Het verhaal van de 'Broedkamer' is ofwel een digitale ramp, ofwel een digitale 'near miss' van enorme proporties. Dat vraagt om gedegen onderzoek.
Na de onthulling bij Zembla over hoe bij de Belastingdienst met gevoelige gegevens wordt omgesprongen komt de vraag op of er sprake is van een datalek. In antwoord op vragen erkent Staatssecretaris Eric Wiebes (VVD) dat 18 mensen de gevoelige gegevens op een USB-stick konden zetten. Tijd voor een onderzoek naar welke bedrijfscultuur kon leiden tot deze digitale ramp.
In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bij elkaar om zo op basis van big data-technieken fraudepatronen op te sporen. Dat klinkt misschien niet leuk, maar het is wel onvermijdelijk. Via vage grensoverschrijdende bedrijfsconstructies en handelsketens vinden transacties plaats die op een belastingaangifte niet meer terug zijn te vinden. Een minder orthodoxe aanpak is in dat licht wel begrijpelijk, maar die raakt wel de vrijheid van iedere Nederlander.
Governance
Bij deze aanpak gaat het om nogal wat gegevens: fiscale data, financiële transacties, reisgedrag, telefoongesprekken met de Belastingdienst, parkeergegevens, vastlegging van auto’s die onder camera’s doorrijden en ga zo maar door. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.
Het in januari 2017 verschenen rapport “Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst” naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:
‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’
18 ontheffingen
Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:
‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’
De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog iemand toestemming gegeven binnen de afdeling D&A om met een usb-stick te werken.
Niet geschreven
Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.
Onderzoek
Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijken naar de huidige situatie en de vraag of de Belastingdienst nu aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.
Allemaal belangrijke informatie, maar nog niet antwoord op de vraag: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?
Waarde opponent, de juridische definitie van 2 miljoen bedrijfsgegevens en concernrelaties. “Heeft de opgave van een gegeven ter inschrijving in het handelsregister betrekking op een naamloze vennootschap, een besloten vennootschap met beperkte aansprakelijkheid, een Europese naamloze vennootschap, een Europees economisch samenwerkingsverband, een Europese coöperatieve vennootschap of een andere bij algemene maatregel van bestuur aangewezen rechtspersoon of vennootschap, dan draagt de Kamer er zorg voor dat daarvan zo spoedig mogelijk mededeling wordt gedaan in een door Onze Minister aangewezen publicatieblad of een ander, even doeltreffend instrument, dat ten minste het gebruik van een systeem omvat dat in chronologische volgorde via een centraal elektronisch platform toegang tot de openbaar gemaakte informatie biedt.” [Handelsregisterwet 2007]
Bent u het met me eens dat het hier gaat over openbare informatie, en van een [eventueel] datalek dan ook geen sprake kan zijn? Heeft u bronnen anders dan kwantitatieve beschrijving van de hoeveelheid, die kunnen staven dat het hier om andere gegevens kan gaan? Bijvoorbeeld het (nog) niet openbare aandeelhoudersregister, gegevens afkomstig uit het toezicht op het notariaat, vennootschapsbelasting of omzetbelasting zover dit niet al publieke gegevens zou betreffen?
Daarnaast poneert u de stelling dat het toestaan van het gebruik van USB-sticks de beveiliging van de gegevens benadeelt. We hebben hier te maken met medewerkers die voor hun dagelijks werk per seconde meer data doorzoeken dan de hoeveelheid bronmateriaal, immers een kruisproduct in de eerste orde is al groter dan de twee losse producten. Is het niet wat naïef om te veronderstellen dat een integere medewerker die zich bezighoudt met Bulgarenfraude, BTW-fraude, huurtoeslagen, ook maar 1 USB-stick nodig heeft om de [nog waardevollere] resultaten van die queste over “het internet” te versturen? Of zouden die USB-sticks kunnen faciliteren dat er juist een air-gap is ingebouwd tussen systemen die onder normale omstandigheid nooit gekoppeld zijn?
In uw bovenstaande stelling spreekt u over een near miss. Hebben deze ambtenaren dan geen eed afgelegd? Is er geen integriteit onderzoek geweest voor ze begonnen met hun baan? Is “De Broedkamer” dan zo fundamenteel anders dan een willekeurige publieke instelling met dezelfde type specialisten, zoals voorbeeld: UWV, CBS of RDW?
De vraag is niet: is het verkeerd gegaan? De vraag is: wie heeft er een (persoonlijk) belang dat dit type onderzoek in een negatief daglicht komt? Bijvoorbeeld om nieuwe opdrachten te verwerven voor software leveringen, externe specialisten, of onderzoeksgeld veilig te stellen (BD-medewerkers met een halve aanstelling aan een universiteit). Had dit echt bij Zembla gekomen als we het over tevreden medewerkers hadden gehad?
Ik krijg het idee dat er krachten zijn die het stelsel van basisregistraties proberen te ondermijnen, en dat zou mogelijk wel eens het echte nieuws kunnen worden.
Beste Stefan,
De bedrijfsgegevens zijn soms wel degelijk vertrouwelijk. Maar daarnaast ga je eraan voorbij dat ook de data van 11 miljoen burgers wel een datalek zijn. Ik hou zelf in mijn gedachte zeker de mogelijkheid open dat meer organisaties dit soort risico’s lopen.
Juist daarom de Titanic-parallel en de roep om een Onderzoeksraad-studie. Daar kunnen we lessen van leren. Dat is niets negatiefs, maar juist heel hoopvol. Ik roep geen schade, ik veroordeel niet: ik vraag alleen om goed onderzoek en lessen om te leren.
Dat er mogelijk bedrijven zijn die belang hebben dat dit naar buiten komt dat zal ongetwijfeld. Maar dat verandert het waarheidsgehalte niet. Mocht dat wel zo zijn dan zien we dat in het onderzoek en is ook dat een les om te leren.
Met vriendelijke groet,
Brenno de Winter