Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg inzake onderzoek van de Autoriteit Persoonsgegevens naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst

Nr. 136 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 17 juni 2019

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd
aan de Staatssecretaris van Financiën over de brief van 7 februari 2019 over de antwoorden
op vragen commissie inzake onderzoek van de Autoriteit Persoonsgegevens naar de informatiebeveiliging
van de afdeling Data en Analytics van de Belastingdienst (Kamerstuk 32 761, nr. 131).

De vragen en opmerkingen zijn op 10 april 2019 aan de Staatssecretaris van Financiën
voorgelegd. Bij brief van 14 juni 2019 zijn de vragen beantwoord.

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de beantwoording op eerder gestelde
vragen over de reactie op verzoek commissie inzake onderzoek van de Autoriteit Persoonsgegevens
(AP) naar de informatiebeveiliging van de afdeling Data en Analytics van de Belastingdienst.
De leden van de VVD-fractie hebben nog enkele vervolgvragen.

De leden van de VVD-fractie lezen dat de Autoriteit Persoonsgegevens op dit moment
beoordeelt of de verbetermaatregelen voldoende zijn. Wanneer is de uitkomst beschikbaar
voor de Kamer?

De leden van de VVD-fractie lezen verder dat er op dit moment een auditonderzoek gaande
is om feitelijk vast te stellen of de directie Datafundamenten & Analytics (DF&A)
compliant is met de Algemene Verordening Gegevensbescherming (AVG). Is al bekend wanneer
de resultaten met de Kamer gedeeld kunnen worden?

De leden van de VVD-fractie vragen hoe de Belastingdienst kijkt naar een meer directe
link met de basisregistratiepersonen en een online identiteit voor iedere Nederlander1)?

Zijn er projecten bij de Belastingdienst gaande om mensen meer regie op hun persoonsgegevens
te geven?

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie vinden het van het grootste belang dat de Belastingdienst
zeer zorgvuldig omgaat met de grote hoeveelheid privacy-gevoelige data van burgers.
Niet alleen omdat de overheid een voorbeeldfunctie heeft in het beschermen van de
privacy van mensen, maar ook omdat belastingplichtigen in principe geen keuze hebben
of de Belastingdienst data van hen verzamelt. Voor een rechtvaardige belastingheffing
is zeer veel privacy-gevoelige data nodig en dus moet de Belastingdienst daar zeer
zorgvuldig mee omgaan. De leden van de CDA-fractie vinden het dan ook spijtig dat
zij opnieuw moeten vragen naar de brief die de Autoriteit Persoonsgegevens al in juli
2018 aan de Belastingdienst geschreven heeft.

In de brief aan de Kamer schrijft de Staatssecretaris:

«De AP concludeert in zijn brief dat zijn bevindingen overeenkomen met de bevindingen
uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd naar de informatiebeveiliging
bij de Broedkamer en D&A. Omdat naar aanleiding daarvan ook al maatregelen zijn genomen,
ziet de AP geen aanleiding om nog een officieel onderzoeksrapport uit te brengen.»

In de bijlage staat echter te lezen:

«In februari 2017 is de Autoriteit Persoonsgegevens een onderzoek gestart naar de
informatiebeveiliging van de afdeling Data & Analytics (D&A) van de Belastingdienst.
De AP informeert u door middel van deze brief over de resultaten van het onderzoek
en over de daarbij geconstateerde overtredingen van de privacyregelgeving. Daarnaast
verzoekt de AP u om informatie te verstrekken over de getroffen verbetermaatregelen.
Tevens wijst de AP u erop dat u bij het in gebreke blijven van deze verbetermaatregelen
handelt in strijd met de wet.»

De leden van de CDA-Fractie constateren dat de Autoriteit Persoonsgegevens aangeeft
dat bij uitblijven van de verbetermaatregelen de Belastingdienst in strijd blijft
handelen met de wet. De eerder aangekondigde maatregelen konden dat voorkomen. Nu
waren compartimentering en logging de twee centrale maatregelen die waren aangekondigd.
Die zijn gewoon niet uitgevoerd blijkt uit de nadere toelichting. Dit betekent dat
de Belastingdienst gewoon in gebreke blijft en handelt in strijd met de wet. Daarom
vragen de leden van de CDA-fractie allereerst hoe lang de Belastingdienst nog handelt
in strijd met de wet. Waarom zijn de genoemde verbetermaatregelen uitgebleven?

Deze leden verzoeken de Staatssecretaris geen van de gestelde vragen over te slaan
bij de beantwoording.

De leden van de CDA-fractie vragen of de Staatssecretaris deze paragraaf in de brief
handhaaft, namelijk «De AP concludeert in zijn brief dat zijn bevindingen overeenkomen
met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft uitgevoerd
naar de informatiebeveiliging bij de Broedkamer en D&A. Omdat naar aanleiding daarvan
ook al maatregelen zijn genomen, ziet de AP geen aanleiding om nog een officieel onderzoeksrapport
uit te brengen.» en kan de Staatssecretaris dit nader motiveren? Hoe verhoudt deze
paragraaf zich tot de geciteerde zinnen uit de bijlage?

De leden van de CDA-fractie herhalen hun expliciete verzoek het rapport van eerste
bevindingen onmiddellijk aan de Kamer te doen toekomen en zij wijzen erop dat dit
verzoek ook reeds eerder vanuit de vaste commissie van Financiën gedaan is. Hetzelfde
verzoek hebben deze leden met betrekking tot de reactie van de AP op de brief van
de DG en het auditrapport waaruit zou blijken dat de dienst D&A AVG-compliant is.
Kan de Staatssecretaris deze reactie van de AP, inclusief alle verdere correspondentie
die er sindsdien over dit onderzoek is gedaan, en het auditrapport aan de Kamer doen
toekomen?

Verder vragen de leden van de CDA-fractie of het bereiken van de basispositie betekent
dat de dienst AVG-compliant is. Hoeveel mensen hebben al inzage gekregen in de persoonlijke
data bij D&A? Op hoeveel werkplekken is het technisch onmogelijk gemaakt om data op
een USB-stick te zetten? Vindt er op dit moment logging plaats van het al het exporteren
van data naar een USB-stick (met of zonder autorisatie) of van andere vormen van exporteren
van data?

Op eerdere vragen heeft de Staatssecretaris geantwoord: «De leden van CDA-fractie
vragen ook of individuele analisten een data «check out» mogen doen naar een lokale
omgeving. Individuele analisten mogen een «check out» doen naar een lokale omgeving.
De handeling wordt gelogd en er is een procedure omheen beschreven voor een zorgvuldige
omgang met de gegevens.»

De leden van de CDA-fractie vragen de Staatssecretaris naar aanleiding van dit antwoord
hoe deze procedure eruit ziet en of het mogelijk is om de data na een «check out»
verder te exporteren (via mail, USB of anders). Vindt daarop 100% logging plaats?
Is het mogelijk een check out te doen naar plekken die niet beheerd worden door de
Belastingdienst, of van waaruit het mogelijk is een nadere overdracht te doen naar
een plaats die niet beheerd wordt door de Belastingdienst?

De leden van de CDA-fractie vinden het zeer opmerkelijk dat er na al het onderzoek
naar datalekken en de debatten daarover geen lijst van meldingen van datalekken van
D&A en haar rechtsvoorgangers voorhanden zou zijn. Dat zou alle onderzoeken echt valideren.
Daarom ontvangen de leden van de CDA-fractie graag een overzicht van alle geconstateerde
datalekken en alle gemelde datalekken sinds 2013.

Tot slot vragen de leden van de CDA-fractie naar de laatste informatie over wanneer
de Belastingdienst volledig AVG-compliant zal zijn.

Vragen en opmerkingen van de leden van de fractie van D66

De leden van de D66-fractie hebben kennis genomen van de beantwoording van de vragen
van de vaste commissie voor Financiën. Deze leden hebben nog enkele vragen.

De leden van de D66-fractie vragen naar de stand van zaken bij de voorbereidingen
voor het per 1 januari 2020 verstrekken van nieuwe btw-identificatienummers voor eenmanszaken
en de realisatie van de factuurvariant.

De leden van de D66-fractie vragen per wanneer de beoordeling door de AP van de aanvullende
technische verbetermaatregelen gereed is.

II Reactie van de Staatssecretaris

Ik heb met interesse kennisgenomen van de vragen zoals opgenomen in de genoemde brief.
Ik beantwoord de vragen zoveel mogelijk in de volgorde waarin ze gesteld zijn, met
dien verstande dat gelijkluidende of in elkaars verlengde liggende vragen tezamen
worden beantwoord.

De leden van de VVD-fractie lezen dat de AP op dit moment beoordeelt of de verbetermaatregelen
zoals door de Belastingdienst toegezegd, voldoende zijn2. Zij vragen wanneer de uitkomst beschikbaar is voor de Kamer. Ook de leden van de
fractie van D66 vragen dit. Het vervolgonderzoek van de AP heeft op 9 mei 2019 plaatsgevonden.
Het is mij niet bekend wanneer de uitkomst beschikbaar is voor de Kamer. Vanzelfsprekend
wordt de uitkomst zo snel mogelijk met de Kamer gedeeld.

De leden van de VVD-fractie lezen verder dat er op dit moment een auditonderzoek gaande
is om feitelijk vast te stellen of de directie Datafundamenten en Analytics (DF&A)
conform de Algemene verordening gegevensbescherming (AVG) werkt. Zij vragen wanneer
de resultaten met de Kamer gedeeld kunnen worden. De toegezegde audit bij DF&A is
opgezet in twee delen. Het eerste deel betreft een audit door de interne auditafdeling
van de Belastingdienst waarbij onderzocht is in hoeverre DF&A opvolging heeft gegeven
aan de aangekondigde maatregelen zoals per brief gemeld in juni 20173. De uitkomst van dit onderzoek is dat alle aangekondigde maatregelen zijn geïmplementeerd
met uitzondering van de pseudonimisering. Voor de volledigheid wil ik melden dat het
pseudonimiseren van persoonsgegevens geen vereiste is voor AVG, maar een additionele
maatregel.

Het tweede deel van de audit betreft het onderzoek door de Auditdienst Rijk naar het
conform de AVG werken door DF&A. Doordat het rijksbrede normenkader voor de AVG nog
in ontwikkeling is, is deze audit nog niet gestart. De verwachting is dat het kader
nog voor het zomerreces van 2019 beschikbaar is, zodat de audit medio augustus 2019
gestart kan worden. De uitkomst van deze audit zal ik met de Kamer delen.

Verder heeft de Algemene Rekenkamer (ARK) medio 2018 onderzoek gedaan bij DF&A naar
het gebruik van risicomodellen in het toezicht bij de Belastingdienst. Daarbij is
het verantwoord omgaan met gegevens conform de AVG onderzocht. Uit het onderzoek is
onder andere gebleken dat de verantwoordelijkheid voor privacyaspecten van het werken
met data serieus wordt opgepakt met technische maatregelen en dat de Belastingdienst
begonnen is met organisatorische maatregelen. Het rapport «Datagedreven selectie van
aangiften door de Belastingdienst» van de ARK is op 11 juni 2019 gepubliceerd4.

De leden van de fractie van de VVD vragen hoe de Belastingdienst kijkt naar een meer
directe link met de Basisregistratie personen en een online identiteit voor iedere
Nederlander.5 Zij vragen of er bij de Belastingdienst projecten gaande zijn om burgers meer regie
op hun persoonsgegevens te geven. Het stelsel van basisregistraties -waaronder de
Basisregistratie personen (BRP)- stelt de Belastingdienst in staat om over betrouwbare
gegevens te beschikken van belastingplichtigen en toeslaggerechtigden. Dat ondersteunt
het juist en volledig heffen van belasting en uitkeren van toeslagen en de dienstverlening
aan burgers en bedrijven. Op dit moment ontvangt de Belastingdienst dagelijks de nieuwe
inschrijvingen en wijzigingen in de BRP. Als een online identiteit kan bijdragen aan
verdere verhoging van de betrouwbaarheid van gegevens en verbetering van de dienstverlening,
staat de Belastingdienst daar in beginsel positief tegenover. Overigens geldt dat
de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de primaire
verantwoordelijkheid heeft op de BRP.

Voor het delen van gegevens met derden biedt de Belastingdienst nu al de mogelijkheid
om op «Mijn Belastingdienst» een digitale inkomensverklaring te downloaden. Verder
werkt de Belastingdienst in het kader van het programma «Regie op gegevens» van het
Ministerie van BZK mee aan een pilot met woningcorporaties voor het delen van inkomensgegevens
ten behoeve van de inkomenstoets bij verhuur van woningen.

De leden van de fractie van het CDA vragen waarom de verbetermaatregelen compartimentering
en logging zijn uitgebleven. Zoals ik heb aangegeven in mijn brief van 7 februari
20196 is de datacompartimentering in het najaar van 2017 gerealiseerd. Als onderdeel van
de grote audit op het AVG-conform zijn, heeft er een interne audit plaatsgevonden
op de realisatie van de aan de Kamer toegezegde maatregelen. Deze audit laat zien
dat alle toegezegde maatregelen met uitzondering van het pseudonimiseren, geïmplementeerd
zijn.

De leden van de fractie van het CDA vragen of ik de door hen geciteerde paragraaf
uit mijn brief van 28 september 2018 handhaaf en of ik dit nader kan motiveren. Ja,
ik handhaaf de bedoelde paragraaf waarin staat dat de AP concludeert dat zijn bevindingen
overeenkomen met de bevindingen uit de onderzoeken die de Belastingdienst zelf heeft
uitgevoerd naar de informatiebeveiliging bij de (toenmalige) Broedkamer en (toenmalige
afdeling) D&A. De resultaten van onderzoeken van de Belastingdienst zijn op 2 oktober
2017 aan uw Kamer gestuurd.7 Beide onderzoeken geven een zelfde conclusie.

De leden van de fractie van het CDA herhalen hun verzoek om het rapport van eerste
bevindingen aan de Kamer te doen toekomen. De resultaten van het onderzoek van de
Belastingdienst zijn, zoals ik hiervoor heb aangegeven, op 2 oktober 2017 aan uw Kamer
gestuurd. Er is geen rapport van eerste bevindingen opgesteld. Als bijlagen bij mijn
brief van 28 september 2018 heb ik uw Kamer de brief van de AP van 3 juli 2018 gestuurd
en de reactie van de directeur-generaal Belastingdienst op die brief van 19 september
2018.8 Er heeft geen verdere correspondentie plaatsgevonden met de AP. De AP heeft op 9 mei
2019 het onderzoek bij DF&A voortgezet. In dat verband is nadere informatie aan de
AP verstrekt.

De leden van de fractie van het CDA vragen of het bereiken van de zogenoemde basispositie
betekent dat de dienst AVG-compliant is. Op 28 mei 2019 heb ik de Kamer geïnformeerd
over de implementatie van de AVG bij de Belastingdienst.9 De Belastingdienst moest een jaar geleden nog een aantal voorgenomen maatregelen
uitvoeren om de AVG te implementeren. De Belastingdienst heeft in het vervolgtraject
inmiddels de voorgenomen maatregelen kunnen realiseren, met uitzondering van de maatregel
«verwijderen van verouderde gegevens». Om te voorkomen dat verouderde gegevens onrechtmatig
kunnen worden verwerkt door medewerkers van de Belastingdienst, heeft de Belastingdienst
risicobeperkende (mitigerende) maatregelen genomen. De verouderde documenten worden
in een zogenoemde datakluis geplaatst. De (digitale) datakluis is een afgeschermde
omgeving, waartoe alleen aangewezen beheerders toegang hebben. De Belastingdienst
beoordeelt vervolgens de gegevens in de datakluis; als de gegevens geen permanente
waarde hebben of verouderd zijn, worden deze daadwerkelijk verwijderd. De Belastingdienst
heeft een grote inspanning geleverd om te kunnen voldoen aan de AVG. Naleving van
de AVG is een proces dat voortdurend aandacht vergt. De Belastingdienst blijft dus
doorlopend werken aan maatregelen en kaders en streeft daarmee naar een duurzame naleving
van de AVG. Zo kan de Belastingdienst in een bepaalde situatie alsnog in strijd met
de AVG handelen; denk aan het oordeel van de AP over het gebruik van het BSN in het
btw-identificatienummer of in geval van een toekomstig datalek. De Belastingdienst
handelt deze situaties conform de normen van de AVG af.

De leden van de fractie van het CDA vragen hoeveel mensen al inzage hebben gekregen
in de persoonlijke gegevens bij DF&A. Zoals ik in mijn brief van 7 februari 2019 heb
aangegeven staat op de webpagina van de Belastingdienst beschreven hoe een burger
gebruik kan maken van zijn inzagerecht op grond van de AVG10. Daarbij kan niet gevraagd worden naar een specifiek organisatieonderdeel. Het verzoek
betreft de Belastingdienst als geheel. Sinds mei 2018 zijn bij de Belastingdienst
76 verzoeken binnengekomen van burgers die inzage gevraagd hebben naar hun fiscale
gegevens.11 De Belastingdienst behandelt deze verzoeken conform de normen van de AVG.

De leden van de fractie van het CDA vragen op hoeveel werkplekken het technisch onmogelijk
is gemaakt om data op een USB-stick te zetten. Binnen DF&A heeft geen enkele medewerker
de mogelijkheid om vanaf zijn werkplek gegevens te exporteren naar een USB-stick of
een andere externe gegevensdrager. Dit wordt regelmatig gecontroleerd in de autorisatieprofielen.

Begin januari 2019 is bij DF&A de werkwijze voor het gebruik van de exportfunctie
vastgesteld. Op lange termijn biedt een extra beveiligde schil, het Analytical Data
Perimeter systeem (ADP), de oplossing. Tot die tijd zijn de reeds bestaande algemene
maatregelen voor medewerkers die met gegevens werken (geen USB-mogelijkheid, geen
externe e-mail, beperkte toegang tot internet en geen filetransfer mogelijkheid),
onverkort van kracht.

De leden van de fractie van het CDA vragen in verband met een data «check out» hoe
de procedure voor een zorgvuldige omgang met de gegevens procedure eruitziet. Binnen
DF&A wordt middels diverse programma’s voortdurend aandacht besteed aan bewustwording
rondom gegevensbescherming. Vanaf januari 2019 geldt de procedure dat een medewerker
toestemming moet vragen aan zijn leidinggevende als de exportfunctie of de copy-paste-functie
in de analyse-software wordt gebruikt. De leidinggevende registreert dit in een centraal
register. In de maandrapportage komen de aantallen terug. Door de maatregelen is het
niet mogelijk gegevens na een «check out» verder te exporteren. Er vindt geen 100%
logging plaats, maar registratie door de leidinggevende van de toestemming.

Ik vind het belangrijk om te benadrukken dat opzettelijke misbruik helaas nooit helemaal
te voorkomen is. Uiteraard spant de Belastingdienst zich in om dit zoveel mogelijk
te voorkomen.

De leden van de fractie van het CDA vragen om een overzicht van alle geconstateerde
datalekken en alle gemelde datalekken sinds 2013. De meldplicht voor datalekken bestaat
sinds 1 januari 2016. De Belastingdienst houdt vanaf die datum een registratie van
datalekken bij. Voor 2016 werden datalekken niet als zodanig geregistreerd maar vielen
onder de categorie incidenten. Tussen 2016 en 2018 zijn meldingen alleen op het niveau
van de (toenmalige) directie Belastingdienst/Belastingen als geheel bijgehouden en
niet op afdelingsniveau, waaronder (de voorgangers van) DF&A.

Uit de beschikbare cijfers blijkt dat er in 2018 twee datalekken bij DF&A zijn geweest.
Beide zijn als datalek gemeld bij de AP. In beide gevallen ging het om de vermissing
van een apparaat met versleutelde gegevens. In 2019 betreft het tot 1 april één datalek
dat ook gemeld is als zodanig aan de AP. Ook nu gaat het om de vermissing van een
apparaat met versleutelde gegevens.

De leden van de fractie van D66 vragen naar de stand van zaken bij de implementatie
van de zogenaamde factuurvariant. Met de factuurvariant wordt ervoor gezorgd dat het
burgerservicenummer niet langer gebruikt wordt in de externe communicatie door betrokkenen.
Met ingang van 1 januari 2020 dient de factuurvariant te zijn gerealiseerd. Het implementatietraject
is inmiddels gestart en de realisatie ligt op koers. De realisatie is verdeeld in
twee sporen, namelijk aanpassing van de ondersteunende systemen en activiteiten in
de sfeer van dienstverlening en communicatie, zoals het daadwerkelijk uitreiken van
het nieuwe nummer. Het programma om de factuurvariant te realiseren is aangemeld bij
de ADR. De ADR is gevraagd onderzoek te doen naar de sturing en beheersing (de governance)
van het implementatieprogramma, gericht op de realisatie van de factuurvariant. Dit
onderzoek richt zich op de waarborgen die zijn getroffen om te kunnen komen tot een
tijdige implementatie van de factuurvariant waarbij de onderbouwing van de planning
en de realisatie van die planning wordt bezien. Het rapport van bevindingen wordt
in juli 2019 verwacht.