Verslag van een schriftelijk overleg : Inbreng van een verslag schriftelijk overleg over eindbrief van de Autoriteit Persoonsgegevens over het onderzoek naar de informatiebeveiliging bij Belastingdienst/Datafundamenten en Analytics (Kamerstuk 32761-150)

De vaste commissie voor Financiën heeft op 29 november 2019 een aantal vragen en opmerkingen
voorgelegd aan de Staatssecretaris van Financiën over zijn brief van 16 oktober 2019
inzake de eindbrief van de Autoriteit Persoonsgegevens over het onderzoek naar de
informatiebeveiliging bij de afdeling Datafundamenten en Analytics van de Belastingdienst
(Kamerstuk 32 761, nr. 150).

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de brief «Onderzoek van de AP
naar de informatiebeveiliging bij Belastingdienst/Datafundamenten en Analytics» en
zijn tevreden met het feit dat de Belastingdienst en de afdeling Datafundamenten &
Analytics (DF&A) volgens de Autoriteit Persoonsgegevens (AP) voldoende verbetermaatregelen
hebben getroffen ten behoeve van de eerder geconstateerde beveiligingsrisico’s. De
leden van de VVD-fractie hebben nog enkele vragen en opmerkingen.

De leden van de VVD-fractie hechten eraan te benadrukken dat de Belastingdienst dient
te voldoen aan de hoogste eisen voor wat betreft databescherming en de beveiliging
van de privacy van gevoelige gegevens van Nederlanders. Zij vragen het kabinet hier
blijvend aandacht aan te besteden.

De leden van de VVD-fractie vragen of de AP alleen heeft gekeken naar de eerder geconstateerde
beveiligingsrisico’s of dat DF&A in zijn geheel opnieuw is onderzocht op beveiligingsrisico’s.
Zo ja, wat is de uitkomst?

De leden van de VVD-fractie lezen dat exportdata nog steeds niet wordt gelogd. Op
welke manier kan in een register worden bijgehouden wie welke data heeft geëxporteerd?
Moeten medewerkers zelf aangeven welke data is geëxporteerd?

De leden van de VVD-fractie vragen of binnen de Belastingdienst de verbetermaatregelen
rond de geconstateerde gebreken breed aangepast zijn of dat dit alleen voor DF&A is
gebeurd.

Op basis waarvan wordt besloten om internetwebsites wel of niet goed te keuren?

De leden van de VVD-fractie vragen wie er binnen de Belastingdienst op toeziet dat
de getroffen verbetermaatregelen en periodieke herbeoordeling in de toekomst worden
gecontinueerd. Worden er nog «nazorgcontroles» gedaan door de AP? Zo ja, met welke
regelmaat? Zo nee, waarom niet?

De leden van de VVD-fractie lezen dat de Belastingdienst naar aanleiding van het onderzoek
van de Algemene Rekenkamer pas het mailen van DF&A naar buiten de Belastingdienst
onmogelijk heeft gemaakt. Hoe is de informatiebeveiliging op andere afdelingen binnen
de Belastingdienst? Kan op andere privacygevoelige afdelingen ook geen mail naar buiten
de Belastingdienst gemaild worden? Waarom wel/waarom niet?

De leden van de VVD-fractie vragen hoe de AP blijft monitoren of DF&A de verbetermaatregelen
voldoende continueert en hoe de AP toeziet op het naleven van de Algemene Verordening
Gegevensbescherming (AVG).

De leden van de VVD-fractie vragen om een uitputtende lijst van diensten of afdelingen
binnen de Belastingdienst die op dit moment nog niet voldoen aan de laatste privacywetgeving
zoals de AVG. Zij vragen daarnaast welke stappen de Belastingdienst zet om wel aan
deze wet- en regelgeving te voldoen en wanneer de Belastingdienst volledig «privacyproof»
zal zijn.

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie danken de Staatssecretaris en de AP voor de brief over
de informatiebeveiliging bij de broedkamer, die nu DF&A heet. Het is goed dat de verbetermaatregelen
genomen zijn en dat de AP niet langer overtredingen gevonden heeft.

Toch is hiermee wat de leden van de CDA-fractie betreft de zaak niet helemaal afgesloten.
Daarvoor waren de constateringen, die in de uitzending van Zembla naar boven kwamen,
te ernstig.

Graag willen de leden van de CDA-fractie weten welke maatregelen nu uiteindelijk genomen
zijn op personeel terrein en op institutioneel terrein.

Bij de tweede vraag willen de leden ook graag vernemen waar medewerkers problemen
met de AVG en privacy kunnen melden en hoe daarmee wordt omgegaan.

De leden van de CDA-fractie willen de Staatssecretaris wel op het hart drukken dat
de AVG niet betekent dat oude documenten (zoals memo’s en beleidsdocumenten) waarop
namen van ambtenaren staan vernietigd dienen te worden. Kan de Staatssecretaris bevestigen
dat dat niet gebeurt?

De leden van de CDA-fractie noemen dat DF&A een schat aan informatie heeft over elke
burger. Onder de AVG heeft elke burger ook het recht om die in te zien. Kan de Staatssecretaris
aangeven hoe een burger al die data op gemakkelijke wijze kan inzien? Nu kan hij namelijk
die data niet via de portal inzien.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie lezen in de brief van de AP dat zij afdoende vertrouwen
heeft in de door de Belastingdienst getroffen maatregelen om de in het verleden voorkomende
overtredingen niet langer te laten voortduren. Deze leden lezen tevens in deze brief
dat de AP audits gericht op informatiebeveiliging en periodieke herbeoordeling van
risico’s en maatregelen daartegen voorschrijft. Zij merken tevens op dat de Staatssecretaris
toezegt in zijn brief dat de Belastingdienst dit zal doen. Deze leden vragen de Staatssecretaris
hoe dit gestalte gaat krijgen en daarbij specifiek in te gaan op de frequentie en
omvang van de audits en tevens op de frequentie van herbeoordeling van risico’s binnen
DF&A. Tot slot vragen deze leden of de Staatssecretaris van zins is de AP en eventuele
andere onafhankelijke toezichthouders periodiek controle te laten uitvoeren om te
bezien of het vertrouwen dat in haar onderzoek is uitgesproken gerechtvaardigd blijkt.