Snel: Garantie 100%-beveiliging data niet mogelijk

De Belastingdienst spant zich volledig in om zorgvuldig om te gaan met gegevens. Er blijven echter altijd beveiligingsrisico’s bestaan als onderdeel van het reguliere operationele proces. Voor geen enkele organisatie is het mogelijk een 100%-beveiliging van gegevens te garanderen.

Dit antwoordt staatssecretaris Snel op vragen van de vaste commissie voor Financiën. Onder meer op basis van de melding van het datalek is de Autoriteit Persoonsgegevens begin 2017 een onderzoek gestart naar de informatiebeveiliging van de Belastingdienst. De AP heeft in juli 2018 geconstateerd dat logging, de controle op de logging en de autorisaties bij de Broedkamer en de opvolgers daarvan, niet op orde waren. Er zijn inmiddels verbetermaatregelen getroffen. De AP beoordeelt op dit moment of deze verbetermaatregelen voldoende zijn en, zo nee, of nader onderzoek nodig is.

Beveiligingsrisico’s

Met de verbetermaatregelen zijn waarborgen geïntroduceerd die ervoor zorgen dat zo zorgvuldig mogelijk wordt omgegaan met gegevens van burgers en bedrijven. Snel benadrukt echter dat voor geen enkele organisatie het mogelijk om een 100%-beveiliging van gegevens te garanderen. Er blijven altijd beveiligingsrisico’s bestaan als onderdeel van het reguliere operationele proces. Beveiliging is een continu proces van risicomanagement.

Er zijn verbeteringen nodig in een aantal toezicht- en bedrijfsvoeringsapplicaties op het gebied van dataminimalisatie en autorisatie. Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet méér gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken. De maatregelen voor dataminimalisatie en het in lijn brengen van de autorisaties lopen mee in het traject van maatregelen die de Belastingdienst uitvoert met als streefdatum 25 mei 2019.

Meer informatie: Reactie op vragen en opmerkingen van de vaste commissie voor Financiën van 1 november 2018, 7 februari 2019