Een fout met digitale machtigingen bij de Belastingdienst heeft ervoor gezorgd dat onder andere accountants sinds vorig jaar de persoonlijke gegevens en aangiften van oud-cliënten in kunnen zien, zonder dat daar toestemming voor was. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Dat schrijft de Volkskrant.
DigiD-machtiging van oud-klanten
Via een DigiD-machtiging kan iedereen namens iemand anders zaken doen met de overheid, zoals bijvoorbeeld het doen van de belastingaangifte. Deze toestemming moet een persoon wel ieder jaar opnieuw geven. Door de fout van de fiscus konden mensen met een DigiD-machtiging ook toegang krijgen tot de gegevens van mensen die in andere jaren toestemming hadden gegeven.
De ontdekking
Een accountant uit Rotterdam ontdekte het lek. De accountant beheert voor verschillende klanten de aangifte. Toen hij met de aangiftes van twee klanten bezig was, zag hij de naam van de één rechtsboven in mijn browser staan, terwijl hij in de gegevens van de ander zat. De accountant sloeg er verder geen acht op, maar kreeg argwaan toen hij onlangs toegang kreeg tot de strikt persoonlijke gegevens van een oud-cliënt die geen machtiging meer had afgegeven voor 2018.
Eenvoudige hack
Deze toegang kreeg hij nadat de accountant eerst inlogde via de machtiging van een andere klant, van wie hij die machtiging wel heeft. Door vervolgens in de browser simpelweg op de terug-knop te klikken, kwam hij weer bij het lijstje met verschillende klanten, waaronder ook de verlopen machtigingen. De fout in de server van de fiscus komt alleen voor in de browser Edge van Microsoft. Andere browsers geven een foutmelding als dezelfde route met de terug-knop wordt afgelegd.
Fiscus herstelt de fout
De Belastingdienst erkent tegenover de Volkskrant de fout. De dienst heeft de fout deze week hersteld. Ook heeft de fiscus het datalek gemeld bij de Autoriteit Persoonsgegevens.
