2019D14825 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

De vaste commissie voor Financiën heeft op 10 april 2019 een aantal vragen en opmerkingen voorgelegd aan de Staatssecretaris van Financiën over zijn brief van 7 februari 2019 met zijn antwoorden op vragen van de commissie over zijn reactie inzake onderzoek van de Autoriteit Persoonsgegevens naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst (Kamerstuk 32 761, nr. 131).

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de beantwoording op eerder gestelde vragen over de reactie op verzoek commissie inzake onderzoek van de Autoriteit Persoonsgegevens (AP) naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst. De leden van de VVD-fractie hebben nog enkele vervolgvragen.

De leden van de VVD-fractie lezen dat de Autoriteit Persoonsgegevens op dit moment beoordeelt of de verbetermaatregelen voldoende zijn. Wanneer is de uitkomst beschikbaar voor de Kamer?

De leden van de VVD-fractie lezen verder dat er op dit moment een auditonderzoek gaande is om feitelijk vast te stellen of de directie Datafundamenten & Analytics (DF&A) compliant is met de Algemene Verordening Gegevensbescherming (AVG). Is al bekend wanneer de resultaten met de Kamer gedeeld kunnen worden?

De leden van de VVD-fractie vragen hoe de Belastingdienst kijkt naar een meer directe link met de basisregistratiepersonen en een online identiteit voor iedere Nederlander1)?

Zijn er projecten bij de Belastingdienst gaande om mensen meer regie op hun persoonsgegevens te geven?

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie vinden het van het grootste belang dat de Belastingdienst zeer zorgvuldig omgaat met de grote hoeveelheid privacy-gevoelige data van burgers. Niet alleen omdat de overheid een voorbeeldfunctie heeft in het beschermen van de privacy van mensen, maar ook omdat belastingplichtigen in principe geen keuze hebben of de Belastingdienst data van hen verzamelt. Voor een rechtvaardige belastingheffing is zeer veel privacy-gevoelige data nodig en dus moet de Belastingdienst daar zeer zorgvuldig mee omgaan. De leden van de CDA-fractie vinden het dan ook spijtig dat zij opnieuw moeten vragen naar de brief die de Autoriteit Persoonsgegevens al in juli 2018 aan de Belastingdienst geschreven heeft.

In de brief aan de Kamer schrijft de Staatssecretaris:

«De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.»

In de bijlage staat echter te lezen:

«In februari 2017 is de Autoriteit Persoonsgegevens een onderzoek gestart naar de informatiebeveiliging van de afdeling Data & Analytics (D&A) van de Belastingdienst. De AP informeert u door middel van deze brief over de resultaten van het onderzoek en over de daarbij geconstateerde overtredingen van de privacyregelgeving. Daarnaast verzoekt de AP u om informatie te verstrekken over de getroffen verbetermaatregelen. Tevens wijst de AP u erop dat u bij het in gebreke blijven van deze verbetermaatregelen handelt in strijd met de wet.»

De leden van de CDA-Fractie constateren dat de Autoriteit Persoonsgegevens aangeeft dat bij uitblijven van de verbetermaatregelen de Belastingdienst in strijd blijft handelen met de wet. De eerder aangekondigde maatregelen konden dat voorkomen. Nu waren compartimentering en logging de twee centrale maatregelen die waren aangekondigd. Die zijn gewoon niet uitgevoerd blijkt uit de nadere toelichting. Dit betekent dat de Belastingdienst gewoon in gebreke blijft en handelt in strijd met de wet. Daarom vragen de leden van de CDA-fractie allereerst hoe lang de Belastingdienst nog handelt in strijd met de wet. Waarom zijn de genoemde verbetermaatregelen uitgebleven?

Deze leden verzoeken de Staatssecretaris geen van de gestelde vragen over te slaan bij de beantwoording.

De leden van de CDA-fractie vragen of de Staatssecretaris deze paragraaf in de brief handhaaft, namelijk «De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.» en kan de Staatssecretaris dit nader motiveren? Hoe verhoudt deze paragraaf zich tot de geciteerde zinnen uit de bijlage?

De leden van de CDA-fractie herhalen hun expliciete verzoek het rapport van eerste bevindingen onmiddellijk aan de Kamer te doen toekomen en zij wijzen erop dat dit verzoek ook reeds eerder vanuit de vaste commissie van Financiën gedaan is. Hetzelfde verzoek hebben deze leden met betrekking tot de reactie van de AP op de brief van de DG en het auditrapport waaruit zou blijken dat de dienst D&A AVG-compliant is. Kan de Staatssecretaris deze reactie van de AP, inclusief alle verdere correspondentie die er sindsdien over dit onderzoek is gedaan, en het auditrapport aan de Kamer doen toekomen?

Verder vragen de leden van de CDA-fractie of het bereiken van de basispositie betekent dat de dienst AVG-compliant is. Hoeveel mensen hebben al inzage gekregen in de persoonlijke data bij D&A? Op hoeveel werkplekken is het technisch onmogelijk gemaakt om data op een USB-stick te zetten? Vindt er op dit moment logging plaats van het al het exporteren van data naar een USB-stick (met of zonder autorisatie) of van andere vormen van exporteren van data?

Op eerdere vragen heeft de Staatssecretaris geantwoord: «De leden van CDA-fractie vragen ook of individuele analisten een data «check out» mogen doen naar een lokale omgeving. Individuele analisten mogen een «check out» doen naar een lokale omgeving. De handeling wordt gelogd en er is een procedure omheen beschreven voor een zorgvuldige omgang met de gegevens.»

De leden van de CDA-fractie vragen de Staatssecretaris naar aanleiding van dit antwoord hoe deze procedure eruit ziet en of het mogelijk is om de data na een «check out» verder te exporteren (via mail, USB of anders). Vindt daarop 100% logging plaats? Is het mogelijk een check out te doen naar plekken die niet beheerd worden door de Belastingdienst, of van waaruit het mogelijk is een nadere overdracht te doen naar een plaats die niet beheerd wordt door de Belastingdienst?

De leden van de CDA-fractie vinden het zeer opmerkelijk dat er na al het onderzoek naar datalekken en de debatten daarover geen lijst van meldingen van datalekken van D&A en haar rechtsvoorgangers voorhanden zou zijn. Dat zou alle onderzoeken echt valideren. Daarom ontvangen de leden van de CDA-fractie graag een overzicht van alle geconstateerde datalekken en alle gemelde datalekken sinds 2013.

Tot slot vragen de leden van de CDA-fractie naar de laatste informatie over wanneer de Belastingdienst volledig AVG-compliant zal zijn.

Vragen en opmerkingen van de leden van de fractie van D66

De leden van de D66-fractie hebben kennis genomen van de beantwoording van de vragen van de vaste commissie voor Financiën. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie vragen naar de stand van zaken bij de voorbereidingen voor het per 1 januari 2020 verstrekken van nieuwe btw-identificatienummers voor eenmanszaken en de realisatie van de factuurvariant.

De leden van de D66-fractie vragen per wanneer de beoordeling door de AP van de aanvullende technische verbetermaatregelen gereed is.

II Reactie van de Staatssecretaris

X Noot
1

Kamerstuk 34 993, nr. 1.

Naar boven