image

Belastingdienst gaf personeel 1200 keer ontheffing voor gebruik usb-sticks

maandag 5 juni 2023, 15:38 door Redactie, 8 reacties

De Belastingdienst heeft personeel twaalfhonderd keer een ontheffing gegeven voor het gebruik van usb-sticks, zo laat staatssecretaris Van Rij van Financiën aan de Tweede Kamer weten (pdf). Hij heeft daarnaast de Belastingdienst gevraagd een onderzoek naar de noodzaak van het gebruik van de usb-ontheffing in te stellen en te kijken of het beleid moet worden aangescherpt.

Standaard zijn usb-poorten op laptops van de Belastingdienst uitgeschakeld, waardoor ook usb-sticks niet zijn te gebruiken. Het usb-beleid werd ingevoerd vanwege de problemen met de veiligheid van gegevens bij de fiscus. "In het geval van een individuele uitwisseling van informatie met burgers en/of bedrijven, is het beleid daarvoor dat waar mogelijk gebruik gemaakt moet worden van de zogenoemde Belastingdienst File Transfer en als dat niet mogelijk is, gebruik te maken van e-mail", zo laat Van Rij weten naar aanleiding van een artikel van NRC over de manier waarop de Belastingdienst met data omgaat.

Begin 2017 stelde toenmalig staatssecretaris Wiebes dat ontheffingen voor het gebruik van usb-sticks alleen in "uiterste gevallen" werden verleend. Dat blijkt niet te kloppen. Ontheffingen worden "ruimhartig" door de fiscus aan het eigen personeel verleend. Volgens Van Rij zijn er situaties waarbij het niet mogelijk is om data via e-mail of File Transfer uit te wisselen. "In dat geval mogen controlemedewerkers en EDP-auditspecialisten werkzaam in het toezichtproces, gebruikmaken van een usb-apparaat voor het overdragen van de informatie." De staatssecretaris voegt toe dat data op usb-sticks automatisch is versleuteld met een wachtwoord.

Tot en met 22 mei van dit jaar blijkt dat de Belastingdienst 1202 keer een ontheffing heeft verleend voor het gebruik van een usb-stick (pdf). In bijna duizend gevallen ging het om een ontheffing waarbij er naar het usb-apparaat kon worden geschreven. De overige ontheffingen betroffen leesrechten. Van Rij stelt dat de Belastingdienst zich bewust van de risico's is. "Het grootste risico op een datalek zit in de toezicht processen, immers wordt daar gewerkt met (persoonsgebonden) informatie die onder de fiscale geheimhouding valt." Afsluitend voegt de staatssecretaris toe dat hij de Belastingdienst heeft gevraagd om onderzoek te doen naar de noodzaak van de usb-ontheffingen en of het noodzakelijk is het beleid aan te scherpen.

Reacties (8)
05-06-2023, 16:35 door Anoniem
Ik moet zeggen: USB-sticks zijn knap handig om veel data van PC 1 naar PC 2 te krijgen.
Al helemaal als je niet van online file transfer websites gebruik mag/kan maken.
Dus ik kan het heel goed begrijpen waardoor dit gebeurt.

Dat gezegd hebbende, dit is niet de bedoeling.

Maar als het dan toch gebeurt, doe het dan op een manier waardoor de risico's geminimaliseerd worden.
Dus via speciale software die de inhoud controleert op virussen en inventariseert wat er gekopieerd word.
05-06-2023, 16:39 door _R0N_
Door Anoniem: Ik moet zeggen: USB-sticks zijn knap handig om veel data van PC 1 naar PC 2 te krijgen.
Al helemaal als je niet van online file transfer websites gebruik mag/kan maken.
Dus ik kan het heel goed begrijpen waardoor dit gebeurt.

Dat gezegd hebbende, dit is niet de bedoeling.

Maar als het dan toch gebeurt, doe het dan op een manier waardoor de risico's geminimaliseerd worden.
Dus via speciale software die de inhoud controleert op virussen en inventariseert wat er gekopieerd word.

Beter is intern een transfer server te hebben, die meteen de gedeelde documenten scant, zodat de data niet naar buiten kan.
05-06-2023, 16:47 door Anoniem
Door _R0N_:
Door Anoniem: Ik moet zeggen: USB-sticks zijn knap handig om veel data van PC 1 naar PC 2 te krijgen.
Al helemaal als je niet van online file transfer websites gebruik mag/kan maken.
Dus ik kan het heel goed begrijpen waardoor dit gebeurt.

Dat gezegd hebbende, dit is niet de bedoeling.

Maar als het dan toch gebeurt, doe het dan op een manier waardoor de risico's geminimaliseerd worden.
Dus via speciale software die de inhoud controleert op virussen en inventariseert wat er gekopieerd word.

Beter is intern een transfer server te hebben, die meteen de gedeelde documenten scant, zodat de data niet naar buiten kan.

waar je dan 30 min mee zit te hannesen voor je weer verder met je werk kan want MFA en continue veranderingen enzv enzv eznv en het dan raar vinden dat mensen USB stickies gebruiken? tsss.... IT technologie van vandaag maakt het leven niet eenvoudiger hoor!
05-06-2023, 17:08 door Anoniem
Niks mis mee als je hardware encrypted drives gebruikt die gewhitelist zijn met certificaten, maa rik heb zo een vermoeden dat dat hier niet het geval is.
05-06-2023, 18:28 door Anoniem
Door _R0N_:
Beter is intern een transfer server te hebben, die meteen de gedeelde documenten scant, zodat de data niet naar buiten kan.

Jaja, "MOVEit Transfer" zeker?
05-06-2023, 19:06 door johanw
Zijn de USB poorten helemaal uitgeschakeld of alleen geblokkeerd voor USB mass storage? Het eerste lijkt me met moderne hardware steeds lastiger want dan werken muizen en externe keyboards, monitoren en misschien voedingen ook niet meer.

Indien het eerste, een vorigee werkgever had ook zo'n policy. Toen ik m'n telefoon aan de computer hing om hem op te laden bleek dat USB mass storage niet werkte maar de digitale camera mode om bestanden over te zetten wel. Gezien de opslagruimte van moderne telefoons kan er zo heel wat data naar buiten gaan.
06-06-2023, 17:24 door Anoniem
"De staatssecretaris voegt toe dat data op usb-sticks automatisch is versleuteld met een wachtwoord."
Oh ja en beide partijen die de stick gebruiken hebben het wachtwoord dus dan kun je er niets vreemds meer op zetten ?

Als ik aan een belastinginspecteur data moet overhandigen mag dat dan met mijn eigen stick of moet dat op zijn stick.
Dat laatste is al een stukje veiliger voor de inspecteur maar wat gebeurd er dan met mijn data als die man naar huis gaat.
Worden die sticks na gebruik zorgvuldig gewist of vernietigd.
Dat zijn allemaal dingen waar je eerst over na moet denken voor je dit soort praktijken toelaat en dat het nu niet toegestaan is.

En mocht de belasting controle mij vandaag niet goed uitkomen dan kan ik altijd nog een USB killer stick aan de inspecteur geven.
07-06-2023, 10:43 door Anoniem
Door Anoniem: "De staatssecretaris voegt toe dat data op usb-sticks automatisch is versleuteld met een wachtwoord."
Oh ja en beide partijen die de stick gebruiken hebben het wachtwoord dus dan kun je er niets vreemds meer op zetten ?
Dat wachtwoord is uiteraard geen enkele beveiliging bij het legitieme gebruik van de stick, daar is het niet voor.
Het is bedoeld voor het geval dat de stick verloren of ontvreemd wordt en in handen van anderen komt, die dan hopelijk
het wachtwoord niet weten.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.