Wiebes opnieuw naar Kamer wegens beveiliging fiscus

Staatssecretaris Eric Wiebes van Financiën heeft opnieuw iets uit te leggen aan de Tweede Kamer. De Kamer buigt zich donderdag in een speciaal debat over mogelijke fouten bij de beveiliging van financiële en persoonlijke gegevens van belastingbetalers. Dit naar aanleiding van de uitzending van ZEMBLA.

Volgens het tv-programma ZEMBLA heeft de Belastingdienst de financiële en persoonlijke gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven jarenlang onvoldoende beveiligd. Wiebes zegt de ernstige aantijgingen uiterst serieus te nemen. De Autoriteit Persoonsgegevens, de privacywaakhond van de overheid, begon al een onderzoek. ‘In afwachting van de uitkomsten daarvan neem ik extra maatregelen om te zorgen dat risico’s maximaal worden uitgesloten’, schrijft de staatssecretaris in zijn Kamerbrief na de uitzending.

Anonieme melders

Wiebes vindt het een pijnlijk punt dat de medewerkers van de Belastingdienst zich geroepen hebben gevoeld om hun zorgen anoniem te melden buiten de Belastingdienst, in plaats van daarbinnen. ‘Dit is onaanvaardbaar voor een organisatie die voor zijn verbeteringen vooral afhankelijk is van de eigen medewerkers. De medewerkers die hun zorgen hebben geuit via ZEMBLA, roep ik dan ook op hun informatie – zo nodig anoniem – te verstrekken aan het onafhankelijke meldpunt dat op korte termijn zal worden ingericht.’

Informatiebeveiliging

ZEMBLA behandelde tijdens de uitzending vier onderwerpen met betrekking tot de Belastingdienst: informatiebeveiliging, aanbesteding van de ondersteuning van het programma Broedkamer (later de afdeling Data en Analytics), onderbouwing potentiële baten en het managementstijl. Wiebes reageert in zijn Kamerbrief op alle vier de onderdelen.

Beveiliging voldoet

Volgens de staatssecretaris voldoet de ICT-infrastructuur van de Belastingdienst, inclusief de afdeling Data & Analytics (D&A) aan de reguliere informatiebeveiligingsbeleid op grond van het Handboek Beveiliging Belastingdienst. Maar ‘om iedere twijfel uit te sluiten, laat ik ook een breed onderzoek uitvoeren naar de toepassing van de beveiligingsbeleid bij de Belastingdienst’, schrijft Wiebes.

Monitoring en logging

Tijdens de tv-uitzending van ZEMBLA kwam naar voren dat er geen logging en monitoring plaatsvond bij D&A. Hierover schrijft de bewindsman: ‘Er werd en wordt minimaal gelogd wie wanneer iets doet, wat iemand doet en welke directories, bestanden en databasetabellen worden gebruikt. Desalniettemin heb ik opdracht gegeven om de beschikbare loggegevens (zowel uit de periode van de Broedkamer als van D&A) te onderzoeken, zodat kan worden vastgesteld of getracht is daadwerkelijk gegevens van belastingplichtigen buiten de Belastingdienst te brengen.’

Fiscus was op de hoogte

In de uitzending van Zembla werd gesteld dat (de top van) de Belastingdienst in maart 2015 gewaarschuwd zou zijn voor een beveiligingslek. ‘Deze bewering is gebaseerd op een document van Liquid Hub van 26 maart 2015’, zegt Wiebes. ‘Dit is een presentatie waarin enkele observaties worden gedaan over de positie van een organisatieonderdeel voor activiteiten op het gebied van data-analytics en waarin aanbevelingen zijn opgenomen voor de inrichting voor zo’n organisatieonderdeel. Op beveiliging gaat het document niet in, noch bevat dit waarschuwingen over informatiebeveiligingsrisico’s.’

Programma Broedkamer

Wiebes: ‘Naar aanleiding van de signalen over mogelijke onregelmatigheden bij de aanbesteding van de ondersteuning van het programma Broedkamer, heb ik een extern forensisch onderzoek in gang gezet naar deze aanbestedingsprocedure.’ Het rapport wordt half mei verwacht.

Onderbouwing potentiële baten

Staatssecretaris Wiebes heeft de Kamer vorig jaar geïnformeerd over de potentiële baten van de aanpak van de afdeling D&A. Daarbij heeft hij bedragen genoemd van tussen de € 150 en € 250 miljoen. ‘Het ging daarbij om niet-gevalideerde inschattingen op basis van geëxtrapoleerde testresultaten van in de Broedkamer ontwikkelde ideeën om de effectiviteit van de handhaving te verbeteren. Deze schattingen kenden dus een ruime onzekerheidsmarge.’ Verder schrijft de bewindsman dat er wordt gewerkt aan een methodiek voor het meten van de potentiële ex ante baten van de projecten die worden ingezet om de veranderdoelen van de Investeringsagenda te realiseren. De verwachting is dat in de loop van 2017 een methode beschikbaar zal zijn.

Managementstijl

De afstand tussen de werkvloer en de top is te groot. ‘Leidinggevenden dienen actief bij te dragen aan het ontstaan en behouden van deze gewenste werkcultuur. Een eerste stap is het voeren van het gesprek met de medezeggenschap, om verder zicht te krijgen op wat er speelt. Op basis daarvan zullen ook gesprekken worden gearrangeerd tussen het middle management en medewerkers.’

Bron: https://www.nextens.nl/nieuws/wiebes-opnieuw-naar-kamer-wegens-beveiliging-fiscus/?cmpid=NLC|nextens|2017-02-09|Wiebes_opnieuw_naar_Kamer_wegens_beveiliging_fiscus, 15 februari 2017