond van de AVG10. Daarbij kan niet gevraagd worden naar een specifiek organisatieonderdeel. Het verzoek betreft de Belastingdienst als geheel. Sinds mei 2018 zijn bij de Belastingdienst 76 verzoeken binnengekomen van burgers die inzage gevraagd hebben naar hun fiscale gegevens.11 De Belastingdienst behandelt deze verzoeken conform de normen van de AVG.

De leden van de fractie van het CDA vragen op hoeveel werkplekken het technisch onmogelijk is gemaakt om data op een USB-stick te zetten. Binnen DF&A heeft geen enkele medewerker de mogelijkheid om vanaf zijn werkplek gegevens te exporteren naar een USB-stick of een andere externe gegevensdrager. Dit wordt regelmatig gecontroleerd in de autorisatieprofielen.

Begin januari 2019 is bij DF&A de werkwijze voor het gebruik van de exportfunctie vastgesteld. Op lange termijn biedt een extra beveiligde schil, het Analytical Data Perimeter systeem (ADP), de oplossing. Tot die tijd zijn de reeds bestaande algemene maatregelen voor medewerkers die met gegevens werken (geen USB-mogelijkheid, geen externe e-mail, beperkte toegang tot internet en geen filetransfer mogelijkheid), onverkort van kracht.

De leden van de fractie van het CDA vragen in verband met een data «check out» hoe de procedure voor een zorgvuldige omgang met de gegevens procedure eruitziet. Binnen DF&A wordt middels diverse programma’s voortdurend aandacht besteed aan bewustwording rondom gegevensbescherming. Vanaf januari 2019 geldt de procedure dat een medewerker toestemming moet vragen aan zijn leidinggevende als de exportfunctie of de copy-paste-functie in de analyse-software wordt gebruikt. De leidinggevende registreert dit in een centraal register. In de maandrapportage komen de aantallen terug. Door de maatregelen is het niet mogelijk gegevens na een «check out» verder te exporteren. Er vindt geen 100% logging plaats, maar registratie door de leidinggevende van de toestemming.

Ik vind het belangrijk om te benadrukken dat opzettelijke misbruik helaas nooit helemaal te voorkomen is. Uiteraard spant de Belastingdienst zich in om dit zoveel mogelijk te voorkomen.

De leden van de fractie van het CDA vragen om een overzicht van alle geconstateerde datalekken en alle gemelde datalekken sinds 2013. De meldplicht voor datalekken bestaat sinds 1 januari 2016. De Belastingdienst houdt vanaf die datum een registratie van datalekken bij. Voor 2016 werden datalekken niet als zodanig geregistreerd maar vielen onder de categorie incidenten. Tussen 2016 en 2018 zijn meldingen alleen op het niveau van de (toenmalige) directie Belastingdienst/Belastingen als geheel bijgehouden en niet op afdelingsniveau, waaronder (de voorgangers van) DF&A.

Uit de beschikbare cijfers blijkt dat er in 2018 twee datalekken bij DF&A zijn geweest. Beide zijn als datalek gemeld bij de AP. In beide gevallen ging het om de vermissing van een apparaat met versleutelde gegevens. In 2019 betreft het tot 1 april één datalek dat ook gemeld is als zodanig aan de AP. Ook nu gaat het om de vermissing van een apparaat met versleutelde gegevens.

De leden van de fractie van D66 vragen naar de stand van zaken bij de implementatie van de zogenaamde factuurvariant. Met de factuurvariant wordt ervoor gezorgd dat het burgerservicenummer niet langer gebruikt wordt in de externe communicatie door betrokkenen. Met ingang van 1 januari 2020 dient de factuurvariant te zijn gerealiseerd. Het implementatietraject is inmiddels gestart en de realisatie ligt op koers. De realisatie is verdeeld in twee sporen, namelijk aanpassing van de ondersteunende systemen en activiteiten in de sfeer van dienstverlening en communicatie, zoals het daadwerkelijk uitreiken van het nieuwe nummer. Het programma om de factuurvariant te realiseren is aangemeld bij de ADR. De ADR is gevraagd onderzoek te doen naar de sturing en beheersing (de governance) van het implementatieprogramma, gericht op de realisatie van de factuurvariant. Dit onderzoek richt zich op de waarborgen die zijn getroffen om te kunnen komen tot een tijdige implementatie van de factuurvariant waarbij de onderbouwing van de planning en de realisatie van die planning wordt bezien. Het rapport van bevindingen wordt in juli 2019 verwacht.

Naar boven