AP beveelt Belastingdienst systemen wegens AVG-overtreding stop te zetten
De Autoriteit Persoonsgegevens (AP) heeft de Belastingdienst opgedragen twee systemen vanwege overtredingen van de AVG zo snel mogelijk uit te faseren. Vier andere systemen moet de fiscus zo snel mogelijk aanpassen. Volgens de privacytoezichthouder voldoen de systemen niet aan de privacywetgeving. Naar aanleiding van een rapport over het Risico Analyse Model (RAM) besloot de AP de zes systemen te onderzoeken.
Met het gebruik van RAM heeft de Belastingdienst de privacywetgeving op grote schaal geschonden, zo laat de Autoriteit Persoonsgegevens vandaag weten. Eerder dit jaar had ook demissionair staatssecretaris Van Oostenbruggen van Financiën dit laten weten. De door de AP onderzochte systemen waren eerder door KPMG als ‘met RAM vergelijkbaar’ gekwalificeerd en hadden daarom de aandacht van de toezichthouder.
Systemen snel uitfaseren
Op basis van het onderzoek stelt de AP nu dat de Belastingdienst uiterlijk 15 oktober dit jaar met een plan moet komen om de systemen ‘Klant Toezicht Model’ (KTA) en ‘Informatiesjabloon’ op korte termijn uit te faseren. KTA is een applicatie met schermen die voor één BSN praktisch alle (persoons)gegevens toont die binnen de Belastingdienst beschikbaar zijn.Met KTA wordt op meerdere punten de AVG overtreden. Zo is er slechts één rol voor alle medewerkers die toegang hebben, waardoor voor elk van deze medewerkers alle schermen met (persoons)gegevens ingezien kunnen worden. "Door het combineren in KTA van verschillende gegevens wordt voor personen die getrouwd zijn of een geregistreerd partnerschap hebben indirect de seksuele gerichtheid zichtbaar", laat de AP verder weten.
Verder bevat KTA verouderde en te raadplegen gegevens over studiefinanciering, WOZ en vaartuigen. Daarnaast beschikt de applicatie over een exportfunctie waarvan het gebruik niet wordt gelogd en is onduidelijk voor welke doelen KTA wordt gebruikt. Als laatste stelt de AP dat er DPIA's ontbreken voor de verwerkingen van persoonsgegevens in de applicatie.
Informatiesjabloon
Het tweede systeem waar de fiscus van de AP snel afscheid van moet nemen is Informatiesjabloon. Dit is een sinds 1999 in gebruik zijn procedure voor medewerkers van de Belastingdienst om persoonsgegevens op te vragen en aangeleverd te krijgen in een Excel-format, met berekeningen, vrije tekstvelden en met macro’s genaamd Informatiesjabloon.De Autoriteit Persoonsgegevens stelt dat Excel niet aan belangrijke beveiligingseisen op het gebied van autorisatie en logging voldoet. Verder is de goedkeuringsprocedure om via het systeem gegevens op te vragen niet adequaat en is het onduidelijk en oncontroleerbaar of de verwerking van persoonsgegevens na ontvangst ervan voldoet aan onder andere noodzakelijkheid, proportionaliteit en subsidiariteit.
Verder blijkt dat BSN's/adressen waarvoor een goedgekeurde aanvraag is gedaan, op meerdere plekken opgeslagen blijven: in de mailboxen van de aanvragers en de beoordelaars, de postbus Informatieloket Eindhoven en op de netwerkschijf. De AP stelt ook dat er via het systeem te veel persoonsgegevens worden verstrekt aan Politie/OM en mogelijk ook andere overheden en samenwerkingsverbanden.
"De Belastingdienst verwerkt heel veel gevoelige informatie over bijna iedereen in Nederland. Daar moet de Belastingdienst vanzelfsprekend heel zorgvuldig mee omgaan. Dat blijkt bij deze systemen niet het geval. Wij zullen erop toezien dat deze systemen zo snel mogelijk worden aangepast of uitgeschakeld", aldus AP-voorzitter Aleid Wolfsen.
Wees blij dat de overheid in de vorm van de AP tenminste de overheid nog een beetje controleert en aanwijst. Blijft natuurlijk de vraag of en hoe de overheid reageert of gewoon de boetes (volgende stap) gaat betalen.
Probleem is dat Excel-bestanden ongecontroleerd kunnen gaan zwerven.
Wij zullen erop toezien dat deze systemen zo snel mogelijk worden aangepast of uitgeschakeld", aldus AP-voorzitter Aleid Wolfsen.
Zo snel mogelijk is nogal rekbaar. Het kan wel 5 jaar duren voordat het mogelijk is om effectief
belasting te innen zonder die systemen.
https://nieuwrechts.nl/105250-hoe-de-nederlandse-overheid-stilletjes-een-politiestaat-optuigt-met-palantir
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?