Verslag van een schriftelijk overleg : Antwoorden op vragen commissie over de eindbrief van de Autoriteit Persoonsgegevens over het onderzoek naar de informatiebeveiliging bij Belastingdienst/Datafundamenten en Analytics

Nr. 159 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 3 maart 2020

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd
aan de Staatssecretaris van Financiën over de brief van 16 oktober 2019 over de eindbrief
van de Autoriteit Persoonsgegevens over het onderzoek naar de informatiebeveiliging
bij Belastingdienst/Datafundamenten en Analytics (Kamerstuk 32 761, nr. 150).

De vragen en opmerkingen zijn op 29 november 2019 aan de Staatssecretaris van Financiën
voorgelegd. Bij brief van 27 februari 2020 zijn de vragen beantwoord.

De voorzitter van de commissie, Anne Mulder

De adjunct-griffier van de commissie, Freriks

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de brief «Onderzoek van de AP
naar de informatiebeveiliging bij Belastingdienst/ Datafundamenten en Analytics» en
zijn tevreden met het feit dat de Belastingdienst en de afdeling Datafundamenten &
Analytics (DF&A) volgens de Autoriteit Persoonsgegevens (AP) voldoende verbetermaatregelen
hebben getroffen ten behoeve van de eerder geconstateerde beveiligingsrisico’s. De
leden van de VVD-fractie hebben nog enkele vragen en opmerkingen. De leden van de
VVD-fractie hechten eraan te benadrukken dat de Belastingdienst dient te voldoen aan
de hoogste eisen voor wat betreft databescherming en de beveiliging van de privacy
van gevoelige gegevens van Nederlanders. Zij vragen het kabinet hier blijvend aandacht
aan te besteden. De leden van de VVD-fractie vragen of de AP alleen heeft gekeken
naar de eerder geconstateerde beveiligingsrisico’s of dat DF&A in zijn geheel opnieuw
is onderzocht op beveiligingsrisico’s. Zo ja, wat is de uitkomst? De leden van de
VVD-fractie lezen dat exportdata nog steeds niet wordt gelogd. Op welke manier kan
in een register worden bijgehouden wie welke data heeft geëxporteerd? Moeten medewerkers
zelf aangeven welke data is geëxporteerd? De leden van de VVD-fractie vragen of binnen
de Belastingdienst de verbetermaatregelen rond de geconstateerde gebreken breed aangepast
zijn of dat dit alleen voor DF&A is gebeurd. Op basis waarvan wordt besloten om internetwebsites
wel of niet goed te keuren? De leden van de VVD-fractie vragen wie er binnen de Belastingdienst
op toeziet dat de getroffen verbetermaatregelen en periodieke herbeoordeling in de
toekomst worden gecontinueerd. Worden er nog «nazorgcontroles» gedaan door de AP?
Zo ja, met welke regelmaat? Zo nee, waarom niet? De leden van de VVD-fractie lezen
dat de Belastingdienst naar aanleiding van het onderzoek van de Algemene Rekenkamer
pas het mailen van DF&A naar buiten de Belastingdienst onmogelijk heeft gemaakt. Hoe
is de informatiebeveiliging op andere afdelingen binnen de Belastingdienst? Kan op
andere privacygevoelige afdelingen ook geen mail naar buiten de Belastingdienst gemaild
worden? Waarom wel/waarom niet? De leden van de VVD-fractie vragen hoe de AP blijft
monitoren of DF&A de verbetermaatregelen voldoende continueert en hoe de AP toeziet
op het naleven van de Algemene Verordening Gegevensbescherming (AVG). De leden van
de VVD-fractie vragen om een uitputtende lijst van diensten of afdelingen binnen de
Belastingdienst die op dit moment nog niet voldoen aan de laatste privacywetgeving
zoals de AVG. Zij vragen daarnaast welke stappen de Belastingdienst zet om wel aan
deze wet- en regelgeving te voldoen en wanneer de Belastingdienst volledig «privacy-proof»
zal zijn.

Vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie danken de Staatssecretaris en de AP voor de brief over
de informatiebeveiliging bij de broedkamer, die nu DF&A heet. Het is goed dat de verbetermaatregelen
genomen zijn en dat de AP niet langer overtredingen gevonden heeft. Toch is hiermee
wat de leden van de CDA-fractie betreft de zaak niet helemaal afgesloten. Daarvoor
waren de constateringen, die in de uitzending van Zembla naar boven kwamen, te ernstig.
Graag willen de leden van de CDA-fractie weten welke maatregelen nu uiteindelijk genomen
zijn op personeel terrein en op institutioneel terrein. Bij de tweede vraag willen
de leden ook graag vernemen waar medewerkers problemen met de AVG en privacy kunnen
melden en hoe daarmee wordt omgegaan. De leden van de CDA-fractie willen de Staatssecretaris
wel op het hart drukken dat de AVG niet betekent dat oude documenten (zoals memo’s
en beleidsdocumenten) waarop namen van ambtenaren staan vernietigd dienen te worden.
Kan de Staatssecretaris bevestigen dat dat niet gebeurt? De leden van de CDA-fractie
noemen dat DF&A een schat aan informatie heeft over elke burger. Onder de AVG heeft
elke burger ook het recht om die in te zien. Kan de Staatssecretaris aangeven hoe
een burger al die data op gemakkelijke wijze kan inzien? Nu kan hij namelijk die data
niet via de portal inzien.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie lezen in de brief van de AP dat zij afdoende vertrouwen
heeft in de door de Belastingdienst getroffen maatregelen om de in het verleden voorkomende
overtredingen niet langer te laten voortduren. Deze leden lezen tevens in deze brief
dat de AP audits gericht op informatiebeveiliging en periodieke herbeoordeling van
risico’s en maatregelen daartegen voorschrijft. Zij merken tevens op dat de Staatssecretaris
toezegt in zijn brief dat de Belastingdienst dit zal doen. Deze leden vragen de Staatssecretaris
hoe dit gestalte gaat krijgen en daarbij specifiek in te gaan op de frequentie en
omvang van de audits en tevens op de frequentie van herbeoordeling van risico’s binnen
DF&A. Tot slot vragen deze leden of de Staatssecretaris van zins is de AP en eventuele
andere onafhankelijke toezichthouders periodiek controle te laten uitvoeren om te
bezien of het vertrouwen dat in haar onderzoek is uitgesproken gerechtvaardigd blijkt.

II Reactie van de Staatssecretaris – Fiscaliteit en Belastingdienst

Ik dank de leden van de fracties van de VVD, het CDA en de SP voor de gestelde vragen
naar aanleiding van de brief van 16 oktober 2019 van mijn ambtsvoorganger. Hierna
zal ik de vragen per fractie beantwoorden. Daarbij wordt zoveel mogelijk de volgorde
van het verslag gevolgd, behalve daar waar fracties een overeenkomende vraag hebben
gesteld.

Antwoorden op de vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie hebben kennisgenomen van de brief «Onderzoek van de AP
naar de informatiebeveiliging bij Belastingdienst/Datafundamenten en Analytics» en
zijn tevreden met het feit dat de Belastingdienst en de afdeling Datafundamenten &
Analytics (DF&A) volgens de Autoriteit Persoonsgegevens (AP) voldoende verbetermaatregelen
hebben getroffen ten behoeve van de eerder geconstateerde beveiligingsrisico’s. De
leden van de VVD-fractie hebben nog enkele vragen en opmerkingen.

De leden van de VVD-fractie hechten eraan te benadrukken dat de Belastingdienst dient
te voldoen aan de hoogste eisen voor wat betreft databescherming en de beveiliging
van de privacy van gevoelige gegevens van Nederlanders. Zij vragen het kabinet hier
blijvend aandacht aan te besteden.

Dat zal ik doen.

De leden van de VVD-fractie vragen of de AP alleen heeft gekeken naar de eerder geconstateerde
beveiligingsrisico’s of dat DF&A in zijn geheel opnieuw is onderzocht op beveiligingsrisico’s.
Zo ja, wat is de uitkomst?

De AP heeft primair gekeken naar de geconstateerde beveiligingsrisico’s, zoals die
gecommuniceerd zijn in de brief van de AP van 3 juli 20181, en de getroffen verbetermaatregelen. De AP heeft in haar onderzoek ook de bevindingen
van een intern onderzoek en van het onderzoek «Datagedreven selectie van aangiften
door de Belastingdienst» van de Algemene Rekenkamer2, en de daarbij behorende getroffen verbetermaatregelen, meegenomen. De uitkomsten
van dit onderzoek, waarbij ook de andere bevindingen zijn meegenomen, kunt u lezen
in de eindbrief van de AP van 14 oktober 2019, die op 16 oktober 2019 aan uw Kamer
gestuurd is. De AP concludeert in de eindbrief dat «[...] de getroffen verbetermaatregelen bij DF&A ten behoeve van de geconstateerde beveiligingsrisico’s
deze risico’s dusdanig verminderen dat de eerder door de AP geconstateerde overtredingen
niet langer voortduren [...]».

De leden van de VVD-fractie lezen dat exportdata nog steeds niet wordt gelogd. Op
welke manier kan in een register worden bijgehouden wie welke data heeft geëxporteerd?
Moeten medewerkers zelf aangeven welke data is geëxporteerd?

Deze vraag is reeds beantwoord in de brief aan de Kamer van 14 juni 2019.3 Ik citeer: [...] De leden van de fractie van het CDA vragen in verband met een data «check out»
hoe de procedure voor een zorgvuldige omgang met de gegevens procedure eruitziet.
Binnen de corporate dienst Datafundamenten en Analytics (verder: DF&A) wordt middels
diverse programma’s voortdurend aandacht besteed aan bewustwording rondom gegevensbescherming.
Vanaf januari 2019 geldt de procedure dat een medewerker toestemming moet vragen aan
zijn leidinggevende als de exportfunctie of de copy-paste-functie in de analyse-software
wordt gebruikt. De leidinggevende registreert dit in een centraal register. In de
maandrapportage komen de aantallen terug. Door de maatregelen is het niet mogelijk
gegevens na een «check out» verder te exporteren. Er vindt geen 100% logging plaats,
maar registratie door de leidinggevende van de toestemming. Ik vind het belangrijk
om te benadrukken dat opzettelijke misbruik helaas nooit helemaal te voorkomen is.
Uiteraard spant de Belastingdienst zich in om dit zoveel mogelijk te voorkomen. [...]

De leden van de VVD-fractie vragen of binnen de Belastingdienst de verbetermaatregelen
rond de geconstateerde gebreken breed aangepast zijn of dat dit alleen voor DF&A is
gebeurd.

Daar waar medewerkers gebruik maken van analyse-tooling en ten behoeve daarvan rechtstreeks
toegang nodig hebben tot brondata, zijn de verbetermaatregelen toegepast.

Op basis waarvan wordt besloten om internetwebsites wel of niet goed te keuren?

De aangevraagde website wordt beoordeeld op het hebben van de mogelijkheid tot data-export
zoals webmail en mogelijkheden voor bestandsoverdracht, zoals die geboden worden door
o.a. Dropbox, WeTransfer etc. Alleen websites die niet beschikken over deze functionaliteit
worden goedgekeurd.

De leden van de VVD-fractie vragen wie er binnen de Belastingdienst op toeziet dat
de getroffen verbetermaatregelen en periodieke herbeoordeling in de toekomst worden
gecontinueerd. Worden er nog «nazorgcontroles» gedaan door de AP? Zo ja, met welke
regelmaat? Zo nee, waarom niet?

Informatiebeveiliging is een continu proces. Periodiek worden bestaande maatregelen
beoordeeld op effectiviteit en worden de risico’s opnieuw in kaart gebracht. Waar
nodig worden nieuwe risico’s gemitigeerd door nieuwe maatregelen. Dit proces staat
onder toezicht van de chief information and security officer (CISO) van de Belastingdienst
en de beveiligingsambtenaar (BVA) en de functionaris voor gegevensbescherming (FG)
van het Ministerie van Financiën. Het proces kan worden geaudit door de ADR. De AP
heeft haar eigen werkwijze. Mijn ervaring is dat wanneer de AP bepaalde feiten constateert,
zij deze onderzoekt en dat de AP op een later moment onderzoekt of bij een eventueel
vastgestelde overtreding afdoende maatregelen genomen zijn zodat de geconstateerde
overtreding niet langer voortduurt.

De leden van de VVD-fractie lezen dat de Belastingdienst naar aanleiding van het onderzoek
van de Algemene Rekenkamer pas het mailen van DF&A naar buiten de Belastingdienst
onmogelijk heeft gemaakt. Hoe is de informatiebeveiliging op andere afdelingen binnen
de Belastingdienst? Kan op andere privacygevoelige afdelingen ook geen mail naar buiten
de Belastingdienst gemaild worden? Waarom wel/waarom niet?

De Belastingdienst heeft de informatiebeveiliging niet ingericht per afdeling. De
Belastingdienst beschermt alle gegevens met maatregelen op basis van risicoanalyses,
conform de vereisten uit Baseline Informatiebeveiliging Overheid (BIO), niveau BBN2.
Bij het gebruik van internet en extern e-mailen wordt van alle medewerkers verwacht
professioneel en integer te handelen. Hiervoor gelden de uitgangspunten die op elke
rijksambtenaar van toepassing zijn. Het dichtzetten van de e-mail bij de voorgangers
van DF&A, de Broedkamer c.q. D&A, was onderdeel van een noodmaatregel, omdat ten tijde
van het incident onduidelijk was hoe de gegevens van de Belastingdienst «buiten de
deur» terecht gekomen waren. Op basis van het onderzoek is vervolgens besloten deze
maatregel in stand te houden voor medewerkers die toegang hebben tot de bronbestanden
in een analyse-omgeving. Deze overweging is gemaakt op basis van een risicoanalyse.
Privacy is één van de risico’s die daarin meegenomen wordt. De maatregel geldt voor
alle analyseprocessen binnen de Belastingdienst, waarbij toegang is tot bronbestanden.

De leden van de VVD-fractie vragen hoe de AP blijft monitoren of DF&A de verbetermaatregelen
voldoende continueert en hoe de AP toeziet op het naleven van de Algemene verordening
gegevensbescherming (AVG).

De AP is de nationale toezichthouder voor de naleving van de regels voor gegevensbescherming.
De AP bepaalt zelf op welke wijze toezicht gehouden wordt.

De leden van de VVD-fractie vragen om een uitputtende lijst van diensten of afdelingen
binnen de Belastingdienst die op dit moment nog niet voldoen aan de laatste privacywetgeving
zoals de AVG. Zij vragen daarnaast welke stappen de Belastingdienst zet om wel aan
deze wet- en regelgeving te voldoen en wanneer de Belastingdienst volledig «privacyproof»
zal zijn.

Mijn ambtsvoorganger heeft in de brief aan uw Kamer van 28 mei 20194 aangegeven dat de Belastingdienst de maatregelen om de AVG te implementeren heeft
kunnen realiseren, met uitzondering van de maatregel «verwijderen van verouderde gegevens».
Om te voorkomen dat de niet-tijdig verwijderde gegevens onrechtmatig kunnen worden
verwerkt, heeft de Belastingdienst mitigerende maatregelen genomen: een zogenoemde
datakluis, waardoor de toegang tot de persoonsgegevens wordt weggenomen. In de brief
is de toezegging gedaan de Auditdienst Rijk (ADR) te vragen te toetsen in hoeverre
de Belastingdienst zijn oorspronkelijke aanbevelingen heeft opgevolgd.

Het aanvullend onderzoek door de ADR is afgerond. Als bijlage bij deze brief stuur
ik u het rapport5. De centrale boodschap van de ADR is dat de Belastingdienst met de aanbevelingen
aan de slag is gegaan, maar dat er nog vervolgacties nodig zijn om alle bevindingen
volledig op te lossen. Het voorgaande leidt tot het inzicht dat er nog meer maatregelen
genomen moeten worden dan in mei 2019 aan de Tweede Kamer is gecommuniceerd. Hoewel
de Belastingdienst een grote inspanning heeft geleverd om te kunnen voldoen aan de
AVG, is hiermee duidelijk geworden dat er meer focus moet komen op het realiseren
van de resterende aanbevelingen. De resterende aanbevelingen zijn:

– Het aantoonbaar afhandelen van de lijst met de Belastingdienst-applicaties die voorzien
zijn van een bulkexportfaciliteit;

– Het compleet maken en actualiseren van de verwerkersovereenkomsten in het AVG-register;

– Werkinstructies voor «gebruik productiedata in test» nader uitwerken;

– Het ontwikkelen en implementeren van de kaders om tot meer uniforme inrichting van
bedrijfsrollen te komen.

Het realiseren van de eerste drie resterende aanbevelingen zal maximaal zes maanden
duren. Het ontwikkelen en implementeren van uniforme inrichting bedrijfsrollen is
al gestart, maar de realisatie daarvan zal langer duren.

Naleving van de AVG is overigens geen statisch gegeven, maar een proces dat voortdurend
aandacht vergt. De genomen maatregelen en de gestelde kaders moeten worden onderhouden.
De Belastingdienst blijft dus doorlopend werken aan maatregelen en kaders en streeft
daarmee naar een duurzame naleving van de AVG. Voor 2020 staan verschillende acties
gepland. Zo wordt er gewerkt aan de kwaliteitsverbetering van het register van verwerkingen;
daartoe wordt een plan van aanpak opgesteld. De functionaris voor gegevensbescherming
is overigens voornemens in 2020 een audit te laten doen op het register van verwerkingen.
Ook wordt in 2020 de rol van de zogenoemde datacoördinatoren geëvalueerd. Ik vind
het belangrijk om te benadrukken dat incidenten niet zijn uit te sluiten, in de veelheid
van (veranderende) processen en complexiteit van de organisatie. De Belastingdienst
handelt deze situaties conform de normen van de AVG af.

Antwoorden op de vragen en opmerkingen van de leden van de fractie van het CDA

De leden van de CDA-fractie danken de Staatssecretaris en de AP voor de brief over
de informatiebeveiliging bij de broedkamer, die nu DF&A heet. Het is goed dat de verbetermaatregelen
genomen zijn en dat de AP niet langer overtredingen gevonden heeft.

Toch is hiermee wat de leden van de CDA-fractie betreft de zaak niet helemaal afgesloten.
Daarvoor waren de constateringen, die in de uitzending van Zembla naar boven kwamen,
te ernstig.

Graag willen de leden van de CDA-fractie weten welke maatregelen nu uiteindelijk genomen
zijn op personeel terrein en op institutioneel terrein. Bij de tweede vraag willen
de leden ook graag vernemen waar medewerkers problemen met de AVG en privacy kunnen
melden en hoe daarmee wordt omgegaan.

Er is een uitgebreide bewustwordingscampagne voor alle medewerkers (intern en extern)
van DF&A. Deze bestaat uit:

– dagdeel plenaire cursus Privacy en Security, speciaal ontwikkeld voor medewerkers
van DF&A (verplicht);

– online cursus «iBewustzijn Overheid» (verplicht);

– online cursus «Basistraining Privacy en AVG» (verplicht);

– de 10 «gouden regels» van DF&A;

– aanwijzen van een eigen vertrouwenspersoon;

– op afdelingsbrede en teamoverleggen regelmatig aandacht voor privacybescherming door
bespreken casuïstiek en quizelementen.

Op organisatorisch vlak heeft DF&A de afgelopen jaren de volgende maatregelen getroffen
ter beveiliging van de gegevens van burgers en bedrijven door het (verder) implementeren
van beveiligingsmaatregelen:

– DF&A analyseert de risico’s en de besturing van het risico-managementproces is verbeterd;

– er wordt voor DF&A verbijzonderde toegangsbeveiliging toegepast;

– DF&A hanteert eerder genoemde «gouden regels» en trainingen om het beveiligingsbewustzijn
te vergroten;

– er vindt monitoring plaats op het naar buiten de Belastingdienst brengen van gegevens;

– er vindt binnen DF&A monitoring plaats op toegekende autorisaties, conflicterende
mutatierechten en USB-rechten;

– conform de vereisten van de AVG is privacy by design geïmplementeerd binnen de organisatie. Dit is een manier van werken waarbij al vanaf
de start van het project over privacy wordt nagedacht en dit gedurende het gehele
project wordt meegenomen en waar nodig aangepast aan de situatie;

– de data-analyseomgeving is ingericht met functiescheiding en projectgebonden autorisaties;
in de uitvoering wordt soms op meerdere projecten autorisaties verstrekt;

– er zijn diverse maatregelen getroffen om datatransfer van de data-analyse-omgeving
naar buiten de Belastingdienst te voorkomen.

Medewerkers kunnen met vragen op het gebied van privacy terecht bij contactpersonen
binnen hun eigen dienstonderdeel, zogenoemde datacoördinatoren. Voor de Belastingdienst
in brede zin is er een privacyofficer. Daarnaast beschikt het Ministerie van Financiën,
inclusief de Belastingdienst, over een functionaris voor gegevensbescherming (FG).
De FG is een interne toezichthouder voor de naleving van de regels van de AVG. De
Autoriteit Persoonsgegevens is de nationale, externe, toezichthouder.

Ook wijs ik op het belang van cultuur.6 Aandacht voor de cultuur bij de Belastingdienst is van groot belang om de wezenlijke
veranderopgaven te kunnen realiseren. Daarom is cultuur tot een van de pijlers van
Beheerst Vernieuwen gemaakt en is het bestaande cultuurprogramma geïntensiveerd en
uitgebreid als stevig en niet vrijblijvend programma. Een klimaat is nodig waar fouten
op het juiste niveau worden gemeld, nadrukkelijk van die fouten wordt geleerd, dilemma’s
worden besproken en moreel leiderschap en rechtstatelijk handelen de mores zijn. Misstanden
moeten vrijelijk gemeld kunnen worden en op een juiste manier opvolging krijgen.

De leden van de CDA-fractie willen de Staatssecretaris wel op het hart drukken dat
de AVG niet betekent dat oude documenten (zoals memo’s en beleidsdocumenten) waarop
namen van ambtenaren staan, vernietigd dienen te worden. Kan de Staatssecretaris bevestigen
dat dat niet gebeurt?

Het vernietigen van documenten gebeurt conform de vereisten uit de Archiefwet, waarbij
de termijnen van de selectielijsten7 gehanteerd worden. Het gaat hierbij om integrale gegevens; er worden tussentijds
geen persoonsgegevens van ambtenaren verwijderd. Zoals eerder aangegeven heeft de
Belastingdienst een achterstand bij het schonen van gegevens. Gegeven de hoeveelheid
te beoordelen documenten heeft de Belastingdienst als mitigerende maatregel de datakluis
ontworpen, waardoor de toegang tot de persoonsgegevens wordt weggenomen.

Overigens is in overdrachtsbrief CAF Toeslagen van 4 februari 2020 (Kamerstuk 31 066, nr. 596) gemeld dat de Inspectie Overheidsinformatie en Erfgoed (hierna: Inspectie O&E) heeft
aangegeven zich op de hoogte te willen stellen van de archivering van informatie in
het proces van de toeslagen kinderopvang bij de Belastingdienst. De Inspectie O&E
houdt toezicht op de naleving van de Archiefwet 1995 bij de centrale overheid. De
beoogde reikwijdte van het aangekondigde onderzoek wordt momenteel met de Inspectie
O&E besproken. Hierbij wordt, conform de toezegging aan de heer Omtzigt tijdens het
debat van 21 januari 2020 (Handelingen II 2019/20, nr. 43, debat over plannen voor
de reorganisatie van de Belastingdienst), ook de mogelijkheid van een rol van de Rijksarchivaris
betrokken.

De leden van de CDA-fractie noemen dat DF&A een schat aan informatie heeft over elke
burger. Onder de AVG heeft elke burger ook het recht om die in te zien. Kan de Staatssecretaris
aangeven hoe een burger al die data op gemakkelijke wijze kan inzien? Nu kan hij namelijk
die data niet via de portal inzien.

In de brief van 7 februari 20198 aan uw Kamer heb ik aangegeven dat op de website van de Belastingdienst de procedure
beschreven is hoe een burger gebruik kan maken van zijn inzagerecht.9 Ik merk hierbij op dat een burger specifiek naar een verwerking of naar een organisatieonderdeel
kan vragen bij een verzoek om inzage.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie lezen in de brief van de AP dat zij afdoende vertrouwen
heeft in de door de Belastingdienst getroffen maatregelen om de in het verleden voorkomende
overtredingen niet langer te laten voortduren. Deze leden lezen tevens in deze brief
dat de AP audits gericht op informatiebeveiliging en periodieke herbeoordeling van
risico’s en maatregelen daartegen voorschrijft. Zij merken tevens op dat de Staatssecretaris
toezegt in zijn brief dat de Belastingdienst dit zal doen. Deze leden vragen de Staatssecretaris
hoe dit gestalte gaat krijgen en daarbij specifiek in te gaan op de frequentie en
omvang van de audits en tevens op de frequentie van herbeoordeling van risico’s binnen
DF&A.

De door de AP voorgeschreven audits en periodieke herbeoordeling van de risico’s en
maatregelen zijn onderdeel van de reguliere «planning en control»-cyclus. Vanuit de
wettelijke taak van de ADR, de aansluitvoorwaarden voor het gebruik van DigiD en vraaggestuurde
audits op basis van de rapportages van de bedrijfsonderdelen vinden jaarlijks verschillende
audits plaats op (delen van) het verplicht te hanteren kader voor informatiebeveiliging,
de BIO. Daarnaast vindt er intern toezicht plaats door de beveiligingsambtenaar van
het departement van Financiën.

Tot slot vragen deze leden of de Staatssecretaris van zins is de AP en eventuele andere
onafhankelijke toezichthouders periodiek controle te laten uitvoeren om te bezien
of het vertrouwen dat in haar onderzoek is uitgesproken gerechtvaardigd blijkt.

De Belastingdienst hanteert het Beveiligingsvoorschrift Rijksdienst en het bijbehorende
Voorschrift Informatiebeveiliging Rijksdienst voor de inrichting en besturing van
informatiebeveiliging. Genoemde kaders bevatten voldoende instrumenten om het gevraagde
toezicht uit te voeren.