Antwoord op vragen van de leden Lodders en Middendorp over het bericht ‘Beveiliging data fiscus ondermaats’

Geachte Voorzitter,

Hierbij stuur ik u, mede namens de Minister en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, de antwoorden op de schriftelijke vragen van de leden Lodders en Middendorp (beiden VVD) over het bericht ‘Beveiliging data fiscus ondermaats’.

Hoogachtend,

De staatssecretaris van Financiën,

Menno Snel

2018Z19048

Vragen van de leden Lodders en Middendorp (beiden VVD) aan de staatssecretarissen van Financiën en van Binnenlandse Zaken en Koninkrijksrelaties over het bericht ‘Beveiliging data fiscus ondermaats’ (ingezonden 23 oktober 2018)

1
Bent u bekend met het bericht ‘Beveiliging data fiscus ondermaats’? 1)

Antwoord 1

Ja.


2
Welke technische onmogelijkheden om persoonsgegevens goed te beveiligen bedoelt de Belastingdienst precies? Kunt u specifieker zijn over wat er wel en niet mogelijk is?

Antwoord 2

Op 28 september heb ik een afschrift van een brief aan de AP aan uw Kamer gestuurd, waarin wordt ingegaan op de gerealiseerde verbetermaatregelen bij de afdeling Datafundamenten en Analytics (DF&A) van de Belastingdienst. In die brief is aangegeven dat “vanuit de dataomgeving bij afdeling DF&A, waar wel een exportfunctie aanwezig is, technische logging niet mogelijk [is] noch het aanpassen van autorisaties”. Op basis van deze zin wordt in het artikel de indruk gewekt dat de gegevensbeveiliging bij de Belastingdienst in den brede niet op orde is. Dat is niet het geval.
De situatie is dat het niet mogelijk is om ieder gebruik van gegevens te loggen als de te analyseren gegevens eenmaal uit de centrale dataomgeving zijn gehaald en in de digitale werkomgeving (PC of laptop) van de medewerker van DF&A zijn geplaatst. Dat komt omdat in de digitale werkomgeving van de medewerker ook standaardapplicaties worden gebruikt die geen logmogelijkheid kennen. Daarom zijn technische- en organisatorische maatregelen getroffen in het werkproces, waarmee het risico van een datalek wordt geminimaliseerd (zie het antwoord op vraag 7). Handelingen met gegevens in de centrale dataomgeving van DF&A worden wel gelogd en gemonitord.


3
Wordt met ‘technisch onmogelijk’ bedoelt de huidige IT-security-middelen die nu ter beschikking zijn, of meer in algemene zin?

Antwoord 3

Met technisch onmogelijk is inderdaad bedoeld dat dit niet mogelijk is in de huidige digitale werkomgeving van de medewerkers. Dit zal worden opgelost met invoering van de zogenoemde Analytical Data Perimeter (ADP). Dit is een technisch volledig afgesloten digitale werkomgeving waar enkel vooraf gedefinieerde, gecontroleerde en geaccordeerde dataroutes mogelijk zijn, die steeds gelogd en gemonitord worden. De ADP wordt op dit moment gebouwd en zal in de loop van 2019 beschikbaar zijn.

4
Zou het met meer kennis en kunde en/of een betere algemene ICT-architectuur bij de overheid (denk aan de door Binnenlandse Zaken en Koninkrijksrelaties geleverde DigiD-architectuur) wel mogelijk zijn om persoonsgegevens bij de Belastingdienst te beveiligen? Zo nee, waarom niet?

Antwoord 4

Er is geen sprake van dat persoonsgegevens bij de Belastingdienst niet beveiligd zijn. Zoals in de beantwoording onder vraag 2 is aangegeven, betreft het in het geval van de Belastingdienst de beveiligingsmaatregel logging op één onderdeel van het werkproces bij DF&A. Maatregelen om een adequate beveiliging van dat specifieke onderdeel te borgen, zijn getroffen (zie het antwoord op vraag 7). Verder is de informatiebeveiliging (inclusief het toegangsbeheer) bij de Belastingdienst gebaseerd op rijksbrede kaders zoals de Baseline informatiebeveiliging Rijk (BIR).

De overheid blijft uiteraard investeren in kennis en kunde en in het leveren van een goede architectuur. Toepassing van DigiD of de DigiD-architectuur biedt in dezen geen oplossing, aangezien DigiD specifiek is ontwikkeld voor authenticatie (het verifiëren van de identiteit) van natuurlijke personen die inloggen bij digitale loketten zoals MijnBelastingdienst of MijnOverheid. Het werkproces van de afdeling DF&A betreft analyse van gegevens in de interne systemen van de Belastingdienst.

5
Klopt de berichtgeving dat de Belastingdienst geen inzicht heeft in waar welke data zich bevindt in de systemen? Deelt u de mening dat dit een zorgelijke constatering is, aangezien die namelijk niet alleen gevolgen heeft voor de privacy, maar ook voor de business in het algemeen alsook de cybersecurity in het algemeen? Hoe kan de Belastingdienst de data voor 100% beveiligen als niet alles kenbaar of zichtbaar is?

Antwoord 5

Het is mij niet duidelijk op welke berichtgeving in deze vraag wordt gedoeld. Het is niet zo dat de Belastingdienst geen inzicht heeft in de plaatsen waar (persoons)gegevens zich bevinden in de ICT-systemen, en welke gegevens dat zijn.

6
Deelt u de mening dat het opslaan van geselecteerde persoonsgegevens in één heldere en unieke bron het probleem van het gebrek aan overzicht bij de Belastingdienst waar persoonsgegevens zich bevinden zou oplossen? Zo ja, wat wordt er bij de Belastingdienst gedaan om dit voor elkaar te krijgen? Zo nee, waarom niet? Krijgen medewerkers van de Belastingdienst en andere overheidsinstellingen die werken met persoonsdata hier speciale trainingen voor? Zo ja, hoe zien deze trainingen eruit? Zo nee, waarom niet?

Antwoord 6

Zoals aangegeven in het antwoord op vraag 5 is geen sprake van het ontbreken van inzicht waar persoonsgegevens zich bevinden.
De ICT-systemen bij Belastingdienst zijn ingericht per belastingmiddel en er zijn afzonderlijke systemen voor toeslagen en douane. Dat is voor een goede uitvoering van de verschillende taken ook noodzakelijk. Wel wordt er naar gestreefd gegevens voor analysedoeleinden (zoals de afdeling DF&A die verricht) op te slaan in één bron. Daarbij worden specifieke maatregelen genomen (zie ook vraag 7) om de informatieveiligheid te verzekeren; hierop wordt een audit uitgevoerd.
Alle medewerkers van de Belastingdienst zijn verplicht de training iBewustzijn Overheid te volgen, die onder meer modules bevat over verantwoord omgaan met persoonsgegevens en met digitale middelen die het werk ondersteunen, en over het veilig houden van de fysieke werkomgeving. Vanaf het voorjaar van 2018 is hier een specifieke AVG-module aan toegevoegd. De certificaten die worden behaald bij het doorlopen van de training worden toegevoegd aan het personeelsdossier.

7
Wat heeft de Belastingdienst veranderd aan de beveiliging van persoonsgegevens sinds de uitzending van Zembla begin 2017? Heeft deze verandering alleen plaatsgevonden bij de afdeling Data & Analytics of ook bij andere afdelingen? Zo ja, welke afdelingen en wat is er precies veranderd? Zo nee, waarom niet?

Antwoord 7

Sinds de uitzending van Zembla zijn bij het dienstonderdeel DF&A de volgende maatregelen getroffen:

· De gegevens zijn gecompartimenteerd, zodat medewerkers alleen de gegevens te zien krijgen die zij nodig hebben voor hun werk.

· Toegang tot de datacompartimenten is strikt geregeld via autorisaties.

· De autorisaties worden maandelijks volledig beoordeeld op actualiteit en geldigheid.

· Iedere gegevensverwerking in de dataomgeving werd al gelogd en wordt nu actief gemonitord; er wordt gecontroleerd of voldaan is aan vooraf gedefinieerde beveiligingsregels (bijvoorbeeld: er mag niet gezocht worden op een specifieke persoon). Zo niet dan volgt een signaal naar de medewerker en zijn leidinggevende. Als blijkt dat van een onrechtmatigheid sprake is, wordt het reguliere proces voor integriteitsschendingen gevolgd.

· In de beveiligde werkomgeving van de medewerker met datatoegang is extern mailverkeer niet meer mogelijk. Het via een mobile device (die zijn voorzien van een wachtwoord en afgedwongen beveiligingsmaatregelen) opslaan en versturen van bijlagen is alleen mogelijk door middel van doelbewuste handelingen. In de trainingen en bewustwordingssessies van alle medewerkers wordt het verrichten van deze handelingen bestempeld als een bewuste en kwaadwillende actie, die kan leiden tot sancties.

· Gebruik van internet is alleen mogelijk naar goedgekeurde websites; export van gegevens naar het internet is afgesloten.

· De medewerkers die geautoriseerd zijn voor het werken met data beschikken niet over USB-ontheffingen en kunnen deze ook niet verkrijgen. Alleen beheerders kunnen een USB-ontheffing aanvragen van enkele uren (dit is het afgelopen jaar niet gebeurd).

· Alle bevoegdheden voor gebruik van file transfer (FTP) naar buiten zijn ingetrokken.

Verder zijn bij de Belastingdienst met behulp van risico- en issueanalyses op verwerkingen van persoonsgegevens verbetermaatregelen geformuleerd. Op het gebied van informatiebeveiliging betreffen deze verbetermaatregelen met name de actualisering en het beheer van autorisaties van medewerkers voor het gebruik van gegevens.

8
Zijn er naast de Belastingdienst en het Uitvoeringsinstituut Werknemersverzekeringen nog meer overheidsinstellingen die problemen ervaren met de beveiliging van persoonsdata? Hoe bent u voornemens persoonsgegevens in de toekomst overheidsbreed wel optimaal te beveiligen? Wat wordt er in samenwerking met andere departementen door u gedaan om dit te implementeren?

Antwoord 8

Voorop staat dat overheidsorganisaties zelf verantwoordelijk zijn en blijven voor de beveiliging van hun persoonsgegevens. Nog niet alle organisaties hebben dit volledig op orde, maar er wordt hard aan gewerkt en dit onderwerp heeft overheidsbreed hoge prioriteit. De openbare onderzoekrapportages van de Autoriteit Persoonsgegevens [1] geven een goede indicatie van het type problemen dat overheidsinstellingen op dit terrein ervaren. In samenwerking met andere ministeries worden de nodige initiatieven ontplooid om duurzame naleving van de AVG op dit vlak binnen het Rijk te bevorderen. Het Ministerie van BZK faciliteert dit onder meer door de introductie van een nieuwe rol, de Privacy Adviseur Rijksbrede Kaders & Voorzieningen (PAR) en een bijbehorende procedure voor rijksbrede projecten. Met deze aanpak wordt centraal, in afstemming met alle ministeries, één privacy-advies opgesteld voor Rijksbrede kaders en voorzieningen.
In de update van de Strategische I-agenda voor de Rijksdienst, die uw Kamer na het Kerstreces ontvangt, zal de minister van BZK nader ingaan op de verdere uitwerking van deze en andere privacy-versterkende maatregelen voor de sector Rijk.

9
Wanneer verwacht u dat de Belastingdienst kan voldoen aan de striktere regels omtrent de Algemene Verordening Gegevensbescherming?

Antwoord 9
Ik verwacht dat de Belastingdienst per mei 2019 de implementatie van de verbetermaatregelen afgerond zal hebben en in lijn zal zijn met de AVG. Bij de afdeling DF&A is dit, zoals ook aangegeven in de brief aan de AP, eind mei 2018 al gerealiseerd. Naleving van de AVG is echter een continu proces dat structureel aandacht en maatregelen vraagt en nooit ‘af’ is.


10
Wanneer verwacht u dat technische onmogelijkheden bij het beveiligen van persoonsgegevens zijn opgelost? Welke stappen moeten naast bovengenoemde nog gezet worden?

Antwoord 10

Zoals aangegeven in het antwoord op vraag 3 zal het in gebruik nemen van de ADP de technische onmogelijkheid van met logging in de werkomgeving van de medewerkers van DF&A oplossen.
Voor de andere onderdelen van de Belastingdienst geldt dat het nemen van informatiebeveiligingsmaatregelen, afgestemd op aard en omvang van de gegevensverwerkingen, een reguliere activiteit is. Specifieke stappen hoeven daarvoor niet te worden gezet.


11
Kunt u de Kamer zo snel mogelijk informeren over mogelijke vervolgstappen van de Autoriteit Persoonsgegevens? Zo nee, waarom niet?

Antwoord 11

Ik zal uw Kamer informeren over vervolgstappen van de Autoriteit Persoonsgegevens zodra ik daarover door de Autoriteit word geïnformeerd.


12
Wilt u alle vragen één voor één beantwoorden?

Antwoord 12

Ja.

1) Trouw, 12 oktober 2018, https://www.trouw.nl/home/belastingdienst-het-is-technisch-onmogelijk-persoonsgegevens-goed-te-beveiligen~a8648a26/



[1] Beschikbaar op de website www.autoriteitpersoonsgegevens.nl .

Indiener(s)