Beveiliging persoonsgegevens fiscus nog steeds niet op orde

De Belastingdienst houdt niet bij wie welke gegevens opvraagt, waardoor niet gegarandeerd kan worden dat die niet op straat belanden.

Exterieur hoofdkantoor Belastingdienst. Foto Lex van Lieshout / ANP

De beveiliging van persoonsgegevens door de Belastingdienst is nog altijd ondermaats. Dat blijkt uit een recente brief van directeur-generaal van de fiscus Jaap Uijlenbroek aan de Autoriteit Persoonsgegevens, zo schrijft Trouw vrijdag. Doordat de Belastingdienst niet bijhoudt welke gegevens door medewerkers worden opgevraagd, kan niet worden gegarandeerd dat persoonsgegevens niet buiten de interne systemen belanden.

De fiscus beschikt over grote hoeveelheden persoonsdata, die belastingplichtigen jaarlijks moeten aanleveren. Dat gaat niet alleen om inkomens- en vermogensdata, maar bijvoorbeeld ook over schulden, reisgegevens en verdenkingen van strafbare feiten.

In strijd met de wet

Uit de brief van Uijlenbroek blijkt volgens Trouw dat de Belastingdienst zich al jaren niet aan de wet houdt als het gaat om het beschermen van persoonsgegevens. Dat is dan ook “technisch niet mogelijk”, zo redeneert de directeur-generaal. Volgens hem zou het onmogelijk zijn om bij te houden wie welke gegevens voor analyse uit de systemen haalt. Dat zou ook niet met autorisatie te beperken zijn.

Experts en Kamerleden betwisten dat dit niet zou kunnen. CDA-parlementariër Pieter Omtzigt heeft een Kamerdebat aangevraagd.

Kritiek

De Autoriteit Persoonsgegevens uitte in juli al kritiek omdat medewerkers data kunnen opslaan op usb-sticks en kunnen verzenden als e-mailbijlagen. Uijlenberg stelt dat dit inderdaad technisch mogelijk is, maar dat het personeelsleden uitdrukkelijk verboden is dat te doen. De Belastingdienst werd toen gesommeerd dat moest worden bijgehouden wie welke gegevens opvraagt.

Vorig jaar onthulde Zembla dat op de data-analyseafdeling van de Belastingdienst de beveiliging volstrekt niet op orde was. Een door Zembla geraadpleegde deskundige stelde dat vertrouwelijke gegevens van 11 miljoen burgers en 2 miljoen bedrijven daardoor het risico liepen te worden gebruikt voor fraude en chantage. In de tijd dat het beveiligingslek speelde, werkten meerdere externe consultants op de afdeling.

    • Casper van der Veen