Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de informatiehuishouding Belastingdienst en Toeslagen (o.a. Kamerstuk 29362-327)
31 066 Belastingdienst
Nr. 1280
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Vastgesteld 11 september 2023
De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd
aan de Minister en Staatssecretarissen van Financiën over
− de brief van 22 mei 2023 inzake het rapport Archiefwet naar aanleiding van RTL berichtgeving
(Kamerstuk 29 362, nr. 327),
− de brief van 23 mei 2023 inzake Nadere toelichting USB Belastingdienst gebruik naar
aanleiding van NRC artikel (Kamerstuk 33 061, nr. 1236),
− de brief van 1 juni 2023 inzake toezeggingen, gedaan tijdens het debat van 23 mei
2023, over de opvolging van het rapport «Ongekend onrecht» (Kamerstuk 35 510, nr. 132),
− De brief van 5 juni 2023 inzake nazending beslisnota's bij de Kamerbrief «Nadere toelichting
USB Belastingdienst gebruik naar aanleiding van NRC artikel».
De vragen en opmerkingen zijn op 21 juni 2023 aan de Minister en Staatssecretarissen
van Financiën voorgelegd. Bij brief van 31 augustus 2023 zijn de vragen beantwoord.
De voorzitter van de commissie, Tielen
De adjunct-griffier van de commissie, Meijerink
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de brieven van de bewindspersonen
en hebben enkele vragen en opmerkingen. Deze leden hechten veel waarde aan een juiste
en adequate informatievoorziening voor de rijksoverheid en specifiek voor het Ministerie
van Financiën en de Belastingdienst. Bij de Belastingdienst gaat veel privacygevoelige
informatie rond van onze inwoners en ondernemers. Deze leden vinden het van uitermate
groot belang dat de Dienst daar zeer zorgvuldig mee omgaat en dat dit niet zomaar
op straat komen te liggen of in het criminele circuit terecht komt. Deze leden roepen
de bewindspersonen op hier streng op toe te zien.
De leden van de VVD-fractie zien uit naar de volgende brieven over deze casus die
nog voor het zomerreces en in september naar de Kamer worden gestuurd. Deze leden
zullen dan ook ingaan op deze problematiek.
De leden van de VVD-fractie vragen of andere vormen van data-uitwisseling op dit moment mogelijk zijn zoals online applicaties, dus naast het gebruik
van (fysieke) USB-sticks. Bijvoorbeeld, maar niet uitsluitend, Google-docs, WeTransfer
of Dropbox? Zijn de systemen van de Belastingdienst zo ingericht dat het gebruik deze
applicaties (of door middel van een work-around) niet mogelijk zijn? Graag een reactie.
Verder kijken deze leden uit naar het nog te ontvangen onderzoek over het gebruik
van de USB-ontheffing.
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met ongenoegen kennisgenomen van de berichtgeving
over de eerdere gebreken in de gegevensbescherming bij de Belastingdienst. Deze leden
hebben eerder bij het commissiedebat over de Fraudesignaleringsvoorziening op 25 mei
2023 stilgestaan bij onderhavige stukken. Zij geven de Staatssecretaris graag de gelegenheid
om nu ook schriftelijk te reageren op hun vragen.
De leden van de D66-fractie vragen hoe de Staatssecretaris ervoor zorgt dat processen
waarbij concrete aanwijzingen zijn dat de gegevensbescherming niet geborgd is meteen
stop worden gezet. Welke processen heeft de Staatssecretaris het afgelopen jaar om
die reden onderbroken? Hoe informeert de Staatssecretaris de Kamer hierover? Hoe zorgt
de Staatssecretaris ervoor dat de noodzaak hiervan in de hele Dienst doorleefd wordt?
De leden van de D66-fractie zijn van mening dat een overheid grote verantwoordelijkheid
heeft in hoe zij omgaat met de persoonsgegevens van haar burgers. Zij kijken uit naar
de aanhoudende inzet van de Staatssecretaris op dit gebied.
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de stukken inzake informatiehuishouding.
Ten aanzien van het rapport Archiefwet merken de leden van de CDA-fractie op dat zij
uitzien naar de brief over informatiehuishouding en -voorziening, waarin ook zal worden
ingegaan op het rapport Archiefwet. Deze leden lezen verder dat halfjaarlijks aan
de Kamer wordt gerapporteerd over het interdepartementale programma Open Overheid,
maar dat binnen het Ministerie van Financiën dit programma is gespiegeld met het programma
Informatie op Orde 2021–2026, dat de voortgang monitort en maandelijks rapporteert
aan de bestuursraad van het Ministerie van Financiën. Zij vragen hoe de rapportage
over het departementale programma samenhangt met de halfjaarlijkse rapportage over
het interdepartementale programma en of de bestuursraad ook eerder kan rapporteren
bij opvallende zaken.
Met betrekking tot de brief met nadere toelichting over USB Belastingdienst vragen
de leden van de CDA-fractie allereerst of er geen veiligere methodes voor digitale
informatie-uitwisseling zijn, waarbij gebruik van de data ook beperkt of gecontroleerd
kan worden, dan met een USB-stick.
Bij de overdracht van gegevens in overige processen lezen de leden van de CDA-fractie
dat het management periodiek de noodzaak voor de toegekende ontheffing behoort te
beoordelen en deze in te laten trekken als de noodzaak niet langer daar is. Zij vragen
wat periodiek betekent en hoe structureel dit wordt toegepast. Ook lezen zij dat toegekende
ontheffingen niet meegenomen kunnen worden als de medewerker een andere functie gaat
vervullen. Zij vragen of in praktijk wordt gecontroleerd of de medewerker de USB-stick
ook inlevert.
Bij het toezicht op ontheffing lezen de leden van de CDA-fractie dat bij de directies
van de Belastingdienst een controle uitgevoerd zal worden op de uitgegeven autorisaties
om te bezien of die nog allen noodzakelijk zijn. Zij vragen of dit dan niet standaard
al periodiek gebeurt, of dat alleen wordt gecontroleerd bij verlenen van de ontheffing.
Bij het huidige aantal ontheffingen lezen de leden dat IV en bedrijfsvoering ook een
aanzienlijk aantal ontheffingen hebben. Eerder in de brief zagen zij dat deze onderdelen
geen toegang hebben tot de (fiscale) gegevens van burgers en bedrijven. Zij vragen
welke informatie zij dan wel via de USB-sticks krijgen voor het uitvoeren van hun
werkzaamheden.
Vragen en opmerkingen van de leden van de SP-fractie
De leden van de SP-fractie lezen met verbazing in het NRC-artikel van 19 mei jl. dat
medewerkers van de Belastingdienst na het onwettig verklaren van de Fraude Signalering
Voorziening (FSV)-lijst deze nog steeds gebruiken, en dat informatie uit de FSV-lijsten
ook in andere systemen van de Dienst is gevonden. Kunnen de bewindspersonen uitleggen
waarom binnen de Belastingdienst niet beseft wordt dat het gebruik van FSV en aanverwante
werkwijzen niet meer kunnen? De leden van de SP-fractie vinden het niet uit te leggen
dat binnen de Belastingdienst de cultuur heerst dat er gewerkt kan worden met gegevens
die leidden tot:
– het vermorzelen van vele gezinnen in het toeslagenschandaal;
– het aftreden van een kabinet;
– de reflectie van rechterlijke macht inclusief de Raad van State;
– een hersteloperatie die inmiddels 7 miljard mag kosten; en
– megaboetes aan de Belastingdienst vanwege het gebruik van verkeerde gegevens, het
schenden van de privacy van mensen en discriminerende algoritmen.
Kunnen de bewindspersonen uitleggen waarom binnen de Belastingdienst gedacht wordt
dat dit alles niet relevant is voor de werkzaamheden van de Belastingdienst?
De leden van de SP willen graag weten of het werken met FSV-lijsten kan worden gezien
als plichtsverzuim om integer te handelen. Zo nee, waarom niet? Zo ja, wat gaat er
gebeuren?
De leden van de SP-fractie kunnen vele nodige vragen stellen, maar vragen of de bewindspersonen
het belangrijk vinden dat de Belastingdienst wettig handelt. En als dit het geval
is, waarom dan nog altijd niet is doorgedrongen dat de handelwijze van de Belastingdienst
als het gaat om fraude-opsporing, de omgang met persoonsgegevens enzovoorts in strijd
is met het recht. Waarom accepteren de bewindspersonen dat de leiding van de Belastingdienst
geen orde op zaken heeft gesteld? Zijn zij het met de leden van de SP-fractie eens
dat dit riekt naar werkweigering?
Vragen en opmerkingen van het lid Omtzigt
Het lid Omtzigt wenst een aantal opmerkingen te maken over de brief over de USB-sticks.
Dit lid merkt als eerste op dat het probleem door de regering opnieuw wordt gebagatelliseerd.
Het artikel «Zo werd de Belastingdienst een veelpleger in het misbruik van persoonsgegevens»
(NRC, 19 mei 2023), raakt in de ogen van het lid Omtzigt het hart van de rechtsstaat.
De Belastingdienst heeft vergaande bevoegdheden. Het heffen en innen van belasting
wordt niet door iedereen als iets leuks gezien en grijpt diep in bij gezinnen en bedrijven.
Het is van groot belang dat juist de Belastingdienst zich aan de wet houdt en dat
de regering de Kamer nauwgezet informeert als er problemen zijn bij de Belastingdienst.
Als ook maar de helft van het artikel klopt, is er op beide punten een groot probleem,
merkt dit lid voorzichtig op.
De Algemene Verordening Gegevensbescherming (AVG) wordt vaak belachelijk gemaakt omdat
het voetbalclubs en scholen beperkt in het openbaar maken van foto’s en namenlijsten.
Maar de AVG is er juist voor bedoeld om de meest gevoelige persoonsgegevens goed te
beschermen. En de meest gevoelige persoonsgegevens bevinden zich bij de Belastingdienst
en in het elektronische patiëntendossier. Dat zijn de plekken die goed beschermd moeten
zijn.
Het lid Omtzigt wil een aantal zeer precieze vragen stellen over het artikel en heeft
daar een goede reden voor. In mei 2018, vlak voor het ingaan van de AVG stelde hij
als CDA-Kamerlid deze vraag: «Op welk moment zal de Belastingdienst volledig voldoen
aan de AVG?». Hij kreeg toen als antwoord: «De Belastingdienst heeft in het traject
voor implementatie van de AVG een aantal tekortkomingen in de naleving geconstateerd.
In de antwoorden op vraag 5 en 12 worden deze toegelicht. Er zijn al verschillende
maatregelen genomen om deze te weg te nemen, maar een aantal maatregelen moet nog
uitgevoerd worden. Op het moment dat de nu voorziene maatregelen gerealiseerd zijn,
kan gezegd worden dat de Belastingdienst voldoet aan de AVG. Het streven is deze situatie
binnen een jaar (gerekend vanaf 25 mei jl.) te bereiken» (Aanhangsel Handelingen,
vergaderjaar 2017/2018, nr. 2345).
Sindsdien heeft het lid Omtzigt regelmatig vragen gesteld. Hij constateert nu dat
slechts een klein deel van de problemen gemeld is aan de Kamer en dat de deadline
voor het voldoen aan de AVG nu verschoven is naar ergens rond 2027. Dat is na deze
kabinetsperiode. Overigens is het niet uitgesloten dat die deadline dan weer verder
verschuift.
Eigenlijk zou het lid Omtzigt een algemene uitleg willen vragen wat er precies aan
de hand is en welke dingen niet gemeld zijn de afgelopen jaren. Dit lid heeft echter
weinig vertrouwen dat de bewindspersonen dit spontaan zullen doen. Daarom vraagt hij
om te beginnen of de bewindspersonen de volgende documenten aan de Kamer kunnen doen
toekomen en van een context kunnen voorzien:
1. De mail die alle topambtenaren van de Belastingdienst kregen op 10 februari 2017 en
de mail waarin staat dat: «Uit een afgelopen week uitgevoerde inventarisatie is [...]
gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.»; en
2. de memo’s over RAM en «database auto», die de top van Belastingdienst en/of de politieke
top bereikt hebben sinds 2015.
USB-sticks
Het lid Omtzigt verzoekt het kabinet heel precies uit te zoeken wat het beleid en
wat de uitvoering was van dat beleid tussen 2015 en nu. Hij verwelkomt het aangekondigde
onderzoek, maar maakt zich wel zorgen om de onzekerheid die in de tekst staat. Vanaf
het allereerste moment wisten de regering en de Belastingdienst welke problemen er
waren. In 2017 was de Autoriteit Persoonsgegevens (AP) een onderzoek begonnen met
de Broedkamer/Data en Analytics. Er werden toen drie tekortkomingen geconstateerd.
In het rapport van 2019, waarin de AP opmerkt dat de problemen min of meer naar tevredenheid
zijn opgelost, merkt de AP op:
«De AP heeft in haar eerste onderzoek betreffende drie beveiligingsaspecten geconstateerd
dat deze niet in orde waren, te weten:
1. Het ontbreken van de logging van de drie activiteiten:
a. export van data vanuit de brongegevens naar de werkplek van een medewerker;
b. het schrijven van data op een usb-stick; en
c. het opslaan van bijlagen op mobile devices.
2. De controle op de logging. Voor een deel van de logging vond er in zijn geheel geen
periodieke controle plaats, omdat deze logging niet was aangesloten op het systeem
waar actieve monitoring plaatsvindt. Voor het e-mailverkeer van DF&A dat wel was aangesloten
op dit systeem bestond er geen periodieke controle van data die via e-mail buiten
de Belastingdienst werd gebracht.
3. Het verwijderen/intrekken van autorisaties van medewerkers of extern ingehuurde medewerkers
na uitdiensttreding én het verlenen van te ruime toegangsrechten aan de D&A medewerkers
waardoor deze toegang hadden tot data die niet noodzakelijk was om hun werk uit te
voeren.»
De Belastingdienst wist dus ontzettend goed aan welke randvoorwaarden voldaan moest
worden voor het gebruik van USB-sticks. Die randvoorwaarden zijn streng, omdat er
maar één ambtenaar hoeft te zijn die misbruik maakt. Die kan de hele FSV-lijst of
andere stukken kopiëren op een USB-stick en extern gebruiken/verkopen. Dit is geen
fictie, want de FSV-lijst is meerdere keren voor het gemak gekopieerd (niet om te
verkopen) en dat betekent dat hij nog steeds in de Belastingdienst rondzwerft. Het
lid Omtzigt heeft dan ook twee vragen: hoe is vanaf 2019 geborgd dat de Belastingdienst
aan deze voorwaarden zou voldoen (en is dat wel geborgd op de een of andere manier
en zo ja, op welke manier) en in welke mate is er niet voldaan aan de drie voorwaarden?
Als er echt duizenden ontheffingen geweest zijn (en nog steeds duizenden zijn) is
er sprake van een datalek. Is dat datalek gemeld aan de Autoriteit Persoonsgegevens
(AP), vraagt het lid Omtzigt aan het kabinet.
FSV en deelextracties
Op dit onderdeel heeft het lid Omtzigt twee vragen. Er waren zeker 25 extracties of
deelextracties van FSV gevonden: zijn die allemaal gewist, en zo ja wanneer? En is
al duidelijk waar die data van de deelextracties allemaal terecht gekomen is?
Vergelijkbare systemen
Bij de Belastingdienst bestonden zeker rond de 100 andere lijsten met risicosignalen.
In 2020 is toegezegd onderzoek te doen naar die lijsten. Het lid Omtzigt verneemt
graag van het kabinet wie welke onderzoeksvraag gaat beantwoorden en wanneer duidelijkheid
gegeven zal worden over deze vergelijkbare lijsten.
RAM
Het lid Omtzigt begrijpt uit het NRC dat RAM een uitgebreide database was die binnen
de Belastingdienst gebruikt is. Hij verbaast zich erover dat de Kamer daar de afgelopen
jaren nooit over geïnformeerd is. Het lid Omtzigt verzoekt het kabinet uitgebreid
te beschrijven wat de database was. In dat licht heeft hij de volgende vragen:
1. Van wanneer tot wanneer was de database RAM in gebruik?
2. Van wanneer tot wanneer was de afgeslankte vorm van RAM in gebruik?
3. Welke deel van de data was nog toegankelijk na het uitzetten?
4. Hoeveel mensen hadden toegang tot de database toen hij volledig in gebruik was?
5. Welke gegevens van mensen stonden opgeslagen in RAM (bijvoorbeeld via de deeldatabases
zoals kern sofa)?
6. Welke GBEB’s/DPIA’s zijn er gemaakt van RAM? Kan het kabinet die met de Kamer delen?
7. Stond RAM op beveiligde servers?
8. Wie konden data downloaden op USB-sticks, wanneer en is dat via logging bijgehouden?
9. Wie waren de afnemers van RAM?
10. Wil het kabinet de Kamer voorzien van alle andere relevante informatie die gemeld
moet worden?
Het komt het lid Omtzigt voor dat RAM een mega datalek is, dat gemeld had moeten worden
aan de Kamer. Kan het kabinet aangeven waarom dit niet gedaan is? Meer in zijn algemeenheid
wil het lid Omtzigt opmerken dat hij van een nieuwe bestuurscultuur bij het kabinet
helemaal niets merkt en hij verzoekt het kabinet volledig schoon schip te maken met
het melden hoe het werkelijk zit met databases, zwarte lijsten en meer.
Database auto
Tenslotte op dit punt, ontvangt het lid Omtzigt graag langs dezelfde lijnen als hierboven
gevraagd voor de database RAM een volledige beschrijving van de database auto.
Opmerkingen van het lid Omtzigt over «Toezeggingen, gedaan tijdens het debat van 23 mei
2023, over de opvolging van het rapport «Ongekend onrecht»»
Het lid Omtzigt heeft de bijlagen doorgenomen die bij mail A.10.60 horen en heeft
daarover een aantal specifieke vragen:
1. Klopt het dat de medewerker die de mail van appendix 10.68 verstuurd heeft geen medewerking
heeft gegeven/geweigerd heeft deel te nemen aan het horen? Kan het kabinet dit onderdeel
toelichten?
2. Klopt het dat op haar initiatief haar dossier en daarin de mails vernietigd zijn?
3. Zijn deze terug te halen door ICT bij de Belastingdienst? Wil het kabinet dat proberen?
4. Klopt het dat deze medewerker nog op een soortgelijke positie werkzaam is bij de Belastingdienst?
5. Klopt het dat de gesprekken hebben plaatsgevonden in een niet-constructieve/vijandige
sfeer over de CAF 11-gedupeerden (in ieder geval niet gericht op een oplossing)?
6. Klopt het dat een deel van de correspondentie van deze medewerkster onder de mail
d.d. 5 juni 2019 aan de secretaresse van de toenmalige Staatssecretaris hangt?
Het lid Omtzigt ontvangt ook graag de bijlagen bij A.10.70 om een compleet beeld te
krijgen. Zijn beeld hier is echter wel: de ambtenaar, die contact had met mevrouw
González Pérez om tot een oplossing te komen in de CAF-11 zaak, beweert herhaaldelijk
dat de directeur-generaal Belastingdienst en de Staatssecretaris op de hoogte gehouden
zijn van dit dossier. Deze medewerker was lid van het MT Belastingdienst. Echter:
deze medewerker heeft niet meegewerkt aan het Deloitte-rapport en heeft documenten
gewist. Desondanks is deze medewerker nog steeds werkzaam bij de Belastingdienst.
Kan het kabinet aangeven of er fouten zitten in de redenering hierboven?
Is het kabinet bereid om na te gaan wat er klopt van de herhaaldelijke beweringen
dat de politieke en ambtelijke top op de hoogte gehouden zijn van elke stap in het
CAF 11-dossier?
II Reactie van de Staatssecretaris van Financiën
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de brieven van de bewindspersonen
en hebben enkele vragen en opmerkingen.
Vraag 1
De leden van de VVD-fractie vragen of andere vormen van data-uitwisseling op dit moment mogelijk zijn zoals online applicaties, dus naast het gebruik
van (fysieke) USB-sticks. Bijvoorbeeld, maar niet uitsluitend, Google-docs, WeTransfer
of Dropbox? Zijn de systemen van de Belastingdienst zo ingericht dat het gebruik deze
applicaties (of door middel van een work-around) niet mogelijk zijn? Graag een reactie.
Antwoord 1
Toegang tot internet is voor de medewerkers van de Belastingdienst en Dienst Toeslagen
gereguleerd op basis van een zogenaamde «ontzeggingslijst». Deze lijst werkt op basis
van categorieën van diensten die niet benaderd mogen worden door medewerkers. Voorbeelden
van categorieën zijn «online gokdiensten», «wapens en geweld», «erotiek», «bestandsuitwisseling»
en «online e-mail». Websites die in één (of meerdere) van die categorieën vallen,
geven de foutmelding «U bent niet geautoriseerd om deze website te bezoeken». Om het
– al dan niet per ongeluk – lekken van informatie naar buiten de Belastingdienst en
Dienst Toeslagen te voorkomen, zijn dus ook de websites geblokkeerd die informatie-uitwisselingsdiensten
aanbieden waaronder de in de vraag genoemde voorbeelden. Voor een veilige uitwisseling
van gegevens met bedrijven, maakt de Belastingdienst gebruik van de zogenaamde «Belastingdienst
Filetransfer» (BFT) Dat is een standaard product van één van de leveranciers van de
Belastingdienst waarbij de gegevens binnen het eigen datacenter van de Belastingdienst
blijven. Bij gebruik van de BFT wordt gelogd welke bestanden verzonden of ontvangen
zijn en aan wie het bestand verzonden is of van wie het bestand ontvangen is. De systemen
van de Belastingdienst zijn zo ingericht dat data-uitwisseling via online applicaties
niet mogelijk is.
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met ongenoegen kennisgenomen van de berichtgeving
over de eerdere gebreken in de gegevensbescherming bij de Belastingdienst.
Vraag 2
De leden van de D66-fractie vragen hoe de Staatssecretaris ervoor zorgt dat processen
waarbij concrete aanwijzingen zijn dat de gegevensbescherming niet geborgd is meteen
stop worden gezet. Welke processen heeft de Staatssecretaris het afgelopen jaar om
die reden onderbroken? Hoe informeert de Staatssecretaris de Kamer hierover? Hoe zorgt
de Staatssecretaris ervoor dat de noodzaak hiervan in de hele Dienst doorleefd wordt?
Antwoord 2
De Belastingdienst verwerkt voor de uitvoering van zijn taken persoonsgegevens waarop
de Algemene verordening gegevensbescherming (AVG) of de Wet politiegegevens (Wpg)
van toepassing kunnen zijn. De Wpg schrijft periodieke audits voor op de naleving
van de Wpg, onder andere door de werkgevers van buitengewone opsporingsambtenaren
(BOA's). Ook bij de Belastingdienst werken BOA's. Naar aanleiding van de uitkomsten
van de uitgevoerde privacy audit bij Bureau Economische Handhaving (BEH) van de directie
Grote ondernemingen van de Belastingdienst zijn de medewerkers van BEH volledig ingezet
op het uitvoeren van verbetermaatregelen. Hier heb ik uw Kamer op 30 januari 2023
over geïnformeerd1. Door de inzet van deze medewerkers op de verbetermaatregelen zijn deze medewerkers
niet werkzaam geweest in de processen.
Daarnaast heb ik in de Stand-van-zakenbrief (Kamerstuk 31 066, nr. 1276), waarmee ik deze beantwoording heb aangeboden, aangegeven dat, naar aanleiding van
de privacy audit voor andere onderdelen van de Belastingdienst waar BOA’s werken die
onder de Wpg vallen, de Belastingdienst heeft besloten de werkzaamheden van de BOA’s
gedeeltelijk op te schorten. In deze periode wordt geen ondersteuning door BOA’s geleverd
aan nieuwe strafrechtelijke onderzoeken, bijvoorbeeld met betrekking tot (omissie)delicten
uit de AWR of strafbare feiten zoals valsheid in geschrifte ex artikel 225 Wetboek
van Strafrecht.
Zoals eerder gemeld aan de Kamer2 zet de Belastingdienst, als er concrete aanwijzingen zijn dat de gegevensbescherming
niet goed is geborgd, een verbeterproces in. Dit betekent dat we verwerkingsprocessen
en applicaties beoordelen, passende mitigerende maatregelen treffen, en zo nodig een
gegevensbeschermingseffectbeoordeling (GEB) uitvoeren en eventuele aanvullende documenten
opstellen, deze aan verschillende kwaliteitschecks onderwerpen en zo nodig uiteindelijk
voor advies voorleggen aan de Functionaris voor Gegevensbescherming (FG). De Staatssecretarissen
van Financiën informeren de Kamer schriftelijk wanneer er processen worden stopgezet
doordat de gegevensbescherming niet voldoende geborgd was, en dit gevolgen heeft voor
de burger. Zo is uw Kamer bijvoorbeeld op 2 maart 2020 geïnformeerd3 over de Fraude Signalering Voorziening (FSV) die op 28 februari 2020 stil is gelegd.
Daarnaast worden, zoals benoemd in de Stand-van-zakenbrief alle 791 bedrijfsprocessen
(inclusief onderliggende applicaties) getoetst aan compliantie op AVG, Baseline Informatiebeveiliging
Overheid (BIO) en de (nieuwe) Archiefwet. Via de Stand-van-zakenbrieven zal ik u op
de hoogte houden van de voortgang.
Voor een goede omgang met persoonsgegevens is het essentieel dat medewerkers op de
hoogte zijn van de wet- en regelgeving, het belang van gegevensbescherming onderschrijven
en de middelen hebben om hun werk op een AVG- en Wpg-conforme manier uit te voeren.
Daarom bevat het programma Herstellen Verbeteren en Borgen (HVB) een aantal trajecten
om het bewustzijn over gegevensbescherming te versterken. Zo is meer informatie beschikbaar
gesteld op het intranet en kunnen medewerkers met een «online security and awareness
game» hun kennis over gegevensbescherming vergroten. Inmiddels heeft ruim 85% van
de medewerkers dit gedaan. Komende jaren zal regelmatig een nieuwe versie van de game
worden ontwikkeld die door alle medewerkers wordt doorlopen. Ook wordt privacy en
gegevensbescherming in 2023 een vast, verplicht onderdeel van het opleidingsprogramma
van nieuwe medewerkers in de uitvoering. Hierdoor zorgt de Belastingdienst, dat de
noodzaak van gegevensbescherming door de hele Belastingdienst wordt doorleefd.
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de stukken inzake informatiehuishouding.
Vraag 3
Ten aanzien van het rapport Archiefwet merken de leden van de CDA-fractie op dat zij
uitzien naar de brief over informatiehuishouding en -voorziening, waarin ook zal worden
ingegaan op het rapport Archiefwet. Deze leden lezen verder dat halfjaarlijks aan
de Kamer wordt gerapporteerd over het interdepartementale programma Open Overheid,
maar dat binnen het Ministerie van Financiën dit programma is gespiegeld met het programma
Informatie op Orde 2021–2026, dat de voortgang monitort en maandelijks rapporteert
aan de bestuursraad van het Ministerie van Financiën. Zij vragen hoe de rapportage
over het departementale programma samenhangt met de halfjaarlijkse rapportage over
het interdepartementale programma en of de bestuursraad ook eerder kan rapporteren
bij opvallende zaken.
Antwoord 3
Uw Kamer is met de brief van 5 juli 2023 geïnformeerd4 over de stand van zaken van de (nieuwe) Archiefwet, ook was hier het eerder gepubliceerde
adviesrapport over het voldoen aan de huidige en de nieuwe archiefwet als bijlage
toegevoegd. Eveneens is ingegaan op de relatie tussen het interdepartementale programma
Open Overheid bij het Ministerie van BZK en het departementale programma Informatie
Op Orde bij het Ministerie van Financiën.
De halfjaarlijkse voortgangsrapportage programma Open Overheid is opgebouwd uit de
maandelijkse voortgangsrapportages uit het departementale programma Informatie Op
Orde. Deze rapportages bestaan uit dezelfde (inhoudelijke) opbouw. Iedere maand wordt
over elk verbeterproject van het Ministerie van Financiën gerapporteerd en op basis
hiervan worden de rapportages van de Belastingdienst, de Dienst Toeslagen en de Douane
gemaakt. Per twee maanden worden deze samengevoegd voor het gehele Ministerie van
Financiën, vervolgens besproken in de bestuursraad en daarna aangeboden aan het Ministerie
van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Het Ministerie van BZK voegt
dit per halfjaar voor de gehele overheid samen en rapporteert hierover aan uw Kamer.
In de praktijk dient de meest actuele rapportage van het Ministerie van Financiën,
dus de voortgangsrapportage tot en met juni en de voortgangsrapportage tot en met
december, als basis voor de halfjaarlijkse rapportages vanuit het Ministerie van BZK.
Vraag 4
Met betrekking tot de brief met nadere toelichting over USB Belastingdienst vragen
de leden van de CDA-fractie allereerst of er geen veiligere methodes voor digitale
informatie-uitwisseling zijn, waarbij gebruik van de data ook beperkt of gecontroleerd
kan worden, dan met een USB-stick.
Antwoord 4
Als Staatssecretaris van Financiën -Fiscaliteit en Belastingdienst- heb ik in mijn
brief aan uw Kamer van 23 mei 20235 aangeven waarvoor een USB-stick gebruikt wordt binnen de processen van de Belastingdienst.
In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven,
is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde
Belastingdienst File Transfer (zie antwoord 1) en als dat niet mogelijk is, gebruik
te maken van e-mail6.
Er zijn echter situaties waarin deze vormen van uitwisseling niet kunnen worden toegepast,
bijvoorbeeld omdat het apparaat (waarop de informatie staat of terecht moet komen
of de organisatie waar de informatie ligt), niet aangesloten is op het internet. Voorbeeld
daarvan is een kassasysteem dat alleen een USB-poort heeft om de informatie die in
de kassa opgeslagen is, uit te kunnen lezen. Juist om de veiligheid van het gebruik
van een USB-stick te verhogen, heeft de Belastingdienst als maatregel ingevoerd dat
informatie die op een USB-stick geplaatst wordt, automatisch versleuteld wordt. Bij
onverhoopt verlies van de USB-stick kan een eventuele vinder niets anders met deze
USB-stick dan opnieuw in te richten (het zogenaamde «formatteren»). Daarbij gaat de
originele inhoud van de USB-stick verloren.
Vraag 5
Bij de overdracht van gegevens in overige processen lezen de leden van de CDA-fractie
dat het management periodiek de noodzaak voor de toegekende ontheffing behoort te
beoordelen en deze in te laten trekken als de noodzaak niet langer daar is. Zij vragen
wat periodiek betekent en hoe structureel dit wordt toegepast.
Antwoord 5
Binnen de Belastingdienst wordt een USB-ontheffing standaard voor de duur van één
jaar verstrekt en in de systemen geautoriseerd. Daarna moet de ontheffing opnieuw
aangevraagd worden. Dat is het moment voor de leidinggevende om te beoordelen of de
ontheffing nog noodzakelijk is. Deze standaardtermijn is door de manager bij het toekennen
van de autorisatie wel in te korten tot een kortere periode, maar niet te verlengen
buiten de één jaar. Medio september 2023 voert de Belastingdienst een aangescherpt
USB-ontheffingen beleid in. De aanscherping ziet met name op een concretere beschrijving
van de taken en verantwoordelijkheden van de manager en het toezicht op de juiste
uitvoering van de werkzaamheden door de Business Security Officer van de directie
in de vorm van een werkinstructie.
Vraag 6
Ook lezen zij dat toegekende ontheffingen niet meegenomen kunnen worden als de medewerker
een andere functie gaat vervullen. Zij vragen of in praktijk wordt gecontroleerd of
de medewerker de USB-stick ook inlevert.
Antwoord 6
Een uitgegeven USB-stick staat geregistreerd op naam van de Belastingdienstmedewerker.
De manager moet een administratie bijhouden over de aan een medewerker uitgereikte
bedrijfsmiddelen waaronder de interne USB-sticks. Als een medewerker een dienstonderdeel
verlaat of een andere functie krijgt waarbij de USB-ontheffing niet meer nodig is,
moet de manager controleren of er nog bedrijfsmiddelen uitgereikt zijn aan de medewerker
en wordt de USB-ontheffing automatisch ingetrokken. Deze bedrijfsmiddelen, waaronder
de interne USB-stick, moeten door de medewerker ingeleverd worden. De Business Security
Officer van de directie ziet toe op de juiste uitvoering van de werkzaamheden conform
dit proces.
Vraag 7
Bij het toezicht op ontheffing lezen de leden van de CDA-fractie dat bij de directies
van de Belastingdienst een controle uitgevoerd zal worden op de uitgegeven autorisaties
om te bezien of die nog allen noodzakelijk zijn. Zij vragen of dit dan niet standaard
al periodiek gebeurt, of dat alleen wordt gecontroleerd bij verlenen van de ontheffing.
Antwoord 7
Op mijn verzoek, naar aanleiding van een toezegging aan uw Kamer, onderzoekt de Belastingdienst
of het werkproces optimaal ingericht is.7 De controle waar u in de vraag naar verwijst, wordt momenteel bij de directies uitgevoerd
en is aanvullend op de jaarlijkse controle. Bij de Belastingdienst gehanteerde jaarlijkse
controle, controleert de manager de aanvraag van een individuele medewerker om een
ontheffing te krijgen op het gebruik van de USB-poort. En ook bij een eventuele verlenging
van de aanvraag, moet de manager opnieuw nut en noodzaak beoordelen.
Vraag 8
Bij het huidige aantal ontheffingen lezen de leden dat IV en bedrijfsvoering ook een
aanzienlijk aantal ontheffingen hebben. Eerder in de brief zagen zij dat deze onderdelen
geen toegang hebben tot de (fiscale) gegevens van burgers en bedrijven. Zij vragen
welke informatie zij dan wel via de USB-sticks krijgen voor het uitvoeren van hun
werkzaamheden.
Antwoord 8
In de brief van 23 mei 20238 aan uw Kamer, zijn voorbeelden aangehaald van het gebruik van de USB-poort door anderen
dan medewerkers in het toezicht. Softwareleveranciers leveren zogenaamde patches van
hun software uit op USB-sticks. Daarbij wordt de USB-stick ook gebruikt voor het overzetten
of ontvangen van tekeningen van gebouwen met gewenste aanpassingen naar het Rijksvastgoedbedrijf.
Een ander inzetgebied is voor het maken van een veiligheidskopie van systeeminstellingen.
Deze veiligheidskopie kan dan in een fysieke kluis opgeslagen worden zodat de kopie
niet vatbaar is voor bijvoorbeeld per ongeluk verwijderen van de gegevens. In het
geval van een individuele uitwisseling van informatie met burgers en/of bedrijven,
is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde
Belastingdienst File Transfer (zie antwoord 1) en als dat niet mogelijk is, gebruik
te maken van e-mail. Er zijn echter situaties waarin deze vormen van uitwisseling
niet kunnen worden toegepast, bijvoorbeeld omdat het apparaat (waarop de informatie
staat of terecht moet komen of de organisatie waar de informatie ligt) niet aangesloten
is op het internet (zoals bijvoorbeeld bepaalde kassasystemen). In dat geval mogen
medewerkers werkzaam in het toezichtproces, gebruik maken van een USB-apparaat voor
het overdragen van de informatie. Zie ook het antwoord op vraag 1 van de leden van
de VVD.
Vragen en opmerkingen van de leden van de SP-fractie
Vraag 9
De leden van de SP-fractie lezen met verbazing in het NRC-artikel van 19 mei jl. dat
medewerkers van de Belastingdienst na het onwettig verklaren van de Fraude Signalering
Voorziening (FSV)-lijst deze nog steeds gebruiken, en dat informatie uit de FSV-lijsten
ook in andere systemen van de Dienst is gevonden. Kunnen de bewindspersonen uitleggen
waarom binnen de Belastingdienst niet beseft wordt dat het gebruik van FSV en aanverwante
werkwijzen niet meer kunnen?
Antwoord 9
De voorgaande Staatssecretaris van Financiën -Fiscaliteit en Belastingdienst- heeft
uw Kamer geïnformeerd over het stilleggen van de FSV-applicatie op 27 februari 2020.9 Deze beslissing om te stoppen met de FSV had veel eerder genomen moeten worden. Zoals
eerder met uw Kamer is gedeeld10, heeft er een inventarisatie plaatsgevonden om zeker te stellen dat de Belastingdienst,
Dienst Toeslagen en Douane geen gevoelige persoonsgegevens verwerken zonder deugdelijke
wettelijke grondslag. Er zijn destijds ook meerdere maatregelen genomen om de problematiek
rondom fraudebestrijding door de Belastingdienst te verbeteren11.
FSV wordt niet meer gebruikt door de Belastingdienst voor het toezicht. De brondata
uit FSV zijn na stopzetting veiliggesteld in de FSV kluis. De toegang hiertoe is afgeschermd
en in beheer bij Buitengewone Zaken Blauw (de programmadirectie belast met de afhandeling
van FSV problematiek). In navolging op het stopzetten van FSV in februari 2020 is
het voor Belastingdienst-medewerkers niet meer mogelijk om bewerkingen door te voeren
in FSV. Er is alleen toegang tot gegevens in FSV voor een zeer beperkt aantal medewerkers
die in het kader van de hersteloperatie van FSV en UHT toegang nodig hebben om uitvoering
te geven aan het beleid om personen die in FSV geregistreerd waren te informeren,
tegemoet te komen, herstel te bieden of schade te vergoeden.
De gegevens uit FSV worden enkel gebruikt voor: het doen van onderzoeken naar FSV
(onder andere de Onderzoeken van de AP, KPMG en PwC); het informeren van burgers (Moties
van het lid Marijnissen12); reageren op verzoeken van burgers om informatie of beroep op rechten van betrokkene
(onder andere het. inzagerecht); het behandelen van klachten en het behandelen verzoeken
om schadevergoeding (herstel). Ook binnen de Catshuisregeling vindt er FSV-gebruik
plaats tijdens de integrale beoordeling. Dit is om aan te tonen of er wel of geen
vooringenomenheid van overheidsinstanties plaats had gevonden en om burgers mogelijk
alsnog tegemoetkoming toe te kennen. Inzage en gebruik worden gelogd en gecontroleerd.
PwC rapporteerde eerder13 dat het exports van FSV had aangetroffen op de lokale netwerkschijven wat actief
gebruik indiceert. De mate van raadpleging van deze exports is volgens PwC niet vastgelegd
en daarmee niet te kwantificeren. Deze exports werden veiliggesteld en konden niet
meer gebruikt worden. NRC wees in haar artikel van 19 mei 2023 desondanks op het gebruik
van gegevens uit FSV door de Belastingdienst op basis van exports. Naar aanleiding
hiervan heeft de Belastingdienst nogmaals zijn netwerkschijven en samenwerkingsruimten
op basis van zoektermen doorzocht om herkenbare kopieën van FSV en de voorloper daarvan,
Dagboek PIT, te identificeren en veilig te stellen in de FSV kluis. Deze analyse vindt
op dit moment plaats. De uitkomsten hiervan worden met uw Kamer gedeeld zodra de analyses
zijn afgerond, naar verwachting zal dit meegenomen worden bij de aanbieding van het
volgende Jaarplan Belastingdienst.
Over de gegevensverstrekking van FSV-informatie vanuit mailboxen aan derden bent u
voor de laatste maal geïnformeerd met een brief van 16 mei 202314. Daarin is opgenomen dat geen sprake is van grootschalige gegevensverstrekking aan
andere organisaties van FSV-informatie vanuit mailboxen. In verstrekkingen van informatie
uit of over FSV kwamen 510 personen voor. Organisaties die een dergelijke verstrekking
hebben ontvangen hebben onderzocht of zij hieraan gevolgen hebben verbonden voor de
personen die in deze verstrekkingen voorkwamen. Zij hebben geen gevolgen kunnen vaststellen.
Binnen de Belastingdienst is het onbetwist dat het gebruik van gegevens uit FSV niet
mag en niet hoort. Daarbij wordt opgemerkt dat het voor een medewerker niet altijd
duidelijk is wat de oorsprong van bepaalde data in lijsten of systemen is. Dit benadrukt
nogmaals het belang om op organisatieniveau te regelen dat de Belastingdienst AVG-compliant
handelt. Dit is een meerjarig traject als gevolg van zowel het grote aantal als de
complexiteit van de processen. In de tussentijd kan, ondanks de genomen maatregelen,
niet worden uitgesloten dat andere lijsten of (data in) applicaties worden ontdekt
die vraagtekens oproepen. Voor dergelijke situaties waarin nader onderzoek nodig is
of een lijst of bepaalde data gevolgen heeft gehad voor burgers of bedrijven, wordt
een afwegingskader ontwikkeld. In de Stand-van-zakenbrief is dit verder toegelicht.
Vraag 10
De leden van de SP-fractie vinden het niet uit te leggen dat binnen de Belastingdienst
de cultuur heerst dat er gewerkt kan worden met gegevens die leidden tot:
– het vermorzelen van vele gezinnen in het toeslagenschandaal;
– het aftreden van een kabinet;
– de reflectie van rechterlijke macht inclusief de Raad van State;
– een hersteloperatie die inmiddels 7 miljard mag kosten; en
– megaboetes aan de Belastingdienst vanwege het gebruik van verkeerde gegevens, het
schenden van de privacy van mensen en discriminerende algoritmen.
Kunnen de bewindspersonen uitleggen waarom binnen de Belastingdienst gedacht wordt
dat dit alles niet relevant is voor de werkzaamheden van de Belastingdienst?
Antwoord 10
Wat in het verleden is gebeurd, mag nooit weer gebeuren en herhaling moet voorkomen
worden. Daarvoor zijn vele diverse maatregelen genomen. Zo wordt ingezet op signaalmanagement
om te borgen dat signalen van onregelmatigheden binnen de organisatie doorlopend worden
verzameld, geclassificeerd en besproken binnen de organisatie. Een open cultuur binnen
de organisatie moet zorgen dat alle signalen boven tafel komen en worden besproken.
Onze medewerkers nemen daarom deel aan ontwikkeltraject waarin het belang van reflectie
en openheid bij ingewikkelde dilemma’s centraal staat. Er is daarbij veel aandacht
voor het voorkomen van institutioneel racisme en onbewuste vooroordelen. Ik verwijs
u naar de Stand-van-zakenbrief voor een overzicht van de voortgang van de genomen
maatregelen met betrekking tot de aanpak van institutioneel racisme.
Verbetering van de informatiehuishouding is een belangrijke maar omvangrijke opgave.
Het is belangrijk om te benoemen dat de Belastingdienst een grote organisatie is en
dat verbeteringen binnen de organisatie veel tijd en energie vergen. Belastingdienst
en Dienst Toeslagen geven ieder specifiek invulling aan het rijksbrede programma «Open
op Orde» met een eigen verbeterprogramma over alle facetten van de informatiehuishouding.
Concrete acties binnen dit programma zien o.a. op: personele versterking van de organisatie,
bewustwording en training van medewerkers op het gebied van informatiehuishouding
en archivering, de implementatie van de wet open overheid (passieve en actieve openbaarmaking).
De voortgang van de diverse verbeteringsacties worden gemonitord. De informatiehuishouding
wordt met hoge regelmaat besproken op alle niveaus binnen Belastingdienst/Dienst Toeslagen
en het Ministerie van Financiën, tot aan de Bestuursraad. Beleid en uitvoering spreken
elkaar wekelijks over gezamenlijke acties, signalen en knelpunten.
Bij Dienst Toeslagen geeft de Stand van de uitvoering direct inzicht in de signalen
en knelpunten waar medewerkers in de uitvoering tegenaan lopen. De Tweede Kamer wordt
op diverse wijze geïnformeerd over alle verbeteracties. De Inspectie belastingdienst,
toeslagen en douane is speciaal in het leven geroepen om meer onafhankelijk toezicht
te houden. Verschillende andere instanties kijken naar onderdelen van de verbetering,
zoals de Commissie sociale veiligheid en integriteit Financiën en de Inspectie Overheidsinformatie
& Erfgoed.
Vraag 11
De leden van de SP willen graag weten of het werken met FSV-lijsten kan worden gezien
als plichtsverzuim om integer te handelen. Zo nee, waarom niet? Zo ja, wat gaat er
gebeuren?
Antwoord 11
De applicatie FSV werd gebruikt voor het registreren van risicosignalen. Uit onderzoek
bleek dat het gebruik van dit systeem op verschillende punten niet voldeed aan de
AVG. Ik heb geen aanwijzing om te veronderstellen dat dit bij de individuele medewerker
die in het toezicht werkt kenbaar was of kon zijn. Bij het management kon op basis
van een uitgevoerde gegevensbeschermingseffectbeoordeling wel bekend zijn dat het
gebruik van FSV risico’s met zich meebracht. Daar zijn destijds acties voor ondernomen,
zoals het intrekken van autorisaties voor toegang tot FSV en het schonen van FSV15.
Vraag 12
De leden van de SP-fractie kunnen vele nodige vragen stellen, maar vragen of de bewindspersonen
het belangrijk vinden dat de Belastingdienst wettig handelt. En als dit het geval
is, waarom dan nog altijd niet is doorgedrongen dat de handelwijze van de Belastingdienst
als het gaat om fraude-opsporing, de omgang met persoonsgegevens enzovoorts in strijd
is met het recht. Waarom accepteren de bewindspersonen dat de leiding van de Belastingdienst
geen orde op zaken heeft gesteld? Zijn zij het met de leden van de SP-fractie eens
dat dit riekt naar werkweigering?
Antwoord 12
Het feit dat de Belastingdienst niet voldoet aan wetgeving gericht op het borgen van
de privacy van burgers, en openheid en transparantie van de overheid vind ik ernstig.
In 2020 is de Belastingdienst gestart met het programma Herstellen, Verbeteren en
Borgen (HVB)16. Sinds maart 2020 hebben mijn voorgangers zich ingezet om problemen op te lossen
in de wijze waarop de Belastingdienst is omgegaan met (persoons)registraties, risicomodellen
en het gebruik van persoonsgegevens zoals nationaliteit. En daar zijn wij mee doorgegaan.
Het doel is dat zowel de continuïteit als de legitimiteit van de uitvoering van de
taken van de Belastingdienst is geborgd. Zoals destijds aangekondigd is dit een meerjarig
traject als gevolg van zowel het grote aantal als de complexiteit van de processen.
Naar aanleiding van vragen over de AVG-compliantie bij de Belastingdienst tijdens
het commissiedebat van 25 mei over FSV heb ik aangegeven de mogelijkheden te onderzoeken
om dit proces te gaan versnellen. Via deze Stand-van-zakenbrief geef ik u hierover
een update.
Vragen en opmerkingen van het lid Omtzigt
Vraag 13
Eigenlijk zou het lid Omtzigt een algemene uitleg willen vragen wat er precies aan
de hand is en welke dingen niet gemeld zijn de afgelopen jaren. Dit lid heeft echter
weinig vertrouwen dat de bewindspersonen dit spontaan zullen doen. Daarom vraagt hij
om te beginnen of de bewindspersonen de volgende documenten aan de Kamer kunnen doen
toekomen en van een context kunnen voorzien:
3. De mail die alle topambtenaren van de Belastingdienst kregen op 10 februari 2017 en
de mail waarin staat dat: «Uit een afgelopen week uitgevoerde inventarisatie is [...]
gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.»; en
4. de memo’s over RAM en «database auto», die de top van Belastingdienst en/of de politieke
top bereikt hebben sinds 2015.
Antwoord 13
Momenteel vindt van deze twee punten een inventarisatie plaats. Zodra deze is afgerond
wordt de Kamer geïnformeerd. Daarnaast, zoals ook wordt vermeld in de bijgestuurde
Stand-van-zakenbrief, is er besloten nader onderzoek te doen naar RAM.
Vraag 14
In 2017 was de Autoriteit Persoonsgegevens (AP) een onderzoek begonnen met de Broedkamer/Data
en Analytics. Er werden toen drie tekortkomingen geconstateerd. In het rapport van
2019, waarin de AP opmerkt dat de problemen min of meer naar tevredenheid zijn opgelost,
merkt de AP op:
«De AP heeft in haar eerste onderzoek betreffende drie beveiligingsaspecten geconstateerd
dat deze niet in orde waren, te weten:
4. Het ontbreken van de logging van de drie activiteiten:
a. export van data vanuit de brongegevens naar de werkplek van een medewerker;
b. het schrijven van data op een usb-stick; en
c. het opslaan van bijlagen op mobile devices.
5. De controle op de logging. Voor een deel van de logging vond er in zijn geheel geen
periodieke controle plaats, omdat deze logging niet was aangesloten op het systeem
waar actieve monitoring plaatsvindt. Voor het e-mailverkeer van DF&A dat wel was aangesloten
op dit systeem bestond er geen periodieke controle van data die via e-mail buiten
de Belastingdienst werd gebracht.
6. Het verwijderen/intrekken van autorisaties van medewerkers of extern ingehuurde medewerkers
na uitdiensttreding én het verlenen van te ruime toegangsrechten aan de D&A medewerkers
waardoor deze toegang hadden tot data die niet noodzakelijk was om hun werk uit te
voeren.»
De Belastingdienst wist dus ontzettend goed aan welke randvoorwaarden voldaan moest
worden voor het gebruik van USB-sticks. Die randvoorwaarden zijn streng, omdat er
maar één ambtenaar hoeft te zijn die misbruik maakt. Die kan de hele FSV-lijst of
andere stukken kopiëren op een USB-stick en extern gebruiken/verkopen. Dit is geen
fictie, want de FSV-lijst is meerdere keren voor het gemak gekopieerd (niet om te
verkopen) en dat betekent dat hij nog steeds in de Belastingdienst rondzwerft.
Het lid Omtzigt heeft dan ook twee vragen: hoe is vanaf 2019 geborgd dat de Belastingdienst
aan deze voorwaarden zou voldoen (en is dat wel geborgd op de een of andere manier
en zo ja, op welke manier) en in welke mate is er niet voldaan aan de drie voorwaarden?
Antwoord 14
Het treffen van maatregelen ter bescherming van informatie, is een continu proces
en vindt plaats op basis van risicoanalyses en het voldoen aan betreffende regelgeving.
De aanbevelingen van de AP uit 2017 zijn toegepast op de plekken waar medewerkers
toegang hebben tot verzamelingen van bronbestanden voor het uitvoeren van data-analyses.
In de context van de Belastingdienst zijn dat de data-analisten van DF&A. De door
de AP beschreven maatregelen betreffen dan ook uitsluitend het scenario van toegang
tot processen waarbij medewerkers vanuit hun opgedragen taak, toegang hebben tot brongegevens,
zoals bij de Broedkamer het geval was. De maatregelen die de Belastingdienst getroffen
heeft om het risico op verkeerd gebruik van de USB-ontheffing te mitigeren, zijn dan
ook specifiek op de aanbevelingen gericht. In het rapport uit 2019 heeft de AP geconcludeerd
dat de getroffen verbetermaatregelen dusdanig deze risico’s verminderen dat de eerder
door de AP geconstateerde problemen niet langer voortduren.
Vanaf 2019 heeft de Belastingdienst verder gewerkt aan een analyseomgeving met nog
verder gaande maatregelen. In deze omgeving beschikken medewerkers niet meer over
een fysieke werkplek om analyses uit te voeren, maar vinden de analyses plaats in
een zogenaamde virtuele werkplek. De fysieke werkplek dient in dat geval als «beeldscherm
en toetsenbord op afstand». Dataverkeer tussen deze virtuele werkplek en de fysieke
werkplek is niet mogelijk. De USB-poort op de fysieke werkplek is daarbij ook niet
toegankelijk voor de virtuele werkplek. Alle handelingen op de virtuele werkplek worden
actief gelogd naar een centrale logvoorziening.
Vraag 15
Als er echt duizenden ontheffingen geweest zijn (en nog steeds duizenden zijn) is
er sprake van een datalek. Is dat datalek gemeld aan de Autoriteit Persoonsgegevens
(AP), vraagt het lid Omtzigt aan het kabinet.
Antwoord 15
Bij een datalek is er sprake van vernietiging, wijziging of vrijkomen van persoonsgegevens
bij een organisatie zonder dat dit de bedoeling is van deze organisatie, of zonder
dat dit wettelijk is toegestaan. De medewerkers die beschikten over een ontheffing
om gebruik te maken van een USB-stick, waren daarvoor door hun teammanager geautoriseerd
vanwege het uitvoeren van een functie. Het aanwezig zijn van een groot aantal ontheffingen
voor gebruik van een USB-stick is daarom geen datalek.
Vraag 16
Er waren zeker 25 extracties of deelextracties van FSV gevonden: zijn die allemaal
gewist, en zo ja wanneer? En is al duidelijk waar die data van de deelextracties allemaal
terecht gekomen is?
Antwoord 16
In de brief van 3 december 202117 aan uw Kamer stond dat er 25 lokaal opgeslagen (deel)extracties van FSV gevonden
zijn op netwerkschijven van Toeslagen. De netwerkschijven zijn geschoond en de (deel)extracties
zijn veiliggesteld en opgeslagen in de datakluis. Die gegevens zijn niet meer beschikbaar
voor de organisatie, enkel nog beschikbaar voor onderzoek. Alle FSV-kopieën die zijn
gevonden zijn opgeslagen in de kluis en niet meer beschikbaar voor Dienst Toeslagen.
De laatste keer dat gegevens in de kluis zijn opgeslagen (inclusief FSV kopie) is
geweest op 15 juni 2022. Ook wordt gemeld dat niet uit te sluiten is dat individuele
FSV-registraties op persoonlijke schijven van medewerkers zijn opgeslagen en dat ondanks
meerdere zoekacties deze mogelijk niet allemaal zijn veiliggesteld.
In reactie op de inbreng van de SP-fractie in antwoord 9 wordt toegelicht dat nogmaals
een zoekactie wordt gedaan naar herkenbare kopieën van FSV en de voorloper daarvan,
Dagboek PIT op netwerkschijven en samenwerkingsruimten van de Belastingdienst. Deze
analyse vindt op dit moment plaats. De uitkomsten hiervan worden met uw Kamer gedeeld
zodra de analyses zijn afgerond.
Vraag 17
Bij de Belastingdienst bestonden zeker rond de 100 andere lijsten met risicosignalen.
In 2020 is toegezegd onderzoek te doen naar die lijsten. Het lid Omtzigt verneemt
graag van het kabinet wie welke onderzoeksvraag gaat beantwoorden en wanneer duidelijkheid
gegeven zal worden over deze vergelijkbare lijsten.
Antwoord 17
In oktober 2020 is bij de medewerkers van de Belastingdienst een inventarisatie gedaan
naar lijsten met nationaliteit en/of risico- of fraudesignalen in mailboxen, persoonlijke
omgevingen of (lokale) samenwerkingsgebieden. Medewerkers hebben meer dan tweehonderd
bestanden aangeleverd. Een toetsingscommissie heeft de geleverde informatie beoordeeld.
Ze heeft de (119) bestanden die daadwerkelijk aan de criteria van de uitvraag voldeden,
voorzien van een inschatting van het risico dat de lijst gevolgen heeft gehad voor
burgers.18 39 lijsten hebben het oordeel «hoog risico» gekregen, waarmee nog niet vaststaat
of er daadwerkelijk onterechte nadelige gevolgen voor burgers zijn geweest.
Op 30 mei 2022 zijn lijsten met risico- of fraudesignalen gerapporteerd aan de Tweede
Kamer.19 Hierin is toegezegd te onderzoeken of burgers onterechte gevolgen hebben gehad van
deze lijsten. Hierbij speelt mee dat primair de aandacht gericht is op FSV. In het
onderzoek zal worden beoordeeld wat het doel van de lijst is, welk type gegevens gebruikt
zijn en hoeveel belastingplichtigen op de lijst staan. Omdat het onderzoek nog niet
afgerond is, kan nog niet geconcludeerd worden wat dit betekent per lijst. Op basis
van de uitkomsten van het onderzoek, zal bepaald worden of een passende oplossing
nodig is en wat die is. Zoals in de Kamerbrief van 17 mei 202320 over FSV gerelateerde onderwerpen gemeld is, is het onderzoek naar andere lijsten
met risicosignalen onlangs gestart. Het is op dit moment nog te vroeg om hier nader
op in te gaan. In het eerste kwartaal van 2024 zijn de resultaten naar verwachting
beschikbaar.
Vraag 18
Het lid Omtzigt verzoekt het kabinet uitgebreid te beschrijven wat de database was.
In dat licht heeft hij de volgende vragen:
1. Van wanneer tot wanneer was de database RAM in gebruik?
2. Van wanneer tot wanneer was de afgeslankte vorm van RAM in gebruik?
3. Welke deel van de data was nog toegankelijk na het uitzetten?
4. Hoeveel mensen hadden toegang tot de database toen hij volledig in gebruik was?
5. Welke gegevens van mensen stonden opgeslagen in RAM (bijvoorbeeld via de deeldatabases
zoals kern sofa)?
6. Welke GEB’s/DPIA’s zijn er gemaakt van RAM? Kan het kabinet die met de Kamer delen?
7. Stond RAM op beveiligde servers?
8. Wie konden data downloaden op USB-sticks, wanneer en is dat via logging bijgehouden?
9. Wie waren de afnemers van RAM?
10. Wil het kabinet de Kamer voorzien van alle andere relevante informatie die gemeld
moet worden?
Het komt het lid Omtzigt voor dat RAM een mega datalek is, dat gemeld had moeten worden
aan de Kamer. Kan het kabinet aangeven waarom dit niet gedaan is? Meer in zijn algemeenheid
wil het lid Omtzigt opmerken dat hij van een nieuwe bestuurscultuur bij het kabinet
helemaal niets merkt en hij verzoekt het kabinet volledig schoon schip te maken met
het melden hoe het werkelijk zit met databases, zwarte lijsten en meer.
Antwoord 18
Zoals in de bijgestuurde Stand-van-zakenbrief is aangegeven, is besloten RAM te onderzoeken
en worden bovenstaande vragen meegenomen in dit onderzoek. Via de Stand-van-zakenbrieven
zal uw Kamer hierover op de hoogte worden gehouden. Ik stuur uw Kamer alvast de GEB
toe. Pas na het onderzoek kunnen er conclusies getrokken worden over RAM.
Uit de GEB ontstaat het beeld dat Toeslagen, als toenmalig onderdeel van de Belastingdienst,
een van de gebruikers van RAM was. Uw Kamer is echter bij de beantwoording van vragen
van het lid Azarkan erover geïnformeerd dat RAM een systeem is van de Belastingdienst
dat niet door Toeslagen wordt gebruikt.21 Het mogelijke verband tussen RAM en Toeslagen wordt betrokken in het bovengenoemde
onderzoek.
Vraag 19
Tenslotte op dit punt, ontvangt het lid Omtzigt graag langs dezelfde lijnen als hierboven
gevraagd voor de database RAM een volledige beschrijving van de database auto.
Antwoord 19
Ik zal hieronder ingaan op uw vragen en daarmee tevens uw verzoek afdoen van een nadere
toelichting databank auto zoals toegezegd in aan de Commissie Financiën op 22 juni
jl. Databank Auto (hierna: DBA) is als pilot gebouwd in 2010. De eerste productieversie
is gerealiseerd in 2012 en stond op beveiligde servers. In 2014 is er een PIA opgemaakt.
Naar aanleiding van deze PIA is onder andere de informatiebeveiliging van DBA verbeterd
en zijn er een tal van bronbestanden uit de systemen verwijderd. Daarnaast is de exporteer-knop
uit de werkomgeving verwijderd en zijn autorisaties aangescherpt.
Het MT CAP heeft Databank Auto stilgelegd op 1 juli 2020 vanwege onvoldoende AVG-doel-binding.
Uw Kamer is meermaals geïnformeerd over het bestaan van en het stilleggen van DBA
via onder andere de rapportages over het programma Herstellen, Verbeteren en Borgen22. Sindsdien is er geen afgeslankte vorm van DBA in gebruik geweest. De data uit de
databank zijn op een aparte omgeving gezet waar twee interne en één externe (inhuur)
beheerder toegang toe hebben om data te verversen en aanpassingen te doen met betrekking
tot de vormgeving van de tabellen in de database. Deze data wordt ververst voor een
nieuwe applicatie waarvan een GEB en verwerkingsregister is opgezet die de FG heeft
ingezien. Deze applicatie is AVG-bindend bevonden.
Zoals ik ook heb gemeld in antwoord 2 wordt er, indien er concrete aanwijzingen zijn
dat de gegevensbescherming niet goed is geborgd, een verbeterproces ingezet binnen
de Belastingdienst.23 Dit betekent dat we verwerkingsprocessen en applicaties beoordelen, passende mitigerende
maatregelen treffen, en zo nodig een gegevensbeschermingseffectbeoordeling (GEB) uitvoeren
en eventuele aanvullende documenten opstellen, deze aan verschillende kwaliteitschecks
onderwerpen en zo nodig uiteindelijk voor advies voorleggen aan de Functionaris voor
Gegevensbescherming (FG).
Middels de DBA kon informatie worden verstrekt aan geautoriseerde medewerkers van
de directies Centrale Administratieve Processen (CAP), Grote Ondernemingen (GO), Midden-
en Klein Bedrijven (MKB) ter ondersteuning van het heffen en innen op automiddelen
en privégebruik auto. Daarnaast ondersteunde DBA het toezicht houden op (onderdelen)
van het loonheffingsproces en op de inkomstenbelasting. Ook werd het gebruikt door
de Douane voor het raadplegen van kentekens in het kader van de fysieke controles
in het havengebied om de veiligheid van de douanemedewerkers te waarborgen. In de
DBA stonden onder andere de NAW gegevens en geboortedatum. Ik verwijs uw Kamer naar
de bijgevoegde GEB voor een volledig overzicht en een uitgebreide omschrijving van
de gegevens die de DBA bevatte. Uit de GEB blijkt dat er in totaal ongeveer 1.000
geautoriseerde gebruikers waren.
Al het gebruik van de DBA werd gelogd. Het was op elk moment te achterhalen wie gebruik
maakte of had gemaakt van de DBA en tevens welke functionaliteiten waren gebruikt
(bijvoorbeeld het raadplegen op basis van BSN, het Beheer van Relaties adresoverzicht
of het kenteken). Ook werd geregistreerd als een medewerker een BSN wilde raadplegen
waartoe deze niet bevoegd was. Het toegangsbeheer en het autorisatiebeheer was geregeld
via een autorisatiestructuur (IMS).
Voor een beperkt deel van de geautoriseerde gebruikers was het mogelijk om via de
DBA gegevens op entiteit niveau te exporteren naar Excel. Dit was enkel mogelijk voor
medewerkers die veldtoetsen uitvoeren: dit betekent dat een medewerker ter plekke
bij de ondernemer of werkgever de administratie controleert. Deze exporteer-actie
werd gelogd en er werd periodiek getoetst of er bij de geëxporteerde gegevens sprake
van een veldtoetsopdracht was. Alle gebruikers konden door middel van een schermafbeelding
gegevens kopiëren. Zoals je dit ook met je eigen telefoon kan doen. Deze schermafbeelding
wordt gebruikt om informatie toe te voegen aan een verslag van heffing (bij toetsing
van een aangifte) of als informatie/uitleg naar de adviseur of belastingplichtige
ingeval van een correctie. Ook bij bezwaar in beroep werden de schermafbeeldingen
bij het verweerschrift toegevoegd.
Het gebruik van een dergelijk geëxporteerd gegevensbestand was vervolgens niet te
controleren. Het viel niet uit te sluiten dat dergelijke bestanden onjuist werden
gebruikt of buiten de Belastingdienst terecht zijn gekomen.
Zoals beschreven in antwoord 15 is er sprake van een datalek wanneer toegang tot of
vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder
dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan.
Bij DBA gaat het om een door het management goedgekeurde applicatie en het gebruik
van die applicatie. Het is daarom geen datalek.
Vraag 20
Het lid Omtzigt heeft de bijlagen doorgenomen die bij mail A.10.60 horen en heeft
daarover een aantal specifieke vragen:
1. Klopt het dat de medewerker die de mail van appendix 10.68 verstuurd heeft geen medewerking
heeft gegeven/geweigerd heeft deel te nemen aan het horen? Kan het kabinet dit onderdeel
toelichten?
2. Klopt het dat op haar initiatief haar dossier en daarin de mails vernietigd zijn?
3. Zijn deze terug te halen door ICT bij de Belastingdienst? Wil het kabinet dat proberen?
4. Klopt het dat deze medewerker nog op een soortgelijke positie werkzaam is bij de Belastingdienst?
5. Klopt het dat de gesprekken hebben plaatsgevonden in een niet-constructieve/vijandige
sfeer over de CAF 11-gedupeerden (in ieder geval niet gericht op een oplossing)?
6. Klopt het dat een deel van de correspondentie van deze medewerkster onder de mail
d.d. 5 juni 2019 aan de secretaresse van de toenmalige Staatssecretaris hangt?
Antwoord 20
Vraag 1: Uit de reconstructie van PwC van 29 september 2021 blijkt dat de medewerker
die de mail van appendix 10.68 verstuurd heeft geen medewerking heeft verleend aan
het onderzoek van PwC.24 Wel heeft de secretaris-generaal van het Ministerie van Financiën toestemming verleend
aan PwC om de mailbox van de betrokken medewerker te doorzoeken, omdat het maatschappelijke-
en onderzoeksbelang zwaarder weegt dan de belangen van de betrokkenen.25 Zoals vermeld in de brief van 1 juni 2023 heeft PwC voor het onderzoek naar het memo
Palmen binnen een door PwC gekozen selectie van periode en bronnen vrij kunnen zoeken
naar relevante stukken voor het onderzoek.26 NB: Het lid Omtzigt verwijst naar de bijlagen bij mail A.10.60. Gelet erop dat de
specifieke vragen zien op de bijlagen van mail A.10.68 ga ik ervan uit dat het lid
per abuis de bijlagen bij mail A.10.60 noemt.
Vraag 2 en 3: Er is geen indicatie dat op initiatief van bovengenoemde medewerker,
MT-lid 5, mails zijn vernietigd. De mails van alle relevante betrokkenen zijn onderzocht.
Daarbij is gebruik gemaakt van een back-up van de mailbox. Voor het terughalen van
deze informatie is dus ook geen noodzaak.
Vraag 4: Het is vast gebruik dat over individuele medewerkers geen mededelingen worden
gedaan. Daarbij is van belang dat het Kabinet het niet wenselijk vindt dat individuele
medewerkers ongewild onderdeel worden van het publieke debat. Uw Kamer kan mij als
politiek verantwoordelijk voor de Dienst Toeslagen, aanspreken op de gang van zaken
binnen Toeslagen.
Vraag 5: Uit de PwC-reconstructie volgt dat er in 2017 verschillende gesprekken zijn
gevoerd tussen de advocate mevrouw González Pérez en Toeslagen over het CAF-11 dossier,
waaronder op 10 april 2017 en 8 mei 2017. De transcripties van de advocate González
Pérez van deze gesprekken zijn vertrouwelijk gedeeld met uw Kamer. Het doel van de
gesprekken was om tot een oplossing te komen. Uiteindelijk hebben de gesprekken niet
geleid tot een overeenkomst waar zowel de advocate als Toeslagen zich in konden vinden.
Vraag 6: De medewerker die de mail van appendix 10.68 heeft verstuurd is een van de
betrokkenen in de correspondentie die onder de mail van 5 juni 2019 hangt.
Vraag 21
Het lid Omtzigt ontvangt ook graag de bijlagen bij A.10.70 om een compleet beeld te
krijgen. Zijn beeld hier is echter wel: de ambtenaar, die contact had met mevrouw
González Pérez om tot een oplossing te komen in de CAF-11 zaak, beweert herhaaldelijk
dat de directeur-generaal Belastingdienst en de Staatssecretaris op de hoogte gehouden
zijn van dit dossier. Deze medewerker was lid van het MT Belastingdienst. Echter:
deze medewerker heeft niet meegewerkt aan het Deloitte-rapport en heeft documenten
gewist. Desondanks is deze medewerker nog steeds werkzaam bij de Belastingdienst.
Kan het kabinet aangeven of er fouten zitten in de redenering hierboven?
Is het kabinet bereid om na te gaan wat er klopt van de herhaaldelijke beweringen
dat de politieke en ambtelijke top op de hoogte gehouden zijn van elke stap in het
CAF 11-dossier?
Antwoord 21
De bijlagen bij mail A.10.70 heeft uw Kamer inmiddels ontvangen als bijlage bij de
Kamerbrief van 5 juli 2023.27 Zoals eerder aangegeven worden over individuele medewerkers geen mededelingen gedaan.
De gang van zaken rond het memo Palmen en CAF 11 is uitgebreid onderzocht door PwC.28 Voor de beantwoording van de vraag wat er klopt van de betreffende bewering uit de
mail wordt verwezen naar de eerdere beantwoording hierover van de vragen van de rapporteurs
(specifiek vraag 11n t/m 18n).29 Daarnaast zijn de overlegmomenten over het CAF 11-dossier als bijlage van de brief
van 29 maart 2023 meegestuurd.30
Verzoek 7 juli beantwoording vragen plenaire debat opvolging «Ongekend onrecht»
In het licht van bovenstaande beantwoording ga ik hierbij tevens in op het verzoek
van uw Kamer van 7 juli jl. tot beantwoording van vragen uit het plenaire debat op
23 mei 2023 over de opvolging van het rapport «Ongekend onrecht».
De vaste commissie voor Financiën heeft verzocht om de nog openstaande vragen uit
het plenaire debat over de opvolging van het rapport «Ongekend onrecht» van 23 mei
2023 binnen twee weken aan de Kamer sturen en om daarbij ten behoeve van de beantwoording
tevens gewiste mailboxen terug te halen en te doorzoeken.
Specifiek wijst de commissie daarbij op de vragen in de volgende passage uit het debat:
De heer Omtzigt (Lid Omtzigt):
(...) Voorzitter. Dan de teruggevonden stukken. Hoe kan het, zeg ik tegen de Minister-President,
dat deze stukken er twee jaar na dato komen? Vanmorgen heb ik de stukken gelezen.
In het managementteam zat één persoon die niet meewerkte aan het PwC-onderzoek. Háár
mail zat tussen de stukken. Daarin stond dat ze de top van de Belastingdienst en de
bewindspersonen altijd op de hoogte gehouden had. Klopt het, zoals ik vanmorgen gelezen
heb, dat zij bij meerdere gesprekken die met de advocaat gevoerd zijn, aanwezig geweest
is? Als dat zo is, dan wil ik de gespreksverslagen van die gesprekken van de kant
van de Belastingdienst hier binnen een week hebben. Ik wil binnen een week weten hoe
de bewindspersonen en de directeur-generaal op de hoogte gehouden zijn. Ik wil daar
een complete lijst van. Het stond namelijk niet in de tijdlijn. Het stond niet in
alle rapporten die we gezien hebben. Het stond helemaal nergens (...)
Antwoord verzoek Kamer 7 juli 2023
Het MT-lid 5 is inderdaad aanwezig geweest bij de gesprekken op 10 april en 8 mei
2017. Zoals eerder aangegeven in de brief van 5 juli 202331 zijn er vanuit de Belastingdienst en Dienst Toeslagen tot op heden geen eigen gespreksverslagen
aangetroffen van de gesprekken die gevoerd zijn op deze datum. In reactie op de vraag
hoe de bewindspersonen en directeur-generaal op de hoogte zijn gehouden verwijs ik
naar de beantwoording van vraag 21 waarin verwezen wordt naar mijn eerdere beantwoording
hierover van de vragen van de rapporteurs (specifiek vraag 11 t/m 18). Voor wat betreft
de Staatssecretaris verwijs ik tevens naar de overlegmomenten van de toenmalig Staatssecretaris
over het CAF 11-dossier die als bijlage van de brief van 29 maart 2023 is meegestuurd.32 Daaruit volgt dat de toenmalig de Staatssecretaris vanaf augustus 2017 incidenteel
en vanaf het voorjaar van 2019 regelmatig werd bijgepraat over de ontwikkelingen in
het CAF 11-dossier.
Ondertekenaars
-
Eerste ondertekenaar
J.Z.C.M. Tielen, voorzitter van de vaste commissie voor Financiën -
Mede ondertekenaar
J.J. Meijerink, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.