De Belastingdienst heeft de gebrekkige beveiliging van informatie na twee jaar op orde gebracht, zo laat de Autoriteit Persoonsgegevens weten. Naar aanleiding van een uitzending van het televisieprogramma Zembla in februari 2017 startte de privacytoezichthouder een onderzoek naar de fiscus.
Tijdens het onderzoek naar de toenmalige afdeling Data & Analytics (D&A), tegenwoordig Datafundamenten & Analytics (DF&A), bleek dat de Belastingdienst op verschillende gebieden tekortschoot. Het ging om het loggen van activiteiten en de controle van deze logging, alsmede het beheer van de autorisaties. Hierdoor was het mogelijk om data ongemerkt te kopiëren of exporteren. De fiscus zou bij een datalek achteraf ook niet kunnen nagaan wie welke data naar buiten had gebracht. Tevens bleek dat medewerkers toegang tot data konden krijgen die niet strikt noodzakelijk was.
Na het eerste onderzoek vroeg de Autoriteit Persoonsgegevens naar informatie over de getroffen verbetermaatregelen. Vorig jaar september kwam de Belastingdienst met de gevraagde informatie, maar daaruit ontstond het vermoeden bij de toezichthouder dat de fiscus nog niet alle benodigde verbetermaatregelen had getroffen. Daarop werd een vervolgonderzoek ingesteld.
Uit het vervolgonderzoek blijkt dat export van data vanuit de brongegevens naar het geheugen van de fysieke werkplek van medewerkers nog steeds niet wordt gelogd. Verder kunnen medewerkers e-mailbijlagen op hun smartphone opslaan buiten de beveiligde omgeving van de Belastingdienst. Deze handeling blijkt ook niet te worden gelogd. De Belastingdienst heeft echter verschillende maatregelen en processen doorgevoerd om de mogelijke risico's tegen te gaan.
De Autoriteit Persoonsgegevens concludeert dat de getroffen verbetermaatregelen bij DF&A de geconstateerde beveiligingsrisico's dusdanig verminderen dat de eerder door de toezichthouder geconstateerde overtredingen niet langer voortduren. De AP voegt toe dat informatiebeveiliging een continu proces is dat om periodieke evaluatie vraagt. De Belastingdienst krijgen dan ook het advies om audits gericht op informatiebeveiliging te blijven uitvoeren en risico's en maatregelen periodiek te herbeoordelen.
"‘De Belastingdienst heeft heel veel informatie over ons allemaal. Burgers moeten erop kunnen vertrouwen dat die gegevens zorgvuldig beveiligd worden:, aldus Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.