Nieuws
image

Belastingdienst meldt datalek bij AP wegens gebruik van Adobe Analytics

vrijdag 12 juni 2026, 10:05 door Redactie, 7 reacties

De Belastingdienst heeft wegens het gebruik van Adobe Analytics in de eigen betaalomgeving een datalek bij de Autoriteit Persoonsgegevens (AP) gemeld. De trackingsoftware is inmiddels op de website van de fiscus uitgeschakeld. Onlangs verscheen een artikel online van onderzoeker Mick Beer over hoe Adobe allerlei informatie ontvangt over mensen die bij de Belastingdienst hun belasting betalen. Het zou onder andere gaan om de specifieke vordering en geopende aanslag.

Berichtgeving over het artikel zorgde onder andere voor vragen in de Tweede Kamer. Woensdag werd bekend dat de Belastingdienst Adobe Analytics voorlopig heeft uitgeschakeld. Nu blijkt dat er ook een datalekmelding bij de AP is gedaan, zo schrijft staatssecretaris Eerenberg van Financiën in een brief aan de Tweede Kamer. "De Belastingdienst is recent door een ethisch hacker gewezen op het gebruik van Adobe Analytics op de websites van de Belastingdienst, waarbij gedragsgegevens zonder toestemming werden doorgezonden naar Adobe. Op basis hiervan is de Belastingdienst een onderzoek gestart en is de functionaliteit inmiddels uitgezet. De Belastingdienst heeft de Autoriteit Persoonsgegevens geïnformeerd en een datalekmelding gedaan"

De bewindsman zegt de situatie te betreuren en dankt onderzoeker Beer. "Ik ben dankbaar dat deze ethisch hacker de Belastingdienst hierop heeft gewezen." Daarnaast stelt Eerenberg dat de Tweede Kamer verder over deze kwestie zal worden geïnformeerd en hoe het nu verder gaat. "Momenteel wordt er nog een inventarisatie gedaan naar soortgelijke tooling en wordt de documentatie die in deze Kamervragen is opgevraagd nog verzameld."

Reacties (7)
Reageer met quote
Gisteren, 10:19 door Anoniem
Hmmm. Is er AVG-technisch sprake van een datalek? Dat er sprake is van een onrechtmatige verwerking, oké, maar dat maakt het nog geen datalek. De defintie van datalek is immers: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

In hoeverre is hier sprake van een inbreuk op de beveiliging?
Reageer met quote
Gisteren, 10:24 door Anoniem
En excuses aanbieden aan het belastingplichtig 'gepeupel' doet Eerenburg natúúrlijk niet omdat hij droomt tot een excellente bourgeoisie à la bonne France anno 1920 te behoren.
Reageer met quote
Gisteren, 11:05 door Anoniem
Door Anoniem: Hmmm. Is er AVG-technisch sprake van een datalek? Dat er sprake is van een onrechtmatige verwerking, oké, maar dat maakt het nog geen datalek. De defintie van datalek is immers: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

In hoeverre is hier sprake van een inbreuk op de beveiliging?
Dat is er niet, maar ik heb er dan ook niet voor gestudeerd.
Dit is een klassief geval van ophef en een kat in het nauw die vreemde sprongen maakt.
Reageer met quote
Gisteren, 11:21 door Anoniem
Normaal gesproken wordt alles wat uit de CI/CD pipeline komt langs de compliance meetlat gelegd.
Onbegrijpelijk dat dat hier niet is gebeurd, zeker omdat dit Bijzondere Persoons Gegevens betreft.

Overheid is totaal incompetent.
Reageer met quote
Gisteren, 11:22 door Anoniem
Adobe met zijn programma's, dat is volgens mij al jaren het bedrijf met de meeste lekken.
Ver van hun programma's weg blijven als particulier.
Reageer met quote
Gisteren, 12:08 door Anoniem
Er is sprake van het verkeerd configureren van Adobe Analytics waardoor Adobe data ontvangt waartoe ze niet gerechtigd zijn.

Dat valt rechtstreeks onder de definitie van "een inbreuk op de beveiliging die per ongeluk leidt tot de verstrekking van ongeoorloofde toegang tot verwerkte gegevens".


Verkeerd configureren is ook een inbreuk op de beveiliging.
Reageer met quote
Gisteren, 15:02 door Anoniem
Door Anoniem: Er is sprake van het verkeerd configureren van Adobe Analytics waardoor Adobe data ontvangt waartoe ze niet gerechtigd zijn.

Dat valt rechtstreeks onder de definitie van "een inbreuk op de beveiliging die per ongeluk leidt tot de verstrekking van ongeoorloofde toegang tot verwerkte gegevens".


Verkeerd configureren is ook een inbreuk op de beveiliging.
Jep dat wil niet zeggen dat ze ook aansprakelijk worden gesteld maar er is meldplicht. Het AP kijkt vervolgens wat er verder gedaan moeten worden. Dit is hoe datalekdossier opbouw standaard werkt je gaat uit van ergste scenario als melder tot anders bewezen en je laat oordeel van verdere handelen over aan het AP en eventuele advisering in overleg met je crisis team.

Partijen als belastingdienst hebben via hun FG directe AP lijnen dus dat gaat meestal via een telefoontje met bevestiging mail achteraf en dan een kundig opgesteld postmortem in de vorm van schriftelijk standpunt voor de politiek. In tegenstelling tot een zzper of consument die paar maand kan wachten op een AP reactie.

AP kijkt veel meer naar wat de kans van herhaling is hoe welwillig de melder is om problemen te voorkomen in de toekomst dan om melders af te straffen. Dat werkt namelijk niet dan gaat men het stilhouden tot het een keer uitlekt en dan heeft het AP vaak een jaren dossier erbij wat niet bevoordelijk is voor de afwikkeling tijd die nu al met maanden uitloopt vaakt.

Het budget zou vele malen hoger moeten van het AP wil men echt handhavend optreden en dat budget krijgen ze simpelweg niet. Sterker nog de landelijk politiek vind dat ze nu al genoeg geld hebben. Of dat een bewuste strategie is of domweg budgetering mag jezelf oordelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Vacature Digital Designer Certified Secure
Advertentie
Certified Secure GenAI Deep Dive Security Training