Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over de antwoorden op vragen commissie inzake onderzoek van de Autoriteit Persoonsgegevens naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst (Kamerstuk 32761-131)

De vaste commissie voor Financiën heeft op 10 april 2019 een aantal vragen en opmerkingen
voorgelegd aan de Staatssecretaris van Financiën over zijn brief van 7 februari 2019
met zijn antwoorden op vragen van de commissie over zijn reactie inzake onderzoek
van de Autoriteit Persoonsgegevens naar de informatiebeveiliging van de afdeling Data
en Analytics van de Belastingdienst (Kamerstuk 32 761, nr. 131).

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de beantwoording op eerder gestelde
vragen over de reactie op verzoek commissie inzake onderzoek van de Autoriteit Persoonsgegevens
(AP) naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst.
De leden van de VVD-fractie hebben nog enkele vervolgvragen.

De leden van de VVD-fractie lezen dat de Autoriteit Persoonsgegevens op dit moment
beoordeelt of de verbetermaatregelen voldoende zijn. Wanneer is de uitkomst beschikbaar
voor de Kamer?

De leden van de VVD-fractie lezen verder dat er op dit moment een auditonderzoek gaande
is om feitelijk vast te stellen of de directie Datafundamenten & Analytics (DF&A)
compliant is met de Algemene Verordening Gegevensbescherming (AVG). Is al bekend wanneer
de resultaten met de Kamer gedeeld kunnen worden?

De leden van de VVD-fractie vragen hoe de Belastingdienst kijkt naar een meer directe
link met de basisregistratiepersonen en een online identiteit voor iedere Nederlander1)?

Zijn er projecten bij de Belastingdienst gaande om mensen meer regie op hun persoonsgegevens
te geven?

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie vinden het van het grootste belang dat de Belastingdienst
zeer zorgvuldig omgaat met de grote hoeveelheid privacy-gevoelige data van burgers.
Niet alleen omdat de overheid een voorbeeldfunctie heeft in het beschermen van de
privacy van mensen, maar ook omdat belastingplichtigen in principe geen keuze hebben
of de Belastingdienst data van hen verzamelt. Voor een rechtvaardige belastingheffing
is zeer veel privacy-gevoelige data nodig en dus moet de Belastingdienst daar zeer
zorgvuldig mee omgaan. De leden van de CDA-fractie vinden het dan ook spijtig dat
zij opnieuw moeten vragen naar de brief die de Autoriteit Persoonsgegevens al in juli
2018 aan de Belastingdienst geschreven heeft.

In de brief aan de Kamer schrijft de Staatssecretaris:

«De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen
uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging
bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen,
ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.»

In de bijlage staat echter te lezen:

«In februari 2017 is de Autoriteit Persoonsgegevens een onderzoek gestart naar de
informatiebeveiliging van de afdeling Data & Analytics (D&A) van de Belastingdienst.
De AP informeert u door middel van deze brief over de resultaten van het onderzoek
en over de daarbij geconstateerde overtredingen van de privacyregelgeving. Daarnaast
verzoekt de AP u om informatie te verstrekken over de getroffen verbetermaatregelen.
Tevens wijst de AP u erop dat u bij het in gebreke blijven van deze verbetermaatregelen
handelt in strijd met de wet.»

De leden van de CDA-Fractie constateren dat de Autoriteit Persoonsgegevens aangeeft
dat bij uitblijven van de verbetermaatregelen de Belastingdienst in strijd blijft
handelen met de wet. De eerder aangekondigde maatregelen konden dat voorkomen. Nu
waren compartimentering en logging de twee centrale maatregelen die waren aangekondigd.
Die zijn gewoon niet uitgevoerd blijkt uit de nadere toelichting. Dit betekent dat
de Belastingdienst gewoon in gebreke blijft en handelt in strijd met de wet. Daarom
vragen de leden van de CDA-fractie allereerst hoe lang de Belastingdienst nog handelt
in strijd met de wet. Waarom zijn de genoemde verbetermaatregelen uitgebleven?

Deze leden verzoeken de Staatssecretaris geen van de gestelde vragen over te slaan
bij de beantwoording.

De leden van de CDA-fractie vragen of de Staatssecretaris deze paragraaf in de brief
handhaaft, namelijk «De AP concludeert in zijn brief dat zijn bevindingen overeenkomen
met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd
naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan
ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport
uit te brengen.» en kan de Staatssecretaris dit nader motiveren? Hoe verhoudt deze
paragraaf zich tot de geciteerde zinnen uit de bijlage?

De leden van de CDA-fractie herhalen hun expliciete verzoek het rapport van eerste
bevindingen onmiddellijk aan de Kamer te doen toekomen en zij wijzen erop dat dit
verzoek ook reeds eerder vanuit de vaste commissie van Financiën gedaan is. Hetzelfde
verzoek hebben deze leden met betrekking tot de reactie van de AP op de brief van
de DG en het auditrapport waaruit zou blijken dat de dienst D&A AVG-compliant is.
Kan de Staatssecretaris deze reactie van de AP, inclusief alle verdere correspondentie
die er sindsdien over dit onderzoek is gedaan, en het auditrapport aan de Kamer doen
toekomen?

Verder vragen de leden van de CDA-fractie of het bereiken van de basispositie betekent
dat de dienst AVG-compliant is. Hoeveel mensen hebben al inzage gekregen in de persoonlijke
data bij D&A? Op hoeveel werkplekken is het technisch onmogelijk gemaakt om data op
een USB-stick te zetten? Vindt er op dit moment logging plaats van het al het exporteren
van data naar een USB-stick (met of zonder autorisatie) of van andere vormen van exporteren
van data?

Op eerdere vragen heeft de Staatssecretaris geantwoord: «De leden van CDA-fractie
vragen ook of individuele analisten een data «check out» mogen doen naar een lokale
omgeving. Individuele analisten mogen een «check out» doen naar een lokale omgeving.
De handeling wordt gelogd en er is een procedure omheen beschreven voor een zorgvuldige
omgang met de gegevens.»

De leden van de CDA-fractie vragen de Staatssecretaris naar aanleiding van dit antwoord
hoe deze procedure eruit ziet en of het mogelijk is om de data na een «check out»
verder te exporteren (via mail, USB of anders). Vindt daarop 100% logging plaats?
Is het mogelijk een check out te doen naar plekken die niet beheerd worden door de
Belastingdienst, of van waaruit het mogelijk is een nadere overdracht te doen naar
een plaats die niet beheerd wordt door de Belastingdienst?

De leden van de CDA-fractie vinden het zeer opmerkelijk dat er na al het onderzoek
naar datalekken en de debatten daarover geen lijst van meldingen van datalekken van
D&A en haar rechtsvoorgangers voorhanden zou zijn. Dat zou alle onderzoeken echt valideren.
Daarom ontvangen de leden van de CDA-fractie graag een overzicht van alle geconstateerde
datalekken en alle gemelde datalekken sinds 2013.

Tot slot vragen de leden van de CDA-fractie naar de laatste informatie over wanneer
de Belastingdienst volledig AVG-compliant zal zijn.

Vragen en opmerkingen van de leden van de fractie van D66

De leden van de D66-fractie hebben kennis genomen van de beantwoording van de vragen
van de vaste commissie voor Financiën. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie vragen naar de stand van zaken bij de voorbereidingen
voor het per 1 januari 2020 verstrekken van nieuwe btw-identificatienummers voor eenmanszaken
en de realisatie van de factuurvariant.

De leden van de D66-fractie vragen per wanneer de beoordeling door de AP van de aanvullende
technische verbetermaatregelen gereed is.

II Reactie van de Staatssecretaris