Inbreng verslag schriftelijk overleg : Inbreng van een schriftelijk overleg over de reactie op verzoek commissie inzake onderzoek van de Autoriteit Persoonsgegevens naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst (Kamerstuk 32761-125)

De vaste commissie voor Financiën heeft op 1 november 2018 een aantal vragen en opmerkingen
voorgelegd aan de Staatssecretaris van Financiën over zijn brief van 28 september
2018 met het afschrift van de brief van de Autoriteit Persoonsgegevens (AP) over het
onderzoek naar de informatiebeveiliging bij de Broedkamer en de afdeling Data & Analytics
(D&A) van de Belastingdienst en van de reactie van de Staatssecretaris van Financiën
daarop (Kamerstuk 32 761, nr. 125).

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de reactie van de Belastingdienst
op het onderzoek van de AP bij de Belastingdienst. Zij hebben nog wel enkele vragen
en opmerkingen.

De leden van de VVD-fractie lezen dat de AP geen aanleiding ziet om een officieel
onderzoeksrapport uit te brengen, terwijl de Directeur-Generaal (DG) van de Belastingdienst
toegeeft dat het voor de Belastingdienst technisch onmogelijk is de privacy van de
Nederlanders volledig te waarborgen. Kan de Staatssecretaris de Kamer op de hoogte
brengen van de redenen van de AP om geen onderzoeksrapport uit te brengen?

De AP heeft geconstateerd dat er bij D&A ten aanzien van de verwerking van persoonsgegevens
tekortkomingen bestaan in de informatiebeveiliging. Dit baart de leden van de VVD-fractie
zorgen, aangezien dit niet alleen gevolgen heeft voor de privacy, maar ook voor de
inning van belastinggeld in het algemeen, alsook de cybersecurity van de Belastingdienst
in het algemeen. Herkent de Staatssecretaris zich in de zorgen van de leden van de
VVD-fractie? Of is de Staatssecretaris van mening dat de tekortkomingen met de maatregelen
zijn verholpen? Zo ja, hoe verklaart de Staatssecretaris dan de woorden van de DG
van de Belastingdienst dat het technisch onmogelijk is de privacy 100% te beveiligen/garanderen?
Zo nee, waarom niet?

De Belastingdienst geeft aan dat het technisch onmogelijk is om persoonsdata te beveiligen.
De leden van de VVD-fractie vragen zich af welke technische onmogelijkheden dit precies
zijn.

Verwacht de Staatssecretaris dat technische onmogelijkheden bij het beveiligen van
persoonsgegevens kunnen worden opgelost? Zo nee, waarom niet? Zo ja, welke stappen
moeten naast bovengenoemde nog gezet worden?

De leden van de VVD-fractie vragen of er tussen 2 oktober 2017 en oktober 2018 nog
casussen bekend zijn waarbij persoonsgegevens per e-mail of andere communicatiemiddelen
buiten de Belastingdienst terecht zijn gekomen.

De leden van de VVD-fractie vragen waarom het management van de Belastingdienst heeft
gewacht met het implementeren van aanvullende technische verbetermaatregelen terwijl
de gegevens en privacy van vele Nederlanders niet gegarandeerd konden worden. Was
de Staatssecretaris op de hoogte van de tekortkomingen? Zo ja, is de Staatssecretaris
het met deze leden eens dat de Kamer hierover geïnformeerd had moeten worden? Zo nee,
waarom niet?

De leden van de VVD-fractie vragen wat de Belastingdienst doet bij overtreding van
de procedures omtrent het schrijven van data op een USB-stick. Wie heeft er allemaal
toegang tot het genoemde register?

De leden van de VVD-fractie vragen hoeveel trainingen en bewustwordingssessies de
medewerkers van de Belastingdienst jaarlijks volgen. Wat wordt er zoal besproken wat
betreft de privacygegevens van Nederlanders en de veiligheid van gegevens van de Belastingdienst?

Sinds wanneer is de controle op «logging» binnen D&A operationeel? Heeft dit al geleid
tot het afgaan van «triggers»? Zo ja, wat is er vervolgens met deze signalen gebeurd?

De leden van de VVD-fractie vragen waarom de Belastingdienst heeft gekozen voor een
audit door interne auditors met betrekking tot de beveiligingsonderzoeken. Is de Staatssecretaris
het met deze leden eens dat dit lijkt alsof de slager zijn eigen vlees keurt? Hoe
staat de Staatssecretaris tegenover een audit door de Auditdienst Rijk?

De leden van de VVD-fractie vragen of de Staatssecretaris de Kamer kan informeren
over de voortgang met betrekking tot het voldoen aan de Algemene verordening gegevensbescherming
(AVG). Zal de gehele Belastingdienst, zoals eerder toegezegd door de Staatssecretaris,
eind 2018 voldoen aan een AVG-compliant situatie?

De Autoriteit Persoonsgegevens verwijst naar een aantal tekortkomingen in de naleving
van de AVG. Kan de Staatssecretaris de Kamer per tekortkoming informeren over de genomen
maatregelen om deze tekortkomingen te verhelpen?

De leden van de VVD-fractie merken op dat de Belastingdienst privacygegevens van Nederlanders
niet 100% kan beveiligen. Heeft de Belastingdienst wel 100% inzicht in de beschikbare
data?

De leden van de VVD-fractie constateren dat het onderzoek van de Autoriteit Persoonsgegevens
gericht was op de afdeling D&A van de Belastingdienst. Heeft de Belastingdienst de
maatregelen ter verbetering van de privacygegevens ook doorgevoerd op andere afdelingen?
Zo ja, op welke? Zo nee, kunnen de leden van de VVD-fractie hieruit concluderen dat
de andere afdelingen van de Belastingdienst de persoonsgegevens 100% kunnen beveiligen?

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie hebben met verbazing de brief van de Staatssecretaris
gelezen. Zij kunnen deze paragraaf niet plaatsen:

«De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen
uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging
bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen,
ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.»

Handhaaft de Staatssecretaris deze paragraaf in de brief of niet, zo vragen de leden
van de CDA-fractie.

De leden van de CDA-fractie verzoeken de Staatssecretaris ook het rapport van eerste
bevindingen aan de Kamer te doen toekomen, een verzoek dat zij overigens al meerdere
malen in de commissie gedaan hebben.

Ook zouden de leden van de CDA-fractie graag de reactie van de AP op de brief van
de DG ontvangen. Deze leden kunnen zich namelijk niet voorstellen dat de AP ook maar
in de verste verte gerust gesteld is door het antwoord van de Belastingdienst.

De reden is natuurlijk duidelijk. De brief van de DG van de Belastingdienst schetst
een onthutsend beeld van de verbeteringen. Is de Staatssecretaris bereid om alle toezeggingen
over de Broedkamer die zijn gedaan bij het debat over de Belastingdienst op 9 februari
2017, het algemeen overleg over de Herijking Investeringsagenda Belastingdienst van
25 oktober 2017 en de brief van 2 oktober 20171 op een rij te zetten en aan te geven of ze zijn opgevolgd?

De leden van de CDA-fractie zijn ook verbaasd dat D&A nu als AVG-compliant wordt beschouwd.
Graag ontvangen deze leden hiervan een auditrapport.

Indien er AVG-compliantie is, dan bestaat er natuurlijk ook inzagerecht en vergeetrecht
(immers niet alle data zijn noodzakelijk voor de primaire processen).

Is de Belastingdienst bereid om aan te geven waar een burger of bedrijf kan vragen
welke data D&A over hem/haar heeft en hoe hij/zij daar inzage in kan krijgen? Hoeveel
mensen hebben al inzage gekregen in de persoonlijke data bij D&A?

De leden van de CDA-fractie hebben ook nog een aantal specifieke vragen: Hoe is de
«werkplek van een medewerker» vormgegeven? Mogen individuele analisten een data «check
out» doen naar een lokale omgeving? Zo ja, kan die omgeving op een server zijn of
ook op desktop of een mobiel device? Welke exportfunctie van data is aanwezig en waarom
kan daarop nog steeds niet gelogd worden?

Waarom is het niet technisch onmogelijk gemaakt om data op een USB-stick te zeten?
Vindt er op dit moment logging plaats van het exporteren van data naar een USB-stick
(met of zonder autorisatie)?

Welke meldingen van gegevenslekken hebben de Broedkamer en haar rechtsopvolgers de
afgelopen vijf jaar gedaan? Kan de Staatssecretaris hiervan een overzicht geven?

Wat is het tijdspad voor pseudonimisering? Bestaat er algemene logging binnen de applicaties
van de Broedkamer, wie (naam en rugnummer), verricht welke handelingen (opdrachten/queries)
en benadert welke data? Zijn er ooit aanwijzingen gevonden dat er data naar buiten
de Belastingdienst is geëxporteerd, bijvoorbeeld bij de politie?

Hoe is op dit moment de logging van de export van data vanuit de brongegevens?

Tot slot vernemen de leden van de CDA-fractie graag welke vorderingen de Belastingdienst
in zijn algemeenheid heeft geboekt voor het bereiken van AVG compliantie.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie hebben kennisgenomen van de reactie op het onderzoek van
de AP bij de Belastingdienst. Deze leden vinden dat als er ergens goede persoonsbeveiliging
moet zijn, het wel bij de Belastingdienst is. Het baart deze leden zorgen dat in de
begeleidende brief aan de Kamer enkel wordt weergegeven dat de AP hetzelfde constateerde
als eerder onderzoek, maar dat niet de gelegenheid is genomen om de Kamer te informeren
over de stand van zaken met betrekking tot de grote privacyproblemen die het eerdere
onderzoek constateerde.

De leden van de SP-fractie nemen met zorg kennis van de brief van de AP, d.d. 3 juli
2018, en de reactie van het ministerie daarop, d.d. 19 september 2018. Uit de correspondentie,
alsmede de op 6 juni 2018 beantwoorde Kamervragen van het lid Omtzigt (2018Z08686) komen wat de leden van de SP-fractie betreft een aantal zorgelijke situaties naar
voren. Allereerst willen zij de Staatssecretaris erop wijzen dat persoonsgegevens
zeer lucratief kunnen zijn als die in verkeerde handen vallen. Het is zorgelijk dat
zo een belangrijke overheidsdienst als de Belastingdienst maar liefst een jaar de
tijd nodig heeft om aan de AVG te voldoen. Kan de Staatssecretaris aangeven of dit
nog steeds als haalbare termijn wordt gezien of is er inmiddels vertraging opgelopen
en zo ja, op welke onderdelen precies?

Allereerst maken de leden van de SP-fractie zich zorgen om het feit dat niet wordt
bijgehouden welke gegevens door medewerkers worden opgevraagd. Deze leden vragen de
Staatssecretaris wanneer de Belastingdienst kan garanderen dat gevoelige persoonsgegevens
niet buiten de systemen belanden. Voorgenoemde leden vinden het terecht dat bij gebrek
aan het kunnen aanpassen van autorisaties aan bewustwording wordt gedaan, maar zij
maken zich zorgen dat via mobiele devices nog altijd bijlagen kunnen worden opgeslagen.
Wat houden de genoemde sancties op kwaadwillende acties precies in? Hoe waterdicht
is het sanctieregime en is dat afdoende om te voorkomen dat er toch gegevens worden
opgeslagen en mogelijk de dienst onterecht verlaten? Is het bijvoorbeeld mogelijk
dat er via mobile devices bestanden gemaild kunnen worden naar buiten de dienst?

De leden van de SP-fractie hebben gezien dat de controle op de logging inmiddels operationeel
is en vragen de Staatssecretaris wat er bedoeld wordt met de acties die voortkomen
uit triggers die zijn vormgegeven. Kan de Staatssecretaris voorbeelden geven van wat
een trigger is en hoe er dan wordt opgetreden? Is het mogelijk dat er op papier goede
processen zijn beschreven, maar dat die in de praktijk niet opgevolgd worden? Hoe
wordt dit voorkomen?

Als het gaat om de autorisaties en toegangsrechten vragen de leden van de SP-fractie
of het mogelijk is dat een medewerker die de Belastingdienst verlaat toch nog maximaal
30 dagen toegang heeft, omdat eens per maand een volledige check wordt uitgevoerd.
Zou het niet beter zijn dat wanneer iemand uit dienst treedt of elders bij de Belastingdienst
gaat werken de autorisaties standaard betrokken worden en per direct worden omgezet?
Kan de Staatssecretaris daar hierop ingaan?

De leden van de SP-fractie vragen of de Staatssecretaris kan aangeven welke inschatting
wordt gemaakt van het pseudonimiseren waarvan blijkt dat de in de brief aan de Kamer
genoemde termijn niet gehaald wordt. Er wordt nu geen nieuwe termijn gegeven wanneer
dit gereed moet zijn, maar kan de Staatssecretaris toch een inschatting geven? Hoe
houdt de Staatssecretaris de Kamer en de AP op de hoogte van gereedkoming of verdere
vertraging?

De leden van de SP-fractie stellen vast dat in antwoord op vraag 12 van de eerder
genoemde Kamervragen (2018Z08686) wordt aangegeven dat op datamining en autorisatie verbetering nodig is. Er wordt
gesteld dat hier versneld aan gewerkt wordt. Deze leden willen graag weten wanneer
dit gereed is.

Tot slot willen de leden van de SP-fractie aan de Staatssecretaris vragen hoe hij
oordeelt over het feit dat de door de AP geconstateerde tekortkomingen die in de eerste
onderzoeksperiode bekend, maar «voor lief» genomen werden met als intentie die in
de tweede onderzoeksperiode op te lossen, niet opgelost waren in die tweede periode.
Is het mogelijk dat er nu privacy-risico’s «voor lief» worden genomen met als voornemen
deze risico’s bij een nieuwe fase op te lossen? Zo ja, hoe voorkomt de Belastingdienst
dat dit weer bij een goed voornemen blijft maar niet daadwerkelijk wordt opgelost
als er met een nieuwe ICT-omgeving gewerkt gaat worden?