In februari 2017 is de Autoriteit Persoonsgegevens (AP) een onderzoek gestart naar de informatiebeveiliging van de toenmalige afdeling Data & Analytics van de Belastingdienst; tegenwoordig Datafundamenten & Analytics (DF&A). Na ruim 2,5 jaar is het onderzoek afgerond. De problemen rondom de de informatiebeveiliging zijn opgelost.
Beneden alle peil
Dat schrijft de AP in de maandag ingezonden brief aan staatssecretaris Menno Snel. Op de DF&A afdeling worden grote hoeveelheden data van belastingbetalers verwerkt. Begin 2017 bleek de beveiliging daar beneden alle peil.
Uit het eerste onderzoek zijn drie grote beveiligingsrisico’s naar boven gekomen:
- Het ontbreken van de logging
- De controle op de logging
- Het verwijderen/intrekken van autorisaties
Logging
De logging of te wel het bijhouden zou ontbreken bij drie belangrijke activiteiten. Namelijk de export van data vanuit de brongegevens naar werkplekken van medewerkers, het schrijven van data naar een usb-stick en het opslaan van bijlagen op mobiele apparaten. Er werd dus nergens bijgehouden welke data mogelijk onrechtmatig buiten de Belastingdienst werd gebracht. Met als gevolg behoorlijke risico’s voor de beveiliging van de data. Er bleken dan ook gegevens van tienduizenden mensen buiten de beveiligde omgeving van de Belastingdienst terecht zijn gekomen.
Controle op de logging
Daar waar wel werd gelogd werd geen periodieke controle gedaan. Ook omdat de logging niet was aangesloten op het systeem waar actieve monitoring plaatsvindt. Voor het e-mailverkeer dat wel aangesloten zat op dit systeem bestond die periodieke controle ook niet.
Autorisaties
Daarnaast constateerde de waakhond dat het intrekken of verwijderen van autorisaties niet in orde was. Uit dienst getreden werknemers of extern ingehuurde werknemers bleven de toegangsrechten houden. Of er werd te ruime toegang gegeven aan medewerkers die deze toegang niet noodzakelijk nodig hadden.
Oplossingen
De fiscus dacht vorig jaar september al de problemen te hebben verholpen maar daar dacht de toezichthouder anders over en er werd een vervolg onderzoek gestart. Inmiddels is alles dus opgelost laat de AP weten.
Medewerkers moeten nu toestemming vragen om gegevens te exporteren naar hun eigen werkplek en er wordt bijgehouden welke zoektermen ze gebruiken in de systemen. En het versturen van gegevens naar mailadressen buiten de Belastingdienst is niet meer mogelijk. De medewerkers hebben geen toestemming meer om data op USB-stick of andere externe media op te slaan. Bijlagen bij e-mails van DF&A medewerkers worden inmiddels versleuteld verzonden.
Daarbij is de logging inmiddels ook aangesloten op het systeem waar actieve monitoring op plaatsvindt. Daarom kan de logging beter in de gaten gehouden worden. En krijgt de verantwoordelijke melding wanneer er een poging wordt gedaan om iets te mailen naar buiten de organisatie.
Autorisaties van medewerkers zijn nu gestructureerd per project of datagebied, maar ook op basis van functie en rol binnen het project. De AP meldt dat dit al voor 95% van de data is gerealiseerd en het overige deel wordt door middel van een technische oplossing geleidelijk ingevoerd. Uit dienst getreden medewerkers hebben praktisch gezien geen mogelijkheden meer om toegang te krijgen, stelt de waakhond in de brief.
Periodieke evaluatie
Tot slot benadrukt de AP dat informatiebeveiliging een continu proces is dat vraagt om periodieke evaluatie. De fiscus moet dan ook audits blijven uitvoeren. Ze vertrouwen erop dat de afdeling DF&A de nodige maatregelen neemt om ervoor te zorgen dat aan de vereisten
uit de AVG voldaan blijft worden. Snel belooft dit te doen in zijn brief aan de Kamer.
