| Ingediend | 18 oktober 2017 |
|---|---|
| Beantwoord | 25 oktober 2017 (na 7 dagen) |
| Indiener | Pieter Omtzigt (CDA) |
| Beantwoord door | Eric Wiebes (staatssecretaris financiën) (VVD) |
| Onderwerpen | economie ict |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z13877.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20172018-288.html |
Ja.
Het onderzoek wordt uitgevoerd door advocatenkantoor NautaDutilh. In het contract is geen opleverdatum opgenomen, omdat vooraf moeilijk een schatting kon worden gemaakt van de omvang van de met de opdracht gemoeide werkzaamheden. In eerst instantie is aan de onderzoekers gevraagd het rapport medio mei op te leveren. Ik heb uw Kamer in april en juni geïnformeerd over het feit dat het onderzoek langer duurt dan voorzien en over de redenen voor de uitloop.2
Ik heb geen tussentijdse rapportages ontvangen, omdat dat niet past in het onafhankelijke en forensische karakter van het onderzoek. Periodiek heeft overleg plaatsgevonden tussen NautaDutilh en de begeleidingscommissie over de voortgang van het onderzoeksproces.
Het onafhankelijke onderzoek bevindt zich in een afrondende fase. De onderzoekers leggen de bevindingen vast in een rapportage en geven een verantwoording over het onderzoek, waarin ook zal worden ingegaan op de medewerking van het ministerie en de looptijd van het onderzoek. Zodra ik het rapport heb ontvangen zal ik uw Kamer informeren en het rapport toesturen.
Tijdens van het onderzoek naar de aanbestedingsprocedure voor de Broedkamer heb ik geen signalen ontvangen. Of het nodig is om aangifte te doen of andere acties te ondernemen kan daarom ook pas na afronding van het onderzoek worden bepaald.
In mijn brief van 8 februari 20173 heb ik aangegeven dat bezien zou worden hoe de checks en balances in het inkoopproces versterkt zouden kunnen worden. Dat heeft geleid tot een aantal maatregelen:
Zie antwoord vraag 5.
Dat belastinggegevens van zeer veel belastingplichtigen beschikbaar waren bij de Broedkamer (waaronder begrepen de voorlopers daarvan) is een direct gevolg van het karakter van dit programma. Het in samenhang analyseren van deze gegevens was de basis voor uit te voeren toezicht op naleving van de belastingwetgeving.
Er waren bij de Broedkamer 18 medewerkers met een USB-ontheffing die ook gebruik maakten van de analyseomgeving AWS, waarin ook persoonsgegevens stonden. Dit waren alleen interne medewerkers. De USB-ontheffingen zijn inmiddels in de hele Belastingdienst ingetrokken en er geldt een zeer stringent beleid voor het verstrekken van nieuwe ontheffingen. Bij de afdeling D&A zijn sinds intrekking in februari 2017 geen ontheffingen meer verleend. Van USB-sticks werd wel gelogd dat zij gebruikt werden, maar niet de inhoud van het dataverkeer.
De servers waarop zich de gegevens bevonden stonden in beveiligde ruimtes die niet voor alle belastingdienstmedewerkers toegankelijk waren. Toegang tot de kantoorruimtes van het programma Broedkamer was voor belastingdienstmedewerkers mogelijk met een Rijkspas.
Dat medewerkers gegevens naar buiten konden mailen vanuit de analyseomgeving was niet conform de beveiligingsvoorschriften van de Belastingdienst. Deze mogelijkheden zijn dan ook afgesloten.
Dat geen besluitvorming is aangetroffen over opvolging van signalen over risico’s voor oneigenlijk gebruik of het buiten de Belastingdienst brengen van gegevens past bij de indruk dat bij de Broedkamer sprake was van een werkwijze waarin het resultaat centraal stond en ten koste ging van zorgvuldige omgang met gegevens. Het management heeft hier onvoldoende op gestuurd en ook de technische maatregelen bleken uiteindelijk onvoldoende. Het toont aan dat er niet voldoende aandacht was voor de wijze waarop wordt omgegaan met gegevens. De IT-beveiligingsmuren om de Belastingdienst zijn hoog en stevig, maar daarbinnen moeten het besef van en de concrete maatregelen voor veilig omgaan met gegevens beter. Daarvoor zijn al verschillende maatregelen getroffen, zoals ik in de brieven van 30 juni en 2 oktober 2017 heb aangegeven.4
Het document waar u naar vraagt betreft een intern memo dat is gewisseld tussen ambtenaren. Ik acht het onwenselijk als communicatie tussen ambtenaren onderling onderdeel van het publieke debat wordt. Hiervoor verwijs ik ook naar de kabinetslijn in het kader van artikel 68 van de Grondwet omtrent het verstrekken van inlichtingen staat beschreven in de Kamerbrief van 25 april 2016 van de Minister van BZK6. Ik kan u wel in geobjectiveerde vorm kort de strekking van het memo geven. Het memo beoogt alleen een theoretische classificatie te geven van denkbare situaties die de continuïteit en veiligheid van de werkzaamheden van de Broedkamer kunnen bedreigen.
De theoretische classificaties zijn in het memo als volgt beschreven:
Bedreiging: een situatie die een nadelige invloed kan hebben op het betrouwbaar functioneren van (een deel van) de bedrijfsvoering.
Kwetsbaarheid: hoe gevoelig ben je voor de bedreiging, in relatie tot de preventieve maatregelen die je getroffen hebt.
Hoofdsoorten bedreigingen:
Kans (zonder preventieve maatregelen):
Zeer laag: Kans van optreden gemiddeld eens per 1.000 jaar
Laag: Kans van optreden gemiddeld eens per 100 jaar
Midden: Kans van optreden gemiddeld eens per 10 jaar
Hoog: Kans van optreden gemiddeld eens per 5 jaar
Zeer hoog: Kans van optreden gemiddeld eens per jaar
Kwetsbaarheid niveau (met preventieve maatregelen):
Laag: Kans dat ernstige schade geleden wordt is minder dan 25%
Midden: Kans dat ernstige schade geleden wordt ligt tussen 25% en 50%
Hoog: Kans dat ernstige schade geleden wordt is groter dan 50%
Het memo bevat niet de uitkomst van een analyse van de feitelijke bedreigingen en kwetsbaarheden van de Broedkamer. Ter illustratie is een overzicht van denkbare situaties bijgevoegd.
De onderzoekers concluderen dat de aanbevelingen in de onderzochte periode niet zijn opgevolgd in formele besluiten. Dat is de periode daarna, in juni 2016, wel gebeurd. In lijn met de hoofdaanbevelingen in het rapport heeft de toenmalige Raad van Bestuur van de Belastingdienst in juni 2016 besloten een Datamanagement Forum in te richten bij de Belastingdienst, met als opdracht om integraal datamanagement vorm te geven. Eind 2016 is dit van start gegaan. Binnen de structuur van het Forum worden operationele en beleidsmatige kwesties rond gebruik van gegevens behandeld. De eerste resultaten daarvan zijn de ontwikkeling van een beleidsvisie op het omgaan met gegevens en het oplossen van een aantal concrete operationele kwesties rond gebruik van gegevens.
De activiteiten die in het kader van het Datamanagement Forum worden verricht, krijgen een plaats in de nieuwe structuur van de Belastingdienst. Datamanagement (waarvan informatiebeveiliging onderdeel uitmaakt) wordt in alle lagen van de Belastingdienst doorgevoerd: in strategie, uitvoering en control.
Gelet op de aard van dit rapport en de mogelijke risico’s van brede verspreiding, stuur ik het gehele rapport nu ter vertrouwelijke inzage aan de Kamer7. Ik streef ernaar u voorafgaand aan het Algemeen Overleg op woensdag 25 oktober een openbare8 versie te sturen waarin de vertrouwelijke passages onzichtbaar gemaakt zijn.
De appreciatie van de bevindingen uit de twee onderzoeken heb ik gegeven in de brief van 2 oktober 2017.
Over de periode van de Broedkamer is één geval geconstateerd waarin gegevens via e-mail buiten de Belastingdienst zijn gebracht. Dit geval is niet gemeld bij de Autoriteit Persoonsgegevens, omdat hierbij geen sprake was van persoonsgegevens maar van gegevens van bedrijven, zonder vermelding van de bedrijfsnaam.
Ik neem aan dat in vraag 15 wordt gedoeld op de periode van de afdeling D&A. Op 2 februari 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van een vermoedelijk datalek op grond van de mededeling van het programma Zembla dat het beschikte over een USB-stick met een groot aantal documenten. Op 29 juni 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van 11 incidenten die mogelijk als datalek te kwalificeren waren. Deze melding is gedaan op grond van tussentijdse bevindingen in het onderzoek naar gegevensgebruik bij D&A.
In de onderzoeksrapporten wordt een aantal gevallen genoemd waar mogelijk sprake was van niet-functionele gegevensopvragingen. Deze zijn vervolgens nader onderzocht. Bij deze nadere analyse zijn geen indicaties gevonden dat de persoonsgegevens niet functioneel zijn gebruikt. Er zijn om die reden geen maatregelen getroffen tegen de desbetreffende medewerkers.
Zie antwoord vraag 10.
Zie antwoord vraag 12.
Zie antwoord vraag 11.
In het onderzoek naar gegevensgebruik bij de Broedkamer en voorlopers hebben de onderzoekers signalen over risico’s en feiten ten aanzien van het daadwerkelijk oneigenlijk gegevensgebruik of het buiten de Belastingdienst brengen van gegevens geïnventariseerd. Zij hebben zich gericht op drie typen bronnen. Het eerste type betrof memo’s en mailberichten. Hierin werden vier signalen aangetroffen over vermeend onveilige hardware en vermeende aanschaf van hardware buiten de gebruikelijke inkoopprocedure. Het tweede type betrof twee rapporten van Oliver Wyman en Liquid Hub waarin adviezen en randvoorwaarden voor inrichting van de Broedkamer waren opgenomen; deze adviezen gingen ook over de beveiliging. Er is in de periode waarover het onderzoek zich uitstrekt geen formele besluitvorming aangetroffen over maatregelen naar aanleiding van de signalen uit deze twee typenbronnen. Over het rapport van Oliver Wyman heeft buiten de onderzoeksperiode wel besluitvorming plaatsgevonden (zie het antwoord op vraag10.
Het derde type betrof het logboek van beveiligingsincidenten. Bij analyse van dit logboek zijn door de onderzoekers geen incidenten aangetroffen die het buiten de Belastingdienst brengen van gegevens betroffen.
Overigens is nooit met zekerheid te zeggen dat een dergelijk overzicht volledig is, omdat men uiteraard geen kennis kan hebben van wat men niet gezien heeft.
Zoals ik in mijn brief van 2 oktober 2017 heb aangegeven, heeft wel monitoring plaatsgevonden, maar deze was dominant gericht op de continuïteit in de bedrijfsvoering en op monitoring van kwaadaardige invloeden van buiten naar binnen. Monitoring van e-mailverkeer op het buiten de Belastingdienst brengen van persoonsgegevens vond niet systematisch plaats.
Dit is helaas niet gelukt.