image

AP: Fiscus heeft gebrekkige databeveiliging op orde gebracht

woensdag 16 oktober 2019, 11:47 door Redactie, 8 reacties
Laatst bijgewerkt: 16-10-2019, 12:16

De Belastingdienst heeft de gebrekkige beveiliging van informatie na twee jaar op orde gebracht, zo laat de Autoriteit Persoonsgegevens weten. Naar aanleiding van een uitzending van het televisieprogramma Zembla in februari 2017 startte de privacytoezichthouder een onderzoek naar de fiscus.

Tijdens het onderzoek naar de toenmalige afdeling Data & Analytics (D&A), tegenwoordig Datafundamenten & Analytics (DF&A), bleek dat de Belastingdienst op verschillende gebieden tekortschoot. Het ging om het loggen van activiteiten en de controle van deze logging, alsmede het beheer van de autorisaties. Hierdoor was het mogelijk om data ongemerkt te kopiëren of exporteren. De fiscus zou bij een datalek achteraf ook niet kunnen nagaan wie welke data naar buiten had gebracht. Tevens bleek dat medewerkers toegang tot data konden krijgen die niet strikt noodzakelijk was.

Na het eerste onderzoek vroeg de Autoriteit Persoonsgegevens naar informatie over de getroffen verbetermaatregelen. Vorig jaar september kwam de Belastingdienst met de gevraagde informatie, maar daaruit ontstond het vermoeden bij de toezichthouder dat de fiscus nog niet alle benodigde verbetermaatregelen had getroffen. Daarop werd een vervolgonderzoek ingesteld.

Uit het vervolgonderzoek blijkt dat export van data vanuit de brongegevens naar het geheugen van de fysieke werkplek van medewerkers nog steeds niet wordt gelogd. Verder kunnen medewerkers e-mailbijlagen op hun smartphone opslaan buiten de beveiligde omgeving van de Belastingdienst. Deze handeling blijkt ook niet te worden gelogd. De Belastingdienst heeft echter verschillende maatregelen en processen doorgevoerd om de mogelijke risico's tegen te gaan.

De Autoriteit Persoonsgegevens concludeert dat de getroffen verbetermaatregelen bij DF&A de geconstateerde beveiligingsrisico's dusdanig verminderen dat de eerder door de toezichthouder geconstateerde overtredingen niet langer voortduren. De AP voegt toe dat informatiebeveiliging een continu proces is dat om periodieke evaluatie vraagt. De Belastingdienst krijgen dan ook het advies om audits gericht op informatiebeveiliging te blijven uitvoeren en risico's en maatregelen periodiek te herbeoordelen.

"‘De Belastingdienst heeft heel veel informatie over ons allemaal. Burgers moeten erop kunnen vertrouwen dat die gegevens zorgvuldig beveiligd worden:, aldus Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.

Reacties (8)
16-10-2019, 12:13 door Anoniem
Ik geloof er helemaal niets van. Maarja, nu is er een officieel stempel van goedbevinden dus is het wachten op het volgende schandaal voor er weer erkend kan worden dat het toch niet goed zit en dat er toch nog maar weer eens een ronde verbeterd moet worden. Want zo rolt de overheid. Met al z'n politiek benoemde maar verder volstrekt incompetente zetbaasjes.
16-10-2019, 12:27 door Anoniem
"Uit het vervolgonderzoek blijkt dat export van data vanuit de brongegevens naar het geheugen van de fysieke werkplek van medewerkers nog steeds niet wordt gelogd. Verder kunnen medewerkers e-mailbijlagen op hun smartphone opslaan buiten de beveiligde omgeving van de Belastingdienst. Deze handeling blijkt ook niet te worden gelogd. De Belastingdienst heeft echter verschillende maatregelen en processen doorgevoerd om de mogelijke risico's tegen te gaan.

De Autoriteit Persoonsgegevens concludeert dat de getroffen verbetermaatregelen bij DF&A de geconstateerde beveiligingsrisico's dusdanig verminderen dat de eerder door de toezichthouder geconstateerde overtredingen niet langer voortduren."

Dus, het is nog steeds niet zoals het zou moeten zijn, maar we doen gewoon alsof dat zo is.

Zzzz... Slaap rustig verder, oh onnozele burger. Wij doen wel net alsof we over uw persoonlijke gegevens waken.
16-10-2019, 14:37 door Anoniem
Opmerkelijk dat de belastingdienst twee jaar de tijd krijgt om de tekortkomingen op te lossen terwijl het Haga Ziekenhuis daar veel minder tijd voor kreeg en een hoge boete. Terwijl het om dezelfde tekortkomingen gaat.
16-10-2019, 15:07 door Anoniem
Het "incident" vond plaats in een aparte omgeving. Hier kon (ingehuurd) personeel alles kopiëren en mee naar huis nemen zonder logging. Deze omgeving was ook uit zicht van (alle) security mensen. Het betrof een afdeling waar alles mocht van hoger management en alleen maar professionals zaten, dus wat kon er misgaan. (hierover is al genoeg te discuteren, ik betreur ook dat het zo gaat).

Nu, is voor de aparte omgeving alles dichtgezet qua data lekken en de algemene (DWB) omgeving alles strak ingericht. Je kan uiteraard nog steeds data lekken. Je hebt echter wel autorisaties nodig en wat je lekt, wordt ook echt gelogd.

Vergeet niet dat de belastingdienst nog steeds onder toezicht staat. Bijna niets kan qua geld (nieuwe software). Geen mensen in te zetten zijn. Dus zo'n omgeving ineens helemaal met DLP inrichten is gewoon niet mogelijk. Dan moet er een zak geld en mensen beschikbaar worden gesteld en dat is er niet.
16-10-2019, 16:00 door Anoniem
Door Anoniem: Opmerkelijk dat de belastingdienst twee jaar de tijd krijgt om de tekortkomingen op te lossen terwijl het Haga Ziekenhuis daar veel minder tijd voor kreeg en een hoge boete. Terwijl het om dezelfde tekortkomingen gaat.
Misschien omdat ze goede redenen konden aangeven waarom het niet in kortere tijd kon.
Of omdat de problemen bij het Haga Ziekenhuis veel simpeler op te lossen waren ?
16-10-2019, 17:58 door karma4
Door Anoniem: ...
Vergeet niet dat de belastingdienst nog steeds onder toezicht staat. Bijna niets kan qua geld (nieuwe software). Geen mensen in te zetten zijn. Dus zo'n omgeving ineens helemaal met DLP inrichten is gewoon niet mogelijk. Dan moet er een zak geld en mensen beschikbaar worden gesteld en dat is er niet.
Je zit er volledig naast. De usb toegang die je noemt was voor al de internen en dat belastingdienst breed. Externen hadden die rechten niet. Het Saat in de officiële wob stukken.
Met schenkingen toeslagen en wat meer zie je iets van de culturele problemen waar het echte issue zat en zit.

Als je de ADR rapporten terugleest moet je eens letten op de aanduiding CSO rol. Gaarne je onderzoek naar waar die zat.
16-10-2019, 19:52 door Anoniem
Door Anoniem: Opmerkelijk dat de belastingdienst twee jaar de tijd krijgt om de tekortkomingen op te lossen terwijl het Haga Ziekenhuis daar veel minder tijd voor kreeg en een hoge boete. Terwijl het om dezelfde tekortkomingen gaat.
Belastingdienst is Rijksoverheid. De boetes die de AP oplegt, mogen ze niet zelf houden, maar komen in de algemene middelen terecht. Een boete aan de Belastingdienst is dus vestzak-broekzak en levert niets op. Die aan het Haga ziekenhuis, geen overheid, wel.
Hetzelfde is waarschijnlijk aan de orde bij de UWV.
Wat ook nog meespeelt is dat in het verleden de leiding van de AP en voorgangers (CBP, Registratiekamer) bestond uit personen die een grote staat van dienst hadden waar het de privacy betrof. De huidige leiding is afkomstig uit de politiek en wil dus 'scoren'. [Onverlet dat het niet goed was bij Haga.]
17-10-2019, 18:23 door karma4
Door Anoniem:
Wat ook nog meespeelt is dat in het verleden de leiding van de AP en voorgangers (CBP, Registratiekamer) bestond uit personen die een grote staat van dienst hadden waar het de privacy betrof. De huidige leiding is afkomstig uit de politiek en wil dus 'scoren'. [Onverlet dat het niet goed was bij Haga.]

Je verklaart in ieder geval waarom het AP zo'n grote moeite heeft om zich aan de wet te houden. Eigen ideeën boven wettelijke voorschriften.

Bij Haga weet ik nog steeds niet of er een fout figuur bezig was om via publieke opinie zij eigen agenda in te vullen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.