ZBC Kennisbank

Overheid weigert controle op inbreuk privacy

 

De Belastingdienst heeft de financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven in de periode van 2013 tot 2016 onvoldoende beveiligd, zo onthulde Zembla in de uitzending van 1 februari 2017: ‘Prutsen en pielen zonder pottenkijkers’.

Dit is gebleken uit vertrouwelijke documenten en bronnen tot op directieniveau hebben het onder ede verklaard. In maart 2015 werd de Belastingdienst hiervoor al gewaarschuwd. Maar met die waarschuwing is niets gedaan. Eén jaar later, in maart 2016, concludeert ook de Auditdienst Rijk (ADR) in een rapport dat beveiligingsmaatregelen “niet geëffectueerd zijn”. Met recht kan gesproken worden van het grootste datalek in de Nederlandse geschiedenis, een datalek dat drie jaar lang niet gedicht is.

Wat was er aan de hand?

De zogenaamde Broedkamer, een data-analyse afdeling van de Belastingdienst, had tussen 2013 en 2016 het autorisatiesysteem niet op orde. Ook vonden geen logging en monitoring plaats van de dataverwerking. Dat betekent, dat diefstal en misbruik niet te ontdekken zijn. Iedere beginneling in informatiebeveiliging weet, dat er maar één manier is om te zien of er een datalek zit in een informatiesysteem: de loggings bekijken om vast te stellen of er ongeoorloofde toegang is geweest. Op zich is logging een automatisch proces. Je kunt dit echter wel uitzetten. De ontstane situatie moet dus moedwillig gecreëerd zijn. En toen die werd ontdekt, werd die in stand gehouden. De Belastingdienst stelt nu, dat diefstal en misbruik niet kunnen worden uitgesloten. Dat is een wel heel naïeve reactie. Er is immers een situatie gecreëerd waarin diefstal en misbruik niet kunnen worden vastgesteld en na ontdekking werd deze situatie in stand gehouden. Waarom zou deze situatie zo zijn gecreëerd en waarom werd deze niet hersteld? De enige reden die daarvoor is te bedenken, is dat er geen sporen achter gelaten zouden worden. En dat is alleen nodig als je dingen hebt uitgehaald, die het daglicht niet kunnen verdragen. Onwetendhied kan het niet zijn. Binnen de Belastingdienst loopt er immers niemand rond, die niet weet dat de data privacy gevoelig zijn.

Lauwe reactie van de Autoriteit Persoonsgegevens

Waar normaal gesproken de Autoriteit Persoonsgegeven (AP) bij verdenking van een grote inbreuk op de privacy onmiddellijk de publiciteit zoekt, blijft het nu oorverdovend stil. Desgevraagd laat de AP weten, dat na de melding door Zembla een onderzoek is gestart. Het is dus volstrekt evident, dat de Belastingdienst in elk geval niet heeft voldaan aan de meldplicht datalekken. Anders was men dat onderzoek immers wel eerder begonnen en niet pas een jaar nadat de ADR, begin 2016, heeft vastgesteld, dat het lek nog steeds niet gedicht is.

Ook lauwe reactie verantwoordelijke staatssecretaris

Staatssecretaris Wiebes, verantwoordelijk voor de Belastingdienst, laat in een schriftelijke reactie aan ZEMBLA weten dat voor de Broedkamer “de reguliere beveiligingseisen” golden. Wiebes geeft wel toe dat niet gemonitord is welke dataverwerking is uitgevoerd. “Verlies of diefstal van de gegevens is tot op heden niet geconstateerd”, zegt Wiebes.
Het excuus, dat niet vastgesteld kon worden of er onbevoegde toegang was, snijdt natuurlijk geen hout. De functie, waarmee dit vastgesteld kon worden, is gewoon uitgezet. De AP zegt op haar website: “We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.” En tijdens de periode waarin de beveiliging niet op orde was, werkten er in de Broedkamer tientallen externe consultants van het bedrijf Accenture.

Lauwe reactie van de volksvertegenwoordiging

In de Tweede kamer zei Wiebes: ‘Als de Belastingdienst niet alleen je project is geworden, maar ook je dagelijkse leven, dan doet zoiets hetzelfde met je als dat je van een andere vader hoort dat je zoon wordt gepest op het schoolplein.’ Hij zegde toe uitgebreide onderzoeken te doen.
Natuurlijk nam de kamer hier geen genoegen mee. Volgens de CDA’er Omtzigt hadden in het verleden ten minste achttien functionarissen jarenlang de mogelijkheid om delen van de Belasting-database op een usb-stick mee naar huis te nemen. De CDA’er wees erop dat het strafbaar is om niet te reageren op signalen over beveiligingsrisico’s.
Wiebes maande Omtzigt om ‘niet heel Nederland in paniek te brengen met grote woorden’ over een lekkende database van de Belastingdienst en eerst de onderzoeken af te wachten. ‘Er staat allerminst vast dat er een datalek is geweest of een onaanvaardbaar risico’.
Wiebes liet hiermee dus blijken, dat hij niet weet wat een datalek is. En er kwam geen reactie uit de kamer. Blijkbaar weten onze volksvertegenwoordigers dit dus ook niet.

Wat de Belastingdienst zelf zegt over haar beveiliging

Op de website van de Belastingdienst lezen we: ‘Onderdeel van de modernisering van de Belastingdienst is het ontwikkelen van nieuwe datatechnieken voor slimmere handhaving. Gegevensbeveiliging staat hierbij centraal, want de Belastingdienst hecht aan zorgvuldig omgaan met gegevens van burgers en bedrijven. Dit is in lijn met wet- en regelgeving op het terrein van bescherming van (persoons)gegevens. Het strenge beleid geldt ook voor de externe partijen die voor de Belastingdienst werken.’ Duidelijk is, dat de Belastingdienst wel degelijk weet hoe het hoort. Het is dus zeer onaannemelijk dat het datalek in de ‘Broedkamer’ werd veroorzaakt door onwetendheid.

Wie is de hoeder van onze privacy?

Aan de ene kant roept onze overheid dat onze privacy belangrijk is en dat we onze persoonsgegevens moeten beschermen. Anderzijds is zij de partij, die het meeste inbreuk maakt op onze privacy en niet bestraft wordt als zij de wet overtreedt. Privacy is een grondrecht dat verankerd is in de grondwet. Maar continu neemt die overheid wetten aan, die dit grondrecht verder uithollen. Want ook dat gebeurde vorige week in diezelfde Tweede kamer.
Die overheid heeft de AP in het leven geroepen om over onze privacy te waken, eventueel door het opleggen van hoge boetes. Voor zover ik weet, heeft de Belastingdienst tot dusver verzuimd dit datalek, dat in elk geval bekend is sedert 2015, te melden. En het gaat hier wel om de data van alle belastingbetalers, die gekoppeld waren aan bijzondere persoonsgegevens. Erger kun je de Wbp volgens mij niet overtreden. Kortom, is er een reden om niet acuut de maximale boete op te leggen aan de Belastingdienst? En is er een reden, dat de Belastingdienst niet aan iedere burger moet melden, dat er sprake was van een datalek en om welke data dit ging? Want dit schrijft de Wbp, die nu nog steeds van kracht is wel voor. Door deze lauwe reactie geloof ik niet dat ik de AP nog serieus kan nemen als hoeder van onze privacy.

Geef de burger het recht om haar eigen privacy te monitoren

Er is maar één manier, waarop organisaties gedwongen kunnen worden om zich aan de Wbp en straks aan de AVG te houden: transparantie over het gebruik van de eigen persoonsgegevens.
Laten we als voorbeeld SUWInet nemen, het loket van de overheid waarmee allerlei diensten informatie kunnen opvragen bij andere diensten over iedere burger. Hier wordt netjes iedere opvraging geregistreerd. Zo hoort het ook. Alleen is er niemand in staat om te checken, of er ook misbruik gemaakt wordt van dit loket.
De enige die dit kan, is de burger zelf. Als de gemeente Ede mijn gegevens opvraagt, dan ben ik niet verbaasd, want ik woon in Ede. En als de parkeerpolitie in Eindhoven gegevens van mij opvraagt, dan vind ik dat wel vervelend, maar niet gek, want ik ben de afgelopen diverse keren in Eindhoven geweest. Maar als de gemeente Middelburg mijn gegevens opvraagt, dan gaan bij mij bellen rinkelen, want ik ben al meer dan een jaar niet in Zeeland geweest en ik heb ook niets met Middelburg. Dan wil ik graag weten welke gegevens door de Gemeente Middelburg zijn opgevraagd en met welk doel. Omdat deze informatie toch al aanwezig is in een database, is ze gemakkelijk online te zetten.  Beveiliging is amper nodig, want de database bevat geen persoonsgegevens.
En het recht om deze informatie op te vragen heb ik nu ook al. Maar als ik gebruik van dit recht wil maken, dan word ik opgescheept met een stroperige en vooral onveilige procedure: ‘U kunt een verzoek per post hiertoe opsturen naar BKWI, onder vermelding van uw naam, BSN en contactgegevens. Dit verzoek moet voorzien zijn van uw handtekening. Tevens dient u een kopie van een geldig identiteitsbewijs mee te sturen. Indien nodig dient u de voor- en de achterkant te kopiëren.’
Juridisch gezien mag niemand mijn brief natuurlijk openmaken (briefgeheim) en is deze procedure correct, maar ik zou wel heel naïef zijn als ik een enveloppe met deze gegevens in zo’n oranje brievenbus langs de weg gooi.

Politici en overheid schijnheilig over privacy

De grondwet is duidelijk. Inbreuk op privacy mag niet. Vervolgens is er een heleboel wetgeving nodig om inbreuk op privacy toch mogelijk te maken. Weliswaar onder condities, maar als je voldoet aan die condities is zelfs datahandel toegestaan.
Ook met de AVG verandert er niets wezenlijks. Datahandel is nog steeds toegestaan en de overheid kan door het aannemen van wetten ervoor zorgen, dat de bescherming steeds verder wordt opgerekt. Het lijkt stoer dat de boete voor overtreding steeds verder wordt opgeschroefd. Als deze boete echter niet wordt uitgedeeld, dan heeft dat ook geen waarde. Daarbij maakt het niet uit dat de overtreder nu toevallig Belastingdienst is. Erger kun je het niet maken.
We spreken dan wel schande hoe de VS, Rusland en China met privacy omgaan, maar zijn we in de EU beter? Politici roepen om het hardst, dat privacy belangrijk is. Maar controle op misbruik wordt niet gedaan. De enige manier om zo’n controle sluitend te krijgen, is iedereen zelf de controle te laten uitoefen of misbruik wordt gemaakt van zijn persoonsgegevens. Maar dat wordt de burger praktisch onmogelijk gemaakt. Blijkbaar geldt voor de overheid hetzelfde als voor de Belastingdienst. Door ervoor te zorgen dat niet effectief gecontroleerd kan worden, kan misbruik ontkend worden.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 22 februari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *