Brief regering : Nadere toelichting USB Belastingdienst gebruik naar aanleiding van NRC artikel

Nr. 1236
BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 23 mei 2023

Naar aanleiding van de NRC van 19 mei jl. waarin wordt aangegeven dat er nog veel
gebruik wordt gemaakt van USB sticks binnen de Belastingdienst, wil ik u hierover
nader informeren.

Ik begrijp dat het artikel vragen oproept over het huidige beleid rond (ontheffingen)
van USB-sticks. In deze brief ga ik in op het huidige gebruik van USB ontheffingen
binnen de Belastingdienst.

Beleid ten aanzien van USB-ontheffingen

Het beleid van de Belastingdienst met betrekking tot USB-ontheffingen houdt concreet
in dat standaard alle USB-poorten van Belastingdienst laptops niet gebruikt kunnen
worden, tenzij een ontheffing is verleend voor het gebruik van een USB-poort, zodat
een (beveiligde) USB aangesloten kan worden op de poort. Er wordt dus standaard geen
toegang verleend, tenzij er een ontheffing is. Voor een ontheffing is toestemming
van het management nodig. Daarnaast vindt tweedelijns centraal toezicht plaats door
de Chief Information Security Officer (CISO). Ik zal hieronder ingaan op de ontheffingen
bij de Belastingdienst ten aanzien van 3 verschillende onderdelen van de Belastingdienst:
Toezicht, overige processen en data-analyse.

Er zijn verschillende situaties bij data-analyse en toezicht, omdat data-analisten
vanuit de aard van hun werk toegang hebben tot heel veel (gecombineerde) informatie
over burgers en bedrijven. Medewerkers werkzaam in de zogenaamde bedrijfsvoering (onder
andere inkoop, IV, facilitaire dienstverlening, beleidsprocessen) hebben geen toegang
tot de (fiscale) gegevens van burgers en bedrijven. Daarom is er ook verschil in het
beleid.

Overdracht van gegevens in toezichtprocessen

In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven,
is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde
Belastingdienst File Transfer en als dat niet mogelijk is, gebruik te maken van e-mail1. Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden
toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht
moet komen of de organisatie waar de informatie ligt), niet aangesloten is op het
internet (zoals bijvoorbeeld bepaalde kassasystemen). In dat geval mogen controlemedewerkers
en EDP-auditspecialisten werkzaam in het toezichtproces, gebruik maken van een USB-apparaat
voor het overdragen van de informatie 2. Data die op de USB-stick staat is automatisch versleuteld met een wachtwoord en
is niet zonder dit wachtwoord leesbaar. Het kan ook voorkomen dat gegevens van de
Belastingdienst gedeeld worden met organisaties wanneer er geen koppeling van systemen
bestaat. Zoals bij Kadaster, in dat geval vond in het kader van de uitvoering van
de sanctiewetgeving de eenmalige uitwisseling plaats via een USB-stick waarbij de
data versleuteld was met een wachtwoord.

Overdracht van gegevens in overige processen

Voor de overige processen is niet vooraf bepaald welke type functionarissen gebruik
mogen maken van een USB-ontheffing. Dat valt onder de verantwoordelijkheid van het
management. Dat is de plek waar het beste de inschatting gemaakt kan worden over noodzaak
en de risico’s. In alle gevallen behoort het management periodiek de noodzaak voor
de toegekende ontheffing te beoordelen en deze in te laten trekken als de noodzaak
niet langer daar is. Met de extra waarborg dat toegekende ontheffingen niet meegenomen
kunnen worden als de medewerker een andere functie gaat vervullen, is de ontheffing
voor USB-gebruik opgenomen in het autorisatieproces van de Belastingdienst. Hierdoor
wordt gegarandeerd dat de huidige autorisaties ingetrokken worden, waaronder ook de
USB-ontheffing.

Overdracht van gegevens in data-analyse processen bij DF&A

Uw Kamer is in 2017, naar aanleiding van Zembla, meerdere keren geïnformeerd over
het gebruik van USB-sticks bij de Broedkamer en de toenmalige directie Data Analytics
(D&A). Om die reden heeft mijn ambtsvoorganger in 2017 maatregelen ingevoerd bij D&A
om de beveiliging van de gegevens daar te verbeteren. De Broedkamer en D&A bestaan
na verschillende reorganisaties niet meer.

Momenteel is de directie Datafundamenten en Analytics (DF&A) verantwoordelijk voor
het analyseren van gegevens en verwerkingen hiervan in dashboards en analyses. Bij
DF&A zijn geen USB-ontheffingen aanwezig. Dit is overeenkomstig de Kamerbrief uit
2017. Een tijdelijk USB gebruik is wel mogelijk. Hiervoor heeft DF&A een procedure
ingericht. USB gebruik kan alleen afgegeven worden na goedkeuring van de Business
Security Officer. Daarnaast wordt een vier-ogen principe toegepast voor gebruik. Dat
betekent dat twee medewerkers aanwezig zijn bij het gebruik van de USB. Direct na
het gebruik wordt de USB-ontheffing weer ingetrokken. Dit is sinds 2017 één keer voorgekomen.
Bij DF&A wordt maandelijks gecontroleerd dat geen sprake is van USB- ontheffingen.

Toezicht op ontheffing voor gebruik USB-sticks

Op het proces van ontheffing voor het gebruik van USB sticks vindt in twee lijnen
toezicht plaats. De eerste lijn door de BSO van de directie waar het ontheffing plaatsvindt.
Daarnaast vindt tweedelijns centraal toezicht plaats door de Chief Information Security
Officer (CISO). Bij de directies van de Belastingdienst zal een controle uitgevoerd
worden op de uitgegevens autorisaties om te bezien of die nog allen noodzakelijk zijn.
De Belastingdienst zal daarnaast een extra controle uit gaan voeren in het tweedelijns
toezicht waarbij meer risicogericht gekeken zal worden naar de naleving van het autorisatieproces.
Ik zal uw Kamer in de stand van zakenbrief, die ik voor het commissiedebat Belastingdienst
aan uw Kamer zal sturen, informeren over de uitkomsten hiervan.

Huidig aantal ontheffingen

Het huidige aantal ontheffingen is onder te verdelen in de volgende categorieën: toezicht
proces en overige onderdelen. Daarbij is ook onderscheid gemaakt tussen ontheffingen
om te kunnen lezen en schrijven van en naar een USB-apparaat en ontheffingen waarmee
alleen de informatie gelezen kan worden die op een USB-apparaat opgeslagen is. Bij
schrijfrechten kan de informatie op de USB-stick dus ook bewerkt worden.

Uitgesplitst naar directies levert dat het volgende beeld op (22 mei 2023, uit IMS
het systeem met alle autorisaties van Belastingdienstmedewerkers):

– Toezicht (MKB en GO): 189 schrijven; 226 lezen

– FIOD: 442 schrijven; 10 lezen

– CFD: 191 schrijven; 1 lezen

– IV: 106 schrijven; 2 lezen

– Bedrijfsvoering: 31 schrijven; 4 lezen

De processen van de directie DF&A zijn hier niet in opgenomen omdat er daar, zoals
hierboven al is aangegeven, geen permanente ontheffingen voor data-analyse aanwezig
zijn.

Voor wat betreft de schrijfontheffing van de FIOD rechercheurs wil ik het volgende
opmerken: de uitwisseling van informatie bij medewerkers van FIOD is voorzien van
strikte waarborgen. Immers alle informatie maakt deel uit van een strafrechtelijk
onderzoek en wordt beschouwd en behandeld als bewijsmateriaal. Daarbij hebben de rechercheurs
alleen toegang tot de informatie van het onderzoek waar zij aan verbonden zijn. Daarnaast
is de Wet politiegegevens (WPG) van toepassing die striktere waarborgen vereist met
betrekking tot de verwerking van informatie.

Onderzoek gebruik USB-ontheffing

Ik begrijp de vragen over het gebruik van USB’s. USB-ontheffingen zijn direct gekoppeld
aan belangrijke werkzaamheden bij zowel het toezicht proces als de bedrijfsvoering.
Dit is alleen een alternatief als andere vormen van bestandsuitwisseling niet geschikt
zijn. De Belastingdienst is zich daarbij bewust van de risico’s. Het grootste risico
op een datalek zit in de toezicht processen, immers wordt daar gewerkt met (persoonsgebonden)
informatie die onder de fiscale geheimhouding valt. Ik heb de Belastingdienst gevraagd
om onderzoek te doen naar de noodzaak van het gebruik van de USB-ontheffing en te
bezien of het noodzakelijk is om het beleid rondom USB ontheffingen aan te scherpen.
In de stand van zakenbrief die ik voor het commissiedebat Belastingdienst aan uw Kamer
zal sturen, zal ik uw Kamer informeren over de uitkomsten hiervan.

Situatie 2017

Het artikel van NRC trekt onder andere een vergelijking met de situatie in 2017. Toen
is uw Kamer, naar aanleiding van vragen van Zembla, meerdere keren geïnformeerd over
het gebruik van USB-sticks bij de Broedkamer en de toenmalige directie Data Analytics
(D&A). Een van de vragen die uit het artikel opkomt is of, en zo ja waarom de Tweede
Kamer in 2017 onvoldoende geïnformeerd is over nieuwe informatie over de hoeveelheid
USB-ontheffingen. Ik doe een uiterste poging om alsnog het USB-ontheffing beleid te
reconstrueren of te laten reconstrueren. Ik zal uw Kamer hier in september gedetailleerd
over informeren.

De Staatssecretaris van Financiën,
M.L.A. van Rij