AVG – persoonsgegevens bij Belastingdienst wel goed beveiligd

De staatssecretaris van Financiën beantwoordt Kamervragen over een artikel in Trouw: Belastingdienst: het is ‘technisch onmogelijk’ persoonsgegevens goed te beveiligen. De Belastingdienst werkt naar verwachting per mei 2019 geheel volgens de Algemene Verordening Gegevensbescherming (AVG).

Delen:

Eind september is een afschrift van een brief aan de Autoriteit Persoonsgegevens (AP) aan de Tweede Kamer gestuurd. Daarin wordt ingegaan op de gerealiseerde verbetermaatregelen bij de afdeling Datafundamenten en Analytics (DF&A) van de Belastingdienst. In die brief is aangegeven dat “vanuit de dataomgeving bij afdeling DF&A, waar wel een exportfunctie aanwezig is, technische logging niet mogelijk [is] noch het aanpassen van autorisaties”. Op basis van deze zin wordt in het artikel de indruk gewekt dat de gegevensbeveiliging bij de Belastingdienst niet op orde is. Dat is niet zo.

Wat is er aan de hand?

De situatie is dat het niet mogelijk is om ieder gebruik van gegevens te loggen als de te analyseren gegevens eenmaal uit de centrale dataomgeving zijn gehaald en in de digitale werkomgeving (PC of laptop) van de medewerker van DF&A zijn geplaatst. Dat komt omdat in de digitale werkomgeving van de medewerker ook standaardapplicaties worden gebruikt die geen logmogelijkheid kennen. Daarom zijn technische en organisatorische maatregelen getroffen in het werkproces, waarmee het risico van een datalek wordt geminimaliseerd. Handelingen met gegevens in de centrale dataomgeving van DF&A worden wel gelogd en gemonitord.

Analytical Data Perimeter

Technisch onmogelijk betekent dat dit niet mogelijk is in de huidige digitale werkomgeving van de medewerkers. Dit wordt opgelost met invoering van de zogenoemde Analytical Data Perimeter (ADP). Dit is een technisch volledig afgesloten digitale werkomgeving waar alleen vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds gelogd en gemonitord worden. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn.

Adequate beveiliging

Er is geen sprake van dat persoonsgegevens bij de Belastingdienst niet beveiligd zijn. Het gaat om de beveiligingsmaatregel logging op één onderdeel van het werkproces bij DF&A. Maatregelen om een adequate beveiliging van dat specifieke onderdeel te borgen, zijn getroffen.

ICT-systemen

Het is niet zo dat de Belastingdienst geen inzicht heeft in de plaatsen waar (persoons)gegevens zich bevinden in de ICT-systemen,  en welke gegevens dat zijn.

De ICT-systemen bij Belastingdienst zijn ingericht per belastingmiddel en er zijn afzonderlijke systemen voor toeslagen en douane. Dat is voor een goede uitvoering van de verschillende taken ook noodzakelijk. Wel wordt er naar gestreefd gegevens voor analysedoeleinden (zoals de afdeling DF&A die verricht) op te slaan in één bron. Daarbij worden specifieke maatregelen genomen om de informatieveiligheid te verzekeren; hierop wordt een audit uitgevoerd.

Training

Alle medewerkers van de Belastingdienst zijn verplicht de training iBewustzijn Overheid te volgen, die  onder meer modules bevat over verantwoord omgaan met persoonsgegevens en met digitale middelen die het werk ondersteunen, en over het veilig houden van de fysieke werkomgeving. Vanaf het voorjaar van 2018 is hier een specifieke AVG-module aan toegevoegd.

Getroffen maatregelen

Wat heeft de Belastingdienst veranderd aan de beveiliging van persoonsgegevens sinds de uitzending van Zembla begin 2017?

Sinds de uitzending van Zembla zijn bij het dienstonderdeel DF&A de volgende maatregelen getroffen:

  • De gegevens zijn gecompartimenteerd, zodat medewerkers alleen de gegevens te zien krijgen die zij nodig hebben voor hun werk.
  • Toegang tot de datacompartimenten is strikt geregeld via autorisaties.
  • De autorisaties worden maandelijks volledig beoordeeld op actualiteit en geldigheid.
  • Iedere gegevensverwerking in de dataomgeving werd al gelogd en wordt nu actief gemonitord; er wordt gecontroleerd of voldaan is aan vooraf gedefinieerde beveiligingsregels, bijvoorbeeld: ermag niet gezocht worden op een specifieke persoon. Zo niet dan volgt een signaal naar demedewerker en zijn leidinggevende. Als blijkt dat van een onrechtmatigheid sprake is, wordt hetreguliere proces voor integriteitsschendingen gevolgd.
  • In de beveiligde werkomgeving van de medewerker met datatoegang is extern mailverkeer niet meer mogelijk. Het via een mobile device (die zijn voorzien van een wachtwoord en afgedwongenbeveiligingsmaatregelen) opslaan en versturen van bijlagen is alleen mogelijk door middel vandoelbewuste handelingen. In de trainingen en bewustwordingssessies van alle medewerkers wordthet verrichten van deze handelingen bestempeld als een bewuste en kwaadwillende actie, die kanleiden tot sancties.
  • Gebruik van internet is alleen mogelijk naar goedgekeurde websites; export van gegevens naar het internet is afgesloten.
  • De medewerkers die geautoriseerd zijn voor het werken met data beschikken niet over USB-ontheffingen en kunnen deze ook niet verkrijgen. Alleen beheerders kunnen een USB-ontheffing aanvragen van enkele uren (dit is het afgelopen jaar niet gebeurd).
  • Alle bevoegdheden voor gebruik van file transfer (FTP) naar buiten zijn ingetrokken.

Verder zijn bij de Belastingdienst met behulp van risico- en issueanalyses op verwerkingen vanpersoonsgegevens verbetermaatregelen geformuleerd. Op het gebied van informatiebeveiligingbetreffen deze verbetermaatregelen met name de actualisering en het beheer van autorisaties vanmedewerkers voor het gebruik van gegevens.

Zijn er naast de Belastingdienst en het UWV nog meer overheidsinstellingen die problemen ervaren met de beveiliging van persoonsdata?

Overheidsorganisaties zijn en blijven zelf verantwoordelijk voor de beveiliging van hun persoonsgegevens. Nog niet alle organisaties hebben dit volledig op orde, maar er wordt hard aan gewerkt en dit onderwerp heeft overheidsbreed hoge prioriteit.

Algemene Verordening Gegevensbescherming

De openbare onderzoekrapportages van de Autoriteit Persoonsgegevens geven een goede indicatie van het type problemen dat overheidsinstellingen op dit terrein ervaren. In samenwerking met andere ministeries worden de nodige initiatieven ontplooid om duurzame naleving van de AVG op dit vlak binnen het Rijk te bevorderen.

Wanneer verwacht u dat de Belastingdienst kan voldoen aan de striktere regels omtrent de Algemene Verordening Gegevensbescherming?

De staatssecretaris verwacht dat de Belastingdienst per mei 2019 de implementatie van de verbetermaatregelen afgerond zal hebben en in lijn zal zijn met de AVG. Bij de afdeling DF&A is dit eind mei 2018 al gerealiseerd. Naleving van de AVG is echter een continu proces dat structureel aandacht en maatregelen vraagt en nooit ‘af’ is.

Wanneer verwacht u dat technische onmogelijkheden bij het beveiligen van persoonsgegevens zijn opgelost?

Het in gebruik nemen van de ADP zal de technische onmogelijkheid van met logging in de werkomgeving van de medewerkers van DF&A oplossen.

Voor de andere onderdelen van de Belastingdienst geldt dat het nemen van informatiebeveiligingsmaatregelen, afgestemd op aard en omvang van de gegevensverwerkingen, een reguliere activiteit is. Specifieke stappen hoeven daarvoor niet te worden gezet.

Antwoorden op Kamervragen over het bericht beveiliging data fiscus ondermaats

Dit vind je misschien ook interessant