image

Belastingdienst gaat verouderde gegevens in datakluis bewaren

woensdag 17 april 2019, 17:05 door Redactie, 16 reacties

De Belastingdienst gaat verouderde gegevens in een datakluis bewaren om zo te voorkomen dat medewerkers deze gegevens onrechtmatig kunnen verwerken. Dat laat staatssecretaris Snel aan de Tweede Kamer weten. De fiscus moet verschillende maatregelen doorvoeren om aan de AVG te voldoen.

Een aantal van deze maatregelen is inmiddels uitgevoerd. Wat betreft de maatregel "verwijderen oude gegevens" is vastgesteld dat het niet gaat lukken om voor eind mei dit jaar de achterstand bij het verwijderen van verouderde gegevens weg te werken. Volgens Snel wordt dit veroorzaakt door twee problemen. Bij een aantal oude systemen is het niet mogelijk om de verouderde gegevens op basis van de AVG-normen te verwijderen.

"De benodigde systeemaanpassingen zijn dusdanig ingrijpend gebleken, dat dit op korte termijn niet mogelijk is", aldus de staatssecretaris (pdf). Daarnaast moeten de digitale documenten stuk voor stuk handmatig worden beoordeeld op de aanwezigheid van persoonsgegevens. Uit een inventarisatie blijkt dat het om honderden miljoenen documenten gaat. Het beoordelen hiervan zal meer tijd in beslag nemen.

Om te voorkomen dat de niet-tijdig verwijderde gegevens onrechtmatig kunnen worden verwerkt door medewerkers van de Belastingdienst gaat de fiscus de verouderde gegevens in een datakluis plaatsen. De datakluis is een afgeschermde omgeving waar Belastingdienstmedewerkers geen toegang toe hebben, tenzij hier nadrukkelijk toestemming voor wordt gegeven. Verder neemt de fiscus volgens Snel verdere maatregelen om het intern oneigenlijk delen van gegevens te voorkomen. De staatssecretaris zal eind mei dit jaar verdere informatie geven over de voortgang van de implementatie van de AVG bij de Belastingdienst.

Reacties (16)
17-04-2019, 17:12 door Anoniem
Een bordje ophangen dat eigen medewerkers bij vrolijk rondneuzen ook de bak in kunnen gaan wegens computervredebreuk lijkt me ook nuttig. Alhoewel iedereen de wet hoort te kennen natuurlijk. Volgens de wet.
17-04-2019, 18:29 door Anoniem
Wat ik feitelijk lees, is dat het bij de fiscus al jaren lang een zooitje is met betrekking tot (maar niet beperkt tot) de bescherming van gegevens.
Of lees ik het nou verkeerd?

Maar ja, Roverheid he. Dan mag het. Een bedrijf met 100 werknemers was allang (terecht) omgevallen op deze manier.
17-04-2019, 18:39 door Anoniem
ie datakluis is dan in de vorm van een google-cloud opslag in de VS.
17-04-2019, 19:20 door karma4 - Bijgewerkt: 17-04-2019, 19:31
De gangbare verplichte bewaartermijn is 5 jaar, Binnen 3 jaar moeten ze een beslissing nemen of ze de aanslag nog een keer nakijken dan wel dat het nu echt definitief is. In bepaalde gevallen moeten er gegevens van 12 jaar terug opgepakt kunnen worden. Met uitgestelde heffing lopen de benodigde gegevens zo maar 20 jaar of langer terug.

Ik ben dan benieuwd om welke verouderde gegevens het dan zou moeten gaan.
Ik kan me de voortgang in de aanslag bedenken waar tussendoor de fouten hersteld zijn om tot een eind te komen. Dat mag geen probleem zijn omdat het eindgegeven er is.
Het zou goed kunnen maar dan i het ook belachelijk dat fraudeurs en witwassers met het verkeerd verwijderen van gegevens geholpen worden. Je moet wat overhebben voor de criminaliteit als privacy beschermer.


AH ik ken een geval, de reisgegevens die via ANPR's overal verzameld waren en waarbij her en der aantekeningen gemaakt zijn, De gegevens mogen niet meer gebruikt worden.
Dat pleit er voor om onderzoek en aantekening en de wettelijke administraties volledig geschieden te houden.
Wettelijk administraties verjaren niet en zijn niet zo maar verkeerd of verouderd. De onderzoeks - en andere gemakken zijn wel het probleem. Die mag je beslist niet zomaar gebruiken.
17-04-2019, 20:34 door Anoniem
Door karma4: De gangbare verplichte bewaartermijn is 5 jaar, Binnen 3 jaar moeten ze een beslissing nemen of ze de aanslag nog een keer nakijken dan wel dat het nu echt definitief is. In bepaalde gevallen moeten er gegevens van 12 jaar terug opgepakt kunnen worden. Met uitgestelde heffing lopen de benodigde gegevens zo maar 20 jaar of langer terug.

Ik ben dan benieuwd om welke verouderde gegevens het dan zou moeten gaan.

Ik denk dat ze simpelweg alles, of bijna alles ouder dan die drie of vijf jaar in de datakluis plaatsen, en dat de medewerkers die bij een bepaald dossier dan langer (twaalf of die twintig jaar ) terug moeten daar toegang voor vragen.

Het probleem zal zijn dat het niet simpel mogelijk is om snel/automatisch te bepalen welke gegevens zeker niet meer relevant kunnen worden voor een huidige - of toekomstige! aanslag - . Maar ze wel het oncontroleerbaar/ondoelmatig grasduinen erin moeten blokkeren.
17-04-2019, 23:03 door Anoniem
Je hebt natuurlijk bewaarplicht. Maar dat zegt nog niet dat de fiscus niet langer màg bewaren natuurlijk. Als iets voor de rechter komt. En vervolgens beroep wordt aangetekend. En daarna volgt nog cassatie bij de Hoge Raad. De rechters werken als ze tijd hebben. Het kan jaren duren, zeker als het een complexe zaak is. Dan ga je me toch niet vertellen dat de belastingdienst hun eigen bewijsmateriaal moeten vernietigen omdat de verplichte bewaartermijn verstreken is? Want dan kom je zo onder de belastingrechter uit door rekken en trekken. Je was ziek. Je wraakt de rechters. Je moest naar het buitenland. En dan doet de belastingdienst vanzelf zo al hun belastend bewijs poef en weg door de shredder zeker?
18-04-2019, 07:42 door Anoniem
Door Anoniem: Het probleem zal zijn dat het niet simpel mogelijk is om snel/automatisch te bepalen welke gegevens zeker niet meer relevant kunnen worden voor een huidige - of toekomstige! aanslag - .
Er is meer. De belastingdienst heeft bijvoorbeeld als overheidsinstantie ook te maken met de archiefwet. Die kan ook een bewaarplicht voor persoonsgegevens opleveren. Dat mag uitdrukkelijk van de AVG, maar dan moet wel geregeld worden dat de privacy van de personen beschermd wordt. De gegevens zijn bijvoorbeeld de eerste 75 jaar niet openbaar (de archiefwet noemt die termijn - met de huidige gemiddelde levensverwachting mag die van mij wat langer worden). Voor wat er precies bewaard moet worden beheert het Nationaal Archief selectielijsten die in de staatscourant gepubliceerd worden. Het uitzoeken of gegevens wel of niet daaronder valt is over het algemeen zeer arbeidsintensief en achterstanden daarin zijn geen zeldzaamheid. Behalve de archiefwet en wat jij noemt is er vast nog veel meer dat speelt en het complex maakt.
Maar ze wel het oncontroleerbaar/ondoelmatig grasduinen erin moeten blokkeren.
Wat ze moeten volgens de AVG is de gegevens vernietigen als ze niet meer nodig zijn. De belastindienst voldoet niet aan de wet als ze dat niet doen. Dat geven ze hier zelf ook aan onder het kopje "Op welke punten voldoet de Belastingdienst nog niet aan de AVG?":
https://belastingdienst-in-beeld.nl/themas/omgaan-met-gegevens/factsheet-omgaan-met-gegevens/
Daar staat ook dat men ernaar streeft om in mei van dit jaar volledig aan de AVG te voldoen. Dat haalt men dus niet.

Ik ben benieuwd hoe de AP hierop gaat reageren. Het voldoet niet aan de wet maar dwangsommen en boetes gaan daar echt niets aan verbeteren, en de gekozen oplossing lijkt ongeveer het beste te zijn dat haalbaar is in deze omstandigheden.

Door (andere) Anoniem: Maar ja, Roverheid he. Dan mag het. Een bedrijf met 100 werknemers was allang (terecht) omgevallen op deze manier.
Je had een nog veel vettere R nodig gehad in Roverheid als de belastingdienst een enorme smak geld had uitgegeven om het wel voor elkaar te krijgen (ik geloof niet dat dat had geholpen). Verder is de bewaarplicht van dat bedrijf met 100 werknemers een stuk minder complex dan die van de belastingdienst, de kans is groot dat zo'n bedrijf alle documenten ouder dan X jaar veilig kan weggooien zonder allerlei wetten te breken. En als dat niet kan en de AP behandelt ze anders dan de belastingdienst wordt behandeld in dezelfde situatie dan is dat verschil een argument waarmee dat bedrijf bij de rechter aan kan kloppen.
18-04-2019, 08:29 door PietdeVries
Door Anoniem: Wat ik feitelijk lees, is dat het bij de fiscus al jaren lang een zooitje is met betrekking tot (maar niet beperkt tot) de bescherming van gegevens.
Of lees ik het nou verkeerd?

Maar ja, Roverheid he. Dan mag het. Een bedrijf met 100 werknemers was allang (terecht) omgevallen op deze manier.

Voel je vooral vrij om er te solliciteren en het bedrijf te helpen deze situatie te veranderen! Zullen veel burgers erg blij mee zijn... Maar 't zal je wel niet genoeg verdienen, en dat is omdat we allemaal nog harder klagen over de inkomstenbelasting zelf dan over de zooi bij de belastingdienst en dat daarom bij de overheid de IT zo matig betaald wordt... In mooi Frans heet dat een self fulfilling prophecy
18-04-2019, 08:47 door [Account Verwijderd]
Door Anoniem: Wat ik feitelijk lees, is dat het bij de fiscus al jaren lang een zooitje is met betrekking tot (maar niet beperkt tot) de bescherming van gegevens.
Of lees ik het nou verkeerd?

Maar ja, Roverheid he. Dan mag het. Een bedrijf met 100 werknemers was allang (terecht) omgevallen op deze manier.

Neen jouw (R)overheid mag helemaal niets. Integendeel zij moet alles strikt volgens wetgeving.
Jij hebt het makkelijk, jij mag alles, wordt daarin beperkt door wetgeving, maarrrrrrrrrrr............hebt daar moeite mee en neemt de 'vrijheid' om te gaan schoppen, of niet soms?

Maar ja... moeilijk hè om burger te zijn? Oh oh oh wat is dat toch een zware last op onze schouders!

Let op... komt hierna weer de nietszeggende reactie: werknemertje van de (r)overheid o.i.d.
18-04-2019, 08:50 door [Account Verwijderd]
Door Anoniem: ie datakluis is dan in de vorm van een google-cloud opslag in de VS.

Nepnieuwsite oprichten. Kun je ongelimiteerd meer van zulke onzin posten.
18-04-2019, 09:01 door [Account Verwijderd]
Door Anoniem: Een bordje ophangen dat eigen medewerkers bij vrolijk rondneuzen ook de bak in kunnen gaan wegens computervredebreuk lijkt me ook nuttig. Alhoewel iedereen de wet hoort te kennen natuurlijk. Volgens de wet.

Als je een baan hebt in het reguliere bedrijfsleven; verheug je daar dan maar over als je een scheve schaats rijdt. Bij de overheid zijn sancties op handelen tegen de regels in ernstiger. Ellendigerwijs gelooft dat niemand. Anders was er wel wat meer compassie met ambtenaren die het uitvoerende werk dat de ministeries hun opleggen verrichten.
18-04-2019, 10:21 door Anoniem
Door Anoniem: Wat ik feitelijk lees, is dat het bij de fiscus al jaren lang een zooitje is met betrekking tot (maar niet beperkt tot) de bescherming van gegevens.
Of lees ik het nou verkeerd?

Maar ja, Roverheid he. Dan mag het. Een bedrijf met 100 werknemers was allang (terecht) omgevallen op deze manier.

Nee hoor. Die is nu ook (nog steeds) rustig bezig om te kijken wat ze nu wel en niet willen bewaren. Vaak ruimen die pas wat op als er geen ruimte meer is in de archiefkasten. Ik herinner me nog een vakantiewerkje tussen kerst en nieuwjaar. Ik mocht alle oude dossiers verbranden, omdat ze een dossierkast hadden leeggeruimd voor de dossiers van volgend jaar. Lekker warm een weekje vuurtje stoken. En ik ken een ander bedrijf waar ze nu aan het denken zijn over het opruimen van dossiers uit begin 90's.

Peter
18-04-2019, 12:54 door PJW9779
"Daarnaast moeten de digitale documenten stuk voor stuk handmatig worden beoordeeld op de aanwezigheid van persoonsgegevens. Uit een inventarisatie blijkt dat het om honderden miljoenen documenten gaat. Het beoordelen hiervan zal meer tijd in beslag nemen."

Snelle schatting : méér dan 546 full-time mensjaar

Natte vinger berekening
* geschat aantal documenten : 360.000.000
* seconden beoordelingstijd per document : 10
* seconden totaal tijdsbeslag : 3.600.000.000
* sec/uur : 3.600
* mensuur totaal tijdsbeslag : 1.000.000
* werkbare uren p/j (bron : P-direct) : 1.830
* mensjaar totaal tijdsbeslag : 546,45
18-04-2019, 14:12 door PJW9779
Opvallend is de bagatelliserende, en zelfs badinerende, toon die staatssecretaris Snel hanteert aangaande de AVG. Uiteraard ingefluisterd door zijn ambtenaren.

"Voortgang implementatie Algemene verordening gegevensbescherming" betreft immers feitelijk een 'Achterstand implementatie AVG', een Non-compliance.
Juni 2018 informeerde de staatssecretaris de Tweede Kamer immers dat de Belastingdienst nog niet voldeed aan de AVG. Ondanks dat, na een implementatieperiode van twéé jaar, de deadline voor AVG-compliance toen reeds was verstreken.

En nu - weer een jaar later - laat hij weten de Belastingdienst nog stééds niet voldoet aan de AVG. Dat de Belastingdienst "hard werkt om de resterende maatregelen uit te voeren" is volstrekt irrelevant. Daartoe had men sinds mei 2016 immers reeds formeel twéé jaar implementatietijd.
Feitelijk had de Bd dus méér voorbereidingstijd. Want een goed geleid en voorbereid bedrijf - en de Bd ís dat natuurlijk - was uiteraard vóór mei 2016 reeds bekend met omvang, inhoud en impact van de AVG. Dat kostte de Bd destijds uiteraard een paar miljoen aan seminar-, workshop- en opleidingskosten, maar dan héb je ook wat.
Of toch niet?

De redenen die staatssecretaris Snel nu aanvoert waarom de Bd nog steeds niet voldoet aan de AVG snijden geen hout. Die redenen waren vóór mei 2016 óók reeds bekend. De nu aangekondigde maatregelen waren hoogstwaarschijnlijk ook toen al in beeld, of hadden in ieder geval tijdens de implementatieperiode 2016-2018 geëffectueerd dienen te worden.

Het nemen van "mitigerende maatregelen om het intern oneigenlijk delen van gegevens te voorkomen" is een elementaire AVG-eis. geen bewijs van goed gedrag. Hetzelfde geldt voor "dat gegevens bij de Belastingdienst veilig zijn en dat "de ICT?infrastructuur van de Belastingdienst 24 uur per dag [wordt] bewaakt tegen aanvallen".
Opmerkingen als "aanvallen van buiten, zoals hacks" en "risico op misbruik of verlies door externen" getuigen dan weer van merkwaardig amateurisme. Zoals genoegzaam bekend zijn hacks en data-misbruik of -verlies doorgaans 'inside jobs'.

De herhaalde aanvaringen van de Bd met de Autoriteit Persoonsgegevens over de afgelopen jaren zijn bekend. Daarbij ging het niet alleen om privacy sec maar ook om systeembeveiliging. Elementaire beveiligingscomponenten zoals logging bleken afwezig of onvoldoende.
De aankondiging dat "de Audit Dienst Rijk (ADR) onderzoek zal doen naar de implementatie van de AVG binnen het departement, waaronder de Belastingdienst" klinkt dan ook als tekortschietend.

Uw gegevens bij de Belastingdienst zijn niet veilig, nog lange niet.
20-04-2019, 09:36 door Anoniem
Tip scan de data op malware besmettingen want dat lijkt me een aardig aandachtspunt.

We zullen er maar geen doekjes omwinden....
20-04-2019, 23:02 door Anoniem
Door PJW9779: Opvallend is de bagatelliserende, en zelfs badinerende, toon die staatssecretaris Snel hanteert aangaande de AVG. Uiteraard ingefluisterd door zijn ambtenaren.

"Voortgang implementatie Algemene verordening gegevensbescherming" betreft immers feitelijk een 'Achterstand implementatie AVG', een Non-compliance.
Juni 2018 informeerde de staatssecretaris de Tweede Kamer immers dat de Belastingdienst nog niet voldeed aan de AVG. Ondanks dat, na een implementatieperiode van twéé jaar, de deadline voor AVG-compliance toen reeds was verstreken.

En nu - weer een jaar later - laat hij weten de Belastingdienst nog stééds niet voldoet aan de AVG. Dat de Belastingdienst "hard werkt om de resterende maatregelen uit te voeren" is volstrekt irrelevant. Daartoe had men sinds mei 2016 immers reeds formeel twéé jaar implementatietijd.
Feitelijk had de Bd dus méér voorbereidingstijd. Want een goed geleid en voorbereid bedrijf - en de Bd ís dat natuurlijk - was uiteraard vóór mei 2016 reeds bekend met omvang, inhoud en impact van de AVG. Dat kostte de Bd destijds uiteraard een paar miljoen aan seminar-, workshop- en opleidingskosten, maar dan héb je ook wat.
Of toch niet?

De redenen die staatssecretaris Snel nu aanvoert waarom de Bd nog steeds niet voldoet aan de AVG snijden geen hout. Die redenen waren vóór mei 2016 óók reeds bekend. De nu aangekondigde maatregelen waren hoogstwaarschijnlijk ook toen al in beeld, of hadden in ieder geval tijdens de implementatieperiode 2016-2018 geëffectueerd dienen te worden.

Het nemen van "mitigerende maatregelen om het intern oneigenlijk delen van gegevens te voorkomen" is een elementaire AVG-eis. geen bewijs van goed gedrag. Hetzelfde geldt voor "dat gegevens bij de Belastingdienst veilig zijn en dat "de ICT?infrastructuur van de Belastingdienst 24 uur per dag [wordt] bewaakt tegen aanvallen".
Opmerkingen als "aanvallen van buiten, zoals hacks" en "risico op misbruik of verlies door externen" getuigen dan weer van merkwaardig amateurisme. Zoals genoegzaam bekend zijn hacks en data-misbruik of -verlies doorgaans 'inside jobs'.

De herhaalde aanvaringen van de Bd met de Autoriteit Persoonsgegevens over de afgelopen jaren zijn bekend. Daarbij ging het niet alleen om privacy sec maar ook om systeembeveiliging. Elementaire beveiligingscomponenten zoals logging bleken afwezig of onvoldoende.
De aankondiging dat "de Audit Dienst Rijk (ADR) onderzoek zal doen naar de implementatie van de AVG binnen het departement, waaronder de Belastingdienst" klinkt dan ook als tekortschietend.

Uw gegevens bij de Belastingdienst zijn niet veilig, nog lange niet.

Logging mag dan weer niet volgens de AVG want daar staan persoonsgegevens in. Dus je moet van de AVG van alles wat je van de AVG niet mag.

De AVG, ik blijf het toch zeggen hoor, was bedoeld om het bedrijven makkelijker te maken om in meerdere landen zaken te doen zonder rekening te hoeven houden met uiteenlopende wetgeving op het gebied van persoonsgegevens.
De AVG was niet bedoeld om het onmogelijk te maken om wetgeving uit te voeren, of om postduivenverenigingen over de zeik te helpen.
Het zou de AP sieren om eens te kijken naar de geest van de wet.
En het zou de burger sieren om aan te geven hoeveel geld hij ervoor over heeft om nieuwe wetgeving in te voeren in de ICT, aangezien er bij het opstellen van nieuwe wetgeving wel een uitvoeringstoets gedaan wordt maar daarbij geen budget beschikbaar wordt gesteld voor die uitvoering.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.