2018D52213 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

De vaste commissie voor Financiën heeft op 1 november 2018 een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Financiën over zijn brief van 28 september 2018 met het afschrift van de brief van de Autoriteit Persoonsgegevens (AP) over het onderzoek naar de informatiebeveiliging bij de Broedkamer en de afdeling Data & Analytics (D&A) van de Belastingdienst en van de reactie van de Staatssecretaris van Financiën daarop (Kamerstuk 32 761, nr. 125).

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de reactie van de Belastingdienst op het onderzoek van de AP bij de Belastingdienst. Zij hebben nog wel enkele vragen en opmerkingen.

De leden van de VVD-fractie lezen dat de AP geen aanleiding ziet om een officieel onderzoeksrapport uit te brengen, terwijl de Directeur-Generaal (DG) van de Belastingdienst toegeeft dat het voor de Belastingdienst technisch onmogelijk is de privacy van de Nederlanders volledig te waarborgen. Kan de Staatssecretaris de Kamer op de hoogte brengen van de redenen van de AP om geen onderzoeksrapport uit te brengen?

De AP heeft geconstateerd dat er bij D&A ten aanzien van de verwerking van persoonsgegevens tekortkomingen bestaan in de informatiebeveiliging. Dit baart de leden van de VVD-fractie zorgen, aangezien dit niet alleen gevolgen heeft voor de privacy, maar ook voor de inning van belastinggeld in het algemeen, alsook de cybersecurity van de Belastingdienst in het algemeen. Herkent de Staatssecretaris zich in de zorgen van de leden van de VVD-fractie? Of is de Staatssecretaris van mening dat de tekortkomingen met de maatregelen zijn verholpen? Zo ja, hoe verklaart de Staatssecretaris dan de woorden van de DG van de Belastingdienst dat het technisch onmogelijk is de privacy 100% te beveiligen/garanderen? Zo nee, waarom niet?

De Belastingdienst geeft aan dat het technisch onmogelijk is om persoonsdata te beveiligen. De leden van de VVD-fractie vragen zich af welke technische onmogelijkheden dit precies zijn.

Verwacht de Staatssecretaris dat technische onmogelijkheden bij het beveiligen van persoonsgegevens kunnen worden opgelost? Zo nee, waarom niet? Zo ja, welke stappen moeten naast bovengenoemde nog gezet worden?

De leden van de VVD-fractie vragen of er tussen 2 oktober 2017 en oktober 2018 nog casussen bekend zijn waarbij persoonsgegevens per e-mail of andere communicatiemiddelen buiten de Belastingdienst terecht zijn gekomen.

De leden van de VVD-fractie vragen waarom het management van de Belastingdienst heeft gewacht met het implementeren van aanvullende technische verbetermaatregelen terwijl de gegevens en privacy van vele Nederlanders niet gegarandeerd konden worden. Was de Staatssecretaris op de hoogte van de tekortkomingen? Zo ja, is de Staatssecretaris het met deze leden eens dat de Kamer hierover geïnformeerd had moeten worden? Zo nee, waarom niet?

De leden van de VVD-fractie vragen wat de Belastingdienst doet bij overtreding van de procedures omtrent het schrijven van data op een USB-stick. Wie heeft er allemaal toegang tot het genoemde register?

De leden van de VVD-fractie vragen hoeveel trainingen en bewustwordingssessies de medewerkers van de Belastingdienst jaarlijks volgen. Wat wordt er zoal besproken wat betreft de privacygegevens van Nederlanders en de veiligheid van gegevens van de Belastingdienst?

Sinds wanneer is de controle op «logging» binnen D&A operationeel? Heeft dit al geleid tot het afgaan van «triggers»? Zo ja, wat is er vervolgens met deze signalen gebeurd?

De leden van de VVD-fractie vragen waarom de Belastingdienst heeft gekozen voor een audit door interne auditors met betrekking tot de beveiligingsonderzoeken. Is de Staatssecretaris het met deze leden eens dat dit lijkt alsof de slager zijn eigen vlees keurt? Hoe staat de Staatssecretaris tegenover een audit door de Auditdienst Rijk?

De leden van de VVD-fractie vragen of de Staatssecretaris de Kamer kan informeren over de voortgang met betrekking tot het voldoen aan de Algemene verordening gegevensbescherming (AVG). Zal de gehele Belastingdienst, zoals eerder toegezegd door de Staatssecretaris, eind 2018 voldoen aan een AVG-compliant situatie?

De Autoriteit Persoonsgegevens verwijst naar een aantal tekortkomingen in de naleving van de AVG. Kan de Staatssecretaris de Kamer per tekortkoming informeren over de genomen maatregelen om deze tekortkomingen te verhelpen?

De leden van de VVD-fractie merken op dat de Belastingdienst privacygegevens van Nederlanders niet 100% kan beveiligen. Heeft de Belastingdienst wel 100% inzicht in de beschikbare data?

De leden van de VVD-fractie constateren dat het onderzoek van de Autoriteit Persoonsgegevens gericht was op de afdeling D&A van de Belastingdienst. Heeft de Belastingdienst de maatregelen ter verbetering van de privacygegevens ook doorgevoerd op andere afdelingen? Zo ja, op welke? Zo nee, kunnen de leden van de VVD-fractie hieruit concluderen dat de andere afdelingen van de Belastingdienst de persoonsgegevens 100% kunnen beveiligen?

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie hebben met verbazing de brief van de Staatssecretaris gelezen. Zij kunnen deze paragraaf niet plaatsen:

«De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.»

Handhaaft de Staatssecretaris deze paragraaf in de brief of niet, zo vragen de leden van de CDA-fractie.

De leden van de CDA-fractie verzoeken de Staatssecretaris ook het rapport van eerste bevindingen aan de Kamer te doen toekomen, een verzoek dat zij overigens al meerdere malen in de commissie gedaan hebben.

Ook zouden de leden van de CDA-fractie graag de reactie van de AP op de brief van de DG ontvangen. Deze leden kunnen zich namelijk niet voorstellen dat de AP ook maar in de verste verte gerust gesteld is door het antwoord van de Belastingdienst.

De reden is natuurlijk duidelijk. De brief van de DG van de Belastingdienst schetst een onthutsend beeld van de verbeteringen. Is de Staatssecretaris bereid om alle toezeggingen over de Broedkamer die zijn gedaan bij het debat over de Belastingdienst op 9 februari 2017, het algemeen overleg over de Herijking Investeringsagenda Belastingdienst van 25 oktober 2017 en de brief van 2 oktober 20171 op een rij te zetten en aan te geven of ze zijn opgevolgd?

De leden van de CDA-fractie zijn ook verbaasd dat D&A nu als AVG-compliant wordt beschouwd. Graag ontvangen deze leden hiervan een auditrapport.

Indien er AVG-compliantie is, dan bestaat er natuurlijk ook inzagerecht en vergeetrecht (immers niet alle data zijn noodzakelijk voor de primaire processen).

Is de Belastingdienst bereid om aan te geven waar een burger of bedrijf kan vragen welke data D&A over hem/haar heeft en hoe hij/zij daar inzage in kan krijgen? Hoeveel mensen hebben al inzage gekregen in de persoonlijke data bij D&A?

De leden van de CDA-fractie hebben ook nog een aantal specifieke vragen: Hoe is de «werkplek van een medewerker» vormgegeven? Mogen individuele analisten een data «check out» doen naar een lokale omgeving? Zo ja, kan die omgeving op een server zijn of ook op desktop of een mobiel device? Welke exportfunctie van data is aanwezig en waarom kan daarop nog steeds niet gelogd worden?

Waarom is het niet technisch onmogelijk gemaakt om data op een USB-stick te zeten? Vindt er op dit moment logging plaats van het exporteren van data naar een USB-stick (met of zonder autorisatie)?

Welke meldingen van gegevenslekken hebben de Broedkamer en haar rechtsopvolgers de afgelopen vijf jaar gedaan? Kan de Staatssecretaris hiervan een overzicht geven?

Wat is het tijdspad voor pseudonimisering? Bestaat er algemene logging binnen de applicaties van de Broedkamer, wie (naam en rugnummer), verricht welke handelingen (opdrachten/queries) en benadert welke data? Zijn er ooit aanwijzingen gevonden dat er data naar buiten de Belastingdienst is geëxporteerd, bijvoorbeeld bij de politie?

Hoe is op dit moment de logging van de export van data vanuit de brongegevens?

Tot slot vernemen de leden van de CDA-fractie graag welke vorderingen de Belastingdienst in zijn algemeenheid heeft geboekt voor het bereiken van AVG compliantie.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie hebben kennisgenomen van de reactie op het onderzoek van de AP bij de Belastingdienst. Deze leden vinden dat als er ergens goede persoonsbeveiliging moet zijn, het wel bij de Belastingdienst is. Het baart deze leden zorgen dat in de begeleidende brief aan de Kamer enkel wordt weergegeven dat de AP hetzelfde constateerde als eerder onderzoek, maar dat niet de gelegenheid is genomen om de Kamer te informeren over de stand van zaken met betrekking tot de grote privacyproblemen die het eerdere onderzoek constateerde.

De leden van de SP-fractie nemen met zorg kennis van de brief van de AP, d.d. 3 juli 2018, en de reactie van het ministerie daarop, d.d. 19 september 2018. Uit de correspondentie, alsmede de op 6 juni 2018 beantwoorde Kamervragen van het lid Omtzigt (2018Z08686) komen wat de leden van de SP-fractie betreft een aantal zorgelijke situaties naar voren. Allereerst willen zij de Staatssecretaris erop wijzen dat persoonsgegevens zeer lucratief kunnen zijn als die in verkeerde handen vallen. Het is zorgelijk dat zo een belangrijke overheidsdienst als de Belastingdienst maar liefst een jaar de tijd nodig heeft om aan de AVG te voldoen. Kan de Staatssecretaris aangeven of dit nog steeds als haalbare termijn wordt gezien of is er inmiddels vertraging opgelopen en zo ja, op welke onderdelen precies?

Allereerst maken de leden van de SP-fractie zich zorgen om het feit dat niet wordt bijgehouden welke gegevens door medewerkers worden opgevraagd. Deze leden vragen de Staatssecretaris wanneer de Belastingdienst kan garanderen dat gevoelige persoonsgegevens niet buiten de systemen belanden. Voorgenoemde leden vinden het terecht dat bij gebrek aan het kunnen aanpassen van autorisaties aan bewustwording wordt gedaan, maar zij maken zich zorgen dat via mobiele devices nog altijd bijlagen kunnen worden opgeslagen. Wat houden de genoemde sancties op kwaadwillende acties precies in? Hoe waterdicht is het sanctieregime en is dat afdoende om te voorkomen dat er toch gegevens worden opgeslagen en mogelijk de dienst onterecht verlaten? Is het bijvoorbeeld mogelijk dat er via mobile devices bestanden gemaild kunnen worden naar buiten de dienst?

De leden van de SP-fractie hebben gezien dat de controle op de logging inmiddels operationeel is en vragen de Staatssecretaris wat er bedoeld wordt met de acties die voortkomen uit triggers die zijn vormgegeven. Kan de Staatssecretaris voorbeelden geven van wat een trigger is en hoe er dan wordt opgetreden? Is het mogelijk dat er op papier goede processen zijn beschreven, maar dat die in de praktijk niet opgevolgd worden? Hoe wordt dit voorkomen?

Als het gaat om de autorisaties en toegangsrechten vragen de leden van de SP-fractie of het mogelijk is dat een medewerker die de Belastingdienst verlaat toch nog maximaal 30 dagen toegang heeft, omdat eens per maand een volledige check wordt uitgevoerd. Zou het niet beter zijn dat wanneer iemand uit dienst treedt of elders bij de Belastingdienst gaat werken de autorisaties standaard betrokken worden en per direct worden omgezet? Kan de Staatssecretaris daar hierop ingaan?

De leden van de SP-fractie vragen of de Staatssecretaris kan aangeven welke inschatting wordt gemaakt van het pseudonimiseren waarvan blijkt dat de in de brief aan de Kamer genoemde termijn niet gehaald wordt. Er wordt nu geen nieuwe termijn gegeven wanneer dit gereed moet zijn, maar kan de Staatssecretaris toch een inschatting geven? Hoe houdt de Staatssecretaris de Kamer en de AP op de hoogte van gereedkoming of verdere vertraging?

De leden van de SP-fractie stellen vast dat in antwoord op vraag 12 van de eerder genoemde Kamervragen (2018Z08686) wordt aangegeven dat op datamining en autorisatie verbetering nodig is. Er wordt gesteld dat hier versneld aan gewerkt wordt. Deze leden willen graag weten wanneer dit gereed is.

Tot slot willen de leden van de SP-fractie aan de Staatssecretaris vragen hoe hij oordeelt over het feit dat de door de AP geconstateerde tekortkomingen die in de eerste onderzoeksperiode bekend, maar «voor lief» genomen werden met als intentie die in de tweede onderzoeksperiode op te lossen, niet opgelost waren in die tweede periode. Is het mogelijk dat er nu privacy-risico’s «voor lief» worden genomen met als voornemen deze risico’s bij een nieuwe fase op te lossen? Zo ja, hoe voorkomt de Belastingdienst dat dit weer bij een goed voornemen blijft maar niet daadwerkelijk wordt opgelost als er met een nieuwe ICT-omgeving gewerkt gaat worden?

X Noot
1

Kamerstukken II, vergaderjaar 2017–2018, 31 066, nr. 379.

Naar boven