AP kritisch op zelfontwikkelde applicaties Belastingdienst: 'risico voor burger'
De Autoriteit Persoonsgegevens (AP) is kritisch op honderden applicaties die de Belastingdienst zelf heeft ontwikkeld en gebruikt en onder andere op het gebied van privacy en informatiebeveiliging niet altijd aan de regels voldoen, zoals de AVG. Dat brengt risico’s met zich mee voor de rechten en vrijheden van burgers, aldus de privacytoezichthouder.
De fiscus maakt gebruik van honderden Lokaal Ontwikkelde Applicaties (LOA’s). Deze applicaties, waarin persoonsgegevens worden verwerkt, zijn door de Belastingdienst zelf gebouwd, buiten de daarvoor bestemde beleidskaders. De AP deed onderzoek naar de LOA's bij de Belastingdienst en concludeert dat er onvoldoende gestuurd wordt om de applicaties te laten voldoen aan de eisen van wet- en regelgeving op het punt van de bescherming van persoonsgegevens.
"Er is geen inzicht in de mate waarin de applicaties aan de wet- en regelgeving voldoen. Burgers lopen daardoor het risico dat er onzorgvuldig met hun persoonsgegevens wordt omgegaan, bijvoorbeeld doordat gegevens langer worden bewaard dan nodig, niet voldoende worden beveiligd, dat verouderde gegevens niet worden verwijderd of zelfs dat op basis van verouderde gegevens verkeerde beslissingen worden genomen", aldus de AP in een brief aan de Directeur-Generaal van de Belastingdienst.
In het geval van de exportmogelijkheden van deze applicaties concludeert de AP dat de Belastingdienst onvoldoende zicht heeft op welke gegevens mogelijk buiten de beveiligde omgeving van de organisatie terechtkomen. Zo beschikt 65 procent van de onderzochte applicaties over een exportfunctie. Verder blijkt dat voor minder dan de helft van de onderzochte applicaties een risicoanalyse was uitgevoerd.
De AP zag verder dat het autorisatiebeheer van deze applicaties niet in alle gevallen voldeed aan de daarvoor gestelde eisen. "Logging en monitoring van gebruikersraadplegingen, een beveiligingsmaatregel die de risico’s van een gebrekkig autorisatiebeheer kan adresseren, bleek nagenoeg niet te zijn geïmplementeerd", schrijft de toezichthouder in de brief.
De Autoriteit Persoonsgegevens stelt dat de Belastingdienst controle over het gebruik en bestaan van deze applicaties moet krijgen. De toezichthouder doet hiervoor ook verschillende aanbevelingen. Zo moet de fiscus een plan opstellen hoe en binnen welke termijn deze LOA's naar reguliere applicaties worden omgezet en in welke situaties met het gebruik van de LOA's moet worden gestopt. Tevens moet de toegang van de LOA's tot bronsystemen met gegevens worden beperkt.
Demissionair staatssecretaris Heijnen van Financiën laat in een reactie op de brief weten dat de Belastingdienst ook de komende periode stuurt op het terugdringen van LOA’s (pdf). "Dit wordt versterkt door medewerkers actief te informeren over het beleid rondom LOA’s", aldus de bewindsman. Tevens wordt er gewerkt aan een plan van aanpak om een centraal overzicht van alle LOA's te krijgen en door de AP aanbevolen maatregelen te implementeren. De staatssecretaris voegt toe dat de Tweede Kamer over de vorderingen op dit plan van aanpak periodiek zal worden geïnformeerd.
Lijkt er steeds vaker op dat ambtenarij een aparte über-klasse in Nederland aan het worden is waarvoor wetten niet maar alleen doelstellingen en wantrouwen gelden.
Het doet me ook denken aan het nieuws uit 2022 dat de Belastingdienst kampte met een verouderd IT-landschap met maar liefst 900 applicaties:
https://www.security.nl/posting/740986/Belastingdienst+wil+verouderd+ict-landschap+met+900+applicaties+moderniseren
Ik stond destijds best raar te kijken van dat hoge aantal, het is niet zo dat Nederland 900 soorten belastingen en toeslagen kent, of een aantal dat daar ook maar enigszins bij in de buurt komt. Hoe kom je dan ooit aan 900 applicaties, wat kan dat dan allemaal zijn, vroeg ik me destijds af. Telt men daar elk deelsysteempje van bijvoorbeeld van het inkomstenbelastingsysteem als een afzonderlijke applicatie? Of is er misschien gruwelijk veel om de officiële applicaties heen gebouwd in plaats van dat die aan nieuwe eisen werden aangepast? Met honderden LOA's, meer dan genoeg om er een naam voor te bedenken, lijkt het heel goed dat laatste te kunnen zijn geweest.
Hoe zijn die apps gebouwd en waar draaien die dan op?
Waarschijnlijk is het Cobol. Gelukkig draait dit ook onder Linux zodat migraties beter en goedkoper kunnen dan via windows.
Lijkt er steeds vaker op dat ambtenarij een aparte über-klasse in Nederland aan het worden is waarvoor wetten niet maar alleen doelstellingen en wantrouwen gelden.
Ik denk niet dat het om Shadow-IT gaat, maar vermoed dat we te maken hebben met het populaire (en in mijn ogen beruchte) Agile werken en zelfsturende teams. Het zit 'm al in de naam 'zelfsturende teams´; die willen geen bemoeienis van buitenaf. Het gevolg is dat software experts producten maken zonder dat er onvoldoende aandacht is voor wet- en regelgeving op het gebied van bijvoorbeeld informatiebeveiliging en privacy. In een agile team horen ook experts te zitten op het gebied van dit soort wet- en regelgeving, maar dat heb ik tot op heden nergens gezien. Niet zo vreemd dat de eindproducten dan rammelen als het gaat om compliancy.
Op zich is er niet zoveel mis met het zelf ontwikkelen van applicaties. In de geopolitieke context en met de wens om minder afhankelijk te zijn van big tech, moeten we dit soort ontwikkelingen toejuichen. Maar er moet wel ergens quality assurance zijn ingebouwd en dat moet niet beperkt zijn tot code review en functionele requirements.
Laat de AP nou eerst zijn eigen zaken op orde krijgen en achter de commerciele boeven aan gaan. Boetes opleggen aan de overheid is het geld rondpompen binnen de overheid. Boetes opleggen aan commerciele organisaties levert echt nieuw geld op, dat de overheid niet had.
Zoals jij agile met zelfsturende teams beschrijft lijkt sprekend op wat ik shadow-IT zou noemen, trouwens ;-)
Hoe zijn die apps gebouwd en waar draaien die dan op?
Waarschijnlijk is het Cobol. Gelukkig draait dit ook onder Linux zodat migraties beter en goedkoper kunnen dan via windows.
naar een mainframe kunnen sturen.
Nee, het gaat voornamelijk om in Excel gemaakte monsters.
Ik schrijf: Voor de distributiecentra van (naam supermarktketen) hebben zij zelf applicaties geschreven die de aanlevering door toeleveranciers beheert.
En jij antwoordt met "Pindakaas¨.
Verhelderend hoor. Héél verhelderend!
Hoe zijn die apps gebouwd en waar draaien die dan op?
Waarschijnlijk is het Cobol. Gelukkig draait dit ook onder Linux zodat migraties beter en goedkoper kunnen dan via windows.
naar een mainframe kunnen sturen.
Nee, het gaat voornamelijk om in Excel gemaakte monsters.
Anders worden hun honderden LOA's in Excel en Access geraakt!
Wordt het niet eens tijd om echte IT-ers in dienst te nemen die wel weten hoe je een applicatie maakt die aan alle eisen voldoet?
Ik schrijf: Voor de distributiecentra van (naam supermarktketen) hebben zij zelf applicaties geschreven die de aanlevering door toeleveranciers beheert.
En jij antwoordt met "Pindakaas¨.
Verhelderend hoor. Héél verhelderend!
Wat ik wil zeggen is dat de belastingdienst moet wel weten dat ze enorme schade kunnen toebrengen aan velen en hebben dat al bewezen, de schade van een supermarkt is zeer beperkt, die zal niet mensen automatisch aanmerken als fraudeur.
Er is een enorm verschil tussen die twee.
Ik schrijf: Voor de distributiecentra van (naam supermarktketen) hebben zij zelf applicaties geschreven die de aanlevering door toeleveranciers beheert.
En jij antwoordt met "Pindakaas¨.
Verhelderend hoor. Héél verhelderend!
De AP is het duidelijk niet met u eens.
Mensen zijn hun kinderen verloren terwijl de overheid de boel in de doofpot heeft geprobeerd te stoppen, dat willen we niet meer zien, de belastingdienst en de overheid hebben een zeer laffe en malafide kant van zichtzelf laten zien dus vertrouwen we ze in mindere mate, en heel terecht.
Als ze zo doorgaan worden burgers kwaad en vallen er politieke slachtoffers of hebben we straks een coup, en we hebben gezien hoe dat in Rusland is afgelopen dus is het belangrijk dat politici en de belastingdienst dit soort dingen niet meer doen, dan leven we in een veiliger Nederland.
We betalen geen belasting voor de salarissen voor politici en belasting om dit soort misdaden te plegen tegen de mensheid, ze werken voor ons en niet andersom, het is belangrijk dat ze dat goed in de oren knopen, ze hebben massa's ouderen en kinderen zeer veel pijn gedaan en hun leven kapotgemaakt via hun toeslagenaffaire en doofpotschandaal.
Daarom vertrouwen we ze niet meer; omdat ze dat aan ons bewezen hebben, laat ze eerst maar alle gezinnen terugbetalen, we hoeven die schoffies niet in bescherming te nemen.
Het risico zit ‘m er vooral in dat er onvoldoende controle mogelijk is op wat er met gegevens gebeurt. Exports naar andere organisaties of partijen wat je niet wilt, bijvoorbeeld.
Het is vooral een management probleem. Er werken echt wel slimme mensen (anders had je niet van die vele LOA’s die blijkbaar wel werken, ook al voldoen ze niet aan wet- en regels), maar veel niet zo slimme bestuurders (heb je het debat over m365 gezien?) die weten hoe je een organisatie met veel IT aanstuurt / managed.
De ene club loopt te zeiken als ze een standaard product bij Microsoft inkopen, en dan komt de andere club weer zeiken als het intern door de Nederlandse overheid zelf ontwikkeld wordt.
Het Is Ook Nooit Goed.
De ene club loopt te zeiken als ze een standaard product bij Microsoft inkopen, en dan komt de andere club weer zeiken als het intern door de Nederlandse overheid zelf ontwikkeld wordt.
Het Is Ook Nooit Goed.
Zo kunnen externe onafhankelijke partijen conteoleren of de software uberhaubt als degelijk kan worden beschouwd door de software en code te testen en auditen.
FLOSS gebaseerde software is geen oplossing om te zorgen dat persoonsgegevens verwijderd worden wanneer ze niet meer nodig zijn.
FLOSS zorgt er niet automatisch voor dat je alleen toegang tot persoonsgegevens hebt als je daar een goede reden voor hebt.
Waar het de AP om gaat is dat je in controle bent over alle verwerkingen die je met persoonsgegevens doet. Of dat nou een verwerking in een groot stuk software is, of een kleine macro. Je moet zorgen dat je aan de wet voldoet.
En aangezien niet elke werknemer even goed is in het kennen van de privacy wet, is de kans dat er wat mis gaat groter als al die willekeurige werknemers zelf gaan zitten aan klooien.
Dat is ook een groot risico met al die AI oplossingen die nu op de markt komen met de belofte dat je makkelijk zelf een tooltje kunt bouwen. Denk aan mensen die databasejes aan elkaar gaan knopen om "leuke dingen" meet de doen en daarmee de privacy wet overtreden.
Dat was nu ook al wel mogelijk, maar het aantal mensen die daar de kennis voor hadden was veel kleiner, en die kon je dan extra privacy awareness en aandacht geven.
En dan hebben we natuurlijk nog alle zelfbouwsels bij politie.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
