Tweede Kamer der Staten-Generaal

Vergelijkbare documenten
Aan Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA 's-gravenhage

Tweede Kamer der Staten-Generaal

Vragen van het lid Omtzigt (CDA) aan de staatssecretaris van Financiën over informatiebeveiliging. (ingezonden 18 oktober 2017)

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Tweede Kamer der Staten-Generaal

Belastingdienst. Brief van de staatssecretaris van Financiën. Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

Wettelijke kaders voor de omgang met gegevens

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA 'S-GRAVENHAGE

Tweede Kamer der Staten-Generaal

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Protocol Beveiligingsincidenten en datalekken

Richtlijn Algemene Verordening Gegevensbescherming

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Tweede Kamer der Staten-Generaal

Provincievergelijking

i\ r:.. ING. 1 8 FEB 2016

Tweede Kamer der Staten-Generaal

Privacyreglement WIJ 3.0 Versie ; versie 1.4

Protocol meldplicht datalekken

BEWERKERSOVEREENKOMST

Privacyreglement. Datum Januari 2017 Versie 2.0 Pagina s 6 (inclusief voorpagina)

Tweede Kamer der Staten-Generaal

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Tweede Kamer der Staten-Generaal

Gedragscode Privacy RRS

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

onderzoek en privacy WAT ZEGT DE WET

Protocol informatiebeveiligingsincidenten en datalekken

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Gedragscode Privacy RRS

Bewerkersovereenkomst Wet bescherming persoonsgegevens

PRIVACYBELEID CONVENIENT FASTGUIDE BV

rliiiiihihhiiiivi.ilhn

2017D35109 LIJST VAN VRAGEN

De organisatorische (trein)reis naar een Shared Service Center bij de Nederlandse Spoorwegen

PROCEDURE MELDPLICHT DATALEKKEN

2015; definitief Verslag van bevindingen

Privacy Maturity Scan (PMS)

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol beveiligingsincidenten en datalekken

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

verantwoordingsonderzoek 2017 bij het Ministerie van Financiën en Nationale

Gastouderbureau Alles Kids Zoetermeer Privacyreglement

Eerste Kamer der Staten-Generaal

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

2018 Privacy Reglement

PRIVACYREGLEMENT UNIT ACADEMIE HOOFDSTUK 1 ALGEMENE BEPALINGEN. Artikel 1 Begripsbepalingen

Privacyreglement Leefmilieu

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Privacyreglement Revalidatiecentrum Haaglanden

Procedure Meldplicht Datalekken

Tweede Kamer der Staten-Generaal

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp)

Protocol informatiebeveiligingsincidenten en datalekken

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

PRIVACYREGLEMENT. Praktijk voor oefentherapie Mensendieck en persoonlijke groei

Tweede Kamer der Staten-Generaal

Help een datalek! Wat nu?

Beleid en procedures meldpunt datalekken

Tweede Kamer der Staten-Generaal

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

Tweede Kamer der Staten-Generaal

PRIVACYREGLEMENT. Praktijk oefentherapie Mensendieck Waddinxveen. Inleiding

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

Privacybeleid Beckers Financieel Advies

1. Beveiligingsbijlage

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Datalekprotocol binnen Reto

Tweede Kamer der Staten-Generaal

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Protocol meldplicht datalekken Voor financiële ondernemingen

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Standaard verwerkersovereenkomst

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Beschrijving pseudonimisatieplatform ZorgTTP

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Procedure datalek. Versie datum : 21 september Onderwijs Professionals BV Nicolaes Maesstraat 2 216, 1506 LB Zaandam

vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1-

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Protocol van de AVN voor inbreuken in verband met persoonsgegevens in het kader van de Algemene Verordening gegevensbescherming (AVG)

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Transcriptie:

Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2017 2018 31 066 Belastingdienst Nr. 379 BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 2 oktober 2017 In februari 2017 1 heb ik uw Kamer geïnformeerd over verschillende onderzoeken en acties bij de Belastingdienst. Het betreft de volgende onderzoeken en acties: 1. Onderzoek uitgevoerd door de Autoriteit Persoonsgegevens. 2. Onderzoek gegevensgebruik bij Data & Analytics (verder: D&A), periode 1 februari 2016 tot en met 14 februari 2017. 3. Onderzoek naar informatiebeveiliging bij de Broedkamer en voorlopers, periode 2012 tot februari 2016. 4. Extern forensisch onderzoek naar de gevolgde aanbestedingsprocedure voor ondersteuning van de Broedkamer. 5. Overige acties: a. Bezien wordt op welke wijze het Handboek Beveiliging Belastingdienst (verder: HBB) is geïmplementeerd in de organisatie, processen en systemen. b. Medewerker(-tevredenheidsonderzoek) in het najaar 2017 bij Belastingdienst waarin onder andere vragen over werkcultuur en managementstijl meegenomen worden. Met deze brief bied ik uw Kamer de rapporten aan van het onderzoek gegevensgebruik D&A 2, het onderzoek informatiebeveiliging Broedkamer 3 en onderzoek implementatie HBB 4. Tevens bied ik de bij de rapporten 1 Kamerstuk 31 066, nr. 344, Kamerstuk 31 066, nr. 340 2 Bijlage 1: Rapport van bevindingen onderzoek gegevensgebruik D&A, periode van 1 februari 2016 tot 1 maart 2017, Raadpleegbaar via www.tweedekamer.nl 3 Bijlage 2: Rapport van bevindingen onderzoek informatiebeveiliging programma Broedkamer en voorlopers, Raadpleegbaar via www.tweedekamer.nl 4 Bijlage 3: Onderzoek Implementatie HBB Eindrapport, Raadpleegbaar via www.tweedekamer.nl kst-31066-379 ISSN 0921-7371 s-gravenhage 2017 Tweede Kamer, vergaderjaar 2017 2018, 31 066, nr. 379 1

behorende rapportages 5 van de Auditdienst Rijk (verder: ADR) aan. Het extern forensisch onderzoek naar de aanbesteding D&A staat gepland om eind oktober te worden afgerond. Het medewerkerstevredenheidsonderzoek is eind dit jaar af. Voor het onderzoek van de Autoriteit Persoonsgegevens is nog geen opleverdatum bekend. De voorlopige resultaten van het Onderzoek gegevensgebruik D&A waren aanleiding voor mij om uw Kamer op 30 juni 6 en 4 juli 7 jongstleden te informeren over tien aangetroffen gevallen van ongeoorloofd buiten de Belastingdienst brengen van persoonsgegevens. Ik heb destijds aanvullende acties en stappen aangekondigd. Met deze brief informeer ik uw Kamer over de resultaten van deze acties en -stappen. Geen indicaties van niet-functioneel gebruik Mijn conclusie op basis van de bevindingen in de rapporten Onderzoek informatiebeveiliging Broedkamer en Onderzoek gegevensgebruik D&A, inclusief aanvullend leveranciersonderzoek is dat in een aantal casussen persoonsgegevens buiten de Belastingdienst zijn gebracht voor werkgerelateerde bewerking of analyse. Dat is tegen de regels en niet acceptabel. De belastingplichtige moet er vanzelfsprekend van kunnen uitgaan dat zijn persoonsgegevens binnen de systemen 8 van de Belastingdienst worden verwerkt en dat de regels hierbij worden nageleefd. Juist daarom verdient de bescherming van persoonsgegevens bij de Belastingdienst de hoogste aandacht en zorg. De binnen de Broedkamer en diens opvolger D&A, met medeweten van betrokken management gehanteerde werkwijze, voldeed niet aan deze norm. Elk van de binnen het D&A- en Broedkameronderzoek gevonden casussen is nader onderzocht. Daarbij zijn geen indicaties gevonden dat persoonsgegevens niet-functioneel zijn gebruikt, anders gezegd de persoonsgegevens zijn voor werkdoeleinden gebruikt. Voor de D&A-casussen is door de leveranciers verklaard dat persoonsgegevens die buiten het bereik van de Belastingdienst zijn gebracht, inmiddels zijn vernietigd dan wel op een dusdanige wijze zijn zeker gesteld dat er niets meer mee kan gebeuren. Tevens is voor deze casussen op basis van onderzoek door betreffende leveranciers verklaard dat persoonsgegevens niet verder zijn verspreid. De pilot Broedkamer groeide in de periode 2013 van 0 naar circa 130 medewerkers tot de huidige afdeling D&A om innovatieve technieken te ontwikkelen en te testen, zodat de Belastingdienst meer risicogericht en meer informatiegestuurd kan controleren en handhaven. De onzorgvuldigheid met betrekking tot persoonsgegevens binnen de Broedkamer en D&A wordt door twee factoren verklaard. Aan de ene kant kenden de bedrijfsonderdelen een te grote autonomie ten aanzien van de concrete invulling van de tactische HBB-kaders in de uitvoering. Aan de andere kant ontbrak op centraal niveau de regie op de goede invulling van het HBB bij de bedrijfsonderdelen van de Belastingdienst waardoor dit niet eerder werd gesignaleerd. 5 Bijlage 4: Rapporten ADR: I. Onderzoeksrapport ADR inzake het onderzoek van de Belastingdienst naar gegevensgebruik D&A, Raadpleegbaar via www.tweedekamer.nl II. Onderzoeksrapport ADR inzake het onderzoek van de Belastingdienst informatiebeveiliging programma Broedkamer en voorlopers. III. Onderzoeksrapport ADR inzake de actie van de Belastingdienst implementatie HBB 6 Kamerstuk 31 066, nr. 367 7 Kamerstuk 31 066, nr. 369 8 De Belastingdienst kent plaats- en tijdonafhankelijk werken waarbij gebruik van aan medewerkers van de Belastingdienst beschikbaar gestelde laptops op andere plaatsen dan een fysiek kantoor van de Belastingdienst geldt als werken binnen de Belastingdienstsystemen. Tweede Kamer, vergaderjaar 2017 2018, 31 066, nr. 379 2

In de praktijk betekende dit dat er binnen de Broedkamer en D&A onvoldoende aandacht was voor het inrichten van monitoring van het conform beleid werken met persoonsgegevens zoals het HBB voorschrijft (van binnen naar buiten de Belastingdienst). Dit gegeven meldde ik uw Kamer al in mijn brief van 30 juni jongstleden. De monitoring was dominant gericht op bewaken van de continuïteit en monitoring van kwaadaardige invloeden van buiten naar binnen. Monitoring van uitgaand mailverkeer op persoonsgegevens vond niet systematisch plaats. Vervolgacties sinds 30 juni 2017 In mijn brief van 30 juni jongstleden meldde ik u al aanvullende maatregelen en acties inzake D&A. Allereerst zijn de casussen gemeld bij de Autoriteit Persoonsgegevens en is er aangifte gedaan bij het Openbaar Ministerie. De relatie met bij de casussen betrokken externe medewerkers is per direct beëindigd. Betrokken interne medewerkers zijn onderworpen aan intern onderzoek dat inmiddels is afgerond. Gebleken is dat sprake was van een met medeweten van het management ontstane werkwijze. Het management en de medewerkers van D&A zijn over de onderzoeksbevindingen geïnformeerd en hen is duidelijk gemaakt tot welke wijziging in houding en gedrag dit moet leiden. De beperking van de fysieke toegang tot de afdeling D&A is inmiddels gerealiseerd. Er is ook gewerkt aan verdere bewustwording op het gebied van werken met persoonsgegevens. Ook de toegang tot de analyseomgevingen is direct na 30 juni jongstleden volledig afgesloten en individuele toegang wordt sindsdien op basis van een aangescherpte aanvraagprocedure verleend. Deze aangescherpte procedure blijft in ieder geval van toepassing tot de structurele oplossingen volledig geïmplementeerd zijn. De binnen het D&A-onderzoek gevonden casussen zijn door de leveranciers onderzocht binnen hun eigen IT-omgeving. De leveranciers hebben bij de aangeleverde casussen en enkele door hen aanvullend aangetroffen casussen geen indicaties gevonden van niet-functioneel gebruik of verdere verspreiding van persoonsgegevens. De data van de casussen zijn vernietigd. Er is één casus waarbij een externe deskundige gebruik maakte van een private cloud-dienst voor tijdelijke opslag van de persoonsgegevens 9. Er is vastgesteld dat ze niet meer aanwezig zijn. Structurele oplossingen voor continue monitoring 10, pseudonimiseren 11 en datacompartimenteren 12 van de analyseomgeving D&A staan op stapel. De eerste actieve monitoring D&A wordt vierde kwartaal 2017 gerealiseerd. Implementatie van pseudonimisering/anonimisering is voorbereid. De start op de werkvloer staat gepland voor het eerste kwartaal 2018 met een doorlooptijd van een jaar. Compartimentering is volgens planning medio 2018 gerealiseerd. Totdat deze technische 9 Voor een cloud-dienst is, in tegenstelling tot de eigen technische infrastructuur van de leveranciers, niet te bepalen waar de data zich fysiek bevond. 10 Monitoring is het vastleggen van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsprocedures registreren en behoren te worden bewaard en regelmatig te worden beoordeeld. 11 Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het gegeven is daardoor niet op de «persoon herleidbaar» en daarmee geen persoonsgegeven in de zin van de Nederlandse Wet bescherming persoonsgegevens (Wbp). 12 Compartimentering: De toegang tot in de data-analyseomgeving aanwezige gegevens is per medewerker beperkt tot alleen die gegevens die nodig zijn voor het specifieke werk dat men doet. Tweede Kamer, vergaderjaar 2017 2018, 31 066, nr. 379 3

maatregelen zijn geïmplementeerd, blijven de procedurele maatregelen met aangescherpte ontheffingscriteria van kracht. Naar aanleiding van de initiële melding van de casussen bij de Autoriteit Persoonsgegevens is door de Belastingdienst nader onderzoek verricht. Dit onderzoek wijst niet op negatieve gevolgen voor betrokken personen. Daarmee hoeven zij niet geïnformeerd te worden. Het Openbaar Ministerie is geïnformeerd over de aanvullende onderzoeksbevindingen na 30 juni. Het OM heeft recent het volgende laten weten: «Uit het strafrechtelijk onderzoek blijkt dat in een aantal gevallen door extern ingehuurde medewerkers vertrouwelijke informatie uit de werkomgeving van de afdeling D&A naar eigen apparatuur buiten de belastingdienstorganisatie is gebracht. Als zodanig zou men zich in die gevallen niet gehouden hebben aan de door partijen ondertekende geheimhoudingsverklaringen. Er is echter niet gebleken dat de informatie is gedeeld met personen buiten de groep personen werkzaam voor de afdeling D&A van de belastingdienst. Deze informatie is ook niet voor een ander doel gebruikt dan om verder te werken aan de voor en binnen de afdeling D&A gaande werkopdracht(en). Van enig opzettelijk handelen in het kader van Artikel 272 13 van het Wetboek van Strafrecht is niet gebleken. In verband hiermee is het onderzoek beëindigd.» Op basis van de uitkomsten van dit onderzoek en de aanvullende onderzoeken bij de leveranciers blijkt dat de wijze waarop met persoonsgegevens werd omgegaan bij de Broedkamer en D&A tekort schoot als gevolg van een te grote decentrale autonomie in combinatie met het tekort schieten van de centrale regie. Dit beeld ligt in het verlengde van eerdere waarnemingen over de informele werkwijze inzake besluitvorming en toezien op nakomen van kaderstellende afspraken 14 binnen de Belastingdienst. Naar een bredere verankering van informatiebeveiliging binnen de Belastingdienst Zoals eerder aangegeven zijn er geen indicaties gevonden van niet-functioneel gebruik. Desondanks til ik er zwaar aan dat de Belastingdienst niet altijd voldoende zorgvuldig met persoonsgegevens blijkt om te gaan en dat de top hier onvoldoende regie op heeft gevoerd. Dat moet anders urgent en dat is voor mij de belangrijkste conclusie naar aanleiding van de onderzoeken. De informatiebeveiliging binnen de Belastingdienst moet worden verbeterd, zodat standaarden weer systematisch worden nageleefd. Informatiebeveiliging is, naast zaken als fiscale kwaliteit en operationele continuïteit, een kernwaarde van het management van de Belastingdienst. Dat moet gerichte en voortdurende aandacht geven aan de beveiliging van persoonsgegevens en daarop afrekenbaar zijn. De organisatorische inrichting wordt mede ingevuld door de implementatie van de nieuwe 13 Artikel 272 van het Wetboek van Strafrecht luidt, voor zover relevant: Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt (...) verplicht is het te bewaren, opzettelijk schendt, wordt gestraft (...). 14 Bijlage bij Kamerstuk 31 066 nr. 330 «Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst» Tweede Kamer, vergaderjaar 2017 2018, 31 066, nr. 379 4

topstructuur voortkomend uit de aanbevelingen van de Commissie Onderzoek Belastingdienst 15. Technische en organisatorische maatregelen alleen zijn niet voldoende. Iedere medewerker moet doordrongen zijn van het belang van informatiebeveiliging en de regels op dit terrein hebben geïnternaliseerd. De direct na 30 juni jongstleden getroffen maatregelen waren al een krachtig signaal naar de medewerkers binnen de Belastingdienst en hebben het bewustzijn vergroot ten aanzien van persoonsgegevens. Daarmee is een eerste stap gezet. De Belastingdienst moet zich bewust zijn van de leidende positie die zij inneemt. Dit moet vertaald worden naar de zorgvuldigheid waarmee met persoonsgegevens wordt omgegaan. Ik zie dit als voorwaarde om het onwrikbare vertrouwen van burgers en bedrijven te blijven verdienen. Via de Halfjaarrapportage Belastingdienst houd ik uw Kamer op de hoogte van de verdere ontwikkelingen. De Staatssecretaris van Financiën, E.D. Wiebes 15 27 januari 2017 Tweede Kamer, vergaderjaar 2017 2018, 31 066, nr. 379 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback